les problemes recommencent: virus and Co

[invitec35bc9ea]

bonsoir,
salut Cyrrus, Igor, et Synthexe.je sollicite votre aide
me revoila envahi par toute sorte de bestioles. hier, kaspersky m'a trouvé un cheval de troie. aujourd'hui j'ai cette fenaitre qui s'ouvre intempestivement:

[invitec35bc9ea]

pour commencer, j'ai nettoyé avec ccleaner, et analysé avec hijackthis.
Ewido et kaspersky c'est pour demain.

[invite275db609]

Bonjour einstein

Tu connais la consigne, suis la procédure de pré-nettoyage et fais ceci en plus :

• Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
• Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
• Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
• Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Poste moi les 3 rapports, ewido, hijackthis et blacklight ...

Bonne journée

[invitec35bc9ea]

bonsoir,

# Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

dans le corps du message ou en piece jointe?

[A voir en vidéo sur Futura]

[invite9bff601c]

Bonsoir einstein,

en pièce jointe tous les rapports, il a oublié de modifié son discours

Bonne soirée,

Igor

[invitec35bc9ea]

bonsoir,

[invitec35bc9ea]

je viens de terminer l'analyse kaspersky. il n'a rien trouvé

[invitec35bc9ea]

salut,
c'est quand meme etrange. comme dit precedemment, hiers j'ai fait un scan kaspersky complet, et il n'a rie trouvé. aujourd'hui, alors que j'ai pas fais de scan, son autoprotect m'a trouvé une bestiole accrochée à visual studio, la meme qu'il y a quelques jours.
merci

[invite275db609]

Bonsoir einstein

Suis très occupé ces jours-ci ....

Puex-tu faire ce qui suit stp :

• Télécharge DiagHelp.zip de Malekal_morte sur ton bureau :
• Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout.
• Un nouveau dossier chercher va être créé DiagHelp.
• Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître).
• Une fenêtre va s'ouvrir, choisis l'option 2.
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
• Copie/colle le rapport en piece jointe

Bonne nuitée

[invitec35bc9ea]

bonsoir Synthexe,
voila qui est fait:

[invitec35bc9ea]

salut,
y a quelcun?

[invite9bff601c]

Bonsoir,


pourrais-tu poster le contenu de ce fichier ?

C:\WINDOWS\mariner.ini

et faire analyser :

Vas sur le site http://virusscan.jotti.org/
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : hpdj460.ini (C:\WINDOWS\hpdj460.ini )
- Clic sur submit toujours en haut à droite
- Le scan va se lancer, ça va prendre un petit instant
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici.
Aide : http://www.malekal.com/scan_Av_en_li...mozTocId662799


Bonne soirée,

Igor

[invitec35bc9ea]

bonsoir Igor,
je te poste le mariner.ini
pour le scan, je te poste deux choses, n'etant pas certain de ce que tu voulais.

parcontre, hpdj460.ini, je sais exactement ce que c'est. c'est un pilote de l'imprimante HP deskjet 460, que j'ai telechargé sur www.france.hp.com, je l'ai telechargé par erreur car moi j'ai dj450, alors j'ai telechargé le bon pilote et mis à jour l'ancien. c'est curieux que tu y ais trouvé quelquechose.

[invitec35bc9ea]

EDIT: pour diaghelp, les messages d'erreurs etais tjrs là, mais cette fois j'ai reussi à te poster le rapport

[invite9bff601c]

Bonjou einstein ,


voici la marche à suivre :

1/Télécharge Brute Force Uninstaller (de Merijn).
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

2/Créer un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code" )

Code:

# For use with Merijn's Brute Force Uninstaller
# available from http://www.merijn.org/
#
# Script Name: otherfix.BFU
# Author:
OptionUseRecycleBin

