win 32 en quarantaine: que faire?

[invitefba1a595]

p'tet ça a marvhé ce coup cihijackthis rapport.txt

Ewido Report-Scan-20060829-134930.txtquelle aventure !
désolée de ma maladresse, cyrrus, j'y ai rien compris en plus
-----

[invitefba1a595]

cher Cyrrus
j'ai bien suivi la procedure " malware "tout doucement, j'espere que les rapports sont correct et que vous pouvez travailler dessus, pas d'urgence je pense: juste ce message à chaque demarrage d'un fichier non retrouvé, toujours le meme, celui infecté par backdoor
comment le remplacer?
J'AI UNE SAUVEGARDE DE MES FICHIERS SYSTEME
que j'ai fait au debut, heureusement, me sera t elle utile?
merci à toute l'équipe

[invitefba1a595]

juste pour vous dire que je trouve ce nouveau systeme
d'arbre de reponses tres lisible et bien pratique
ce forum évolue, c'est bien et rare, à la portée du plus grand nombre...

[invitebf5cd8b2]

Bonsoir mamijo,

Les manips n'ont malheuresement pas marchées. A vrai dire, je m'y attendais un peu

On va faire autrement ne t'inquiete pas

Suis bien les instructions suivantes. Prend ton temps encore une fois, tu n'es pas pressé

1/

Télécharge la dernière version de Killbox -> http://www.downloads.subratam.org/KillBox.zip
Place le programme dans le répertoire qui te plaît (pas d'installation Windows)

- redémarre l'ordinateur en mode sans échec

- lance Pocket Killbox
--- choisis l'option Delete on Reboot
--- copie la liste ci-dessous, des fichiers à supprimer

Code:

C:\WINDOWS\system32\msjvms32.exe
C:\Program Files\FenAffiche

* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.
Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.
--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"

--- clique sur la croix blanche sur fond rouge (Delete File) :

- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder

Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.

Tu pourras trouver un tutorial complet et détaillé par Jesses : http://perso.wanadoo.fr/jesses/Docs/...ls/KillBox.htm

2/

Télécharge la version d'évaluation d'Ewido:
http://www.ewido.net/en/download/
Installe la et mets à jour.

Démarre Ewido avec l'icône qui se trouve sur ton Bureau.
Clique sur Update Now,
attend la fin de cette mise à jour,
puis ferme le programme.

Redémarre en mode Sans Échec
(au démarrage, tapote immédiatement la touche F8), puis tu verras un écran avec choix de démarrages :
choisis Mode sans échec avec les flèches du clavier, puis valide avec Entrée .
Choisis ton compte usuel (et non Administrateur).

Relance Ewido et clique sur Scanner
Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine.

Reviens a l'onglet Scan cliques Complete system Scan.
Le scan démarre.

A la fin cliquer sur Apply all actions
Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.
Redémarre en mode normal.
poste le rapport dans ta réponse.

Poste moi le rapport d'Ewido, ainsi qu'un nouveau rapport hijackthis.

Si tu as es questions, n'hésite pas évidemment

Bonne soirée
Cyrrus

[invitefba1a595]

bonsoir Cyrrus, bonsoir à tous
je retappe mon post ( apparemment j'ai des problemes )
j'ai bien reçu tes conseils et je suis allée faire un tour sur
" jesses" c'est vrai: je fais pleins d'erreurs basiques
je vais étudier tout ça à tete reposée et proceder ensuite sans faire de fautes j'espère
lundi je reprends le boulot au labo, je serai sans doute moins disponible, mais je ne lache pas l'affaire
je mesure le bonheur d'avoir une équipe d'informaticiens
qui font tout ce travail en amont ( on est en reseau au labo )je n'imaginais même pas !
faut-il que je garde la même discussion ( pour ne pas passer aux oubliettes ) ou en recreer une autre?
qu'entends-tu par " autre registre", bureau c'est ok ?
dire qu'il ne m'aura fallu que 4 mois pour véroler mon PC,
ç'a fait peur quand même
de nombreuses personnes preferent re- installer tout le systeme, que penses-tu de cette solution radicale ?quels sont les risques ?
merci pour ton aide precieuse
à demain Cyrrus ( j'espère que ma réponse partira ce coup-ci )

[invitefba1a595]

cher Cyrrus
j'ai refait un scan avant de fermer
voilà les rapports
bonne nuit à tousReport-Scan-20060903-002150 ewido 2 sept.txt

hijackthis rapport 2.txt

[invitebf5cd8b2]

Bonjour mamijo,

je mesure le bonheur d'avoir une équipe d'informaticiens
qui font tout ce travail en amont ( on est en reseau au labo )je n'imaginais même pas !

Hmm...si c'est un labo au sens de recherche dans une fac, alors oui tu mesures à quels points ces gentils bonhommes, enfermés dans leurs sous sols devant leurs écran font (je plaisante bien sûr...je ne suis même pas informaticien)

faut-il que je garde la même discussion ( pour ne pas passer aux oubliettes ) ou en recreer une autre?

Pas besoin de recreer une discussion. Celle ci remontera lorsque tu reposteras un post dedans.

qu'entends-tu par " autre registre", bureau c'est ok ?

Heu....je ne vois pas de quoi tu parles..peux tu préciser ?

de nombreuses personnes preferent re- installer tout le systeme, que penses-tu de cette solution radicale ?quels sont les risques ?

C'est le grand débat là dessus. Je préfère que les personnes désinfectent elles même pour deux raisons. La première, parce que je trouve absurde de formater alors que ce ne sont que 2/3 fichiers qui mettent la pagaille. La seconde : les gens qui formatent n'apprennent qu'à....formater. En désinfectant soi même son pc on a l'occasion de progresser et de démysthifier cette grosse bébète métallique, surtout lorsqu'on est aidé. A part cela pas de risques.

