Impossibilité d'effacer malware [Résolu]

[mycomeback]

Bonsoir à toute la compagnie !

J’ai eu écho de votre site par un ami et en parcourant les quelques topics, je dois dire que la qualité de vos interventions mérite d’être soulignée !

Mais ma venue est, évidemment, motivée par un problème technique ! Depuis hier, c’est le carnage sur mon PC !
Alors voilà comment les choses ont débuté : hier matin, d’un coup d’un seul (enfin, je n’ai rien vu venir !) je n’avais plus accès à rien sur mon PC : je cliquais sur un raccourci, rien ne se lançait, je souhaitais lancer ad-aware, et l’accès m’était refusé…

J’ai donc , je ne sais par quelle illumination, décidé d’arrêter mon firewall (kerio) et ma foi, j’avais de nouveau accès à tout.
En regardant dans l’explorateur windows, j’ai vu que quelques dossiers s’étaient installés sur mon disque dur sans que je ne m’aperçoive de rien, qui plus est, AVG (mon antivirus) me détectait quelques chevaux de Troie et quelques malwares…
Jusque là rien de « trop » grave (quoique Ad-aware trouva d’un coup de scan environ 180 objets suspects…), je décidais de lancer AVG pour réparer les problèmes et me fier au boulot de ad-aware pour enlever les malwares et autres bêbêtes !
Hélàs (oui, car il y a un hélas !) les fichiers détectés par ad aware ne peuvent pas être enlevés (c'est-à-dire qu’après chaque redémarrage, et chaque nouveau scan, le fichier en question revient toujours, malgré que je l’ai effacé)
En l’occurrence, il s’agit d’un fichier nommé ide21201.vxd

J’ai vu que qqch de similaire était affiché dans un topic (ftopic7685-0-asc-0.php) et j’ai suivi la procédure (installer Regseeker, sauvergarder le registre windows…) mais jusqu’ici sans succès !
(je suis quand meme passé à avast selon vos judicieux conseils  )
Qui plus est, maintenant, ad aware me détecte des nouveaux fichiers « infectés » mais le chemin d’accès n’existe pas ! Ils font référence à un dossier inexistant ! Voici le (drôle) chemin d’accès : D:\System Volume Information_restore{BD99CEDC-FBDA-43DD-A639-878B88F9EB74\RP27\A0013149.vxd et l’autre est similaire sauf la fin A0013161.vxd

Ah oui, à un moment donné (hier) une fenetre s’est affiché me disant que le PC allait s’éteindre après 1minute, et c’est ce qu’il s’est passé (mais je ne pense pas que ce soit sasser en résidence sur mon disque dur puisque j’ai reçu le patch de microsoft et il n’a rien trouvé).

Donc voilà , en quelques mots : c’est la folie !
Merci à vous qui prendrez la peine de me filer un coup de main sur cette affaire !
MICHAEL

[M@rie]

Bonsoir Michael et bienvenue sur le forum

Le dossier invisible dont tu parles D:\System Volume Information_restore{BD99CEDC-FBDA-43DD-A639-878B88F9EB74\ est l'endroit ou XP stocke ses points de restauration système (C'est un dossier caché, c'est pour ça que tu ne le vois pas, mais il existe). Comme ce dossier est doublement protégé par Windows, l'antivirus ne peut pas y pénétrer et donc, ne peut pas nettoyer le virus qui a du être sauvegardé lors du dernier point de restauration.

Pour nettoyer ton PC des malwares fais ceci:
Télécharge le logiciel HijackThis, décompresse le. Crée un dossier HijackThis sur ton disque dur et fais un copier-coller du programme HijackThis.exe dans ce dossier.
Double-clique sur le programme et choisis Do a system scan and save a log file.
(Ne touche pas aux autres boutons et ne coche aucune case dans la fenêtre d'HijackThis).
Fais un copier-coller du rapport dans le forum.

@+

[mycomeback]

Bonjour chère modératrice

Tout d'abord merci de l'aide déjà fournie et, comme convenu, voici le copy/paste demandé.

Log HijackThis

[M@rie]

Bonjour

Désactive la restauration système:
Dans Panneau de configuration/Système/onglet Restauration du système, cocher Désactiver la restauration du système sur tous les lecteurs.

Media Access:
Dans Ajout/Suppression de programmes, désinstalle Media Access.

Si ce n'est déjà fait, active un pare-feu (pour limiter les effets de Agobot).

Applique toutes les mises à jour critiques de Windows XP par Windows Update (étape très importante si on veut éviter la réinfection par Agobot).

Télécharger FxGaobot chez Symantec
(pour la désinfection de Agobot. Ne l'utilise pas pour le moment)

Désinstalle proprement Lop.com en téléchargeant Lop Uninstaller sur ce site
Si tu as des difficultés pour le télécharger, sors *.lop.com des sites sensibles dans les options internet de Internet Explorer.

Télécharge Spybot et installe le. Dans le menu langage choisis French pour le franciser.
Clique sur Rechercher des mises à jour et sélectionne toutes les mises à jour qu'il te propose.

Télécharge AD-Aware SE. Installe le.
Ensuite télécharge le pack de langue et installe le.
Lance Ad-Aware SE et clique sur la petite roue dentée, en haut. Puis sur Interface (sur la gauche) et dans Language choisis Français et clique sur Proceed. Ton AD-Aware sera alors francisé. Là encore, fais une mise à jour avant de lancer l'utilitaire.

Ne lance ni Spybot, ni ad-aware pour le moment.


Redémarre l'ordinateur en mode sans échec. (Tapote la touche F8 au démarrage de l'ordi)
Lance FxGaobot ==> il devrait désinfecter Agobot
Lance Ad-Aware SE en choisissant un scan complet du disque dur.
Lance Spybot. Supprime tout ce que Ad-Aware SE et Spybot te trouvent. Ils devraient te débarrasser d'Azesearch.
Fais Ctrl+Alt+Suppr et si présent, arrête les processus (Clic droit sur le processus puis arrêter le processus).
nvscv32.exe
mediaAccK.exe
MediaAccess.exe
Relance HijackThis à partir du répertoire C:/HijackThis.
Coche les lignes suivantes si elles sont encore présentes:
O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O4 - HKLM\..\Run: [Media Access] D:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\RunServices: [FireWire Service] nvscv32.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62479 ... ge-c18.cab

Clique sur Fix Checked pour lancer le nettoyage.

Redémarre en mode normal et reposte un nouveau log HijackThis.

@+

[mycomeback]

Désinstalle proprement Lop.com en téléchargeant Lop Uninstaller sur ce site
Si tu as des difficultés pour le télécharger, sors *.lop.com des sites sensibles dans les options internet de Internet Explorer.

Lors de la tentative de téléchargement du fichier, le logiciel avast m'avertit que ce dernier est infecté d'un virus/ver Win32 trojan-gen et tout de suite après, une autre fenêtre avast s'ouvre en m'indiquant que le fichier D:\documents and settings\murena\application data\mozilla\firefox\profiles\mpajiit8.default\cache est infecté du même virus!

Je poursuis néanmoins la procédure?
Jusqu'à présent, seule cette étape pose problème.
Merci beaucoup

@+ MIC

[M@rie]

Oui poursuis la procédure. On n'a pas trouvé mieux pour se débarrasser de lop.
Eventuellement désactive Avast le temps du téléchargement et de la désinstallation. Réactive le juste après.
@+

[mycomeback]

rebonjour
Après avoir suivi scrupuleusement les étapes du processus, voici le log généré par HiJack:

Log HijackThis

Quid du programme lop uninstaller?Dois-je l'éliminer puisque avast avait détecté un virus?
Remarque: la procédure de désinstallation s'est correctement déroulée.
En ce qui concerne FxGaobot, il n'a rien trouvé et dans le log, il était indiqué que certains dossiers n'avaient pas été scannés (volume restore, c: et d:) alors que dans la "barre d'état" je voyais "défiler" les dossiers!
En tous cas, merci énormément pour ton aide

[M@rie]

Tu peux supprimer lop_uninstaller. Lop est parti.
Je ne vois plus trace dans ton log de Agobot.
Tu peux quand même refaire un scan avec un antivirus en ligne pour être sûr.
Le log est propre. Tes ennuis semblent finis.
N'oublie pas de réactiver la restauration système.

Par contre, à la lecture de ton log, j'ai vu que tu avais 2 antivirus actifs en même temps sur ton PC. Il faut absolument que tu en désinstalles un (à ta place, je garderais Avast plutôt qu'AVG).
Les 2 antivirus peuvent entrer en conflit et provoquer des blocages.

Ton Pc fonctionne de nouveau bien? Tu n'as plus de fenêtres t'annonçant le redémarrage?
@+

[mycomeback]

tout semble en effet fonctionner normalement
je te remercie vivement pour tes excellents conseils moi qui ne suis qu'un modeste "bricoleur" en matière d'informatique!
Je vais aussi suivre ton conseil concernant Avast.
Pour ce qui en est du scan en ligne, si jamais il devait s'avérer des complications, je te tiendrai au courant!
encore merci et bravo pour le talent!
a+ MIC

[M@rie]

Je laisse ton topic ouvert jusqu'à demain. Si tu as un souci n'hésite pas.

[mycomeback]

C'est la folie: voici le rapport du scan en ligne via le site de Panda de mon PC:
Il paraitrait qu'un logiciel espion s'est installé sur mon ordinateur?!

