impossible d'utiliser anti-virus

[letpilote]

Bonjour,
j'ai besoin d'aide, je me sens dans une impasse.
J'ai certainement chopé un virus ou un malware en effet je ne peux plus installer un anti-virus ou faire un scan en ligne.
J'ai suivit la procédure anti-malware de Fs mais je ne peux pas installer Ewido.

Je requières donc votre aide.

Merci d'avance.

Cordialement.

[Cyrrus]

Bonjour letpilote,

Poste nous au moins le log hijackthis en pièces jointes. On devrai pouvoir voir ce qui bloque.

Si je comprends bien, tu ne peux rien installer ? ou seulement les programmes antivirus/malware ?

Bonne journée
Cyrrus

[letpilote]

Bonjour Cyrrus,
j'espérais un peu tomber sur toi, j'ai eu l'occasion de voir sur le forum ton immense talent !
Je peux effectivement faire le log hijackthis, je te l'enverrais demain, je suis actuellement au bureau. Je n'ose plus connecté mon ordi perso sur le net.
Je n'est pas essayé d'installé un autre type de logiciel que du type anti-virus/malware.

Merci de ton aide.

A plus tard.

Laurent

[Cyrrus]

Re Laurent,

Ok pour le log, à demain donc

Tu peux tout autant compter sur Igor et Synthexe

Cyrrus

[RUNESTAFF]

Bonjour

pour essayer d'utiliser les scan en ligne
cherche le fichier "hosts" , il doit etre dans
C:\WINDOWS\system32\drivers\et c

ouvre le avec le bloc note

dedans tu ne devrais avoir que la ligne
127.0.0.1 localhost

supprime les autres ( en les copiant ailleur , on ne sait jamais ^^)

ensuite réessaye d'acceder aux scan en lignes

++

[letpilote]

Bonjour à tous,
voici mon log Hijackthis.
Merci, RUNESTAFF j'essairais cette méthode ce soir.

J'attends vos suggestions avec impatience.

Cordialement.

Laurent

[igor51]

Bonjour à tous,

voici la procédure, fais la bien en entier, si tu ne comprends pas quelque chose dedans n'hésite pas à poser des questions.

Elle est longue donc Je te conseille de conserver la forme de cette procédure en sauvegardant grâce à ton navigateur:

Si tu utilises Internet explorer:

• Clique sur Fichier
• Puis sur Enregistrer sous
• Choisis l'emplacement de la sauvegarde ( ie : Mes documents par exemple )
• Clique sur Enregistrer

Si tu utilises Firefox:

• Clique sur Fichier
• Puis sur Enregistrer sous
• Choisis l'emplacement de la sauvegarde ( ie : Bureau par exemple )
• Clique sur Enregistrer

1/ Téléchargement et installation des programmes :

Télécharge Ewido anti-spyware

1. Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
   
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
   
3. Ferme Ewido. Ne pas le lancer tout de suite.

Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

Télécharge ATF Cleaner par Atribune.

Télécharge DiagHelp.zip sur ton bureau
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp

2/ passage en mode sans échec

Au démarrage, tapote immédiatement sur la touche F8 (parfois c'est F5), puis tu verras un écran avec un choix de démarrages : choisis « Mode sans échec » avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur).

NB:Si tu rencontres un problème, va voir ici : http://service1.symantec.com/support...20905112131924

3/ Utilisation d'ATF-Cleaner :

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

4/ Utilisation d'hijackthis

Lance hiajckthis, choisis "Do a scan only" et coche les lignes suivants :

R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
F2 - REG:system.ini: Shell=Explorer.exe winservnt32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\u serinit.exe,winservnt32.exe
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb. dll (file missing)
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\f r\msnappau.exe"
O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e14.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e14.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e14.e
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe

Ferme toutes les fenetres sauf Hijakcthis et clique sur "Fix Checked"

5/Affiche les fichiers/dossiers cachés :

Pour afficher les fichiers et dossiers cachés du systéme :

1. Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
2. Cocher la case : Afficher les fichiers et dossiers cachés
3. Décocher la case : Masquer les extensions des fichiers dont le type est connu
4. Décocher la case : Masquer les fichiers protégés du système d'exploitation
   ---> Répondre OUI à la demande de confirmation
5. Cliquer Appliquer puis OK

6/ Suppression manuelle des élémenent :

Supprimes les éléments en gras suivants :

[quote]
C:\\nwnmff_e14.exe
C:\\dfndrff_e14.exe
C:\\kybrdff_e14.exe
C:\WINDOWS\winsys.exe
C:\WINDOWS\ssms.exe
C:\WINDOWS\system32\ssl.exe
C:\WINDOWS\netconf32.exe

internat.exe
winservnt32.exe

pour ces deux la, fait une recherche en passant par démarrer- > rechercher -> "tous les dossiers/fichiers"
dans "options avancées", il faut que tu vérifies que les cases "rechercher dans les dossiers cachés" et "rechercher dans les fichiers systèmes" soient cochées.

