problème avec aboutbusterFermé

Question

bonjour,
Comme j'ai un problème avec mon exploreur, une page about blank, j'ai suivi un tutorielle qui me demande d'installé aboutbuster en mode sans echec pour en quelque sorte faire un ménage dans tout ce qui ne va pas, mais le problème est que ce programme m'indique en rouge qu'il va juste scanner et non supprimer, ce qu'il est sencé faire, je ne comprend pas pourquoi, si quelqu'un a eut ce problème ou à une idée sur la façon d'y remédier je le remercie par avance de me renseigné
à bientot quelqu'un j'espère
isabelle

Darkkiller · Accepted Answer

Re,

Merci Moe pour cette précision ;).

Isabelle :

L'infection dont tu es atteinte est une infection Coolwebsearch. C'est une infection assez rude ! On va devoir  
supprimer sa manuellement. Donc attention, si tu ne comprends pas quelques chose, dis le moi ne passes pas a l'étape suivante !


1/  Commence par télécharger ces programmes :  

Ad -AWARE : http://lavasoft.element5.com/default.shtml.fr
ADSSPY : https://www.bleepingcomputer.com/download/ads-spy/
AboutBuster (si tu l'as déjà, parfait) : https://www.bleepingcomputer.com/download/linux/
Et un petit .reg : https://www.bleepingcomputer.com/download/linux/ , installe-le sur ton bureau et N'Y TOUCHE PLUS JUSQUA NOUVEL ORDRE !

Installe tous ces logiciels, SAUF LE .REG !!.

2/ Redemarre en mode sans échec

Attention lors du redémarrage en mode sans échec, tu n'as pas accès a internet, donc note soignieusement ou imprimes ces données ;).

Tuto pour redémarrer en mode sans échec : http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/redemarrer-mode-echec-sujet_1526_1.htm

3/ Identification des fichiers qui corresponednt au malwares !

    *  Cliquez sur le bouton démarrer, puis panneau de configuration.
    * Dans le panneau de configuration, double cliquez sur Outils d'adminisration.
    * Ouvrez le menu Service.
    * Cherchez une de ces entrées :
          o Network Security Service
          o Workstation NetLogon Service
          o Remote Procedure Call (RPC) Helpe
    * Lorsque vous l'avez trouvé, double-cliquez dessus, puis :
          o Changez le type de démarrage en désactivé
          o Cliquez sur le bouton Stop pour arreter le service
          o Notez sur un papier le chemin du fichier mis en service. Nous nous en servirons plus tard.
    * Cliquez sur OK et fermez toutes les fenêtres.

Maintenant nous connaissons le fichier utilisé en service.

4/ Arreter les processus du malwares pour éviter de se refaire infecter !

# Appuyez simultanément sur les touches CTRL+ALT+SUPPR et cliquez sur "gestionnaire de taches". 
# Si vous êtes sous Windows XP/2000, cliquez sur l'onget Processus, vous obtenez la liste des processus 
# Cherches ces processus : 

C:\WINDOWS\system32\addtm.exe
C:\WINDOWS\system32\d3tg.exe

Pour chacun de ces processus (ci-dessus), sélectionnez le et faites "Fin de Tache" en bas à droite de la fenêtre.


5/ Supprimer les entrées avec Hijackthis :

Ouvre Hijackthis et clique sur "Do a system scan only" et coche ces lignes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32
rmst.dll/sp.html#22776

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32
rmst.dll/sp.html#22776

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32
rmst.dll/sp.html#22776

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32
rmst.dll/sp.html#22776

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32
rmst.dll/sp.html#22776

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {E8984C19-4F50-8481-1547-7D6A5E65DA64} - C:\WINDOWS\system32\javazv.dll

O4 - HKLM\..\Run: [addtm.exe] C:\WINDOWS\system32\addtm.exe

O4 - HKLM\..\Run: [d3tg.exe] C:\WINDOWS\system32\d3tg.exe

O16 - DPF: Interface Chat Voila - http://chat10.x-echo.com/version3/Applet/vchatsign.cab

O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://downloads.winwise.fr/Common/npwwg.cab

O16 - DPF: {ABB08127-7417-11D4-8566-00500448008D} (Chat Class) - http://downloads.winwise.fr/Common/npchatlax.cab

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\mfcse.exe

Puis quand tu as coché ces lignes, cliques sur "Fix Checked"

6/ Supprimer tous les fichiers du malware

Maintenant que les programmes du malwares sont arretés et supprimés de la base de registre, nous pouvons supprimer ces fichiers du disque dur. 

# Double-cliquez sur le poste de travail
# Double-cliquez sur le disque C
# Double-cliquez sur le dossier Windows
# Enfin double-cliquez sur le dossier system32
# Cherchez le fichier javazv.dll  et supprimez le.

Ensuite : 


# Double-cliquez sur le poste de travail
# Double-cliquez sur le disque C
# Double-cliquez sur le dossier Windows
# Enfin double-cliquez sur le dossier system32
# Cherchez le fichier addtm.exe et supprimez-le.

Ensuite :

# Double-cliquez sur le poste de travail
# Double-cliquez sur le disque C
# Double-cliquez sur le dossier Windows
# Enfin double-cliquez sur le dossier system32
# Cherchez le fichier d3tg.exe et supprimez-le.

Ensuite :

# Double-cliquez sur le poste de travail
# Double-cliquez sur le disque C
# Double-cliquez sur le dossier Windows
# Enfin double-cliquez sur le dossier system32
# Cherchez le fichier nrmst.dll et supprimez-le.

