Gros probleme avec systeme 32

[invite621a3351]

Bonjour j'ai un gros problème sur mon ordi, j'ai essayé tout ce qui étais possible (scan avec des anti-virus, anti-trojan
et autres) mais rien ni fait.

Pendant un certains temps j'ai eu des fenêtres qui s'ouvraient sur mon ordi en me demandant de télécharger des anti-virus ou autres (ce que je n'ai pas fait).
Maintenat sur mon PC je reçois un message m'indiquant que "c:\Windows\système 32\services.exe" s'est terminé de manière inatendue et donc que "AUTORITE NT\SYSTEME" va redémarrer mon PC au bout d'une minute sans autre alternative possible.
De plus depuis un certain temps de nombreux programmes ne fonctionnent plus, ne s'installent pas ou ne démarrent pas.
Et mon PC a de gros ralentis.

Merci pour votre aide

Je vous met en pj les différents rapports demandés.
-----

[Cyrrus]

Bonjour Jérome,

Avant j'aimerais que tu upload un fichier pour analyse :

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

Rends toi ci : http://secubox.gateweb.org/mad.php

Séléctionne ce fichier :

C:\WINDOWS\system32\ahd838jdgh.dll

Dans la description, tape juste le lien du sujet => http://forums.futura-sciences.com/thread140108.html

Tu peux ensuite Envoyer la demande.

Je te posterai ensuite la manip d'éradication.

Bonne journée
Cyrrus

[invite621a3351]

Bonjour Cyrrus,

j'ai fait ce que tu m'as demandé.
Je te remercie pour ton aide.

A bientot,

Jérôme

[Cyrrus]

Re,

En fin de compte tu n'es pas obligé d'uploader le fichier. Par contre tu es très infecté, il me faut un peu de temps pour la manip.

++
edit : pas grave

[A voir en vidéo sur Futura]

[invite621a3351]

Merci,

j'attends

[Cyrrus]

Re,

On y va.

1. Télécharger The Avenger par Swandog46 sur votre Bureau.

• Click sur Avenger.zip pour ouvrir le fichier
• Extraire avenger.exe sur votre bureau

2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Code:

Drivers to unload:
m_hook
windev-3c96-4975
windev-68ae-5686


Registry keys to delete:
HKLM\System\CurrentControlSet\Services\m_hook

Files to delete:
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\wintems.exe
C:\Documents and Settings\PERUCCHINI\Application Data\hidires\hidr.exe
C:\Documents and Settings\PERUCCHINI\Application Data\hidires\m_hook.sys
C:\WINDOWS\system32\windev-peers.ini
C:\WINDOWS\system32\dllcache\winlogon.exe

Folders to delete:
C:\Documents and Settings\PERUCCHINI\Application Data\hidires

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
3. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

• Sous "Script file to execute" choisir "Input Script Manually".
• Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
• Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
• Cliquer Done
• ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
• Répondre "Yes" deux fois quand demandé.

4. The Avenger va automatiquement faire ce qui suit:

• Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
• Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
• Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
• The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir poste le ficher c:\avenger.txt dans votre réponse avec un nouveau log HijackThis en utilisant REPONDRE

6.

• Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, place le sur le bureau.
• Double-clique dessus pour l'ouvrir.
• Assure-toi que dans le menu déroulant Unidad, tu aies bien C:\
• Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.
• Clique sur le bouton Explorar pour lancer l'analyse.

7. Poste les rapport de :

• Avenger
• Elibagla

Ce n'est que le début, mais comprends que tu es vraiment infecté.

++
Cyrrus

[invite621a3351]

Re

Voila les rapports

encore merci

[Cyrrus]

Re,

On continue :
1. Télécharge OTMoveIt de OldTimer.

2.

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

3. En mode sans échec, lanche Hijackthis, Do a system scan only, et coche :

Code:

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: C:\WINDOWS\system32\ahd838jdgh.dll - {A25849C4-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\ahd838jdgh.dll
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [NI.UERSV_0001_LP] "C:\Documents and Settings\PERUCCHINI\Local Settings\Temporary Internet Files\Content.IE5\5W5Q43ZE\ErrorSafeScannerInstall_fr[1].exe"
O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\PERUCCHINI\Application Data\hidires\hidr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\PERUCC~1\LOCALS~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [WinUpdate] C:\DOCUME~1\PERUCC~1\LOCALS~1\Temp\svchots.exe

Clique sur Fix Checked.

4. Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

5.

• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\WINDOWS\system32\ahd838jdgh.dll
  C:\WINDOWS\vsnpstd.exe
  C:\Documents and Settings\PERUCCHINI\Application Data\hidires
  C:\WINDOWS\system32\wintems.exe
  C:\WINDOWS\system32\hldrrr.exe

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

6.

Télécharge ATF Cleaner par Atribune.

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

7.

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer.
• Clique sur le bouton Scan for Vundo.
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
• Démarre ton PC à nouveau.

8. Poste les rapports de :

• OTMoveiT
• SDfix
• Un nouveau log Hijackthis

Fais bien les manip dans l'ordre.

Cyrrus

[invite621a3351]

Dsl j'ai juste un petit probleme.
Je ne peut pas démarrer en mode sans échec(je n'ai pas de bip au démarrage et ensuite lorsque je pourrais choisir le mode sans échec mon clavier est inopérant)
Pour le bip j'ai ce probleme avec d'autres sons aussi (msn et sur des sites types Dailymotion)

Dsl de te créer autant de pbs

[Cyrrus]

Re,

Quel type de clavier as tu ? un clavier USB ? Si oui peux tu essayer (si possible) avec un autre clavier non USB (de type PS/2) ?

Si non il y a bien uen autre méthode mais plus risquée, donc j'aimerais éviter.

Dsl de te créer autant de pbs

Tu ne m'en crée pas. Désolé qu tu en ais autant.

[invite621a3351]

Re,

Dsl j'ai pas d'autre clavier et personne sous la main avec un autre clavier qui serais pas USB.
Si l'autre méthode est vraiment trop risquée je peut essayer d'en trouver un ds la semaine.

[Cyrrus]

Re,

Si l'autre méthode est vraiment trop risquée je peut essayer d'en trouver un ds la semaine.

En théorie cette méthode est "normal", mais sur machine infecté il y a un risque que la machine se retrouve à redemarrer en boucle...ce qui impose après de reparer le problème via le cd de windows...ce qui est assez ch**nt.

Si tu peux t'en trouver un ce serai bien, sinon on fera sans.

Bonne soirée
Cyrrus

[Cyrrus]

Re,

On va faire autrement, d'autant plus que j'ai loupé des fichiers avec Avenger (mea culpa).

Refais la manip avec Avenger, mais utilise cette fois ci ce script :

Code:

Drivers to Unload:
wincom32


Registry keys to delete:
HKLM\System\CurrentControlSet\Services\wincom32


Files to Delete:

C:\WINDOWS\system32\wincom32.ini
C:\WINDOWS\system32\wincom32.sys
C:\WINDOWS\system32\3ti.exe
C:\WINDOWS\System32\mmn.exe.exe
C:\WINDOWS\System32\pdp.exe.exe
C:\WINDOWS\System32\rsvp32_2.dll
C:\WINDOWS\System32\svcp.csv 
C:\WINDOWS\System32\rsvp32_2.dll435
C:\WINDOWS\System32\totour.exe
C:\WINDOWS\System32\mmn.exe
C:\WINDOWS\System32\inst.exe
C:\WINDOWS\d3db32.dll

Bonne soirée
Cyrrus

[invite621a3351]

Re,

j'ai réussi a trouver un clavier et une souris non-usb, ils sont installés mais je n'arrive pas à basculer sur ce nouveau matériel. Aurais tu une idée de la manip?
Et je t'ai mis le nouveau rapport Avenger en pj.

Merci

[Cyrrus]

Bonsoir Jérôme,

je n'arrive pas à basculer sur ce nouveau matériel. Aurais tu une idée de la manip?

Peut être oui.

Déjà si ce n'est pas dejà fait retir ton clavier usb via "Retirer le périphérique en toute sécurité" (petit icone se trouvant en bas à droite).

Une fois ceci fait tu peux débrancher tranquillement ton clavier usb.

Branche ensuite le clavier non usb, regarde s'il est detécté.

Si non, fais Demarrer > Panneau de Condiguration et double clique sur Ajout/suppr de matériel.

Normalement Windows devrait t'indiquer ton clavier et tu pourras ainsi le selectionner. Sinon il audra faire Ne pas rechercher je vais choisir le périphérique et selectionner le clavier soit même.

Bon courage
Cyrrus