Perte de avast et spybot.

[azoth]

Bonsoir à tous,

J'ai attrapé différentes cochonneries dont bagle. Après différentes manoeuvres pour m'en débarrasser le système a finit par planter sans possibilités de redémarrage.
J'ai donc réinstallé à partir du CD. au tout début tout paraissait OK, puis j'ai perdu l'exé de Avast et Spybot.

Suite aux conseils de JPL j'ai suivi les instructions du dossier de futura sciences et voici donc les rapports.

Merci.

[Cyrrus]

Bonjour azoth,

Tu as encore Bagle.

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Poste moi le rapport en pièces jointes, ainsi que le rapport hijackthis que tu n'as pas posté.

Bon Dimanche
Cyrrus

[azoth]

Bonsoir Cyrrus,

Voilà les rapports demandés.
Et merci pour ton aide.

[Cyrrus]

Bonsoir azoth,

Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.


*
Option 1

Double-clique sur SmitfraudFix.exe
Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
un texte va apparaitre, qui liste les fichiers infectés si présent.
Poste le rapport dans ta prochaine réponse.

**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.

Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les processus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consultin...rocessutil.htm

2. Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Poste moi les rapports de Smitfraudfix et SDfix.

Bonne soirée
Cyrrus

[azoth]

Bonsoir Cyrrus,

Des soucis: je n'arrive pas à relancer l'ordino en mode sans échec.
Avec la procédure classique (F8) il redémarre directement sur Windows.
en arrêtant puis en redémarrant, on trouve l'écran de démarrage, il charge quelques fichiers (ligne du bas) en mode sans échec, puis démarre sur normalement sur Windows après être passé par le menu de boot.

Je t'envoie malgré tous les rapports de SmitfrauFix et Hijackthis.

Bonne soirée à toi aussi.

[azoth]

Encore moi...
J'ai pu avoir l'écran de choix de démarrage à partir de F8 (fallait appuyer sur F8 après l'écran de boot), et après le choix du mode sans échec, pareil: il démarre en mode sans échec et puis bascule sur le démarrage classique.
Re.

[Cyrrus]

Bonsoir azoth,

Pour le problème de mode sans échec j'ai peut être la solution :

Télécharge ELIBAGLA 10.56 en bas de cette page: http://www.zonavirus.com/datos/desca...5/elibagla.asp
Clique sur le bouton Descargar Elibagla --> place ElibaGla sur ton Bureau.

Redémarre si tu peux en mode sans échec:
http://www.pcloisirs.eu/mode_sans_echec.htm
Si tu n'y accèdes pas réalise la procédure en mode normal.

Lance ElibaGla en double cliquant dessus.
Assure toi que le bouton Eliminar Ficheros Automaticamente soit coché.
Vérifie que C:\ soit sélectionné dans Unidad (ou la partition contenant ton OS).
Clique sur le bouton Explorar.

A la fin du scan, fermes toutes les fenêtres et redémarres en mode normal.
Rends toi ici:
C:\infoSat.txt et poste en pièces jointes ce fichier.

Bonne soirée
Cyrrus

[azoth]

Et bonsoir, Cyrrus (ou bonne nuit...)

Ca me permets de faire une sorte de tour du monde...
Voilà le fichier demandé.

[azoth]

Je recommence...

[azoth]

Boooon, pas moyn d'uploader, on va essayer comme ça:

 Cliquez pour afficher

Thu Sep 20 22:35:01 2007
EliBagle v10.56 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\DOCUMENTS AND SETTINGS\#####.001\APPLICATION DATA\M\FLEC006.EXE --> Bagle.dldr Renombrado a .VIR
C:\DOCUMENTS AND SETTINGS\######001\APPLICATION DATA\M\LIST.OCT --> Eliminado Bagle

Thu Sep 20 22:35:26 2007
EliBagle v10.56 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\########.000\Application Data\m\FLEC006.EXE --> Eliminado Bagle.dldr
C:\Documents and Settings\######.001\Application Data\m\FLEC006.EXE.VIR --> Eliminado Bagle.dldr
C:\qoobox\Quarantine\C\WINDOWS \exefld\25531.EXE.VIR --> Eliminado Bagle.dldr
C:\qoobox\Quarantine\C\WINDOWS \exefld\36109.EXE.VIR --> Eliminado Bagle.dldr
C:\qoobox\Quarantine\C\WINDOWS \system32\drivers\HIDR.EXE.VIR --> Eliminado Bagle

Voooilà...

En espérant que ça te soit utile.
rebonsoir.
PS. J'ai oublié d'essayer de redémarrer en mode sans échec... décidément je suis un peu ailleurs ces temps-çi.

Anonymisation et mise en place de balises.

yoda1234.

[Cyrrus]

Bonsoir azoth,

Réessaye à présent de passer en mode sans échec et de lancer SDFix.

Bonne soirée
Cyrrus

[azoth]

Bonsoir Cyrrus (et toute l'équipe)

Désolé de te donner autant de travail mais lorsque j'ai essayé de passer en mode sans échec par F8, la première fois je me suis retrouvé normalement sur Windows, ensuite en recommençant la procédure je retrouve toujours l'écran de choix: redémarrer windows normalement, mode sans échec...., quel que soit le choix choisit: mode sans échec, avec invite ms dos...

Bonne journée.
Toujours merci.
Azoth.

[azoth]

Encore moi,

J'ai pu réinstaller Avast, Spybot et Kerio.
J'ai fait faire un scan par Avast au redémarrage, je te joint le fichier correspondant (je supposes que tu as déjà le renseignement par les logiciels que tu m'a indiqué, m'enfin...)

[Cyrrus]

Bonsoir azoth,

Télécharge ce fichier (clic droit et Enregistrer sous) : Safeboot.reg

Met le sur ton Bureau et double clique dessus. Accepte l'inscription des données.

Normalement tu devrais pouvoir acceder au mode sans échec.

Refais un scan avec Diaghelp option 1, et poste le rapport en pièces jointes.

Bonne soirée
Cyrrus

[azoth]

Et bonsoir Cyrrus,

Adoncques en gros toujours pas moyen de redémarrer en mode sans échec; je dois mal faire quelque chose.

Deux possibilités: je fais un clic droit sur le lien en bleu, enregistrer sous bureau, apparait une icône fichier sea monquey thread166594. Si je double clique dessus il me renvoi au forum futura sciences.
Soit je fais un glisser coller du lien en bleu: apparait une icone safeboot.reg (toujours sous sea monquey). Un double clic dessus fait apparaitre une longue liste de keys.....et puis c'est tout.

Où merdai-je?

Merci pour ta patience.