CryptExe, Navipromo, Mailskinner & MyWay

[sylvie]

bonjour,
depuis le début de la semaine j'essaie de me débarasser du virus \"cryptExe\" mais impossible d'y arriver malgres mon AVG. si vous avez un conseil a me donnez merci d'avance. A chaque scan les virus sont détecter mais impossible de les supprimer il reviennent en boucle -
Cordialement
sylvie

[APC]

Bonjour Sylvie & bienvenue,

Pour te dire ce qu'il convient de faire, j'ai besoin de savoir ce qu'il se passe précisément sur ton pc.

Pour cela :

• Rends toi sur cette page du site :
  
  
  • Télécharge, installe et nettoie ton pc avec CCleaner
    
    
  • Fais un scan en ligne avec Kaspersky
    
    
  • Télécharge et installe HijackThis
  
  
  
• Poste ton log HijackThis et le rapport de Kaspersky

Si HijackThis.exe refuse de se lancer, renomme-le en sylvie.exe.

Si difficulté pour lancer l'analyse de Kaspersky, reviens me voir et on tentera autre chose.

[APC]

[sylvie]

merci de ta reponse voici les rapports que tu souhaites :

[APC]

Bonjour Sylvie,

J'ai une bonne et une mauvaise nouvelle : la bonne est qu'il n'y pas de trace du virus sur aucun des rapport, je pense qu'il se logeait dans les fichiers temporaires, et que le passage de CCleaner a été salutaire. Par contre je ne comprends pas bien pourquoi ton AV, n'arrivait pas à t'en débarasser

La mauvaise c'est qu'il y a une infection assez coriace de Navipromo et il va falloir nettoyer tout ça.

Pour info tu peux lire ce Post-it sur l'infection tu as attrapée, mais je vais te donner la marche à suivre sur ton sujet pour que ce soit plus simple pour toi.


Lis attentivement la procédure et imprime-la pour l'avoir sous les yeux quand tu seras déconnectée d'Internet et en mode sans échec. Imprime également les pages des liens sur lesquels je te renvoie, et suis toutes les instructions à la lettre et dans l'ordre. Elle peut te paraître longue, mais elle est simple à réaliser.

1. Télécharge les outils suivants :
   
   
   • Spybot S&D : installe-le et fais les mises à jour mais ne lance pas de scan pour le moment,
     
     
   • Blacklight de F-Secure : Fais un clic droit sur ton bureau / Nouveau dossier et nomme le "Blacklight", places-y le fichier blacklight.exe que tu viens de télécharger et ne touche à rien d'autre pour l'instant
     
     
   • Télécharge fix_mailskinner.zip et n'y touche pas pour l'instant.
   
   
   
2. Déconnecte toi d'Internet et ferme tous les programmes en cours,
   
   
3. Désactive Boonty :
   
   
   • Par le menu Démarrer / Exécuter (ou touche Windows et R)
     
   • Tape services.msc
     
   • Double clique sur Boonty Games
     
   • Clique sur "Arrêter"
     
   • Définis le Type de démarrage en "Désactivé"
     
   • Clique sur Appliquer et ferme la console
   
   
   
4. Désinstalle MailSkinner et Boonty par Ajout / Suppression de Programmes du Panneau de Configuration,
   
   
5. Passe de nouveau CCleaner et redémarre ton pc,
   
   
6. Donne toi accès aux fichiers cachés
   
   
7. Supprime les dossiers / fichiers suivants et vide la corbeille ensuite :
   
   
   • C:\Program Files\MailSkinner
     
   • C:\WINDOWS\msskinner
     
   • C:\WINDOWS\pack.epk
     
   • C:\WINDOWS\system32\nvs2.inf
     
   • C:\Program Files\Fichiers communs\BOONTY Shared
     
   • C:\Program Files\BOONTY
     
   • C:\Program Files\MyWay
   
   
   
8. Dézippe le dossier fix_mailskinner.zip sur ton bureau
   
   
9. Double clique sur fix_mailskinner.reg et accepte la fusion à la base de registre,
   
   
10. Redémarre en mode sans échec,
    
    
11. Ouvre HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :
    
    
    Citation:

    O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
    O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat .0\Reader\reader_sl.exe
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} -http://www.wanadoo.fr (file missing) (HKCU)
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) -file//D:\content\include\XPPatchInstaller.CAB
    O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center BaseModule) - http//cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab
    O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} (Loader Class) - http//dialup.carpediem.fr/CABS/cd/1,0,3,8/fr/AccesMembre.cab
    O16 - DPF: {E1D20694-74D9-472D-AF03-08C26173A67F} - http//scripts.dlv4.com/binaries/egaccess4/egaccess4_1063_em_XP.cab
    O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) -http//www.sponsoradulto.com/cab/14/fr/SysWebTelecomInt.cab
    O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    
    
    
12. Clique sur Fix Checked et accepte les modifications.
    
    
13. Lance un scan complet avec Spybot S&D et supprime tout ce qu'il trouve,
    
    
14. Nouveau nettoyage avec CCleaner,
    
    
15. Redémarre ton pc en mode normal,
    
    
16. Double clique sur blacklight.exe pour et lance le scan,
    
    
17. A la fin du scan, tu vas trouver un fichier de forme fsbl + date du jour.log dans le dossier de Blacklight, fais moi un copier / coller de l'intégralité du rapport sur ta prochaine réponse,
    
    
18. Poste un nouveau log HijackThis (Do a system scan & save a logfile)
    
    
19. Fais un scan en ligne avec Panda, et poste moi le rapport

Il est très important que tu suives cette procédure dans l'ordre dans lequel je te l'ai indiqué pour augmenter les chances de réussite. Si il y a quelque chose que tu n'as pas compris, pose moi les questions avant de commencer car tu n'auras pas accès à Internet, pendant une partie des manipulations.

Bon courage

@+

[sylvie]

bonjour,
Merci de ta réponse tes indications sont très claires et voici ce que tu me damandes :
(pour info je n'ai pas trouvé la ligneservice Boonty Games )

[APC]

Bonjour Sylvie,

C'est pas mal, tu as bien bossé.

Il reste un peu nettoyage à faire, mais on tient le bon bout

1. Télécharge, installe et fais les mises à jour de Ewido : Ne lance pas de scan pour le moment, tu le feras plus tard.
   
   Par contre tu peux imprimer ce tuto qui te sera nécessaire avant de lancer le scan.
   
   
2. Relance un scan de Blacklight que je vois si Navipromo ne joue pas à cache-cache, et poste le nouveau rapport sur ta prochaine réponse.
   
   
3. Ouvre HijackThis, coche et corrige (fix checked) cette ligne :
   
   
   Citation:

   O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http//wisup.net/_plateforme/Upload/Aurigma/AurigmaActiveX/ImageUploader4.cab
   
   
   
4. Refais un nettoyage avec CCleaner
   
   
5. Redémarre en mode sans échec et assure toi de toujours avoir accès aux fichiers cachés,
   
   
6. Supprime ces fichiers et vide la corbeille :
   
   
   • C:\WINDOWS\system32\egaccess4_1064.dll
     
   • C:\WINDOWS\system32\EGACCESS.dll
     
   • C:\WINDOWS\system32\procia.exe
     
   • C:\WINDOWS\system32\syswbsvc32.dll
     
   • C:\WINDOWS\system32\egaccess4_1063.dll
     
   • C:\WINDOWS\system32\egaccess4_1058.dll
     
   • C:\WINDOWS\system32\egaccess4_1062.dll
     
   • C:\WINDOWS\system32\egaccess4_1061.dll
     
   • C:\WINDOWS\WMCRRS.exe
   
   
   
7. Lance un scan complet de ta machine avec Ewido, et supprime bien tout ce qu'il trouve en cliquant sur Delete puis sur Apply all actions comme expliqué sur le tuto.
   
   
8. Redémarre ton pc en mode normal,
   
   
9. Refais un scan avec Panda et poste le rapport,
   (sélectionne bien le scan complet du Poste de travail, pour KAV tu avais lancé uniquement l'analyse des zones critiques )
   
   
10. Nouveau log HijackThis.

Bonne journée,
@+

[sylvie]

bonjour,
j'ai de nouveau fait le ménage et t'envoie les rapports , merci encore pour ton aide précieuse ,
je voudrais savoir si le téléchargements de Ewido ne fait double emploi avec mon AVG ou je dois vraiment tout garder ?
A bientot sylvie

[APC]

Bonsoir Sylvie,

Du temps que je regarde tes rapports, poste moi celui de Blacklight que tu as oublié.

Pour répondre à ta question sur Ewido, non il ne fait pas double emploi, c'est un antispyware il ne détecte pas les mêmes choses que AVG.

Pour l'instant tu bénéficies de la protection en temps réel, durant 30 jours, quand la période d'essai sera finie, tu pourras le conserver pour faire des scans ponctuels mais la mise à jour automatique et la protection résidente seront désactivées.

@+

[sylvie]

Bonjour,
Merci pour ta réponse toujours aussi rapide .voici le rapport -
A bentôt
sylvie
rapport Blacklight
09/20/06 12:19:21 [Info]: BlackLight Engine 1.0.46 initialized
09/20/06 12:19:21 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/20/06 12:19:22 [Note]: 7019 4
09/20/06 12:19:22 [Note]: 7005 0
09/20/06 12:19:24 [Note]: 7006 0
09/20/06 12:19:24 [Note]: 7011 1468
09/20/06 12:19:24 [Note]: 7026 0
09/20/06 12:19:24 [Note]: 7026 0
09/20/06 12:19:28 [Note]: FSRAW library version 1.7.1019
09/20/06 12:19:38 [Note]: 2000 1006
09/20/06 12:19:38 [Note]: 2000 1006
09/20/06 12:21:04 [Note]: 7007 0

[APC]

Bonjour Sylvie,

Navipromo fait de la résistance, mais on va lui règler son compte :

• Désinstalle THMedia par Ajout/Suppression de Programmes si présent,
  
  
• Crée un nouveau dossier dans C:\Program Files que tu nommeras BFU
  
  
• Télécharge EGDACCESS.bfu de Metallica (fais un clic droit sur le lien et clique sur enregistrer sous) et tu le places dans le dossier BFU.
  
  
• Télécharge Brute Force Uninstaller de Merijn
  
  
  • Dézippe-le dans le dossier que tu viens de créer (BFU).
    
    
  • Double clicque sur BFU.exe
    
    
  • A droite de la zone "Scriptfile to execute" tu cliques sur l'icône qui représente un dossier et tu vas chercher EGDACCESS.bfu
    
    
  • Coche la case "Show log after script ends"
    
    
  • Clique sur Execute, et ne touche à rien pendant qu'il fait son travail,
    
    
  • Enregistre le résultat et poste le sur ton prochain message
  
  
  
• Redémarre en mode sans échec,
  
  
• Ouvre HijackThis, et corrige cette ligne si elle est présente :
  
  
  Citation:

  O4 - HKLM\..\Run: [THMedia] C:\Program Files\THMedia\THMedia.exe
  
  
  
• En t'assurant de toujours avoir accès aux fichiers cachés, supprime ceci :
  
  C:\Program Files\THMedia
  c:\windows\system32\hoblxzjkme_nav.dat
  
  
• Vide la corbeille,
  
  
• Lance un scan complet de Ewido et sauvegarde le rapport dans tes documents pour pouvoir le poster sur ta prochaine réponse : Clique sur Save Scan Report, puis sur Save Report As pour lui indiquer le chemin de destination de sauvegarde du rapport.
  
  
• Nettoie avec CCleaner et redémarre ton pc en mode normal,
  
  
• Nouveau scan & rapport de Panda,
  
  
• Nouveau log HijackThis, sans oublier le rapport de BFU.

@+

[sylvie]

bonsoir,
J'ai bien lu ton message mais cette fois je bloque un peu , ça se corse .... je ne suis pas trop douée..

je ne trouve pas THMedia.

"Télécharge EGDACCESS.bfu de Metallica (fais un clic droit sur le lien et clique sur enregistrer sous) et tu le places dans le dossier BFU" j'ai bien téléchargé EGDACCESS mais le clic droit sur le lien c'est qelle ligne ?

ensuite

A droite de la zone "Scriptfile to execute" tu cliques sur l'icône qui représente un dossier et tu vas chercher EGDACCESS.bfu , essaie de me donner un peu de detail.

Je vois ça demain soir , car je ne peu pas avant.
Merci
A bientôt
sylvie

[APC]

[sylvie]

BONJOUR,
tes explications sont pourtant claires mas je bloque sur

"Télécharge EGDACCESS.bfu de Metallica (fais un clic droit sur le lien et clique sur enregistrer sous)
moi quand je telecharge j'obtient ça


# For use with Merijn's Brute Force Uninstaller
# available from http://www.merijn.org/
#
# Script Name: EGDACCESS.BFU
# This script combines the old EGDACCESS.bfu and P2EClient.BFU
# Author: Pieter Arntz
#
# Thanks to ~Mark and Moe31 for their contributions


ProcessKill \mailskinner.exe|1
ProcessKill %WINDIR%\iedisco.exe|1
ProcessKill \GoAstro.exe|1

ProcessKillIfContainsText %SYSDIR%\*.exe|qeu_ueAyqes_uew_te|0
ProcessKillIfContainsText %SYSDIR%\*.exe|WaXL5_jp0Ml


RegDeleteKey HKCR\egdhtml.egdialhtml
RegDeleteKey HKCR\egdhtml.egdialhtml.1
RegDeleteKey HKCR\egdialobject.egdial


et bien d'autres lignes , j'avoue que je cale
merci de ton aide
sylvie

[APC]

Bonjour Sylvie,