Problème: virus win32

[invitef89393c7]

Bonjour,

J’ai un virus dont je n’arrive pas à me débarrasser, mon anti-virus (avast) le détecte mais je ne parviens pas à le supprimer, ni à la mettre en quarantaine. (J’ai aussi tenté de le supprimer en démarrant le pc en mode sans échec et en lançant l’antivirus mais aucun succès !). Je suis déjà allée voir d'autre post sur le même sujet mais comme vous demandez a chaque fois de mettre les rapports en ligne, j'ai ouvert un nouveau sujet.

J’ai attrapé ce virus en ouvrant une page web, et l’anti-virus me proposait plusieurs choix ; je ne savais pas trop lequel sélectionner et le temps que je me décide (j’ai d’ailleurs pas bien compris comment ça s’est passé) le virus s’était installé sans que je puisse l’arrêter.

Et depuis j’ai des pages web qui n’arrêtent pas de s’ouvrir (tant des pub que des pages vers des sites pornos, des sites de jeux d’argent, etc… et parfois des pages d'erreur me disant que je ne suis pas connecté à internet) ; de plus, avast n’arrête pas de me faire des alertes concernant des chevaux de Troie (mais pour l’instant, j’arrive à les supprimer ceux-là. Espérons que ça ne change pas) ; et certaines fois, lorsque j’essaye d’ouvrir internet explorer, la fenêtre ne s’ouvre tout simplement pas. Donc c’est assez handicapant, en plus ça ralentis considérablement le pc…

Je pensais que ça pourrait surement vous être utile donc j’ai refait un scan minutieux avec avast et je vous joins le rapport ainsi que les rapports effectués par les logiciels indiqués dans la procédure que vous proposez sur le site (par contre, je sais pas si ça joue, mais l’anti-virus et les tests datent de hier en fin d’après-midi).

Je vous remercie d'avance pour votre aide

Line67
-----

[Cyrrus]

Bonjour,

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

~~~~~~~~

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Bonne journée
Cyrrus

[invitef89393c7]

Bonjour,

Merci beaucoup pour ton aide; j'ai fait ce que tu m'indiquais donc voilà les 4 rapports.

Ah! Et, je sais pas si c'est important mais quand j'ai redémarré l'ordi en mode sans échec, au moment de la fermeture de windows une fenêtre intitulée "l'initialisation de rundll32.exe a échoué" et disant "l'application n'a pas pu s'initialiser car la station de travail est entrain d'être arrêtée", s'est affichée.

Bonne journée à toi aussi et merci encore
Line67

[Cyrrus]

Bonjour,

Toutes mes excuses, je t'ai oubliée (bien comme y faut). Toujours là ?

Bonne journée
Cyrrus

[A voir en vidéo sur Futura]

[invitef89393c7]

Euh bonjour,

Oui je suis toujours là, mais j'osais rien dire parce que je voulais pas que t'ai l'impression que je te harcèle... ^^" (puis j'ai beaucoup de boulot à la FAC en ce moment donc jpeux comprendre que t'ais peut-être pas le temps non plus! Y a pas que internet dans la vie ^^)
A part ça, j'ai juste eu envie de balancer mon ordi par la fenêtre quelques fois mais sinon, pas vraiment de changement toujours des pop-up et tout ça!

Bonne journée à toi aussi,
Line67

PS: je viens de me rappeler que dans mon premier post j'avais pas précisé que y a des pop-up qui me disent que mon ordi est infecté avec tant et tant d'erreur système et qu'il faut que j'installe le programme proposé pour m'en débarasser (je précise que j'ai jamais tenté d'installation. ^^)

[Cyrrus]

Re,

je voulais pas que t'ai l'impression que je te harcèle...

Peu de gens font comme toi...

Comme cela fait un certain temps, l'infection a due évolué, donc je vais devoir te faire repasser ces deux outils :

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

~~~~


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Supprime ceux que tu avis téléchargé avant, les outils ont été mis à jour depuis, il faut donc téléchargé les dernières versions.

Poste moi les deux rapports en pièces jointes (Combofix et sdfix).

Cyrrus

[invitef89393c7]

Désolée si j'ai mis un peu de temps parce que j'étais allée manger puis il m'a fallu le temps de passer les deux logiciels.

Merci encore pour ton aide
Line67

[Cyrrus]

Bonsoir,

Non non je n'ai pas oublié.