FileDelete %SYSDIR%\actalert.exe
FileDelete %SYSDIR%\alchem.exe
FileDelete %SYSDIR%\bargains.exe
FileDelete %SYSDIR%\bdl74125.exe
FileDelete %SYSDIR%\com.exe
FileDelete %SYSDIR%\dktibs.exe
FileDelete %SYSDIR%\exdl.exe
FileDelete %SYSDIR%\exe2bin.exe
FileDelete %SYSDIR%\exul.exe
FileDelete %SYSDIR%\fastopen.exe
FileDelete %SYSDIR%\fnnmqi.exe
FileDelete %SYSDIR%\Host32.exe
FileDelete %SYSDIR%\iinstall.exe
FileDelete %SYSDIR%\installer2.exe
FileDelete %SYSDIR%\intron.exe
FileDelete %SYSDIR%\intronet.exe
FileDelete %SYSDIR%\ir.exe
FileDelete %SYSDIR%\istsvc.exe
FileDelete %SYSDIR%\lpt.exe
FileDelete %SYSDIR%\mouse.exe
FileDelete %SYSDIR%\msbb.exe
FileDelete %SYSDIR%\mscdexnt.exe
FileDelete %SYSDIR%\optimize.exe
FileDelete %SYSDIR%\paytime.exe
FileDelete %SYSDIR%\powerscan.exe
FileDelete %SYSDIR%\preinmpp.exe
FileDelete %SYSDIR%\preinsln.exe
FileDelete %SYSDIR%\preinstt.exe
FileDelete %SYSDIR%\printer.exe
FileDelete %SYSDIR%\printer32.exe
FileDelete %SYSDIR%\sidefind.exe
FileDelete %SYSDIR%\systime.exe
FileDelete %SYSDIR%\telnet.exe
FileDelete %SYSDIR%\Teur.exe
FileDelete %SYSDIR%\ttgkirnl.exe
FileDelete %SYSDIR%\usb.exe
FileDelete %SYSDIR%\winad.exe
FileDelete %SYSDIR%\winclt.exe
FileDelete %SYSDIR%\ykyrtws.exe

FolderDelete C:\program files\websiteviewer

OptionUnloadShell

DllUnregister %SYSDIR%\c60htwht.dll|1
DllUnregister %SYSDIR%\c60rlwot.dll|1
DllUnregister %SYSDIR%\clauth1.dll|1
DllUnregister %SYSDIR%\clauth2.dll|1
DllUnregister %SYSDIR%\lsprst7.dll|1
DllUnregister %SYSDIR%\ssprs.dll|1
DllUnregister %SYSDIR%\sysprs7.dll|1
DllUnregister %SYSDIR%\winos.dll|1


FileDelete %SYSDIR%\c60htwht.dll
FileDelete %SYSDIR%\c60rlwot.dll
FileDelete %SYSDIR%\clauth1.dll
FileDelete %SYSDIR%\clauth2.dll
FileDelete %SYSDIR%\lsprst7.dll
FileDelete %SYSDIR%\ssprs.dll
FileDelete %SYSDIR%\sysprs7.dll
FileDelete %SYSDIR%\winos.dll


OptionSetStatus Deleting Runkeys
RegDelValue HKLM\SOFTWARE\Microsoft\Window s\CurrentVersion\Run|Kernel32
RegDelValueHKLM\Software\Micro soft\Windows NT\CurrentVersion\Winlogon|Shell


SystemEmptyTempFolder
SystemEmptyRecycleBin

3/ Enregistre ce fichier dans c:\BFU
-Nom du fichier : otherfix.BFU
-Type : tous les fichiers
-cliquer sur Enregistrer
-quitter le Bloc note

4/ Démarrer en mode sans échec :

Au démarrage, tapote immédiatement sur la touche F8 (parfois c'est F5), puis tu verras un écran avec un choix de démarrages : choisis « Mode sans échec » avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur).

NB:Si tu rencontres un problème, va voir ici : http://service1.symantec.com/support...20905112131924

5/Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

- Clique sur le petit dossier jaune (à droite de la boîte "Scriptline to execute");
- Double-clique sur otherfix.BFU
- Tu devrais maintenant voir ceci dans la boîte "Scriptline to execute" :
C:\BFU\otherfix.BFU

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK (l'exécution est rapide..).
Clique Exit pour fermer le programme BFU.

Reposte un log hijackthis ainsi qu'un diaghelp option 1

Si tu as des questions surtout n'hésite pas.

Bonne journée,

Igor