[Résolu] Reformater avec trojans RemovWGA, 2, 87 et hacktool.dny

Reformater avec trojans RemovWGA, 2, 87 et hacktool.dny [Résolu] - Virus/Spywares - Windows & Software

Marsh Posté le 25-12-2009 à 19:25:39    

Bonjour,
Mon ordinateur devenant très long à allumer et éteindre, j'ai fait une analyse antivirus avec Clamav il y a deux mois et ai vu ceci :
- Hacktool.DNY
- Trojan.RemovWGA
- Trojan-2
- Trojan-87
J'ai eu successivement Avast et Avira (qui n'ont rien vu) et ai mis SEP. La protection m'a semblé meilleure. SEP m'a trouvé depuis un certain nombre de troyens qui m'arrivent en général par ma messagerie professionnelle (!).
J'ai sauvegardé mes données, dont les courriels avec les pourriels infectés, et essayé de reformater le disque dur de mon ordinateur (Maxdata) avec le cdrom fourni mais un écran bleu s'affiche.
Apparemment, les trojans ont eu le temps de faire des dégâts.
Le scan d'hier avec Clamav laisse apparaître de plus en plus de fichiers C:\Windows\system32\config\ et de fichiers temporaires avec "permission denied" (Clamav n'a sans doute pas réussi à les analyser).
Mon objectif est maintenant de reformater l'ordi.
J'ai essayé successivement F-Secure, Panda, A2free, AVG Rootkit free et Trojan Hunter free mais ils ne voient rien.
Quelqu'un aurait-il une solution s'il vous plaît ? Est-ce que je suis condamnée à perdre tous mes courriels professionnels (et j'en reçois 40 par jour) sur 2 ans parce qu'une poignée d'entre eux sont infectés? Je travaille depuis chez moi le plus souvent.
Est-ce que mon ordi est tellement infecté que le disque dur n'est plus récupérable ?
Help ! Help ! Help !
Merci d'avance
Coriandre


Message édité par Coriandre2002 le 26-03-2010 à 15:48:44
Reply

Marsh Posté le 25-12-2009 à 19:25:39   

Reply

Marsh Posté le 29-12-2009 à 10:19:15    

Bonjour,
 
A ce stade, tu ne devrais plus compter sur un antivirus pour t'en sortir.
 
Utilise plutôt cet antimalware réputé et particulièrement efficace pour la détection et la suppression d'infections :
 
• Télécharge et installe Malwarebytes' Anti-Malware  
• Avant de cliquer sur "Terminer", veille à ce que la case "Mettre à jour Malwarebytes" soit cochée  
• Une fois installé, lance MBAM et va dans l'onglet "Recherche", coche "Exécuter un examen Complet" puis fais "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés (s'ils ne le sont pas déjà) puis clique sur Supprimer la sélection
• Enregistre le rapport qui s'affichera, et pense à vider la quarantaine
• S'il t'est demandé de redémarrer l'odinateur, accepte
• Pour finir, poste dans ta prochaine réponse le rapport que tu as enregistré après la suppression pour vérification stp


Message édité par Adaron le 29-12-2009 à 10:19:36
Reply

Marsh Posté le 29-12-2009 à 16:50:54    

Merci beaucoup, Adaron.
J'ai téléchargé Malwarebytes mais la mise à jour plante. Le gestionnaire des tâches indique "ne répond pas". J'ai essayé de charger Malwarebytes sur un disque dur externe mais ça n'a pas marché non plus. J'ai redémarré l'ordi et ai réessayé de mettre Malwarebytes à jour ; rien à faire. Donc j'ai une version 1.42 mais sans mise à jour.
L'analyse de Malwarebytes n'a rien trouvé. Rien du tout, sur aucun de mes 5 disques durs. Je poste quand-même le rapport ?
 
 

Reply

Marsh Posté le 29-12-2009 à 17:21:02    

Ok. Oui, tu peux poster le rapport si tu le souhaites. Même sans éléments détectés, certains petits détails dedans pourraient être utiles.
 
Il va falloir regarder de plus près.
 
Utilise ce logiciel de diagnostic s'il te plaît, ça me permettra de t'aider :
 
• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.  
• Clique sur ' Continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître (log.txt et info.txt) : ne les poste pas directement ici (une règle de ce forum l'interdit). A la place, héberge-les comme tu l'as fait pour les rapports précédents, puis poste les liens correspondants dans ta prochaine réponse stp


Message édité par Adaron le 29-12-2009 à 17:21:21
Reply

Marsh Posté le 29-12-2009 à 18:08:10    

Encore merci Adaron.
Voici le log généré par RSIT :
http://www.toofiles.com/fr/oip/doc [...] dec09.html
et il n'y a qu'un fichier.