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\WINDOWS\system32\esxxfhfj.ini
  C:\WINDOWS\system32\xndapqlk.ini
  C:\WINDOWS\system32\awvtqqnk.dll
  C:\WINDOWS\jkkjggda.dll
  C:\Documents and Settings\emeline\Application Data\mljjggda.dll
  C:\WINDOWS\system32\uhqbyipi.tmp
  C:\WINDOWS\system32\yw3
  C:\WINDOWS\system32\rp1
  C:\WINDOWS\system32\mq9
  C:\WINDOWS\system32\ddccyww.dll
  C:\WINDOWS\system32\vtuvuss.dll
  C:\WINDOWS\xxwwtqnl
  C:\WINDOWS\system32\ddaywwwt.dll
  C:\WINDOWS\pmkjhhhe.dll
  C:\Documents and Settings\emeline\Application Data\pmnnllli.dll
  C:\WINDOWS\system32\xxwwtqnl
  C:\WINDOWS\system32\iifcdeb.dll
  C:\WINDOWS\system32\ddaywwwt.dll
  C:\WINDOWS\pmkjhhhe.dll
  C:\WINDOWS\system32\geedb.dll
  C:\Documents and Settings\emeline\Application Data\pmnnllli.dll

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse


2. Refais un rapport avec Hijackthis et poste le en pièces jointes.

3. Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.
NB : Tu dois être connecté avec des droits d'Administrateur.

1. ferme toutes les applications et fenêtres
2. double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
   Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
3. s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
   • tu devras cliquer 2 fois sur le OK des boîtes de dialogue
     Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
   • quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
     main.txt <- ouvert en premier plan et en plein écran
     extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
   S'il s'agit d'une utilisation supplémentaire de DSS :
   • tu n'auras pas de boîte de dialogue (pas de OK)
   • quand le traitement est terminé, un fichier texte s'affiche :
     main.txt <- ouvert en premier plan et en plein écran
4. copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post
5. copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)
6. n'oublie pas de réactiver les protections si elles ont été stoppées.

Poste les rapports de DSS (un rapport hijackthis est inclus dans les rapports DSS).

4. Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).


Poste les rapports de :

- Hijackthis (un nouveau)
- OTMoveit
- DSS
- MBAM

C'est un peu long mais j'essaye de faire le plus rapide possible. O en sont les symptômes ?

Bonne soirée
Cyrrus

[invitef89393c7]

Bonjour,

Faut bien que j'avoue que j'ai cru que tu m'avais à nouveau oubliée. ^^"
Sinon, pour les symptômes je pensais que ça allait mieux; mais ce matin j'ai du redémarrer mon ordi deux fois avant qu'il ne me laisse accéder au forum. Puis la seconde fois, quand j'ai essayé de télécharger OTMoveIt il a commencé à m'ouvrir plein de fenêtres à la chaîne dans lesquelles il me disait que c'était impossible d'ouvrir la page...
Enfin bref, finalement j'y suis tout de même arrivé en redémarrant une troisième fois!!

Donc voilà les rapports!

Merci pour ton aide

Bonne journée,
Line67

[Cyrrus]

Bonsoir Line,


1. Télécharge le fichier suivant (clic droit - Enregistrez sous) : http://pagesperso-orange.fr/ruscry/CFScript.txt

2. Redémarre en mode sans échec.


3.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

4. Lance Hijackthis, clique sur Do a system scan only et coche les lignes suivantes :

O2 - BHO: {12ac16b4-2949-2e0a-e404-5340199baa13} - {31aab991-0435-404e-a0e2-94924b61ca21} - C:\WINDOWS\system32\aisbosmt.d ll
O2 - BHO: (no name) - {5CFB8C2E-C98D-4DA1-A8F2-AF73C966E292} - C:\WINDOWS\pmkjhhhe.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\iifcdeb.dl l
O2 - BHO: (no name) - {8A1435F9-3FE3-4F71-818C-C834BBEC06A1} - C:\WINDOWS\system32\jkhhf.dll
O4 - HKLM\..\Run: [wvuurrqpmj] Rundll32.exe "C:\WINDOWS\system32\awvtqqnk. dll",s
O4 - HKLM\..\Run: [ssqqqnnnkh] Rundll32.exe "C:\WINDOWS\system32\ddaywwwt. dll",s
O4 - HKLM\..\Run: [byvwvwxuro] Rundll32.exe "C:\WINDOWS\pmkjhhhe.dll", s
O4 - HKLM\..\Run: [f000a437] rundll32.exe "C:\WINDOWS\system32\lmetilpf. dll",b
O20 - Winlogon Notify: iifcdeb - C:\WINDOWS\system32\iifcdeb.dl l

Clique sur Fix Checked.

