Bonours,
Après une série d'infections virales, je suis dans l'impossibilité de mettre une image comme papier peint sur mon bureau sous windows XP Pro. Je peux juste en changer la couleur...
Ce qui est étonnant, c'est que cela se passe sur mon compte administrateur alors que sur un compte invité, ça marche normalement...
Si vous avez une idée d'où cela peut venir, je suis tout ouï!
Merci d'avance
Draune
Non, pas d'idée?
Comme je ne sais pas comment tu as traité ton infection virale (et il y a de bonnes chances que tout ne soit pas clean), je transfère la discussion dans un forum plus adapté et je te conseille vivement d'appliquer cette procédure :
http://forums.futura-sciences.com/thread69698.html
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
ça y est : j'ai fait la procédure que tu m'as conseillé JPL.
ça n'a rien changé à mon problème mais ça a fait l'occasion de nétoyer un peu mon ordi : merci!!
Mais ça parle d'un mesage (où on doit mettre les rapports des analyses) : c'est quoi ce message?
poste tes rapports en pièces jointes ds ton prochain message. utilise la touche en bas "gérer les pièces jointes" quand tu composes ton msg.
Bonjour draune,
tu es infecté par un smitfraud, il te faut un outils spécifique pour te débarrasser de ceci, néanmoins on ne te le donnera qu'après avoir mis les deux rapprts en ligne (c'est surtout pour savoir s'il n'y a pas autre chose avec ce spyware).
Lorsque tu réponds, tu as "gérer les pièces jointes" tu clique dessus et tu met le log d'ewido ainsi que le log hijakcthis en ayant pris soin de le renomer en hijackthis.txt pour pouvoir le poster.
Bonne journée,
Igor
Voilà j'ai mis les 2 rapports. Cependant comme pour Ewido, ce n'est pas mon premier scan et que j'ai pas suavegarde le précédent, il n'y a rien dessus (en fait j'aurais pas du le mettre...).
Bonsoir tout le monde,
Belle infection par smitfraud...entre autre. Pour celui qui va se coltiner le log :
winbrume.dll<--- un bon smitfraud quasi dernière génération.
secure32.html<-- annonce une belle désinfection en perspective
A priori il y aurait 2 Vundo identique en même temps mais je n'ai jamais vue ce genre de ligne :
..donc prudence...O20 - Winlogon Notify: RunOnce - C:\WINDOWS\
Il y a aussi du purity apparemment...
Draune attend les indications d'Igor ou de synthexe et n'essaye pas d'enlever tout ca toi même.
Amusez vous bien !
Cyrrus
Bonsoir à tous, Cyrrus
on va s'occuper du smitfraud en premier, puis du vundo:
1/
2/Télécharge VundoFix.exe (par Atribune) sur ton Bureau.(WinXP, Win2K)
Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Dézipper la totalité de l'archive smitfraudfix.zip
Utilisation ----- option 1 - Recherche :
Double cliquer sur smitfraudfix.cmd
Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.
Poster le rapport sur le forum.
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.poste les rapports en pièce jointe
- Double-clique VundoFix.exe afin de le lancer.
- Coche Run VundoFix as a task.
- Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
- Clique sur le bouton Scan for Vundo.
- Lorsque le scan est complété, clique sur le bouton Remove Vundo.
- Une invite te demandera si tu veux supprimer les fichiers, clique YES
- Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
- Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
- Démarre ton PC à nouveau.
- Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
Bonne soirée,
Igor
Voilà pour le premier
Vundofix n'a rien trouvé : je crois que c'est pas la peine de mettre le rapport...
Bonsoir Draune,
étonnant qu'il n'est rien trouvé, poste le rapport quand même s'il te plait (l'autre est en attente de validation) je te dis quoi faire dès que je peux le lire.
Bonne soirée,
Igor
Et voilà le nouveau Hijackthis!
OK le voilà :
Rebonsoir,
1/
2/Utilisation ----- option 2 -Nettoyage :
Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage
ou tuto Symantec).
Double cliquer sur smitfraudfix.cmd
Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran
et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté.
A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
Redémarrer en mode normal et poster le rapport sur le forum.
N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention : l'option 2 de l'outil supprime le fond d'écran !
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
quand tu auras fais ces deux opérations, refais un scan avec vundofix, si le rapport contient quelque chose poste le sinon dis le moi juste.
Reposte aussi un log hijakcthis (après ces opération tu va retrouver ton arrière plan cependant ton pc reste bien infecté)
Pense à poster les log en pièce jointe.
Bonne soirée,
Igor
Voilà le rapport de smitfraudfix.
Par contre Blacklight ne veut pas se lancer : "F-secure Blacklight could not acquire necesary privileges (SeDebugPrivilege) "
Et merci pour ton aide
Enfin voici quand même le dernier Hijackthis!
ça y est le fond d'écran est revenu! J'ai refait ce matin un smitfraudfix car au premier ça n'avait rien changé...
Mais mon PC reste sérieusement infecté?
De toute façon j'avais prévu de formater d'ici quelques semaines : ça règlera les problèmes, non?
Bonjour Draune, Igor, Cyrrus, tout le monde
Oui draune, tu es encore bien infecté.Mais mon PC reste sérieusement infecté?
Nous ne demandons un formatage que lorsque cela est absolument nécessaire, le but étant de désinfecter ton Pc en y laissant toutes les données que tu as dessus ... Igor va surement repasser te donner la suite de la procédure ...De toute façon j'avais prévu de formater d'ici quelques semaines : ça règlera les problèmes, non?