Vide ta corbeille !!

7/ Utilisation d'Ewido

• Du mode Sans Échec, lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
  
• Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
  
• Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
  

8/ Redémarre en mode normal mais ne te connecte pas encore !!

9/ Passage de Clean :

Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

10/ Passage de Diaghelp

- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
- Enregistre le fichier créer (sur ton bureau par exemple )

11/ Utilisation d'hijackthis :

Lance Hiajckthis :

Clique sur Open Misc Tools Section

clique sur open Uninstall manager -> clique sur "Save list" -> enregistre le fichier .

Refais un log hiajckthis :

Lance hijackthis, choisis do a scan and save a log et sauvegarde le fichier généré.

12/ Prochaine réponse

Dans ta prochaine réponse j'attends les rapports suivants :

-le log hijackthis
-la uninstall list
-le rapport de diaghelp
-le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt
-le log d'ewido

Bon courage,

Igor

[igor51]

Bosoir ,


si tu n'as pas commencé la procédure ne fait pas ceci :

Clique sur Open Misc Tools Section

clique sur open Uninstall manager -> clique sur "Save list" -> enregistre le fichier .

Bonne soirée,

Igor

[letpilote]

Bonsoir,
voici les différents fichiers de logs.
Je sens déjà une amélioration, je peux ouvrir cette fenêtre !!
Je ne pouvais même pas ouvrir ce thread parce qu'il y avait marqué virus !

Merci à tous et surtout à Igor pour cette première phase.
J'espère que je me suis débarrassé de cette (CENSURE) de virus.

A lundi pour la suite.

Cordialement.

[letpilote]

Avec la pièce jointe c'est mieux !

[igor51]

Bonjour letpilote,

on va continuer la désinfection de ton pc !!

1/

Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8.
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• En mode sans échec, fais un clic droit sur le fichier SDFix.zip et choisis extraire tout,
• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le script.
• Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  

N.B.: Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.

2/

Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml
- Clic en bas sur "I accept"
- Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.
- Lance-le en double-cliquant sur le fichier blbeta.exe
- Accepte la licence, et clique enfin sur "Scan" puis Next et exit.
- Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe

Aide : Tu peux consulter le tutorial de F-Secure BlackLight

3/
Dans ta prochaine réponse, poste les rapports suivants :

-le rapport de SDFix (dans le dossier SDFix sur ton Bureau)
-le rapport de Blacklight
-un nouveau log Hijackthis.

Bonne soirée,

Igor

[letpilote]

Bonjour Igor,
J'ai fait la 2ème procédure mais je pense qu'il y a autre chose parce que d'un état correcte je suis repassé à un état d'alerte.
Je m'explique :
après la première phase de nettoyage, j'ai remarque que mon firewall (en l'occurence Kerrio) avait été réactivé et je n'avais plus d'alerte virus de Avast, ni de Ewido.
J'ai fait la deuxième phase de nettoyage, et j'ai voulut te poster les rapports, à ce moment, j'ai remarqué que Kerrio avait disparu et j'ai commencé à recevoir des alertes avast et Ewido.

Dois-je refaire toute la première procédure (je pense que je vais refaire de toute façon) et observé plus attentivement ce qui se passe lors de la deuxième ?

Je te joins les rapports de la deuxième procédure tout de même, tu y découvriras peut-être quelque chose.

A bientôt et merci encore.

letpilote

[yoda1234]

Bonjour,
j'ai modifié le dernier rapport parceque l'indentité de "letpilote" apparaissait clairement.
Voici donc la version sans son nom.

[igor51]

Bonsoir letpilote,

non ne recommence pas la procédure, je vais t'en donner une autre.

Bonne soirée,

Igor

[igor51]

Re,

voila la nouvelle procéudure, attention de bien la faire en entier, sinon tu risques d'etre réinfecté.

Je te conseille de conserver la forme de cette procédure en sauvegardant grâce à ton navigateur:

Si tu utilises Internet explorer:

• Clique sur Fichier
• Puis sur Enregistrer sous
• Choisis l'emplacement de la sauvegarde ( ie : Mes documents par exemple )
• Clique sur Enregistrer

Si tu utilises Firefox:

• Clique sur Fichier
• Puis sur Enregistrer sous
• Choisis l'emplacement de la sauvegarde ( ie : Bureau par exemple )
• Clique sur Enregistrer

1/ Téléchargement des outils :


->Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Pour cela :
-- Ouvre le poste de travail
-- Double-clic sur le disque C
-- Menu Fichier en haut puis Nouveau et nouveau dossier
-- Tapez BFU dans le nom du nouveau dossier

Télécharge Brute Force Uninstaller (de Merijn) et tu mets le fichier dans le dossier C:\BFU.