5. Refais un rapport avec DSS (un nouveau) et poste le (tu n'auras qu'un seul rapport main.txt).

Bonne soirée
Cyrrus

[invitef89393c7]

Bonjour,

Alors, j'ai fait ce que tu m'as indiqué; par contre je n'ai pas trouvé 4 lignes dans la liste HijackThis:

O2 - BHO: {12ac16b4-2949-2e0a-e404-5340199baa13} - {31aab991-0435-404e-a0e2-94924b61ca21} - C:\WINDOWS\system32\aisbosmt.d ll
O2 - BHO: (no name) - {5CFB8C2E-C98D-4DA1-A8F2-AF73C966E292} - C:\WINDOWS\pmkjhhhe.dll
O2 - BHO: (no name) - {8A1435F9-3FE3-4F71-818C-C834BBEC06A1} - C:\WINDOWS\system32\jkhhf.dll
O4 - HKLM\..\Run: [f000a437] rundll32.exe "C:\WINDOWS\system32\lmetilpf. dll",b

Et j'en ai trouvé une en plus qui me paraissait suspicieuse (mais j'y ai pas touché):
O4 - HKLM\..\Run: [iiifobaxur] Rundll32.exe "C:\WINDOWS\system32\pmnnnoli. dll",s

Et voilà les deux rapports;
merci pour ton aide (j'ai comme l'impression de radoter lol, non non je ne suis pas sénile, pas à mon âge... ^^")

Allez, bonne journée et bon week-end de pâques
Line67

[Cyrrus]

Bonjour Line,

Il faut aller vite pour éviter de se faire prendre de vitesse :

~~~~~~~~~~

Attention : Ton système ne dispose pas de Firewall, ce qui est très dangeureux ! Pour éviter de prendre une autre infection, il est indispensable que tu installes un firewall, je te conseille de choisir parmis les pare-feu suivants qui sont gratuits :

• Zone alarm
• kerio
• outpost
• Comodo Pro
• Jetico

Si tu ne sais pas configurer, tu trouveras ci-dessous des aides :

• Tutorial pour kerio
• Tutorial pour Zone Alarm
• Tutorial pour Outpost Free

~~~~~~~~



1. Refais la manip avec CFScript en utilisant ce ficher (supprime l'ancien CFScript) > http://pagesperso-orange.fr/ruscry/CFScript.txt

2. Lance Hijackthis, clique sur Do a system scan only et coche les lignes suivantes :

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\iifcdeb.dl l
O2 - BHO: (no name) - {AACC54C8-07AE-4CE1-AAEE-05876FBE1083} - C:\WINDOWS\system32\jkklk.dll
O2 - BHO: {ac72111e-ce35-fe5b-30c4-625b2b86b57e} - {e75b68b2-b526-4c03-b5ef-53ece11127ca} - C:\WINDOWS\system32\hohlxewb.d ll
O4 - HKLM\..\Run: [iiifcbaxur] Rundll32.exe "C:\WINDOWS\system32\pmnnnoli. dll",s
O4 - HKLM\..\Run: [BMf33397ab] Rundll32.exe "C:\WINDOWS\system32\mptiolao. dll",s
O4 - HKLM\..\Run: [f000a437] rundll32.exe "C:\WINDOWS\system32\ddtudboc. dll",b
O20 - Winlogon Notify: iifcdeb - C:\WINDOWS\system32\iifcdeb.dl l

Clique sur Fix Checked.

3. Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer.
• Clique sur le bouton Scan for Vundo.
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
• Démarre ton PC à nouveau.
• Poste le rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo"

Poste le nouveau rapport de combofix + le rapport de Vundofix.

Bonne journée
Cyrrus

[invitef89393c7]

Re-bonjour Cyrrus,

Désolée de répondre seulement maintenant mais j'avais un travail de groupe à faire pour la FAC et je viens seulement de rentrer chez moi!
Pour ce qui est du pare-feu, j'ai celui de windows XP (si y en a un d'office ou alors c'est que mon père m'en a installé un; enfin en tout cas j'en ai un). Le truc c'est que je l'avais désactivé pour passer DSS parce que dans la procédure c'était marquée que c'est mieux de le désactiver

Ensuite, pour HijackThis, y avait plus aucun fichiers 02-BHO etc...