Reply

Marsh Posté le 30-12-2009 à 10:51:44    

Hum, tu as des tas de logiciels de protection, et ils ne sont pas tous indispensables... Pas étonnant que le PC soit relenti.
 
Je pense que tu peux commencer par désinstaller Spybot et Ad Aware (assez peu utile celui-là), sachant qu'ils consomment énormément de ressources système. Garde Spyware Doctor comme anti-spyware, il suffira largement. Ou Spybot si tu préfères, mais tu n'as besoin que d'un seul antispyware.
 
Ton ordi se portera déjà mieux.
 
Ensuite, désinstalle aussi Malwarebytes Antimalware (on va le réinstaller plus tard, mais pas tout de suite).
 

  • Télécharge et installe Ccleaner (clique sur Download en haut à droite de la page). Une fois installé, lance le logiciel.
  • Clique sur Options → avancé → décoche « effacer uniquement les fichiers plus vieux que 48h »  
  • Puis va dans Nettoyeur → Analyse → Lance le nettoyage après analyse, puis sur OK dans la fenêtre qui s' affiche.  
  • Enfin, va dans Registre → corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.


Une fois tout ça fait, redémarre le PC, retélécharge Malwarebytes' Anti-Malware, et vois s'il fonctionne mieux.
 
Mets-le bien à jour, et lance un nouvel examen complet avec.  
 
Supprime tout ce qu'il te trouvera, et poste le rapport qui s'affichera après suppression (redémarre l'ordi si Malwarebytes te le demande).
 
Dis-moi si ça a marché.


Message édité par Adaron le 30-12-2009 à 10:52:25
Reply

Marsh Posté le 31-12-2009 à 11:13:53    

J'ai fait ce que tu m'as indiqué mais la mise à jour de Malwarebytes plante toujours. En plus, il ne trouve toujours rien. Donc pas de log.
Bon, une analyse Spywaredoctor (je l'avais oublié celui-là) m'a découvert et éliminé le troyen Banload.DGE.
Je refais une analyse Hijackthis ?

Reply

Marsh Posté le 06-01-2010 à 15:47:11    

Salut ^^
 
Et bonne année :)
 
Désolé pour le temps de réponse, j'étais pas mal occupé mais suis à nouveau dispo.
 
Si tu as toujours des soucis, je te propose de faire ceci :
 
/!\ A l'attention de ceux qui lisent ce sujet /!\
 
Le logiciel qui suit doit être utilisé avec précaution et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si une personne du forum qui connait bien cet outil vous l'a recommandé.
 
/!\ Désactive tous les logiciels de protection sur Pc (antivirus, pare-feu, antispyware etc) car ils risquent de gêner l'outil /!\
 
• Télécharge ComboFix (de sUBs) et enregistre-le sur le Bureau (pas ailleurs, sinon il ne foncitonnera pas)
• Ferme toutes tes applications (y compris ton navigateur) et double-clique sur le fichier exécutable présent sur le Bureau  
• Lance le scan, puis laisse travailler l'outil jusqu'au bout sans rien faire d'autre et sans l'interrompre (peu importe le temps que cela peut prendre). Il faut éviter aussi de cliquer dans la fenêtre de ComboFix.
• Il est possible que ComboFix fasse redémarrer ton ordi pour relancer un scan au démarrage => laisse-le faire jusqu'au bout
• Lorsque la recherche sera terminée, ComboFix te le dira et un rapport apparaîtra. Poste ce dernier (C:\Combofix.txt) dans ta prochaine réponse stp.
 
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix
 
 
Tu peux aussi refaire un rapport avec RSIT pour vérification.
 
Tiens-moi au courant.

Reply

Marsh Posté le 06-01-2010 à 19:06:29    

Bonjour, et bonne année à toi aussi ! Et encore merci de t'occuper de ma machine.
 
Le log combo fix est ici :
http://www.toofiles.com/fr/oip/doc [...] jan09.html
 
et le log RSIT est là :
http://www.toofiles.com/fr/oip/doc [...] jan09.html
 
Voilà !
 