Rends toi dans le dossier C:\BFU :
-- Ouvre le poste de travail
-- Double-clic sur le disque C
-- Double-clic sur le dossier BFU
-- Sur le fichier BFU.zip, fais un clic droit / Extraire ici ou Extraire tout.

Ensuite :
FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger alcanshorty.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utilises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers".

Important : Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : alcanshorty.bfu et BFU.exe.

FAIS UN CLIC-DROIT ICI de Metallica et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utilises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers".

Tu dois maintenant avoir trois fichiers dans le dossier BFU!

->

1. Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
   
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
   
3. Ferme Ewido. Ne pas le lancer tout de suite.

- Télécharge Vundoxfix de Atribune - mirror si le lien ne fonctionne pas : http://www.softpedia.com/get/Antivirus/VundoFix.shtml

2/ Redémarre en mode sans échec :

Au démarrage, tapote immédiatement sur la touche F8 (parfois c'est F5), puis tu verras un écran avec un choix de démarrages : choisis « Mode sans échec » avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur).

NB:Si tu rencontres un problème, va voir ici : http://service1.symantec.com/support...20905112131924

3/ Utilisation d'Hijackthis :

Lance hijackthis, choisis "Do a scan only" et coche les lignes suivantes :

R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Intern et Explorer\Search,SearchAssistan t = http://searchbar.findthewebsiteyouneed.com
F2 - REG:system.ini: Shell=Explorer.exe msejavaupdt32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\u serinit.exe,msejavaupdt32.exe
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\WINDOWS\system32\101214853. dll
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll (file missing)
O4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] Wcgopsvc
O4 - HKLM\..\Run: [newname] c:\\nwnmff_e19.exe
O4 - HKLM\..\Run: [defender] c:\\dfndrff_e19.exe
O4 - HKLM\..\Run: [keyboard] c:\\kybrdff_e19.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_FR.cab
O20 - Winlogon Notify: ddcbaxw - C:\WINDOWS\SYSTEM32\ddcbaxw.dl l
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\system32\dllcache\s tarwin32.exe (file missing)
O23 - Service: ssms - Unknown owner - C:\WINDOWS\ssms.exe (file missing)

ferme toutes les fenetres sauf hiajckthis et clique sur "Fix Checked"

4/ Suppression des programmes :

En passant par "ajout/suppression de pogrammes" dans le panneau de configuration, désinstalle les programmes suivant si présent :

Search Bar

5/ Utilisation des BFU :


a)
Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

alcanshorty.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\alcanshorty.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

b)
Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

EGDACCESS.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.


6/ Suppression manuelle des fichiers:

Supprime les fichiers/dossiers si présents :

C:\Program Files\Uninstall_CDS.exe
c:\nwnmff_e19.exe
c:\dfndrff_e19.exe
c:\kybrdff_e19.exe
internat.exe << fais une recherche pour celui-ci
C:\WINDOWS\TEMP\it_0012.exe
C:\WINDOWS\system32\serv32.exe
C:\WINDOWS\System32\.exe
C:\WINDOWS\system32\msejavaupdt32.exe
C:\WINDOWS\system32\dllcache\starwin32.exe
C:\WINDOWS\Wcgopsvc.exe
C:\WINDOWS\ssms.exe

Vide ta corbeille !!

7/ Utilisation d'ATF-Cleaner

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

8/ utilisation d'Ewido:

• Du mode Sans Échec, lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
  
• Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
  
• Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
  

9/Passage de Clean

Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

10/ passage de SDFix:

Déroule la liste des instructions ci-dessous :

• En mode sans échec, fais un clic droit sur le fichier SDFix.zip et choisis extraire tout,
• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le script.
• Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  

11/ Passage de Vundofix :

- Double-clique VundoFix.exe afin de le lancer.
- Clique sur le bouton Scan for Vundo.
- Lorsque le scan est complété, clique sur le bouton Remove Vundo.
- Une invite te demandera si tu veux supprimer les fichiers, clique YES
- Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
- Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
- Démarre ton PC à nouveau.

12/ Dans ta prochaine réponse :

Il faut que tu me poste les rapports suivants :

- le log d'Ewido
- le log de clean
- le rapport de SDFix
- le rapport de vundofix
- un log Hijackthis

Si tu as des questions, n'hésite pas.

Bonne soirée,

Igor