Mon PC est infecté : SpySheriff & Trojan Torpig [Résolu]

[Laepixia]

J'ai suivi toutes les indications. Voici les rapports :
http://cjoint.com/?bjxGqHPCjC
http://cjoint.com/?bjxH4HHXEz
http://cjoint.com/?bjxIFEeXps
http://cjoint.com/?bjxI12MhmG

Que faut-il faire ensuite ?

Merci.

[APC]

Bonjour & bienvenue


Tu as posté 2 fois ton log HijackThis, il manque un rapport de scan d'antivirus


HijackThis n'est pas à sa place, réinstalle-le à partir d'>>ICI<<, il doit obligatoirement se trouver dans un dossier qui lui est propre :

C:\HijackThis\HijackThis.exe par exemple et devra toujours être lancé à partir de ce dossier.


Lis attentivement la procédure et imprime-la pour l'avoir sous les yeux quand tu seras déconnectée d'Internet. Imprime également les pages des liens sur lesquels je te renvoie, et suis toutes les instructions à la lettre et dans l'ordre.

1. Par Ajout / Suppression de programmes du Panneau de configuration, désinstalle Desktop Messenger (Logitech)
   
   
2. Vide la quarantaine de Norton
   
   
3. Télécharge & installe les outils suivants en prenant connaissance des tutos :
   
   
   • a² Free
     
     
   • Spybot Search & Destroy
     
     
   • CCleaner---> Imprime le tuto
   
   
   
   
4. Lance CCleaner comme c'est expliqué sur le tuto
   
   
   
5. Redémarre en mode sans échec
   
   
   
6. Relance HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :
   
   
   F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe
   O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - (no file)
   O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
   O9 - Extra button: Flash2X Flash Hunter - {77B563A5-2A35-4E6B-BFC8-F4B6BB65D5DF} - C:\Program Files\Flash2X\Flash Hunter\save.htm (HKCU)
   O9 - Extra 'Tools' menuitem: &Launch Flash Hunter - {77B563A5-2A35-4E6B-BFC8-F4B6BB65D5DF} - C:\Program Files\Flash2X\Flash Hunter\save.htm (HKCU)
   O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} - http//www.sponsoradulto.com/fr/SysWebTelecom.cab
   O18 - Coche toutes les lignes O18
   O21 - SSODL: ubtlbr - {EB173DDE-C1F1-4B9F-94FC-7495813B349B} - ubtlbr.dll (file missing)
   
   
   
7. Clique sur Fix Checked et accepte les modifications.
   
   
   
8. Lance Spybot, scanne ton pc avec --> Supprime tout ce qu'il trouve et vide la quarantaine
   
   
   
9. Même chose avec a² Free
   
   
   
10. Nouveau nettoyage avec CCleaner
    
    
    
11. Redémarre normalement ton pc
    
    
    
12. Fais un scan en ligne avec Panda et poste le rapport
    
    
    
13. Fais un scan en ligne avec Kaspersky et poste le rapport
    
    
    
14. Nouveau log HijackThis (Do A System Scan and Save A Logfile)

Bon courage

@+

[Laepixia]

Merci beaucoup. Voici la suite, les nouveaux rapports que tu me demandais.

Scan Panda :
http://cjoint.com/?blxjyH1CcY

Scan Kapersky :
http://cjoint.com/?blxkmCVLlt

Log hijackthis :
http://cjoint.com/?blxk0V8StX

Que faire ensuite ?

[APC]

Bonjour Laepixia,


Ton log HijackThis est propre mais il reste des indésirables.

• Désactive la restauration du système et réactive la aussitôt., cela permettra de nettoyer les points de restauration infectés, détectés par KAV.
  
  
• Crée un nouveau point de restauration du système avant de poursuivre la procédure :
  
  
  • Démarrer / tous les programmes
    
    
  • Accessoires
    
    
  • Outils systèmes
    
    
  • Restauration du système
    
    
  • Coche la case "Créer un point de restauration"
    
    
  • Nomme le comme tu veux
    
    
  • Clique sur "Créer" et ferme la fenêtre
  
  
  
• Télécharge & installe les outils suivants :
  
  
  • Killbox--> Imprime le tuto
    
    
  • Hoster --> Dézippe le sur ton bureau, n'y touche pas pour le moment
    
    
  • DellDomains.inf --> Clique droit sur le lien et choisis enregistrer sous. N'y touche pas pour le moment
    
    
  • CWShredder --> installe-le
  
  
  
  
• Ouvre le bloc notes, copie et sauvegarde cette liste de fichiers. Ces fichiers seront à détruire avec Killbox dans la suite de la procédure :
  
  
  Citation:

  C:\WINDOWS\SYSTEM32\vx.tll
  C:\WINDOWS\INF\alchem.inf
  C:\WINDOWS\INF\satmat.inf
  C:\WINDOWS\GatorPatch.log
  C:\WINDOWS\satmat.ini
  C:\Program Files\Fichiers communs\Symantec Shared\UndoData\107.sud
  C:\WINDOWS\inf\alchem.inf
  C:\WINDOWS\inf\satmat.inf
  C:\WINDOWS\satmat.ini
  
  
  
• Redémarre en mode sans échec
  
  
  
• Lance CWShredder, clique directement sur "Fix" (s'il trouve quelque chose note le nom de la variante de CWS trouvée et donne le moi)
  
  
  
• Fais un clic droit sur le fichier DellDomains.inf, dans le menu contextuel choisis installer.
  
  
  
• Double-clicque sur Hoster
  
  
  • Clique sur Restore original Hosts et rien d'autre
    
    
  • Ferme le programme
    
    
  • Suis ce chemin de fichier dans l'explorateur de Windows : C:\WINDOWS\system32\drivers\etc
    
    
  • Repère les fichiers lmhosts.sam et HOSTS, clicque droit sur chacun d'entre eux, choisis Propriétés dans le menu contextuel et coche la case Lecture seule
  
  
  
  
• Nettoie de nouveau avec CCleaner
  
  
  
• Ouvre Killbox et le fichier texte contenant la liste de fichiers que tu as copié préalablement. Suis ce qui est écrit sur le tuto de Killbox à partir du point 6.
  
  
  
• Redémarre normalement
  
  
  
• Télécharge l2mfix, pose le sur ton bureau.
  
  
  • Déconnecte toi d'internet
    
    
  • Double-clique sur L2mfix.bat et tu choisis l'option 1 (taper 1 et entrée) ne touche à rien d'autre
    
    Ne t'inquiète pas si le bureau ou les icônes disparaissent un instant. C'est normal.
    
    
    
  • Tu vas obtenir un fichier texte, sauvegarde le rapport de l2mfix pour le poster sur ta prochaine réponse.
  
  
  
  
• Reconnecte toi
  
  
  
• Nouveau scan et raport de Panda
  
  
• Fais également ce scan très rapide avec Pestpatrol, copie / colle le résultat dans le bloc notes, enregistre le pour pouvoir l'uploader sur le forum.
  
  
• Nouveau log HijackThis

Bon courage,

[Laepixia]

Merci.
Je poursuis donc. Voici les nouveaux rapports :

l2mfix :
http://cjoint.com/?bmoXvwd5on

Panda :
http://cjoint.com/?bmoXM2Ze2U

PestPatrol :
http://cjoint.com/?bmoYdBncTK

Hijackthis :
http://cjoint.com/?bmoYC5zRIV


Y a-t-il encore quelquechose à faire ?

[APC]

Bonsoir Laepixia,

Oui on a encore du nettoyage à faire

• Fais un copier / coller de ceci dans le bloc notes (ce fichier est à détruire avec Killbox) :
  
  
  Citation:

  C:\WINDOWS\alchem.ini
  
  
  
• Relance Killbox comme précédémment
  
  
• Ferme tous les programmes en cours (y compris Internet Explorer) et déconnecte toi d'internet
  
  
  Relance L2mFix cette fois tu choisis l'option 2 (tape 2 et entrée)
  
  
  
• Sauvegarde le nouveau rapport de L2mFix et poste le.
  
  
  
• Nouveau passage de CCleaner
  
  
  
• Redémarre normalement ton pc
  
  
  
• Ouvre HijackThis
  
  
  • Clique sur Open the Misc Tools Selection
    
    
  • Dans la partie "System Tools", clique sur le bouton "Open Uninstall Manager", la liste des programmes installés va apparaître.
    
