Bonjour,
Depuis quelques jours, dès le démarrage du PC internet explorer s'ouvre tout seul sur des pages intempestives : les premières qui s'ouvrent sur powerfulvirusremover2008.com font s'alarmer mon antivirus (avast) qui détecte des infections et coupe la connexion.
J'ai utilisé spybot+adaware+ccleaner+avast+secuser.com (test en ligne) : ils n'ont rien détecté.
 
Je dois utiliser malwarebytes chaque fois. Il trouve 4 trojans persistants :
trojan.agent HKEY_LOCAL_MACHINE \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENT VERSION \ EXPLORER \ BROWSER SETTINGS \ bf no action taken
trojan.agent HKEY_LOCAL_MACHINE \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENT VERSION \ EXPLORER \ BROWSER SETTINGS \ bk no action taken
trojan.agent HKEY_LOCAL_MACHINE \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENT VERSION \ EXPLORER \ BROWSER SETTINGS \ iu no action taken
trojan.agent HKEY_LOCAL_MACHINE \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENT VERSION \ EXPLORER \ BROWSER SETTINGS \ mu no action taken.
 
Vundofix.exe ne trouve rien non plus.
 
Prevx CSI free me trouve apcup.dll (mais comment le virer ???)
 
Kaspersky en ligne me trouve Rootkit.win32.Podnuha.bhw mais ne propose pas de le virer .
 
Pouvez-vous m'aider ?
 
Merci

salut, essaie de passer un coup de combofix pour nettoyer.
tu peux aussi voir avec Sophos Anti Rootkit mais attention à ne pas virer n'importe quoi quand même

Le plus efficace serait un live cd antivirus, ainsi les rootkits ne seraient plus rootkités et plus facilement vulnérables au scan
 
exemple:  
http://www.f-secure.com/linux-webl [...] -released/  
 
 

aussi

Bonjour,
Donc je télécharge le "kit" du lien que Cereal_Killer a indiqué, je le grave sur cd et ensuite je relance la machine ?
Ok, j'essaye l plus vite possible,
Merci

Oué et télécharge la base virale a jour sur une clé usb également. Les détails sont dans http://www.f-secure.com/linux-webl [...] e-3.00.zip

OK. J'ai du mal a télécharger (IE7 ne fonctionne plus : trop infecté). Je passe avec firefox qui ne semble pas atteint par le virus...
De plus, depuis hier, Explorer est virusé : même quand j'ouvre le poste de travail puis je clique sur disque D: le virus se réactive de suite !
57%, ça vient bon.

Euh...Question con, mais j'ai pas essayé de virer directement c:\windows32\apcup.dll   Vous croyez que ça pourrait se virer aussi facilement en supprimant ce fichier ? (désolé, mais je suis vraiment pas doué en informatique)

Bon, ben j'ai fait la procédure du rescue cd, il n'a trouvé aucun malware... Et à peine rebooté, j'ai passé un malwarebyte qui m'en a retiré 4 (les 4 fameux qui reviennet à chaque fois)...
Pouvez vous m'aider si je poste un hijackthis ?

Tu as bien mis à jour la base virale avant de lancer ton scan à partir du livecd?

 
Bonsoir,
Ben... J'ai copié le fichier puis j'ai gravé sur CD puis redémarré avec le cd... Je ne vois pas comment faire une mise à jour...
 
Sinon, j'ai utilisé Hijackthis en mode sans echec et fixé le fameux apcup.dll (il y en avait 8 lignes en 02)...
 
Maintenant, j'ai redémarré et scanné plusieurs fois avec malwarebytes : plus rien...
 
Par contre si j'en crois les diverses pages que j'ai lu sur le fix de Hijackthis, le virus est "fixed" mais se trouve toujours sur le disque... Comme il ne doit plus démarrer, il semble qu'il soit plus facile de le déloger, mais quel outil me conseilles-tu ?
 
 

supprime le à la main
 
envoie moi ton log hijack en privé que je regarde.
Un truc important : http://windowsupdate.microsoft.com et fais toutes les mises à jour !
Et aussi un coup sur un scann online genre KAV ou trendmicro aussi

Ok, le système semble être redeenu stable, je lance IE7 et mets à jour windows, puis je scanne KAV (trendmicro sur secuser.com n'avait JAMAIS décelé le moindre virus ou malware même lorsque j'étais infecté...)
Je t'ai envoyé le mail privé.  
Merci
fred

Plus de soucis d'après les multiples antivirus en ligne testés.
Merci à vous 2 pour votre aide !
fred

 
Tu n'es pas très curieux. Le pdf joint à l'archive que tu as téléchargé donne le lien pour les mises à jour.  
Passer un scan avec une base obsolète c'est un peu comme niquer avec un latex troué, hein.  
Pas étonnant qu'il n'ait rien trouvé et qu'il n'ait rien pu faire pour toi

 
Ben.... Le gros problème c'est que le fichier PDF en Anglais précise le lien "http://download.f-secure/latest/fsdbupdate.run" dans la partie clé USB... Je me suis cantonné à la partie création du CD rescue qu'il fallait laisser dans le lecteur au moment du redémarrage (avec un fichier gravé, je ne vois pas comment j'aurais pu rajouter des mises à jours...).
Bref, J'avais pas compris qu'il fallait OBLIGATOIREMENT utiliser le CD rescue ET la clé USB  
 
A+
 
fred
 
NB : remarque, la base était à jour au 04/05/08 (ok ça fait vieux) mais le virus était connu depuis 2007 (d'après certains sites internet)... L'aurait du trouver quand même, non ?