Reply

Marsh Posté le 11-01-2010 à 17:10:10    

Bonjour ^^
 
J'ai pris le temps de regarder les deux rapports respectifs de ComboFix et de RSIT - je ne vois rien d'alarmant dessus.
 
Est-ce que tu rencontres toujours les mêmes problèmes avec ce Pc?
 
La mise à jour de MBAM ne se fait toujours pas?
 
Est-ce que tes autres logiciels de protection fonctionnent normalement (mises à jour comprises) ?
 
J'ai besoin de savoir tout ça avant qu'on poursuive ;)

Reply

Marsh Posté le 11-01-2010 à 17:10:10   

Reply

Marsh Posté le 11-01-2010 à 18:59:59    

Merci de passer du temps à m'aider à résoudre mon problème.
Il reste le même - en pire. L'ordi est de plus en plus long à éteindre.
MBMA ne se met toujours pas à jour.
En revanche, les autres logiciels de protection se mettent à jour et fonctionnent normalement. J'ai quand-même des soucis de mise à jour de ma Liberkey, mais ça n'a peut-être rien à voir.
Je refais un scan avec Clamwin ce soir. Le log t'intéresse ?

Reply

Marsh Posté le 12-01-2010 à 10:25:27    

Pas de soucis ;)
 
Oui, je veux bien jeter un oeil au log quand tu l'auras.
 
Sinon, tu peux aussi faire cette manip qui est connue pour faire des miracles (parfois) et qui devrait corriger les erreurs sur ton disque dur.
 

  • Clique sur Démarrer -> Exécuter et tape : "cmd" (sans les guillaumets), puis fais Entrée pour ouvrir une fenêtre de commande
  • Dans la fenêtre noire, il faut que tu tapes ceci : chkdsk /F (respecte l'espace entre chkdsk et le slash) et fais Entrée
  • Ensuite, à la question posée, tape O (comme Oui) pour confirmer l'exécution du scan et Entrée.
  • Un message dans la fenêtre te dira que le scan aura lieu au prochain démarrage de la machine
  • Ferme la fenêtre noire, ou tape exit puis Entrée pour sortir
  • Pour finir, redémarre l'ordi et laisse le scan se faire avant le prochain démarrage de Windows, puis vois si l'ordi se porte mieux


Message édité par Adaron le 12-01-2010 à 10:26:32
Reply

Marsh Posté le 12-01-2010 à 20:50:51    

Eh bien miracle il y a eu !!!!
 
Mon ordi est devenu hyper-rapide à éteindre. La manœuvre a apparemment réparé le disque dur endommagé par les virus. C'est incroyable. Merci mille fois ! Il ne reste plus qu'à reformater, mais maintenant que le disque dur est réparé, c'est moins urgent.
 
Pourtant, Clamwin trouve toujours 2 troyens sur 3 :
http://www.toofiles.com/fr/oip/doc [...] 35933.html
 
Déjà un d'éliminé, RemovWGA. J'avoue avoir installé un logiciel RemovWGA pour ne pas notifier à MS si ma copie d'XP est légale ou pas. Elle l'est, mais je ne veux pas que MS aille voir dans ma machine par principe. A propos d'XP, j'ai encore un truc à te demander. Je ne sais pas si XP est à jour parce que je n'arrive pas à utiliser Explorer. Il mouline sans arriver sur la page d'accueil et sans possibilité de charger la moindre page.
 
Encore une dernière question. Si j'installe Thunderbird sur une partition du disque dur au lieu de directement dans C, ça évite la propagation des virus qui arrivent par email ?

Reply

Marsh Posté le 13-01-2010 à 18:11:17    

Ok ^^
 

Citation :

J'avoue avoir installé un logiciel RemovWGA pour ne pas notifier à MS si ma copie d'XP est légale ou pas.


 
Généralement, même si ta copie de Windows est légale, cette manip ne l'est pas ;) Et tout ce qui n'est pas légal, n'est pas sûr / sécurisé non plus ^^  
 
Donc, à éviter, d'autant plus que c'est risqué comme tu as pu le voir.
 
Concernant Internet Explorer, il a l'air à jour => tu as la version 8, donc de ce côté là c'est ok.  
 
Par contre, j'ai peur que ton logiciel ait modifié ton installation de Windows, la rendant non-officielle. Et comme Internet Explorer est un élément typique de Windows, il est possible que cette modification ait pu toucher ce navigateur.  
 