    
  • Clique sur Save List et poste le rapport
  
  
  
• Nouveau scan & rapport de Panda
  
  
• Nouveau log HijackThis, sans oublier la liste des programmes et le rapport de L2mFix

On nettoiera ton registre ensuite si il n'y a plus de fichiers néfastes

[Laepixia]

Merci.

Voici la suite des rapports :

Log L2Mfix :
http://cjoint.com/?boryOGb0cj

Liste des programmes avec HijackThis :
http://cjoint.com/?borzPSjER2

Scan Panda :
http://cjoint.com/?borAIdmm7d

Log HijackThis :
http://cjoint.com/?borBwWRb7F

[APC]

Bonjour Laepixia,

Tout s'est bien passé avec L2mFix

Tous tes rapports sont propres, il nous reste juste à enlever quelques vilaines clés de ton registre

1. Fais Démarrer / Exécuter...
   
   
2. Tape dans l'invite de commande : regedit
   
   
3. Une fenêtre s'ouvre, c'est ta base de registre, fais très attention, c'est le coeur de Windows, il ne faut pas faire de connerie.
   
   
4. On va commencer par faire une sauvegarde au cas où
   
   
   • Place toi sur le Poste de Travail, dans la colonne de gauche
     
   • Ensuite, fais fichier / exporter, place le fichier .reg dans tes documents par exemple.
   
   
   
5. Ouvre le repertoire hkey_local_machine
   
   
6. Puis software
   
   
7. Cherche la clé 180solutions
   
   Tu peux utiliser la fonction recherche pour trouver cette clé en appuyant sur le touche CTRL et F, tu fais un copier / coller de : 180solutions
   
   Fais bien attention au chemin dans la barre tout en bas à gauche de la fenêtre.
   
   
8. Sélectionne cette clé et supprime là avec la touche suppr de ton clavier
   
   
9. Effectue la même opération pour ces clés (uniquement ce qui est en vert) :
   
   hkey_current_user \software\microsoft\windows\currentversion\ext\stats\{83de62e0-5805-11d8-9b25-00e04c60faf2}
   hkey_local_machine \software\microsoft\windows\currentversion\uninstall\xvid
   
   
10. Effectue un nouveau nettoyage avec CCleaner
    
    
11. Redémarre ton pc normalement ensuite.
    
    
12. Pour vérifier que tout est bien parti, fais un nouveau scan avec PestPatrol et poste le rapport s'il trouve quelque chose

Quelques conseils pour renforcer la sécurité de ton pc d'après ce que j'ai vu sur ta liste de programmes :

• Adobe Reader 6.0.1 - Français --> A désinstaller ou faire l'update au profit de la >>version 7.05 <<
  
  
• J2SE Runtime Environment 5.0 Update 1 --> Même chose, on en est actuellement à la >> version 5.0.6 <<
  
  
• E-Donkey --> Cette liste comparative de clients P2P t'intéressera sûrement
  
  
• Microsoft Works 6.0 & Microsoft Works 7.0 --> désinstalle la version 6.0, elle fait certainement doublon avec la 7.0
  
  
• Mises à jours Windows : Tu as 29 mises à jour de retard sur ton système dont quasiment toutes les dernières mises à jour de sécurité, à faire sur le site de Windows Update.
  
  
• Norton --> Faire régulièrement les mises à jour de ton antivirus. Quand son abonnement sera terminé, opte pour un AV plus sûr comme Kaspersky ou Nod32.
  
  
• Internet Explorer --> Préfère lui Firefox pour naviguer, n'utilise IE que pour faire tes mises à jour Windows.
  
  
• Nettoie ton cache et tes fichiers temporaires au moins une fois par semaine avec CCleaner ou CleanUp

Tu as beaucoup de jeux installés sur ton pc, et la cause de tes ennuis vient peut être de là ou d'un téléchargement malheureux via le P2P. Les jeux sont les vecteurs favoris des spywares, il faut donc être extrêmement prudent avec les jeux trouvés sur Internet.


Comment va ton pc ?

[Laepixia]

Ca y est, plus de spyware ! Merci beaucoup. Je vais faire les mises à jour et tout le reste.
Bravo pour ce site en tout cas !


:super:

[APC]

Contente d'avoir pu t'aider.


Désactive et réactive la restauration du système pour enlever les points de restauration éventuellement infectés.


Pense à recacher les fichiers cachés afin d'éviter les erreurs à l'avenir.


Merci pour le retour.