[Laddy] infecté par une variant of spybot@mxt malware

Bonjour ,
je suis infecté par une variant of spybot@mxt malware qui m'ouvre des pages de pub, me propose sans cesse des logiciels de nettoyage et protection, qui ralentit mon PC, et enlève mon fond d'écran sur le bureau.
Je suis protégé par AVAST.
Je suis sous window XP
J'ai contracté ce virus hier : 27/10/2008 en visitant un site de cul (mea culpa )

Que puis-faire ? Merci de m'aider.

Marc

Bonjour bienvenu

nous allons t'en débarrasser...

1. Random's System Information Tool (RSIT)

Télécharge random's system information tool (RSIT) par random/random et sauvegarde le sur ton Bureau

* Double-clic sur RSIT.exe pour l'exécuter.
* Clique sur le bouton "Continue" sur la fenêtre d'avertissement.
* Une fois le scan terminé, tu auras deux rapports qui seront ouverts : log.txt et info.txt (c:\rsit)
* Poste les dans ta prochaine réponse

Note : un rapport hijackthis est contenu dans le rapport log.txt

Si tes rapports sont trop long utilise ce site : http://www.miraclesalad.com/webtools/clip.php
Copie/coller ton rapport et clique sur le bouton Paste to new clipboard
Donne le lien dans ta prochaine réponse.
Il est de type : http://www.miraclesalad.com/webtools/clip.php?clip=XXXX ou xxxx est un numéro.

2. Smitfraudfix

Télécharge SmitfraudFix (S!Ri)

# Décompresse-le sur le bureau (clic droit >> Extraire ici).
# Ouvre le dossier et lance Smitfraudix.(cmd)
# Choisis l'option 1.
# Patiente durant l'analyse, enregistre le rapport et poste son contenu.

Bonsoir,
Un grand meerci de m'aider, je suis vraiment désemparé; vraiment très sympa!
J'avais un peu peur de pas être à la hauteur, mais, surprise, j'ai tout compris; je suis fier de moi! et vous ?
Ci-joint les rapports :
http://www.miraclesalad.com/webtools/clip.php?clip=25e0
http://www.miraclesalad.com/webtools/clip.php?clip=25e1
http://www.miraclesalad.com/webtools/clip.php?clip=25e2

Un grand merci. A bientôt.
Marc

moi de meme vous avez de belles infections tu as installé des programmes piégés.

Nettoyage :

[*]Double clique sur [g]SmitfraudFix.exe[/g]
[*]Sélectionner[g] 2[/g] et pressez [g]Entrée[/g] dans le menu pour supprimer les fichiers responsables de l'infection.
[*]A la question: [g]Voulez-vous nettoyer le registre[/g] ? répondre [g]O[/g] (oui) et pressez [g]Entrée [/g]afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
Le fix déterminera si le fichier[g] wininet.dll[/g] est infecté. A la question: [g]Corriger le fichier infecté[/g] ? répondre [g]O [/g](oui) et pressez [g]Entrée[/g] pour remplacer le fichier corrompu.
[*]Un redémarrage sera peut être nécessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système [g] C:\rapport.txt [/g][/list]
Poste le rapport dans ton prochain message.


puis

Télécharge Navilog1 de IL-MAFIOSO : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistre-le sur ton Bureau.

Double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le Bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valide.

(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message : *** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir. Enregistre le rapport sur ton Bureau.

Poste le rapport dans ta prochaine réponse.

Note : Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)


suite demain on fera le nettoyage de navilogfix.