Voilà pourquoi il est préférable de conserver une version originale de Windows. Ca évite ce genre de mauvaises surprises.
 
Et enfin, pour l'installation de Thunderbird, je crois malheureusement que ça n'a pas d'importance sur quelle partition il est installé. Il faut juste faire attention aux pièces jointes et aux liens qu'on pourrait trouver dans un message.
 
Pour la suite, maintenant que ça a l'air de fonctionner un peu mieux, tu peux retenter une nouvelle fois la mise à jour avec Malwarebytes.
 
Mais l'idéal, je pense, serait que tu réinstalles ta version de Windows proprement, sans la modifier par la suite (en ayant formaté avant).
 
Généralement, on préfère la désinfection au formatage, mais ici non seulement ça remettra de l'ordre, mais en plus tu auras un système stable qui fonctionne correctement.  
 
N'hésite pas à me tenir au courant de la suite ;)
 
Je repasserai pour te donner quelques conseils qui t'aideront à mieux éviter les infections en général.


Message édité par Adaron le 13-01-2010 à 18:11:57
Reply

Marsh Posté le 13-01-2010 à 21:18:18    

:jap: Merci infiniment pour tes conseils. Ils sont très clair, comme ton écriture, qui est limpide.
J'ai quand-même toujours des soucis par moments pour éteindre l'ordinateur. Malwarebytes plante toujours.
J'essaie le reformatage.

Reply

Marsh Posté le 20-01-2010 à 10:59:57    

Après manips dans ma base registre avec l'aide d'un forum, j'ai réussi à réactiver IE8 qui ne se chargeait pas (rien, aucune page), indispensable pour réactiver également les mises à jour automatiques de Windows. Je comprends pas comment tout ça s'était désactivé. En tous cas, j'ai eu du mal à les remettre en route.
 
Du coup, Windows se met à jour normalement et Malwarebytes aussi. Et il ne plante plus. OUF. Tous mes problèmes sont donc réglés.
 
Merci pour tout.
 
C.

Reply

Marsh Posté le 20-01-2010 à 11:55:36    

Salut ^^
 
Ok, content d'apprendre que c'est rentré dans l'ordre ;)
 
Si tu le souhaites, tu peux maintenant poster un dernier rapport avec RSIT pour que je t'aide à optimiser ton ordi et finaliser la désinfection.
 
Je te donnerai aussi quelques astuces utiles pour la suite.

Reply

Marsh Posté le 08-02-2010 à 22:10:21    

Hello,
Merci mille fois pour ton aide.
Mon log RSIT est ici:
http://www.toofiles.com/fr/oip/doc [...] 3_log.html

Reply

Marsh Posté le 11-02-2010 à 10:29:25    

Bonjour ;)
 
Le dernier rapport de RSIT est propre, il n'y a pas d'infections visibles dessus.
 
On va pouvoir finaliser ça. Voilà ce qu'il restera à faire et à savoir pour éviter d'autres infections :
 
 
1) Les barres d'outils => Elles s'installent souvent en supplément avec un logiciel gratuit. En plus d'être inutiles, elles encombrent les navigateurs et les rendent instables ou ralentissent les PC... Certaines barres d'outils sont carrément néfastes et récoltent des informations personnelles pour les communiquer à d'autres personnes, ce qui pourrait conduire à une pub intempestive ciblée, par exemple. Le mieux est donc de les éviter, que ce soient des barres d'outils, des add-ons "gratuits", des moteurs de recherches etc.
 
2) Attention à ce que tu installes parmi les logiciels gratuits, pour ne pas attraper d'autres infections. Tout ce qui tend vers les cracks/keygens et le piratage de logiciels est, très souvent, une source d'infections qui ne rateront pas la machine...
 
3) Pour optimiser ton ordi et le décharger des éléments inutiles :
 

  • Lance HijackThis que RSIT a installé ici : C:\Program Files\Trend Micro\HijackThis\Anne-Marie.exe
  • Choisi l'option "Do a system scan only", puis coche ces lignes inutiles :


O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"      
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe      
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE      
 

  • Une fois ces lignes cochées, clique sur Fix Checked. Tu peux faire la même chose pour toutes les lignes commençant par 016.


4) Pour le surf sur le net, FireFox est réputé comme étant un navigateur plus sûr qu'Internet Explorer.  
 
Dans tous les cas, je te conseille fortement le module de sécurité WOT qui t'avertira des sites web dangereux.
 