Bon ben voilà, jpense avoir tout dit, jte joins les deux rapports (combofix et vundofix)

Bonne fin de journée,
Line67

[Cyrrus]

Bonjour,

Ça avance...doucement car la bestiole est vraiment coriace :

Refais la manip cfscript avec celui ci : http://pagesperso-orange.fr/ruscry/CFScript.txt

~~~~~~~~

Étape 1:
Télécharge eScan Antivirus Toolkit Here. Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Ferme le programme ("Exit"). Ferme également toutes les fenêtres de l'Explorateur (ou du "Poste de Travail").

4.) *Important* : afin de compléter la mise à jour, il te faut maintenant faire ce qui suit :

- Via l'Explorateur Windows ou le Poste de Travail, navigue vers le répertoire C:\Downloads et Copie tout son contenu
- Colle tout le contenu dans le répertoire C:\Kaspersky
- Accepte le remplacement des fichiers existants
- Ferme l'Explorateur (ou le Poste de Travail).

Ne pas lancer le scan tout de suite !

Étape 3:
Redémarre en mode Sans Échec :

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer la procédure ( ou, événtuellement, de l'enregistrer dans un fichier texte ).

• Clique sur le bouton Démarrer
• Clique sur Arrêter l'ordinateur
• Dans la fenêtre qui s'ouvre : clique sur Redémarrer
• Appui sur la touche F8 ( ou F5 sur certains PC ) dès qu'un écran de texte apparaît ( puis disparaît ).
• Utilise les touches de direction pour sélectionner le mode sans échec voulu ("Mode sans échec")
• Appui sur la touche Entrée
• Attends la fenêtre avec le choix des sessions ( noms d'administrateurs ).
• Choisis ta session usuelle.
• Une nouvelle fenêtre s'affiche "Bureau" : clique sur OUI

Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui activera All Local Drive (bouton rond) juste dessous; assure-toi que ce dernier est bien activé.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde-le. **L'outil ne te laissera pas faire un "Copier/Coller" avec sélection du texte avec la souris; tu devras cliquer une fois dans la fenêtre "Virus Log Information", puis presser les touches "CTRL" et "C" simultanément et ensuite "CTRL" et "V" pour coller le texte dans le fichier du Bloc-notes. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.


Bon WE
Cyrrus
PS :

j'avais un travail de groupe à faire pour la FAC et je viens seulement de rentrer chez moi!

T'excuse pas, je sais ce que c'est.

[invitef89393c7]

Re,

Donc voilà, j'ai fait ce que tu m'as indiqué (ça a pris un peu de temps parce que je suis allée manger avant que le scan finisse et jviens seulement de finir le repas)
Et voilà le rapport!

Bonne soirée!!
Line67

[Cyrrus]

Bonsoir,

Dans le rapport il n'y a que des "no action taken"...es tu sure d'avoir supprimé c qu'il a trouvé ?

[invitef89393c7]

Re,

Euh à quel niveau??

[Cyrrus]

Tu as bien fait ceci > Clique sur Scan Clean et laisse le tool vérifier tout le disque dur

[Cyrrus]

Lance HiJackThis, choisis Open the Misc tools sections, clique sur open Uninstall manager, clique sur Save list, enregistre le fichier et poste le rapport en pièce jointe dans ta prochaine réponse.

Lance HiJackThis, choisis Open the Misc Tools Sections, clique sur Open Hosts file manager, clique sur Open Notepad, sauvegarde le rapport créé et poste le dans ta prochaine réponse.

Lance HiJackThis, choisis Open the Misc Tools Sections, coche les deux cases suivantes :

• List also minor sections (full)
• List empty sections (complete)

Clique sur Generate StartupList log, sauvegarde le rapport et poste le dans ta prochaine réponse.

Cyrrus

[invitef89393c7]

Tu as bien fait ceci > Clique sur Scan Clean et laisse le tool vérifier tout le disque dur

Ben oui, c'est ce qu'il y avait marqué de faire une fois en mode sans échec?! Après avoir ouvert mwav.com. Donc c'est ce que j'ai fait.
Pourquoi ça n'a pas marché?? (si ça a pas marché, j'ai peut-être quand même cliqué sur le mauvais bouton, mais j'étais sûre d'avoir fait ça correctement... ^^")

[Cyrrus]

Si tu l'as fait, alors c'est le programme qui a raté la suppression. Passe à la suite.

[invitef89393c7]

D'accord!!

Par contre, quand tu dis

clique sur Save list, enregistre le fichier et poste le rapport en pièce jointe dans ta prochaine réponse.

Comment je fais pour enregistrer le fichier? Parce que quand je clique sur save list il ne se passe rien de spécial