Spyware:Spyware/ISTbar
D:\DOCUME~1\Murena\LOCALS~1\Temp\iinstall.exe

Adware:Adware/PowerScan
Registre Windows

Adware:Adware/CWS
D:\Documents and Settings\Murena\Favoris\Fun & Games\Betting.lnk

Adware:Adware/Apropos
D:\DOCUME~1\Murena\LOCALS~1\Temp\cfout.txt

Adware:Adware/SideFind
D:\DOCUME~1\Murena\LOCALS~1\Temp\SideFind.exe

Adware:Adware/Lop
D:\Documents and Settings\Murena\Application Data\Mozilla\Firefox\Profiles\mpajiit8.default\Cache\1CCD0A2Ad01

Adware:Adware/Lop
D:\Documents and Settings\Murena\Doc_Michaël\Mes fichiers reçus\lopremover.exe

Spyware:Spyware/ISTbar
D:\Documents and Settings\Murena\Local Settings\Temp\iinstall.exe

Adware:Adware/SAHAgent
D:\Documents and Settings\Murena\Local Settings\Temp\sahagent-cdt1004.exe

Adware:Adware/SAHAgent
D:\Documents and Settings\Murena\Local Settings\Temp\setup4002b.cab

Adware:Adware/SAHAgent
D:\Documents and Settings\Murena\Local Settings\Temp\setup4002b.cab[lkir8l2gm_.dll]

Adware:Adware/SAHAgent
D:\Documents and Settings\Murena\Local Settings\Temp\setup4002b.cab[abasa5jrp_.exe]

Adware:Adware/SAHAgent
D:\Documents and Settings\Murena\Local Settings\Temp\setup4002b.cab[u6f6uftuc_.exe]

Adware:Adware/SAHAgent
D:\Documents and Settings\Murena\Local Settings\Temp\setup4002b.cab[hochkaod3_.exe]

Adware:Adware/SAHAgent
D:\Documents and Settings\Murena\Local Settings\Temp\setup4002b.cab[u6f6uftuc_.ini]

Adware:Adware/SAHAgent
D:\Documents and Settings\Murena\Local Settings\Temp\setup4002b.cab[hochkaod3_.ini]

Adware:Adware/SAHAgent
D:\Documents and Settings\Murena\Local Settings\Temp\setup4002b.cab[setup4002b.ini]

Adware:Adware/SAHAgent
D:\Documents and Settings\Murena\Local Settings\Temp\setup4002b.cab[webinstaller.dll]

Adware:Adware/SideFind
D:\Documents and Settings\Murena\Local Settings\Temp\sidefind.exe

Adware:Adware/SAHAgent
D:\WINDOWS\a95kfrhe.exe

Adware:Adware/SAHAgent
D:\WINDOWS\Downloaded Program Files\setup4002b.ini

Adware:Adware/SAHAgent
D:\WINDOWS\system32\q17i9a4j.exe

Mais que se passe-t'il?

[M@rie]

La plupart de ces fichiers se trouvent dans
D:\Documents and Settings\Ton user\Local Settings\Temp\
Tu peux sans risque effacer tous les fichiers dans ce répertoire TEMP (pas le repertoire lui même).
Supprime D:\Documents and Settings\Murena\Favoris\Fun & Games\Betting.lnk
Fais le en mode sans échec.

Vide le cache Internet de Firefox (Sous Firefox/Outils/Options/Vie privée) Vide le cache, les cookies et l'historique.

Supprime D:\Documents and Settings\Murena\Doc_Michaël\Mes fichiers reçus\lopremover.exe

Ce qui m'inquiète plus c'est ça:

Adware:Adware/SAHAgent
D:\WINDOWS\a95kfrhe.exe

Adware:Adware/SAHAgent
D:\WINDOWS\Downloaded Program Files\setup4002b.ini

Adware:Adware/SAHAgent
D:\WINDOWS\system32\q17i9a4j.exe

Dès que tu as fait le ménage, redémarre la machine en mode normal et reposte un nouveau log hijachThis.
@+

[M@rie]

J'oubliais: Vide la corbeille.
@+

[mycomeback]

Me revoilà

Ci-dessous le log de Hijack

Log HijackThis

Ps:encore une fois merci de ton aide et de ta patience
@+
MIC

[M@rie]

Le log est toujours propre.
Efface ces fichiers:

D:\WINDOWS\a95kfrhe.exe


D:\WINDOWS\Downloaded Program Files\setup4002b.ini


D:\WINDOWS\system32\q17i9a4j.exe

Ce doit être le résidu d'une ancienne infection. (Par SAHagent)
Pour les effacer, fais le en mode sans échec. Ensuite vide la corbeille.
@+