Bonne journée, et ne t'inquiete pas pour tes infections, on va leur tordre le cou
Bonjour à tous,
ton pc reste bien infecter et ce vundo est robuste mais on va s'en occuper: lis la procédure en entier, il y a des outils à télécharger et à configurer, s'il y a des choses que tu ne comprends pas n'hésite pas à me demander.
Je te conseille de suavegarder cette procédure car elle est assez longue
1/Démarre en mode sans échec (tapote F8 au démarrage)
2/Assure toi d'avoir accès à tous les dossiers/fichiers:
3/Ovre hijackthis,, choisis "Do a scan only" puis coche les lignes suivantes:Pour afficher les fichiers et dossiers cachés du systéme :
- Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
- Cocher la case : Afficher les fichiers et dossiers cachés
- Décocher la case : Masquer les extensions des fichiers dont le type est connu
- Décocher la case : Masquer les fichiers protégés du système d'exploitation
---> Répondre OUI à la demande de confirmation- Cliquer Appliquer puis OK
ferme toutes les fenetres sauf hijackthis, et clique sur "fix cheked"R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = http://www.wanadoo.fr
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: (no name) - {48416C06-C0D7-F650-C31E-DC868B009EAE} - C:\WINDOWS\System32\qtuxfxu.dl l
O2 - BHO: (no name) - {75329699-7327-5FFB-2F80-2687E9F4EB9C} - C:\WINDOWS\System32\hngw.dll (file missing)
O2 - BHO: (no name) - {7D6C5C06-EDE4-C364-EE2E-ECABBB30B39E} - C:\WINDOWS\System32\qtuxfxu.dl l
O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Program Files\webHancer\Programs\whsur vey.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe"
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2877babc...dxIE601_fr.cab
4/On va supprimer manuellement le reste:
Supprime ce qui est en gras:
C:\WINDOWS\System32\qtuxfxu.dll<< le fichier
C:\WINDOWS\System32\hngw.dll<<le fichier
C:\WINDOWS\System32\qtuxfxu.dll<< le fichier
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe << le fichier
C:\winstall.exe<< le fichier
C:\Program Files\webHancer\Programs\whsurvey.ex e<< le dossier entier
5/Vide la corbeille!!
6/Passage d'ATF-Cleaner:
Télécharge ATF Cleaner par Atribune.Si tu utilises le navigateur Firefox :
- Double-clique ATF-Cleaner.exe afin de lancer le programme.
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty SelectedSi tu utilises le navigateur Opera :
- Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.Clique Exit, du menu prinicipal, afin de fermer le programme.
- Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.
7/Passage de JV16:
-Télécharger jv16:
http://telechargement.zebulon.fr/201...owertools.html
-pour plus de détails=>son tutorial:
http://www.zebulon.fr/articles/base-de-registre-3.php
- Mettre le logiciel en français Preferences > Language > Français > OK.
- Ensuite, Outils registre > menu Outils > nettoyeur de registre.
- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".
- Cliquer sur "Continuer" puis sur "Démarrer".
- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"
puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.
8/Repasse Ewido Et vundifix tous les deux en mode sans échec.
9/Redémarre en mode normal:
Poste Les différents rapports: ewido, vundofix et un hijakcthis en pièce jointe,
Bonne soirée,
Igor
Voici les rapports demandés (je crois que ça s'annonce bien).
Par contre je n'ai pas pu effectuer la partie 4 de la procédure car ces fichiers n'étaient pas présent (mais je me souviens avoir supprimé manuellemement winstall.exe il y a quelques temps). De même certaines lignes n'étaient pas là dans hijackthis (partie 3)...
Merci beaucoup à toi Igor51 pour ton aide!
Bonjour tout le monde,
Je laisse Igor analysé les rapports, mais juste un précision :
C'est le dossier C:\Program Files\webHancer qu'il faut supprimer en entier.C:\Program Files\webHancer\Programs\whsur vey.ex e<< le dossier entier
Il y a une ligne que je n'ai jamais vu et qui me tracasse, surtout après avoir vu du Vundo :
Je ne sais pas quoi en penser, peut être faudrait il demander l'avis "des autres" (O20 - Winlogon Notify: RunOnce - C:\WINDOWS\), ne serait ce que pour savoir ce à quoi c'est due ?
Bonne journée
Cyrrus
C:\Program Files\webHancer : inconnu au bataillon m'sieur. Il n'y est pas.
Oui oui je me doutais bien qu'il avait disparu, c'était juste au cas ou
Bonsoir à tous
j'analyserai les logs plus tard...
Cyrrus: pour ce qui est du vundo, pour l'instant je le laisse de coté mais j'y reviendrai à la fin parceque le fix d'Atribune ne trouve rien pour l'instant donc je pensais que quelque chose le génait.
Bonne soirée,
Igor
Rebonsoir,
je viens de me faire avoir par le temps d'édit!!!
Draune: Est-ce que tu as deux antivirus sur ton pc???
Oui en effet : il y a bitdefender et Norton 2001 d'installés en cemoment... C'est pas bien?
Rebonsoir,
non ce n'est pas bien, il faut absolument que tu en désinstalle un celui que tu veux car il y a un risque de conflit entre les deux ce qui rendrait ta machine instable.
Pour ce qui est de l'infection tu n'as que ce vundo dont on parle avec Cyrrus.
Peux-tu reessayer blacklight???
Bonne soirée,
Igor
Ok pour les antivirus : je vais en supprimer un. Mais lequel dois-je garder d'après vous? Norton 2001 commence peut-être à être un peu vieux. Je crois que bitdefender serait mieux... Non?
Bitdefender est mieux, mais pourquoi payer un antivirus quand il y en a de très bons gratuits ?
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
