malware DyFuCA et istbar [Résolu]

[neau]

bonjour,


décidement je ne me sort pas des pbs de virus !!!!

spybot et ad aware me trouve toujour DyFuCA et istbar. Je n'arrive pas a les éliminer.

chaque connexion a internet me ramène un régiment de virus . ( y compris les mise a jour de windows update)

je suis toujours avec windows XP SP1 et je n'ai pas du tout confiance aux mise a jour qui promaitent des améliorations de la sécurité alors qu' elles apportent virus et spywares!!!

si une personne a une solution pour se débarrasser éfficacement de ces 2 virus qui m'empoisonne la vie

merci

[Sév]

Bonsoir,

Les outils pour te débarasser de ces 2 pots de colle :

Engine DyFuCA

FxIstbar.exe

Avant de les exécuter, vérifie que la restauration du système est désactivée.

Tiens nous au courant

@+

[neau]

ok merci pour l'info j'essai dès que possible et je te tiens informé

[M@rie]

Bonjour

Utilise les utilitaires de nettoyage en mode sans échec. Ca augmente les chances de réussite. (Au moins pour Istbar).

@+

[neau]

lorelei ou bonemine,


c'est quoi comme type de fichier trojandowloader.win32 dyfuca ? car je n'arrive pas à lancer cleanup engine . j'ai essayé unzip mais ca ne marche pas.

merci

[Sév]

Bonjour Neau,

Après vérification il semblerait que ce fix n'est exécutable qu'avec Kaspersky en résident
Par contre que tu n'arrives pas à le dézipper ça c'est pas normal.

Fais un scan en ligne avec Panda. Tu dois utiliser obligatoirement IE, accepter les publicités sur le site de Panda et les 2 contrôles ActiveX qu'il te propose pour avoir accès au rapport d'analyse.
Copie et colle le rapport dans ton prochain post.

TéléchargeHijackthis Copie / Colle le .exe après l'avoir décompressé dans un nouveau répertoire dans c:/ Hijackthis par exemple (si tu peux)
Fais une analyse avec Hijackthis (toutes autres application fermées).
Exécute le, Clique sur "Do a System scan and save a log file" et rien d'autre
Colle le rapport dans ton prochain post.

@+

[neau]

[url=http://legalfree2.free.fr/informatruc/log_virus/Neau.activescan.001.txt]voici le rapport de activscan
[/url]


le rapport de hijackthis


c'est plus grave que je pensais!!!! :?

[Sév]

Ben oui il y a du monde sur ton pc...

Bon pas de panique, je regarde ton log et je reviens te donner des nouvelles.

En attendant tu peux déjà faire ça :

Télécharge
a² pour pouvoir l'utiliser inscris toi en donnant une adresse e-mail valide
CWShredder

Désactive la restauration du système
Clic droit sur Poste de travail
Propriétés
Restauration du système
Coche Désactiver

Dans I.E
Outils
Options
Onglet Général > supprimer les cookies et supprimer les fichiers internet temporaires > coche la case "hors connexion" > ok

Affiche les fichiers cachés
Démarrer
Panneau de configuration
Options des dossiers
Séléctionne "Afficher les dossiers cachés"

Fais un nettoyage du disque
Démarrer
Programmes
Accessoires
Outils systèmes
Nettoyage de disque
Coche la corbeille, tout ce qui concerne les fichiers temp., ainsi que tout ce qui concerne Internet et rien d'autre

Redémarre en mode sans échec (tape F8 au démarrage de ton pc) et avec les flèches de direction choisis "mode sans échec"

Lance les scans avec a², spybot et ad-aware-> supprime tout ce qu'ils trouvent
CWShredder -> Clic sur fix directement

Vide la corbeille

Redémarre en mode normal

Attention:
Hijackthis n'est pas installé correctement mets le à la racine de c:\ dans un répertoire qui lui est propre (nomme ce répertoire Hijackthis par exemple) plutôt que sur une autre partition.
Cela servira au cas où il faille restaurer une ligne supprimée par erreur.

Tu n'es pas à jour dans tes correctifs Windows
Il faut les faire, car il y a des failles de sécurité importantes sur ton OS actuel.



@+

[Pow-wow]

Ctrl/Alt/Suppr

Termine les processus suivants:

C:\WINDOWS\cdjqjpvr.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\WINDOWS\System32\w32tb.exe
C:\WINDOWS\System32\webole16.exe
C:\Program Files\ISTsvc\istsvc.exe

****************************************

Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
"Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)

Désinstalle, en passant par ajout/suppression de programmes, le prog suivant:

C:\Program Files\Media Access
C:\Program Files\ISTsvc

****************************************

Ferme tous les programmes, y compris internet explorer.
Lance HijackThis "Do a system scan only". Coche ces lignes et clique "Fix checked".

R3 - Default URLSearchHook is missing
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll (file missing)
O4 - HKLM\..\Run: [pcEXPLODE] specialfile.exe
O4 - HKLM\..\Run: [IExplorer7 Java Scripting] IExplore327.exe
O4 - HKLM\..\Run: [Mcafee Antivirus Monitoring System326] VSStatmn326.exe
O4 - HKLM\..\Run: [lDNAWRcv] C:\WINDOWS\cdjqjpvr.exe
O4 - HKLM\..\Run: [pkfih] C:\WINDOWS\pkfih.exe
O4 - HKLM\..\Run: [MS Unix Binary] outlookexpressupdate.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
O4 - HKLM\..\Run: [

[Sév]

Bon j'ai été prise de cours

Toutefois si je puis me permettre, télécharge Microsoft Anti Spyware qui te débarassera de BargainBuddy.