- Tu peux l'avoir pour Fire Fox sur ce lien
- Ou sur celui-ci si tu veux le mettre également sur Internet Explorer.
 
 
5) Logiciels de protection  
 
- Antivirus : Symantec Endpoint Protection est un bon antivirus. Garde-le si tu le souhaites. Il existe également de bons antivirus gratuits, donc n'hésite pas à revenir vers moi pour simple conseil si jamais tu voulais en utiliser un.
 
- Antispyware : L'antispyware est moins vital que l'anti-virus mais ça peut être bien d'en avoir un, si ton ordi le supporte bien. Tu peux garder Spyware Doctor si tu le souhaites.
 
- Firewall : Je n'ai pas pu tester l'efficacité du firewall que tu utilises, mais s'il fonctionne bien et si le PC le supporte bien, tu peux également le garder.
 
En complément, garde Malwarebytes' Anti-Malware qui est un très bon anti-malware généraliste, et fais des scans régulièrement avec (en le maintenant à jour). Ce n'est pas un logiciel de protection, mais de détection et de suppression.
 
Télécharge aussi ce petit logiciel qui t'aidera à nettoyer ton ordi et le registre en virrant tous les éléments inutilisables ou obsolètes :
 

  • Télécharge et installe Ccleaner (clique sur Download en haut à droite de la page). Une fois installé, lance le logiciel.
  • Clique sur Options → avancé → décoche « effacer uniquement les fichiers plus vieux que 48h »  
  • Puis Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.  
  • Enfin, Registre → corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.  


(Tu peux garder ce logiciel et l'utiliser régulièrement).  
 
 
6) Mets à jour ton ordinateur régulièrement => chaque mise à jour effectuée est une faille de sécurité à exploiter en moins.  
 
Maintiens régulièrement Windows (avec Windows Update) et tous tes autres logiciels à jour, comme tu sembles le faire déjà.
 
7) /!\ Il faut maintenant Purger la restauration système pour supprimer d'éventuelles restes d'infections qui se réfugient parfois dedans pour revenir plus tard après nettoyage. Fais ça dans l'ordre :
 

  • Clique sur Démarrer -> Accessoires -> Outils système -> Restauration du système
  • Clique ensuite sur "Paramètres de la restauration système" (le lien bleu qui se trouve sur la gauche)
  • Dans la nouvelle fenêtre, coche "Désactiver la restauration du système", et valide en cliquant sur Appliquer, puis sur Ok


Refais ensuite la manip en sens inverse pour réactiver la restauration système (décoche la case) -> Appliquer, puis Ok.
 
Pour finir, créé un point de restaution sain :
 

  • Retourne dans Restauration du Système et coche "Créer un point de restauration" -> clique sur Suviant
  • Donner-lui un nom (de ton choix mais assez parlant => "après désinfection" par exemple) et clique sur Créer.


8) Pour nettoyer l'ordi des outils qui ont servi à la désinfection, utilise ToolsCleaner :
 

  • Télécharge Toolscleaner sur ton Bureau.
  • Double-clique sur ToolsCleaner2.exe et clique sur "Recherche", puis laisse le scan se terminer.  
  • Clique sur Suppression pour finaliser.  
  • Tu peux aussi supprimer les fichiers temporaires.
  • S'il ne supprime pas tout, supprime ce qu'il a laissé manuellement, puis supprime aussi Toolscleaner.  


 
9) En dernier lieu, je à télécharger et lire ce dossier au format PDF sur la sécurité et la prévention qui t'en apprendra un peu plus sur les virus et t'aidera à les éviter. Environ 15 min de lecture très instructive et utile !
 
 
Si tu as des questions, n'hésite pas à me les poser ;)


Message édité par Adaron le 11-02-2010 à 10:35:40
Reply

Marsh Posté le 12-02-2010 à 13:53:41    

t'avais pas qu'a ouvrir REMOVEwat et un logiciel pour pirater et un autre pour craker les mots de passe
 :bounce:  :bounce:  :bounce:  :bounce:  :bounce:  :bounce:  :bounce:  :bounce:  :bounce:  :bounce:  

Reply

Marsh Posté le 16-02-2010 à 10:10:51    

Encore une fois MERCI Adaron. J'ai fait à tous mes ordinateurs tout ce que tu recommandes et vais lire le doc sur la sécurité. On peut donc considérer mon problème comme résolu. :jap:

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed