Danger Privacy

Bonjour à tous,

Un ami m'a demandé de lui donné un coup de main car son fond d'écran est devenue rouge avec une sorte de logo style Danger bactériologique et écrit en blanc YOUR PRIVACIE IS IN DANGER ainsi que DOWnLOAD PRIVACY PROTECTION SOFTWARE NOW.

Avant de poster ce message j'ai déjà effectué SmitfraudFix option 1 et option 2 en mode sans échec. Norton Antivirus présent sur son poste ne signale rien. Le PC fonctionne à nouveau.

voilà le souci, c'est que le lendemain ce fameux virus refait son apparition (fond d'écran, messages, etc...). Je pense que SmitfraudFix le l'a pas complètement éliminé.

QUOI FAIRE !!!
Merci par avance.

bonjour

soit il s'est tout simplement réinfecté ( absence de pare-feu ? retéléchargement de faux codecs pour regarder des vidéos XXX ??)

repasse smitfraudfix pour voir et si pas de mieux
met les rapports ici et un hijack

J'ai refait à nouveau un SmitfraudFix, pas de souci pour le supprimer. Mais voilà quelques heures après le méchant virus est à nouveau là (snif). Cette fois je suis sûr qu'il n'a rien fait sur Internet.

Dès que je peux, je joint les rapports et un hijack

Merci à toi Land3 pour ta réponse.

ok , on y verra mieux avec

tu peux aussi passer combofix et mettre son rapport
Télécharger et enregistrer sur le bureau
Combofix

=Double-clic sur Combofix
= Presser 1 quand demandé
= Attendre la fermeture de l’outil ( 5 à 10 mn)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse

ok,

désolé pour ma réponse tardive mais je ne suis passé chez mon collègue que ce soir. Alors voilà ce que j'ai fait.

Lancement à nouveau de smitFraudFix option 1
smitfraufix rapport avant.txt

puis option 2
smitfraufix rapport apres.txt

Ensuite j'ai effectué un CCleaner. Environ 120Mo de supprimé.

Ensuite voici le rapport de Hijackthis
hijackthis.log

Puis pour finir lancement de Combofix. J'ai un souci lors du lancement il m'indique une erreur "you cannot rename combofix essai - please use another name". J'ai essayé de renommer le fichier .exe en essai.exe... Rien

Maintenant j'attends de voir si le virus refait son apparition.

Merci d'avance

il reste des infections

Télécharger sur le bureau
The avenger
= Double-Clic Avenger.zip
= Extraire tout ( ou extraire sans confirmation ou unzip)
================
relancer hijack
"Do A System Scan Only"

cocher ces lignes et clic ensuite sur FIX CHECKED

O2 - BHO: SXG Advisor - {16167372-A970-4412-B90E-B07CFED45E77} - C:\WINDOWS\dpvtporvqm.dll
O3 - Toolbar: elfwgps - {74415C3D-DB1D-40BF-9F91-1D1A31027A31} - C:\WINDOWS\elfwgps.dll
O4 - HKLM\..\Policies\Explorer\Run: [ielog] C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\ielog.exe
O21 - SSODL: aswmklt - {456E4F1B-61E3-438E-A399-57ABFC84A2DE} - C:\WINDOWS\aswmklt.dll
O21 - SSODL: bqxomdo - {4740260F-3CC3-4F06-8AEA-690E7953CA27} - C:\WINDOWS\bqxomdo.dll
----------------------
= Double-Clic Avenger.exe qui est sur le bureau
= un message==>Clic OK
= Cocher Input script manually
= Clic sur la loupe à droite
= dans la nouvelle fenêtre coller ce texte qui est en gras:

Files to Delete:
C:\WINDOWS\dpvtporvqm.dll
C:\WINDOWS\elfwgps.dll
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\ielog.exe
C:\WINDOWS\aswmklt.dll
C:\WINDOWS\bqxomdo.dll


= Clic Done
= Clic sur l’icône Feu vert
= Clic Yes ,2 fois quand demandé
**note : le Pc va redémarrer avec une fenêtre noire
= un rapport dans C:\avenger.txt à copier dans la réponse

= une sauvegarde dans C:\avenger\backup.zip
=======================================================
merci de mettre tous les rapports sous Spoiler

pour cela sélectionner la totalité de chaque rapport mis dans la case réponse
et clic sur le point d'interrogation en bas à droite de cette case
(à coté de TeX)
=====================
tu supprimeras la version de smitfraudfix que tu as elle n'est pas à joiur
il faut toujours utiliser la dernière version

Merci de ta réponse,

Je vais faire tout cela dans le week-end. Je te tiens au courant.

ok,

Je suis donc retourné chez mon collègue faire les manip que tu m'as indiqué. Le Virus était à nouveau présent (Image rouge, icones, etc...)

J'ai pour commencé relancé smitfrauddfix (cette fois version 2.278). Ok le virus disparait (comme d'habitude), puis j'ai effectué les commandes que tu n'as indiqué dans ton message précédent.

Voici le rapport de Avenger :

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\yrndouwb

*******************

Script file located at: \??\C:\ysowhrlm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\dpvtporvqm.dll not found!
Deletion of file C:\WINDOWS\dpvtporvqm.dll failed!

Could not process line:
C:\WINDOWS\dpvtporvqm.dll
Status: 0xc0000034

File C:\WINDOWS\elfwgps.dll deleted successfully.


File C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\ielog.exe not found!
Deletion of file C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\ielog.exe failed!

Could not process line:
C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\ielog.exe
Status: 0xc0000034

File C:\WINDOWS\aswmklt.dll deleted successfully.
File C:\WINDOWS\bqxomdo.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Le poste fontionne pour l'instant, j'ai arrêté la machine puis rallumé toujours pas de virus (généralement avait tendance à réapparaitre après avoir rallumé). J'ai également changé l'heure en mettant un jour de plus pour voir si le virus réapparaît le lendemain. Rien
J'attends quand même lundi pour certifier que tout fonctionne à nouveau correctement.

Si pas d’autres problèmes, aller au 1er message et Mettre Pointeur RESOLU

Pas de nouvelle bonne nouvelle. Je te remercie pour ton assistance.

ERL