@+

[neau]

en réponse à pow-wow

j'ai suivi tes conseils et voici le nouveau rapport

Log HijackThis


je constate après un nouveau examen de spybot que dyfuca est toujours la!


loreleï, je vais essayer microsoft anti spyware ...

[Sév]

Arrête les processus suivants :

C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe

Fix les lignes :

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_nos.exe

Qu'ont donné les scans avec a² ? et CWShredder ?

Télécharge Stinger et exécute le en mode sans échec.
Même chose pour Microsoft Anti Spyware

Reposte un nouveau log en t'assurant qu'aucune autre application n'est en cours.

Refais un nouveau scan avec Panda et s'il trouve quelque chose, copie et colle le rapport.

Tiens nous au courant

@+

[neau]

loreileï,

voici un nouveau rapport de activscan après les derniers conseils et mise a jour des correctifs windows. j'ai passer stinger et cwshredder . A2 et microsoft antispyware n'ont par encore été passé

Incident Statut Analyse

Adware:Adware/nCase No Désinfecté C:\Temp\FLEOK
Adware:Adware/SAHAgent No Désinfecté Registre Windows
Adware:Adware/SAHAgent No Désinfecté C:\WINDOWS\system32\q17i9a4j.exe
Adware:Adware/Apropos No Désinfecté C:\WINDOWS\Temp\~apropos0\ProxyStub.dll
Adware:Adware/Apropos No Désinfecté C:\WINDOWS\Temp\~apropos0\WinGenerics.dll
Adware:Adware/Apropos No Désinfecté C:\WINDOWS\Temp\~apropos0\uninstaller.exe
Adware:Adware/Envolo No Désinfecté C:\WINDOWS\Temp\AutoUpdate0\setup.inf
Adware:Adware/MediaTickets No Désinfecté C:\WINDOWS\re11.REG
Adware:Adware/SAHAgent No Désinfecté C:\WINDOWS\a95kfrhe.exe
Spyware:Spyware/ISTbar No Désinfecté C:\Documents and Settings\organisation\Local Settings\Temp\temp.fr90FA
Spyware:Spyware/ISTbar No Désinfecté C:\Documents and Settings\organisation\Local Settings\Temporary Internet Files\Content.IE5\SBK78NAB\gamma[1].exe[blank.html]
Adware:Adware/MediaTickets No Désinfecté C:\Documents and Settings\organisation\Local Settings\Temporary Internet Files\Content.IE5\SBK78NAB\gamma[1].exe[re11.REG]
Adware:Adware/WUpd No Désinfecté C:\wrdpad2update.exe[blank.html]
Adware:Adware/MediaTickets No Désinfecté C:\wrdpad2update.exe[re11.REG]
Spyware:Spyware/ISTbar No Désinfecté C:\ie6update3778.exe[blank.html]
Adware:Adware/MediaTickets No Désinfecté C:\ie6update3778.exe[re11.REG]


je continue demain .... @+

[Sév]

loreileï, -parce que je le vaux bien -:lol:

voici un nouveau rapport de activscan après les derniers conseils et mise a jour des correctifs windows. j'ai passer stinger et cwshredder .

--> Qu'ont-ils trouvé ?

Télécharge Regseeker et prend connaisssance du tuto en même temps.

Débranche ta connection.

Redémarre en mode sans échec, en t'assurant que la restauration système est toujours désactivée et que les fichiers cachés sont bien visibles.
Certains virus peuvent reparamètré ces deux fonctions.

Suis les chemins de ces fichiers et supprime les un par un en vidant la corbeille à chaque fois --> ou utilise les touches de raccourci clavier shift+del (maj+suppr) cela permet la suppression directe sans passer par la case poubelle.


C:\Temp\FLEOK
C:\WINDOWS\system32\q17i9a4j.exe
C:\WINDOWS\re11.REG
C:\WINDOWS\a95kfrhe.exe


Pour ceux-ci va directement au répertoire Temp et vide le
C:\WINDOWS\Temp\~apropos0\ProxyStub.dll
C:\WINDOWS\Temp\~apropos0\WinGenerics.dll
C:\WINDOWS\Temp\~apropos0\uninstaller.exe
C:\WINDOWS\Temp\AutoUpdate0\setup.inf

Pour ceux là vide le répertoire Content.IE5
C:\Documents and Settings\organisation\Local Settings\Temporary Internet Files\Content.IE5\SBK78NAB\gamma[1].exe[blank.html]
C:\Documents and Settings\organisation\Local Settings\Temporary Internet Files\Content.IE5\SBK78NAB\gamma[1].exe[re11.REG]

Si tu les trouves :
C:\wrdpad2update.exe[blank.html]
C:\wrdpad2update.exe[re11.REG]
C:\ie6update3778.exe[blank.html]
C:\ie6update3778.exe[re11.REG]

C:\Documents and Settings\organisation\Local Settings\Temp\temp.fr90FA -> Vide le répertoire Temp

Relance maintenant l'outil de Symantec FxIstbar.exe

Scan avec Spybot, Ad-aware et MS Anti Spyware

Passe Regseeker et fais un nettoyage complet du Registre.

Redémarre en mode normal.

Poste un nouveau log HJT et fais de nouveau un scan avec Panda.

Ca donne quoi ?

@+

[Pow-wow]

MAJ de windows à faire. SP1, SP2 ???

Dans un premier temps:

Ajout/suppression de progs >> c:\program files\bulletproofsoft.com\bps spyware & adware remover <-- désinstalle ce programme

C'est un rogue.

Télécharge LspFix
-Lance-le
-Coche "I know what I'm doing"
-Sans rien faire d'autre, clique "Finish".

Poste un nouveau log