7/ Supprimez le fichier utilisé en service par le malware

On va maintenant supprimer le fichier qui était utilisé par le service lors de l'étape 3

# Double-cliquez sur le poste de travail
# Double-cliquez sur le disque C
# Double-cliquez sur le dossier Windows
# Cherchez le fichier mfcse.exe et supprimez-le.

8/ Nettoyage de la base de registre :


Nous devons ensuite supprimer les entrées du registre, qu'HijackThis n'a pu nettoyer.

    * Ouvrez le fichier cws-hsa.reg téléchargé précedemment en double-cliquant dessus.
    * Lorsque Windows vous demande, si vous voulez inscrire les entrées, acceptez en cliquant sur oui.

9/ Utilisation d'about:buster 

    *  Ouvrez about:buster
    * Lorsque about:buster est ouvert, cliquez sur le bouton OK
    * Appuyez sur le bouton Start
    * Cliquez sur le bouton OK
    * Lorsque le programme vous demande si vous désirez arreter le processus explorer.exe, acceptez en cliquant sur le bouton Yes.
    * Le programme va ensuite scanner tous les fichiers utilisés par le malware et les supprimer s'ils en trouvent.
    * Il vous est ensuite demandé si vous désirez scanner à nouveau l'ordinateur. Répondez Oui

10/ Remplacez les fichiers critiques qui ont été supprimé par le malware. 

A partir de là, ne t'inquiètes plus tu n'es plus infecté !

# Redémarrer en mode normal.
# Le malware supprime le fichier appelé shell.dll. Suivez les instructions pour le restaurer :
Si vous êtes sous Windows XP téléchargez le fichier shell.dll à partir d'ici : https://www.bleepingcomputer.com/download/linux/
Une fois téléchargé, décompressez le et copier le fichier shell.dll dans les dossiers suivants (%windir% est soit le dossier windows): %windir%\system32 et %windir%\system

11/ Vérification 

Installez la dernière version de Spybot S&D :  https://www.safer-networking.org/?lang=fr
Tuto pour Spybot : https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/
Le malware supprime le fichier host, nous devons le restaurer, pour cela, téléchargez Hoster Download Link : http://www.funkytoad.com/download/hoster.zip
====================================================================
Télécharge AVG Anti-Spyware: 


https://www.avg.com/en-ww/free-antivirus-download 


Tu l'installes. 
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente 

Lance AVG Anti-Spyware 
Clique sur le bouton Analyse (de la barre d'outils) 
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine. 
Reviens à l'onglet Analyse. Clique sur Analyse complète du système. 
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas. 
PENSE BIEN A TOUT SUPPRIMER !!
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware. 

poste le rapport AVG! 

====================================================================

BONNE CHANCE !! ET SURTOUT SI TU AS UN DOUTE NE SAUTE PAS VERS LA PROCHAINE ETAPE, VIENS m'EN PARLER !!

Darkkiller · Answer

Re,

On va voir sa ;) 

Télécharge HijackThis ici:
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://perso.orange.fr/rginformatique/section%20virus/Hijenr.gif

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)

http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Darkkiller · Answer

Re,

Et la cow-boy du net, faudrait faire gaffe a ce que tu télécharges ! ;).

Néanmoins j'ai besoin d'une vérification.

Donc :

Rends toi sur ce site :
http://www.virustotal.com/xhtml/virustotal_en.html

Clique sur parcourir et cherche ce fichier :

C:\WINDOWS\system32\d3tg.exe

Clique sur send.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

ENSUITE FAIT EXACTEMENT LA MEME CHOSE AVEC EC FICHIER :

C:\WINDOWS\mfcse.exe

Puis poste moi les 2 rapports ;)

Darkkiller · Answer

Re,

Le 1er je comprend mais le 2eme sans les description j'aurais du mal a voir si c'est un virus ou non :)
Reesaye ;)

moe · Answer

Bonjour isabelle, Darkiller


HSA..., aïe... sacré infection que tu as là, je suis même étonné qu'elle existe encore sous cette forme aujourd'hui.
Pour Aboutbuster, c'est normal, la fonction qui permettait de supprimer ce qu'il détectait à été volontairement retiré par l'auteur il y a quelques mois à cause des faux positifs dans la détection et donc aujourd'hui il détecte seulement et c'est à l'appréciation de la personne qui t'aide (ou a toi) de faire le tri.

Relance quand même Aboutbuster en mode normal et poste le rapport Ab LogFile.txt, ça pourra toujours donner un point d'appui à Darkiller.

a+ et bon courage.

isabelle · Answer

ok merci

voilà le rapport ab logfile.txt comme demandé

:\WINDOWS
_voamha.txt
-------------------------------------------------------------
Scan was ABORTED at 19:18:15


-------------------------------------------------------------
Scan was ABORTED at 19:18:31