[invitef89393c7]

Bon ben finalement, quand j'ai fermé HijackThis et que j'ai refait le truc; une fois que j'avais cliqué sur "save list" ça l'a fermé mais j'ai toujours pas de rapport.

Par contre, pour les deux autres trucs à faire j'en ai donc je te les poste.

[Cyrrus]

Re,

Dejà, garde espoir...je sais bien que ca devient long...mais quelque chose persiste et réinstalle l'infection.

Pendnat que je rédige la prochaine procédure, désinstalle Avast au profit d'Antivir, certes en anglais, mais beaucoup plus perrformant. Met le à jour et scan avec.

Cyrrus

[Cyrrus]

Re,

1. Utilise ce CFScript > http://pagesperso-orange.fr/ruscry/CFScript.txt

2. Télécharge ce fichier (clic droit - enregistrez sous) > http://pagesperso-orange.fr/ruscry/fix.reg

3. Refais un scan avec DSS et poste moi le rapport main.txt qui en ressort.

Poste aussi le nouveau rapport Combofix.

Bonne soirée
Cyrrus

[invitef89393c7]

Re,

Alors,je sais pas si t'es encore là, mais je suis enfin revenue (jsuis sur l'ordi portable à mon frangin);
j'ai installé antivir mais depuis c'est la méga bordel. Donc je sais pas si l'ordi a pas supporté l'installation ou si avast était vraiment beaucoup moins performant mais là je suis bloquée sur mon pc...

Déjà je me suis battue avec lui pendant dix minutes avant de pouvoir lancer le scan parce qu'il arrêtait pas de me détecter des chevaux de troie. En plus si j'ai bien fait gaffe c'en est seulement 3 ou 4 qui reviennent à chaque fois alors que je les mettais en quarantaine, (j'ai préferé rien supprimer de peur de virer un fichier important).

Ensuite rebelote pour pouvoir redémarrer l'ordi parce qu'il me le demandait pour pouvoir supprimer des fichiers qu'il arrivait pas à supprimer de suite après le scan.

Et là, c'était de nouveau la galère pour ouvrir l'explorer; donc je me suis dit qu'utiliser l'ordi de mon frère allait pas être une mauvaise idée pour mes nerfs.(finalement c'était peut-être pas une bonne idée parce que voilà qu'il sort de sa chambre pour que je lui rende son pc... Je sens que je vais encore m'arracher les cheveux!!)

Enfin bref, toute façon je vois pas comment rapatrier le rapport antivir depuis mon ordi sans risquer de contaminer le pc de mon frère (sauf si tu me dis que c'est possible et que tu m'expliques comment faire ^^").

Bonne soirée,
Line

[Cyrrus]

Bonsoir,

Tu peux le mettre en ligne, ici par exemple > http://rapidshare.com/

Et là, c'était de nouveau la galère pour ouvrir l'explorer

C'est à dire ? Précise

[invitef89393c7]

J'ai réussi à garder le pc de mon frère ^^

Ben pareil que pour lancer le scan, je me suis battue avec lui pendant dix minutes avant de pouvoir ouvrir l'explorer parce qu'il arrêtait pas de me détecter des chevaux de troie. Et une fois l'explorer ouvert j'étais seulement sur ma page de lancement; donc j'osais même pas esperer pouvoir taper un message...

Donc, c'est toujours les même chevaux de troie qui reviennent à chaque fois:
C:\WINDOWS\system32\ynternjv.d ll
C:\WINDOWS\system32\pmkhe.dll
C:\WINDOWS\system32\vtsqo.dll
C:\WINDOWS\system32\cmkppuo.dl l
voilà

Bon, je vais essayer de transférer le rapport pour que t'en sache un peu plus

[invitef89393c7]

Bon ben j'ai finalement, au bout de 30 min...réussi à transférer le rapport!!

Je sais pas si t'es encore là(je pense que non), mais au cas où je te préviens que je vais me coucher parce que demain je dois me lever tôt (je vais passer pâques en famille; et du coup je serais pas là de la journée).

Allez, bonne nuit; et merci encore pour ton aide et ta patience
Line

PS: Jsuis tellement k.o que j'ai failli ne pas poster le rapport... =_="

[invitef89393c7]

Bonjour Cyrrus,

Alors aujourd'hui, ça s'est calmé, ça va même beaucoup mieux (j'espère que c'est bon signe), pas de po-up quand j'ouvre explorer et antivir me fait quelques alertes pour des chevaux de troie mais pas autant que samedi soir. ^^"

Du coup, j'ai réussi à exécuter la dernière procédure que t'avais mise en ligne samedi soir et je te poste les rapports.

merci encore pour ton aide, jpense que ça commence à porter ses fruits en tout cas c'est l'impression que ça me donne (espérons que ça ne soit pas juste une impression que j'ai, alors qu'en fait ça enpire...)
Bonne journée,
Line67