Rebonsoir ,
Je me demande comment tu peux compredre quoi que ce soit à ce galimatia! Et comment tu fais pour aller aussi vite !

http://www.miraclesalad.com/webtools/clip.php?clip=25e3
Rapport après nettoyer les fichier infectés.
On ne me demande pas de corriger le fichier
Donc je refais : choix 2 puis je nettoie, donc re-rapport :
http://www.miraclesalad.com/webtools/clip.php?clip=25e5
puis fixnavi
http://www.miraclesalad.com/webtools/clip.php?clip=25e6

A demain. Merci encore.
Marc

c'est une question d'habitude pour lire les rapports :-D

Nettoyage NavilogFix :

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Aide : http://bibou0007.com/outils-specifiques-f78/navilog1-procedure-de-nettoyage-t1113.htm
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau

2)Vas dans Démarrer/panneau de configuration/options internet
- onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs :
electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"
ooo <>
Favorit

Tu les supprimes.

3)Redémarres normalement et poste le rapport cleannavi.txt

ensuite poste moi un nouveau rapport Random's System Information Tool (RSIT)...

Bonsoir first laddy,
dans éditeurs approuvés, j'ai supprimé :Sunny Day Design Ltd"
je n'ai pas trouvé le reste, pas même ailleurs.
Par contre, j'ai peut-être fait une boulette? J'ai "effacé le statut SSL".
http://www.miraclesalad.com/webtools/clip.php?clip=2603 (rapport cleannavi.txt)
http://www.miraclesalad.com/webtools/clip.php?clip=2602 (rapport RSTI)

à bientôt.
Marc

salut en attendant le retour de laddy


ok tes rapport semble pas mal ou en sont tes soucis?

Bonjour bibou,
1) Avec mon oeil de novice, je crois que MONTORGUEUIL n'a pas été supprimé.
2) l'arrière plan du bureau disparaît à chaque redémarrage
3) j'ai toujours l'info qui me dit que ma version de window n'est pas originale

Depuis, selon le conseil du site, je navigue avec Mozlla Firefox.

Sinon, ça va beaucoup , beaucoup mieux et je vous en suis très reconnaissant.
Encore merci.
Marc

re

MONTORGUEUIL n' as pas étais trouvé par clean navi

fait ceci pour voir stp

Télécharge Combofix à partir d'**ICI** ou bien **ICI** et enregistre-le sur ton bureau.

**Note 1 : Dans le cas où tu aurais déjà une version de combofix, il faudra que tu en télécharges une autre, la toute dernière. De plus il est très important de le sauvegarder directement sur ton bureau.**

[*]Merci de ne jamais renommer Combofix, sauf si cela t'es expressément demandé.
[*]Ferme toutes les fenêtres en cours, sans exception.
[*]Désactive toutes les protections résidentes de tous tes logiciels antivirus, antispyware etc. afin que ces derniers n'interfèrent pas avec le bonfonctionnement de Combofix.
Très important : Désactive temporairement toutes tes protections résidentes de tous tes logiciels de sécurité avant de lancer un scan avec Combofix. Ils risqueraient d'altérer le bon déroulement du scan de Combofix, ce qui pourrait avoir des conséquences imprévues et désastreuses.
[*]Clique sur ce lien pour voir une liste de programmes qui devraient systématiquement être désactivés avant l'utilisation de combofix. A noter que la liste n'est pas exhaustive. Si ton logiciel de sécurité n'est pas dans cette liste et que tu ne sais pas comment le désactiver, ou que tu ne comprends pas l'anglais :p , merci de me poser la question.
[*]ATTENTION : Combofix va automatiquement te déconnecter d'internet dès que le scan débute.
[*]Merci ne pas essayer de reconnecter ta machine à internet tant que combofix n'a pas fini son travail.
[*]Si jamais tu n'arrives plus à te connecter à internet après l'utilisation de combofix, redémarre ton PC pour restaurer la connexion à internet.
[*]Double clique sur combofix.exe et suis les instructions qui s'affichent.
[*]Quand le scan sera fini, un rapport devrait normalement s'afficher à l'écran.
[*]Merci de poster le rapport suivant, "C:\ComboFix.txt" , dans votre prochaine réponse, accompagné d'un nouveau rapport HiJackThis.

**Note 2 : Ne pas cliquer dans la fenêtre de combofix pendant qu'il travaille. Tu risquerais de planter le PC et de causer d'importants dommages.**