AboutBuster 6.07
Scan started on [25/07/2007] at [19:42:10]
-------------------------------------------------------------
C:\WINDOWSugoaz.dat
C:\WINDOWS\yhftly.dat
C:\WINDOWS\qktmxw.dat
C:\WINDOWS\snwrdz.dat
C:\WINDOWS\bltcne.dat
C:\WINDOWS\cdgwxh.dat
C:\WINDOWS	gktnc.dat
C:\WINDOWS\coaxlf.dat
C:\WINDOWS\yqucjr.dat
C:\WINDOWS\bkkubs.dat
C:\WINDOWS\fzznex.dat
C:\WINDOWSinimu.dat
C:\WINDOWS	tgrgn.dat
C:\WINDOWSuyseg.dat
C:\WINDOWS\jvrxyj.txt
C:\WINDOWS	vjdat.txt
C:\WINDOWS\vsbuvh.log
C:\WINDOWS\vvjbc.log
C:\WINDOWS\craxj.dat
C:\WINDOWS\bwsty.log
C:\WINDOWS
_qmssjk.dat
C:\WINDOWS\jjfvge.dat
C:\WINDOWS
_dtjcld.dat
C:\WINDOWS
_gjuvrn.log
C:\WINDOWS
_yjbzaa.log
C:\WINDOWS
_srmrdj.dat
C:\WINDOWS\otuapr.log
C:\WINDOWS\gunfru.log
C:\WINDOWS
_clsyap.dat
C:\WINDOWS
_xonqnm.dat
C:\WINDOWS
_fwkose.dat
C:\WINDOWS
_bjqswd.dat
C:\WINDOWS
_jvnewm.txt
C:\WINDOWS
_ytfwgb.dat
C:\WINDOWS
_erhxus.dat
C:\WINDOWS
_kfggss.txt
C:\WINDOWS
_recvsj.dat
C:\WINDOWS
_ymvbtk.dat
C:\WINDOWS
_suetlw.log
C:\WINDOWS
_haugje.txt
C:\WINDOWS
_cobsfr.txt
C:\WINDOWS
_ahueqk.log
C:\WINDOWS
_rdnlyd.log
C:\WINDOWS
_kjcyyq.dat
C:\WINDOWS\mfcfz.dll
C:\WINDOWS\uxksl.dat
C:\WINDOWS\unguq.dat

merci par avance 

à +

Darkkiller · Answer

Merci,
Quelle solution pour le .reg alors ?

Darkkiller · Answer

Merci c'est gentil Moe.

Bonne fin de journée ;)

Darkkiller · Answer

Re,

Pas de problème de toute façon je fais toujours une petit vérification avant de le(la) lâcher ;)

Darkkiller · Answer

Re,

C'est un peu normal que je me donne du mal, faut te désinfecter ;).

Je te le redis, c'est important, Ne sautes jamais une étape, si tu as un problème viens en parler ;)

Darkkiller · Answer

Re,

Tu l'as déjà ADS nah ?

Darkkiller · Answer

Re,

Je sais pas pourquoi je t'ai fait télécharger ADSSPY, alors qu'on en a pas besoin !:D
Concernant le fichier .reg efface celui que tu as télécharger et télécharge celui de MOE ici :

http://cjoint.com/data/hAsQ3NyE0t_isafix_cws.reg 

Clic droit > Enregistrer Sous
Mais ne l'execute pas jusqu'à nouvelle ordre !

pascale · Answer

Bonjour DarkKiller,

Merci pour toutes les infos que tu as donné afin de sauver mon ordi. Je suis la personne pour laquelle Isa a posté sur ce forum, et c'est donc moi qui m'occupe des manipulations. N'ayant pas le haut débit et ramant énormément, c'est elle qui est venue poster au début.

Voilà, je viens te voir parce que tu as dit qu'en cas de doute il valait mieux te demander. Donc j'en suis aux touts débuts de la manip mais j'ai une petite question...

Dans le 3/ au début en mode sous échec, il y a indiqué qu'il faut appuyer sur le bouton STOP (que je n'ai pas), et noter un chemin de fichier. J'ai fait une imprim'écran afin que tu me confirmes qu'il s'agit bien de ce chemin de fichier là, car il y a écrit "chemin de fichier mis en service" et moi j'ai "chemin d'accès des fichiers executables".

Donc je continue en faisant juste OK et en notant ce chemin là où il y a un problème et je fais autre chose ?

Encore merci de te donner autant de mal, c'est vraiment gentil.

L'image est sur ce lien :
https://xs.to/

moe · Answer

Salut Pascale

En attendant le retour de Darkiller.

Le service que tu essayes d'arréter n'est pas "chargé" par Windows en mode sans échec, dans ce mode il ne charge que ce qui lui est essentiel pour fonctionner, ce qui explique que le bouton stop soit grisé et le service déjà arrété.
En réglant le service sur "Désactivé" tu empêcheras par contre qu'au redemarrage du pc en mode normal, il soit à nouveau rechargé et donc que le fichier qui lui est associé C:\WINDOWS\mfcse.exe ne soit réexécuté.
Disons que le redemarrage en mode sans échec t'as facilité la tâche :-)

En ce qui concerne l'erreur que toi ou isabelle aviez eu avec Ads Spy, c'est normal et simplement du au systeme de fichier de ton DD ou partition.
Apparement le système de fichier de ton dd/partition est en FAT32 alors qu'Ads Spy recherchait une forme de l'infection qui ne peut être présente que seulement dans un système de fichiers en NTFS.
Pour résumer et faire simple sans besoin de savoir ce que veut dire NTFS ou FAT32... Le fait d'être en FAT32 a limité l'étendue de l'infection.

Enfin dernier truc, pour le fichier shell.dll de l'étape 10, ne procède au remplacement que s'il a bien été supprimé par l'infection, ce qui est loin d'être systématiquement le cas.

Voilà j'espère que ça repondra à ta question.

Bon courage Pascale et bonne continuation.

Darkkiller · Answer

Re,

Désolé quelques problèmes de connexion, J'avais oublié de le préciser certes ! Merci Moe !

pascale · Answer

Merci Moé et Darkkiller de vos réponses.

Je m'en doutais un peu mais je préferais une confirmation, ça m'embêterait de faire une bêtise...

Donc tout le nettoyage va être fait ce week end. En cas de pépin je vous contacterais de l'autre ordinateur.

Merci encore de votre aide !

Darkkiller · Answer

Re,

Pas de prob ;) Mais ne tarde pas trop ;)

Je m'en doutais un peu mais je préferais une confirmation, ça m'embêterait de faire une bêtise...

C'est juste quand dans ce genre de manipulations, si tu loupes une étape, l'infection revient, sa serait bête de tout recommencer ;)

Darkkiller · Answer

Re,

En mode sans échec, les processus infectés ne se lancent pas, essayes en mode normal ;)

pascale · Answer

Ok merci j'y vais, ce n'était pas précisé de repasser en mode normal alors j'étais restée en sans échec... Je reste donc définitivement en mode normal après ?

Merci de ta rapidité :)

pascale · Answer

Argh me revoilàààà.... :(

Donc en mode normal j'ai bien le DETG.EXE mais je ne trouve pas l'autre nulle part :(

Je fais quoi ? Désolée :(

moe · Answer

Salut

A quelle étape de la manip en es-tu ?
La 4 ou la 6 ?

a++

moe · Answer

Ca va venir, t'inquiètes :-)

Ok, donc tu en es à l'étape du gestionnaire des tâches.

Dans la liste des processus actif du gestionnaire des tâches (Onglet "Processus"), vérifies si ces processus font partis de la liste:

addtm.exe
d3tg.exe
mfcse.exe 

Pour ceux que tu trouveras parmis les trois, selectionnes-les un par un et clic sur le bouton [Terminer le processus]

Si tu n'en trouve qu'un ou deux parmis les trois cités, t'inquiètes ce n'est pas grave, "Termine" ceux que tu trouveras et passe ensuite à l'étape suivante.

Bon courage :-)

moe · Answer

De rien ! et n'hésites pas à demander  si quelque chose te chiffonne :)

Bon nettoyage.

moe · Answer

Est-ce que quand tu as repris les manips après être sortie du mode sans échec, tu as tout recommencé du début, surtout l'étape 3 ?

Tu parles de la suppression du fichier ou de le terminer dans le gestionnaire des tâches ?

moe · Answer

Ca provient peut-être du fait que tu n'aies pas rendue visible les fichiers cachés et système dans les options des dossiers.

Mais bon, on va faire un test rapide pour vérifier s'ils existent ou pas:
Ouvre le menu démarrer et clic sur exécuter.
Une fenêtre noire va s'ouvrir.
Copie et colle dans cette fenêtre la première ligne en bleu ci-dessous et valide avec la touche entrée
Ensuite, tu fais exactement la même chose avec la seconde ligne.

dir /a C:\WINDOWS\mfcse.exe>>"%userprofile%\Bureau\pascale.txt"

dir /a C:\WINDOWS\system32\addtm.exe>>"%userprofile%\Bureau\pascale.txt"
Sur ton bureau, tu vas trouver un fichier nommé pascale.txt qui contient  les résultats de ces deux commandes, copie et colle son contenu sur le forum.
Celon le résultat on avisera pour la suite.

a++

moe · Answer

lol, désolé, il manque un p'tit bout d'explication:

il faut lire:
"Ouvre le menu démarrer et clic sur exécuter => tape:  cmd et valide avec "Ok"

a+

moe · Answer

Bingo !, celui-ci est bien présent: C:\WINDOWS\mfcse.exe, par contre l'autre n'existe plus (d'ou le fameux "Fichier introuvable" lol)

Voilà ce que tu vas faire:
Rend visible les fichiers cachés et systeme 
panneau de configuration > options des dossiers > onglet affichage 
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

/!\ Ne pas oublier une fois le nettoyage terminé de faire l'inverse pour recacher les fichiers.

N'utilise pas la fonction "Rechercher" et vas directement dans le dossier C:\WINDOWS, tu devrais "normallement" voir maintenant le fichier mfcse.exe,  supprimes-le.
Puis, vide la corbeille :-)
Dis moi ensuite si tu as pu le supprimer sans problèmes.

a++

pascale · Answer

Et zut me revoilà encore :( :(

Bon, alors précision pour le cws, la question posée est "voulez vous vraiment ajouter les informations contenues dans C:\DOCUME~1\DUVALP~1\bureau\HASQ3N~1.REG au Registre ?

Donc je dis oui, et il me répond

"les informations de C:\DOCUME~1\DUVALP~1\bureau\HASQ3N~1.REG  ont été inscrites dans le registre".

Ensuite, à l'étape 9 j'ai l'impression que Darkkiller et moi n'avons pas le même about:buster, sincèrement il ne me propose pas tout ça mon aboutbuster, j'ai juste "begin scan" pas ok, et il ne me parle pas d'explorer du tout.

Je m'arrête là jusqu'à ce que tu reviennes ;)

moe · Answer

Super !

C'est très rapide en effet et du moment que tu as eu le message te demandant si tu acceptais la fusion dans le registre et celui t'annoncant que l'opération c'était bien déroulée, ça veut dire que le fichier *.reg a fait son job :-)
Si tu y tiens vraiment, refais-le.

Mais bien sur que tu vas y arriver, y'a pas d'raisons ;-)
Cette infection n'est des plus évidente à supprimer et pour l'instant tu t'en tire très bien !

a++

moe · Answer

C'est pas tout à fait faux pour Aboutbuster, le logiciel a été amputé de quelques fonctions il n'y a pas très longtemps et les divers tutos de désinfections pour ton infection datent  déjà de plus d'un an, vu ca rareté à l'heure actuelle.
Donc c'est un peu normal que tu ne retrouve pas tout à fait le même menu.

Lances Aboutbuster et clic sur "begin scan", sauvegardes ensuite le rapport à un endroit ou tu seras sure de le retrouver.
Normallement il porte le nom Ab LogFile.txt et se trouve dans le même dossier qu'Aboutbuster.exe

a++

ps:
Bah, si je compte  le nombre de Merci que tu nous a déjà dit à Darkkiller et moi, t'inquiètes c'est déjà fait depuis longtemps, ne cherche plus lol  ;-)

moe · Answer

Avant de réouvrir IE reposte un rapport hijackthis pour voir l'évolution ainsi que le rapport aboutbuster.

Sincèrement il n'y aura qu'en ouvrant IE qu'on pourra savoir si les favoris indésirables sont bien partis...Par contre, hors connec tu peux relancer IE et vérifier l'état de tes favoris , ce sera l'occasion de vérifier sans prendre de risques.

a++

Darkkiller · Answer

Re,

Merci MOE de prendre le relais, pendant que je suis absent ! C'est vraiment sympa de ta part ;).
OUi il serait biend e poster un rapport pour voir où en est t-on avec l'infection ;)

moe · Answer

De rien Darkkiller, si tu es là demain se sera parfait pour pascale, perso je serais absent.

Pascale, vérifie d'abord que le fichier hosts  a bien été supprimé par l'infection avant d'essayer Host expert.

Pour celà, tu lances hijackthis, puis clic sur le bouton [Open the miscs tools section]
Puis clic sur [Open Hosts file Manager]

Si tu vois ceci:

# Copyright © 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a "#" symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
#
127.0.0.1 localhost
Suivis de (dans le cas ou tu as vacciné avec spybot): 
# Start of entries inserted by Spybot - Search & Destroy
avec un grand nombre de lignes commancant par  127.0.0.1

Alors tu n'auras pas besoin d'utiliser host expert.

Reposte ensuite un rapport hijackthis, ça permettra de te donner une  manip homogène en fonction du résultat et de celui d'aboutbuster.

Tu as essayé IE hors connexion ?
Ca donne quoi au niveau des favoris ?

a++

Darkkiller · Answer

Re,

Merci encore MOE ! ;)
Oui un p'tit rapport Hijackthis nous ferais pas de mal ;)

Darkkiller · Answer

RE,

Bon dans l'ensemble, on se débrouille bien :)
Je ne sais pas comment tu as pu attraper cette grosse bête puisqu'elle ne circule plus sur le net !
C'est normal que tu trouves beaucoup de fichier infectés dans About:Buster, car l'infection cool web search est l'une des plus rude à éradiquer ! Et je remercie MOE pour sa coopération !
Mais on perd pas de courage et on va mettre les mains dans le camboui.
Aparrement lors de ton dernier scan AVG A-S, tu as trouvé 200 objets infectés, c'est déjà mieux que 800. Donc il y a du mieux. Sur le scan Hijackthis,  j'ai remarqué que les processus et les services du malware avaient disparus, je te remercie également de ta coopération dans cette longue manipulation !

Pourrais-je voir le nouveau rapport AVG A-S ?

Darkkiller · Answer

Re,

Effectivement quand on est infecté, il faut vite venir poster, car après l'infection prend de l'ampleur !
Oui j'aimerais que tu en refasses une pour qu'après on fasse une mise au point ;)

Darkkiller · Answer

RE,

Un coup d'AboutBuster soignera ton chat :)

Darkkiller · Answer

Re,

Ce n'est pas infecté, c'est de simple cookies, ils sont innoffensifs pour ton système ;).
Ton chat ira mieux avec AboutBuster :).
Maintenant on va voir si cette satanée infection est réellement partie !

scan kaspersky https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr 

Clic sur l'image Kaspersky Online Scanner 
Clic sur J'accepte 
Installes le ActiveX 
Tu attends que la mise à jour se termine, une fois terminé, 
clic sur Suivant 
Clic sur Paramètres d'analyse 
Coche la case Étendue >> Ok 
Clic sur Poste de travail pour faire un scan complet 
Une fois le scan fini à 100%, clic sur Enregistrer rapport 
sous... 
Enregistrer le rapport au format .txt (en nom tu mets rapport ou 
ce que tu veux et en type tu choisis fichier texte (*.txt) 
Tu ouvres le fichier que tu viens de sauvegarder, copie et colle 
le rapport ici si tu es infecté

Darkkiller · Answer

Re,

Ton véto n'est pas original ! xD.
Je ne pense que c'est du au virus, si c'étais vraiment du au virus, il aurait pas laisser l'accès au scan.

Darkkiller · Answer

Re,

Sa prend fin !!!
==================================================================

¤Désactive ta restauration système (uniquement si tu es sous XP): 
Clic droit sur poste de travail puis, 
propriété, tu cliques sur onglet restauration système 
tu coches la case « désactiver la restauration » et applique. 


Redémarre ton ordinateur
Puis, 

¤Réactive ta restauration système (uniquement si tu es sous XP): 
Clic droit sur poste de travail puis, 
propriété, tu cliques sur onglet restauration système 
tu décoches la case « désactiver la restauration » et applique. 
==================================================================

Puis surfes un peu sur internet, et dis moi si tu as d'autres problèmes, ou si tout vas bien :)

Darkkiller · Answer

Re,

Dans le scan, les virus sont logés dans la restauration, la manip que je t'ai donné sert a effacer les virus de la restauration.
Ne cries pas victoire tout de suite, COOL WEB SEARCH a une face cachée :D.
Je te dirais tout ce qu'il faut faire pour éviter de se faire réinfecter, quand tu m'auras donné de tes nouvelles concernant IE :)

moe · Answer

Salut Pascale, Darkkiller

Lol, si, si je crois que tu peux crier victoire, l'infection n'était plus active depuis la fin de la première manip déjà :-)
Avg et kaspersky se sont occupés eux de virer les résidus.

Par curiosité, tu pourrais reposter un rapport Aboutbuster ?

Bonne continuation en tout cas et content pour toi :-)

@++

Darkkiller · Answer

Re,

CHUT moe, c'était pour la remotiver :D

Sa serait bien comme dit MOE, de reposter un log ABOUTBUSTER

Darkkiller · Answer

RE,

ABOUTBUSTER = :S:S

Est-ce que c'est toi qui a ouvert le fenêtre ou elle s'est ouverte toute seule ?

moe · Answer

Hello

C'est vrai que le rapport Aboutbuster n'est pas très encourageant sur le coup, même si çà ne veut pas forcément dire que l'infection s'est réactivée, bah Darkkiller avait surement raison de ne pas vouloir s'emballer trop vite :-).

Déjà, il faudrait supprimer tout ce qu'a trouvé Aboutbuster, je sais ça représente beaucoup de fichiers et de longues minutes de recherches...
Du coup j'ai pensé qu'un petit script qui automatiserait la tâche serait le bienvenue...Nan ?, lol

Télécharges-le ici et enregistres-le sur ton bureau (important).
Si possible hors connexion, double clic ensuite sur pascfix.bat pour le lancer, une fenêtre noire va s'ouvrir et se refermer rapidement (c'est normal), puis le bloc note va s'ouvrir.
Copie et colle tout son contenu dans ta prochaine réponse.

Ensuite, reconnectes toi au net et ouvre une fenêtre d'internet explorer (peu importe le site, Doctissimo par exemple), puis lance hijackthis et clic sur [Do a system scan and save logfile] pour générer le rapport.
Poste aussi ce rapport dans ton prochain message.
Relance ensuite Aboutbuster et poste le rapport, sauf bien sur s'il n'a rien détecté.

Le but de la manoeuvre étant de vérifier s'il y a une différence dans le rapport hijackthis, du fait qu'IE soit ouvert et connectée au net.

Voilà, en espérant qu'hijackthis ne révèlera rien de suspect .
Bon courage !

a++

moe · Answer

De rien !

C'est ce que je croyais pour la durée, en général c'est assez rapide, peut être est-ce du au nombre de fichiers assez important à rechercher et supprimer, en fait je ne pourrais pas te dire la raison exacte.
Mais c'est pas important, le principal c'est que les fichiers détectés par Aboutbuster, du moins ceux qu'ils restaient, aient bien été supprimés.
Ca a l'air d'être le cas si j'en juge le minuscule rapport ;-) cette fois-ci.

Il ne te reste qu'à rechercher et virer:
C:\WINDOWS\System32\quytl.txt
C:\WINDOWS\System32\buico.log 

Côté hijackthis, pour ma part je ne vois rien de suspect, on verra ce qu'en pensera Darkkiller, mais perso je crois bien que cette infection n'est vraiment plus active.
Est-ce que de ton côté, tu remarques des anomalies par rapport à avanten surfant avec IE ? 

Une question existentielle sur AVG anti-spyware à nous poser ?... Humm, l'heure est grave, faut pas attendre alors :-)
Vas-y ne te gènes pas, lol, poses-là !

a++

Darkkiller · Answer

Re,

Je voulais faire un batch spécial MOE, tu l'as donné avant :)
Le log HJT est propre :).

Je pense qu'une vérification serait bien :)

scan kaspersky https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr 

Clic sur l'image Kaspersky Online Scanner 
Clic sur J'accepte 
Installes le ActiveX 
Tu attends que la mise à jour se termine, une fois terminé, 
clic sur Suivant 
Clic sur Paramètres d'analyse 
Coche la case Étendue >> Ok 
Clic sur Poste de travail pour faire un scan complet 
Une fois le scan fini à 100%, clic sur Enregistrer rapport 
sous... 
Enregistrer le rapport au format .txt (en nom tu mets rapport ou 
ce que tu veux et en type tu choisis fichier texte (*.txt) 
Tu ouvres le fichier que tu viens de sauvegarder, copie et colle 
le rapport ici si tu es infecté

moe · Answer

Salut Darkkiller

Mince, j'aurais bien aimé voir :-), rhaa dommage... (Que d'honneur lol...)
Désolé, mais je ne savais pas que tu codais en batch, sinon j'aurais attendu...

Darkkiller a raison Pascale, un scan de contrôle serait le mieux avant de passer à autre chose (désolé pour ton forfait...).

Pour ta question existentielle et bien figures-toi, que j'ai eu beau retourner AVG dans tous les sens d'un recoin à l'autre et bien impossible de trouver une option qui permette de réactiver le message.
Donc après quelques recherches, la solution ne se trouve finalement pas dans l'interface d'AVG mais dans le registre et dans cette clé:
HKEY_LOCAL_MACHINE\SOFTWARE\Grisoft\AVGAntiSpyware\config
La sous-clé "config" garde mémorisé tous les divers réglages d'AVG, y compris celui du message.
Le seul hic, c'est que toutes les données de la sous-clé "config sont cryptées apparement, et pour des raisons de sécurité j'imagine.
Le fait est qu'il est possible de retrouver ton message comme tu l'avais avant, mais pour cela il faudrait que je puisse faire une comparaison de ta clé et la mienne et vérifier si les données cryptées sont les mêmes pour que je puisse te dire quoi modifier..
Dans ce cas il sera alors possible de retrouver le réglage d'origine, sinon bah à mon avis il n'y aura que la réinstallation d'AVG pour régler le problème (Est-ce que le jeu en vaut vraiment la chandelle ?...)
Si ça te tente après les résultats de Kaspersky, fais moi le savoir, je t'indiquerais la procédure à suivre.

Franchement je crois pas qu'AVG soit responsable des lenteurs côté surf du moins, il installe bien un service qui tourne en tâche de fond, mais s'il devait avoir une influence se serait plutôt plus sur la consomation de ressources (progs qui rament aussi hord connec) que de bande passante, après vérifs je vois qu'il ne se connecte au net que toutes les deux heures pour faire ses MAJ.
Je suppose que tu as essayé de le désactiver pour vérifier :-), ça a donné quoi ? Du mieux ou même topo ?

Les pages sont longues à afficher, même quant-elles sont déjà dans le cache internet ? 
C'est à dire, même après avoir déjà visité une fois le site ?


a++

Darkkiller · Answer

Re,

Pas grave pour le batch, je laisse faire le pro :). Je peux te le faire si sa peut te faire plaisir :D

Je pense que c'est NORTON qui fait ramer, il prend beaucoup de ressources !!!!
Encore une internaute qui s'est fait avoir avec NORTON :S:S.

Darkkiller · Answer

Re,

Je crois qu'il y a un fantôme dans ton ordi :D.
SCAN KASPERSKY = RIEN.
Maintenant j'attends MOE, pour qu'on décide de quelques choses.

moe · Answer

Salut

Ca ne m'embête pas du tout pour AVG Pascale, au contraire, c'est toi qui vois.
Penses juste à me le rappeller quand tu voudras qu'on vérifie.:-)

Pour les lenteurs, c'est vrai que les pages des forums doctissimo sont assez lourdes, mini 200/250 ko jusqu'à plus de 350 ko pour certaines, mais le problème en fait, c'est que ces lenteurs on l'air d'être assez passagères apparement et donc il est difficile de cibler ou de dire que tel ou tel programme en est responsable, sinon elles serait beaucoup plus permanentes si ca venait d'un prog en particulier.
Est-ce que c'est la même chose que tu surfes avec le navigateur d'AOL ou IE ? Ou c'est pareil ?

Kaspersky n'a rien trouvé comme te l'a déjà confirmé Darkkiller, ce qui est une bonne chose.

Darkkiller, pas besoin d'attendre mon avis, si tu as quelque chose à proposer, ne te gène surtout pas (tu pensais à la désinstal de Norton ?), car de mon côté je ne vais pas pouvoir me reconnecter aujourd'hui ou alors surement assez tard dans la soirée, voire demain, désolé.

A plus tard.

ps:

Pour les changements de présentation, est-ce que tu utilises le programme Ccleaner ou est-ce que tu as l'habitude de nettoyer les éléments en vert avec Spybot ?

Darkkiller · Answer

Re,

Exactement MOE, tu lis dans mes pensées :D.

Je pense qu'il serait bien de désinstaller NORTON.
Maintenant si tu n'es pas d'accord, PASCALE, je suis de ton avis.
Il y a une règle d'or, ANTIVIRUS  (pas norton ni avast :)) + PARE-FEU (Kerio ou Zone Alarm, ou les pare-feu de Kaspersky) + Anti-Spyware ( Avg Anti-Spyware) = PROTECTION MAXIMALE.
Maintenant il faut éviter de télécharger EN PEER-TO-PEER  (Emule, Kaaza etc....) eviter les sites pornographiques ( sa bombardes de pubs :)), et éviter les sites de crack, ou de Hack.

Darkkiller · Answer

Re, Pour les sites de jeux : OK ;) Mais attention quand même :) Et fait bien gaffe de ne pas ouvrir les pubs :) Des antivirus gratuits, tu en as plusieurs, comme : - Avast (NUL) - Antivir (Très bien, mais en anglais (enfin si tu sais ce que sa veut dire "delete", "quarantine", parfait)) - Active virus shield (Bon, car il est basé sur le moteur de mise à jour et d'analyse Kaspersky) Mais je pense que MOE et moi nous te conseillons vivement Antivir. Voici le lien de téléchargement : https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html Et un petit tuto d'installation : https://www.malekal.com/avira-free-security-antivirus-gratuit/#mozTocId71944 Puis pour te faire un peu peur sur avast :), voici un comparatif avec antivir : http://forum.malekal.com/ftopic3528.php Puis bien sûr, désinstalle NORTON, et désinstalle-le proprement avec ce désinstallateur : http://ftp.symantec.com/... ================================================================== Non 3 logiciels ne te feront pas ramer. Moi j'ai aussi 3 logiciels : - Kaspersky Internet Sécurity - AVG Anti-Spyware - Et un Anti-Keylogger. Et mon PC tourne parfaitement. ================================================================== Les pare-feux, certes font peur, quand ils sont MAL REGLES ! Pour cela, je te conseille de télécharger le pare-feu de Kerio, dont je t'aiderais si tu as quelques problèmes. Bien sûr désinstalle l'ancien avant d'installer Kerio :). Télécharge ce pare-feu KERIO: ( pare-feu, qui reste gratuit après la période d'essai de 21 jours! ) , ici : < http://www.dsi12.fr/telechargements/vnc/kerio-kpf-4.2.2-911-win.exe > ou là :< http://www.infos-du-net.com/telecharger/Firewall-Kerio-Personal,0301-390.html > •- Ensuite lancer l'installation de ce pare-feu. Pour cela: - tu dois impérativement couper la connexion de ton modem (débranche-le), -Ça peut être un routeur et tu es relié par un câble, tu débranches le cable. -Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle). -ensuite installer ce pare-feu une fois téléchargé , -et l'activer ( vérifier à ce moment que celui de Windows soit bien désactivé -si non, fais-le manuellement, comme ceci : - Démarrer ->panneau de config (en affichage classique) -> pare-feu windows et tu le mets sur "désactiver". ) •- et enfin si tout s'est bien déroulé, rétablir ta connexion à Internet. . Eventuellement mettre à jour Kério. Visite ceci: < https://kerio.probb.fr/ > ; c'est ton intérêt . Et clic là où renvoient les flèches < http://img249.imageshack.us/img249/1538/screenshot254tq8.gif > Sur ce site, tu seras aidé spécifiquement à Kerio. Merci à Boulepate. Avec ces tutoriels pour configurer et comprendre l'utilisation de Kerio - http://www.chez.com/leppa/scripts/kpfV4.html - https://www.vulgarisation-informatique.com/kerio.php -Tuto - https://forums.cnetfrance.fr -Bloquer des ports avec Kerio - créer une règle de filtrage < https://www.vulgarisation-informatique.com/bloquer-ports.php >

Darkkiller · Answer

Re,

Un keylogger est un enregistreur de frappe au clavier, où le pirates peut voir tous ce que tu tapes et te voler tes mots de passes sans problèmes.

Pascale · Answer

Coucou,

Désolée problèmes de connexion hier.
Donc je vais bien suivre tes conseils Darkkiller, mais comme je rame pas mal en bas débit je vais donner ma clé à Isa pour qu'elle me les mette dessus, ça va me faire gagner du temps.

Je vous tiens au courant de l'évolution des choses, mais on va le protéger cette semaine ;)

En fait il retourne très bien sur le net, c'est juste que maintenant à l'allumage il lui faut 5 bonnes minutes avant d'être opératif.

Darkkiller · Answer

Re,

Désolé, quelques problèmes internet :S.

C'est un peu normal, Ton PC est plein de logiciels de sécurité, C'EST BON !! :D

Pascale · Answer

Me revoici après pas mal de temps !!

Donc voilà, j'ai un bel ordi portable tout neuf d'il y a une heure et je me disais que vous pourriez peut-être m'aider à le protéger ?
Bon si vous avez autre chose à faire je comprends hein ;)

Mais ca m'arrangerait un p'tit coup de main lol.

Je préfèrerais si possible des logiciels gratuits (en fait j'aimais bien AVG mais apparemment il est payant ?)

Et euh je m'embrêle un peu aussi avec Vista, pas facile tout ça !
Je vais avoir la wifi à la fac et j'ai peur de ne pas réussir à l'installer bref, tous les conseils seront les bienvenus.

A bientôt et meci si vous passez encore par ici.

Pascale.*

Darkkiller · Answer

Salut CoolWebSearch :D,


Alors tu as aimé cette infection ? :D
Alors pour créer un CD de sauvegarde, suis cette manipulation :

http://severinterrier.free.fr/Boot/CD-Bootable.htm

A bientôt !

Pascale · Answer

Merci merci :)

Bon, maintenant que le cd est fait, faudrait voir à protéger le p'tit nouveau... Je vais relire tes conseils mais je crois qu'il en fallait 3, dont AVG qui ne semble pas être gratuit. Y'a moyen de bien le protéger gratuitement ou pas ?

A bientôt, tu notes hein je le protèges d'emblée celui là ça m'a servi de leçon lol.

Darkkiller · Answer

Salut,

Pourquoi AVG,

Antivir est très performant ! ET GRATUIT !

Voici un lien qui t'expliques, comment installer antivir et le configurer ;)

https://www.malekal.com/avira-free-security-antivirus-gratuit/

A bientôt !

pascale · Answer

Me revoici en cours d'installation d'antivir...

Y'a un truc que je comprends pas dans le tutorial, en gros l'antivirus il va marcher en temps réel ou faudra quand même que je fasse des scans ? Tous les combien à ton avis ?

Et euh c'est vraiment nécessaire le redémarrage en sans échec ?

Merci de ta patience :D

Problème avec aboutbuster

61 réponses

Newsletters