Les deux rapports que tu m'as donné ne montre pas de différence, je suppose donc que tu comptes faire les manips plus tard (tu as tout le temps évidemment).

Bonne journée
Cyrrus

[invitefba1a595]

bonjour Cyrrus , Igor ( merci de m'avoir invitée sur ce forum ) et Syntexe , nos anges gardiens informatique
ce mess juste pour vous faire un petit coucou
je deviens completement parano: j'ouvre l'ordi et je scanne, j'en oublie le côté ludique et c'est pas bien !
c'est du boulot de garder son ordi propre !

mon dernier scan avec avast ( minutieux ) a duré 20 mn !
et il a trouvé d'autre bestioles ( la guerre de Troie a recommençé )
le C:/pilotes/PILOTES,ISOfile est touché par un MRB !
c'est à desesperer ! je mets tout en quarantaine avant d'utiliser killbox car comme ils disent : ce n'est pas un jouet !
je ferais ça plus tard, là c'est dimanche, en plus il fait moche !
pour le labo ( grosse structure ) nos informatitiens ne sont pas à la cave mais dans des locaux climatisés, ils ont sûrement moins souffert que nous lors de la canicule de juillet ! mais bon, à chacun sa galère !
bon dimanche à tous !
à demain

[invitefba1a595]

bonjour tout le monde !
voila Cyrrus j'ai installé killbox, prête à agir , c'etait trop simple, voila le nouveau prob:
mes fichiers infectés sont en quarantaine, et je ne trouve plus le chemin pour les atteindre ( j'ai déroulé le C:/window et rien ne correspond , et impossible d'ouvrir avast ou ewido pour atteindre la quarantaine )donc impossible de les supprimer !
j'en ai 2 mechants en quarantaine:

C:/windows/system32/msjvms32.exe dans ewido


C:/pilotes/pilotes,iso/outils/reinst/MRB.exe/mrb.IMA file
" /mrb.ISO file
C:/pilotes/PILOTES.ISO file mis en quarantaine par avast

j'en reviens à ma premiere question: comment les eradiquer ?
autre question : si ces fichiers sont importants et qu'ils sont supprimés, peut-on les remettre en place individuellement à partir de la sauvegarde ?

merci Cyrrus

[invitebf5cd8b2]

Bonsoir mamijo,


Je vais reprendre les instructions que je t'ai donné une dernière fois, en espérant que cette fois ci tu comprendra correctement ce que je te demande :

1/ Lance Killbox

2/

--- choisis l'option Delete on Reboot

--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard

Code:

C:\WINDOWS\system32\msjvms32.exe
C:\Program Files\FenAffiche

* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.
Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.
--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"

--- clique sur la croix blanche sur fond rouge (Delete File) :

- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder

Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.

3/ Puis, lance Hijackthis, une fois l'ordinateur redemarré, et clique sur Do a system scan only

4/ Coche ensuite les lignes suivantes dans Hijackthis :

Code:

F3 - REG:win.ini: load=c:\windows\system32\msjvms32.exe
O4 - HKLM\..\Run: [fenaffiche] C:\Program Files\FenAffiche\FenUnika.exe

5/ Clique ensuite sur Fix Checked

Une fois cela fait, poste moi un nouveau log hijackthis en pièces jointes.


Cyrrus

[invitefba1a595]

bonsoir Cyrrus
désolée de vous embetter comme ça
j'ai procedé et bien sur il y a quelques beug :
j'ai bien copié les 2 chemins en meme temps mais au collage il n'y a que FEN AFFICHE qui s'est collé
mon ordi ne retrouve plus l'autre et ce n'est pas ma faute
je vous envoi le rapport, merci de votre patience

[invitebf5cd8b2]

Bonjour mamijo,


Les deux lignes ont disparu du log hijackthis, beau boulot

Pour Killbox, ce n'est effectivement pas de ta faute, il y a eu quelques problèmes dejà avec les liens de téléchargement, puis ce fameux bug qui ne met qu'un seul fichier.
On va donc refaire la manip précédente pour le second fichier.

1/

---Lance Pocket Killbox
--- choisis l'option Delete on Reboot
--- copie le chemin complet du fichier dans la boîte "Full Path of File to Delete" :

Code:

C:\windows\system32\msjvms32.exe

- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder

Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.

2/ Une fois l'ordinateur redemarré, fais un scan complet avec Ewido. Sauvegarde la rapport à la fin du scan et poste le en pièces jointe sur le forum.

Bonne journée
Cyrrus

[invitefba1a595]

Report-Scan-20060906-212735 ewido 6 sept.txt

Warning avast 6sept.txt

bonsoir Cyrrus
voila les infos, plus celles d'avast que j'ai reussi à trouver en fouillant
cela se corse !
j'ai l'impression que la quarantaine d'avast n'est pas scannée par ewido
tu ne m'a pas repondu quand au remplacement des fichiers detruits s'ils sont importants pour la bonne marche de l'ordi
bonne soirée à toi et à l'équipe de chasseur de virus

[invitebf5cd8b2]

Bonsoir mamijo,

Désolé du retard !

Tes deux rapports ne montrent rien de méchants, c'est très encourageants !

Peux tu me poster un (dernier) log hijackthis, afin de vérifier de ta désinfection.

Pour ce qui est des fichiers trouvés par Avast, ils ne sont pas réellement méchant, mais nous allons néanmoins les supprimer :

Supprime donc le dossier suivants :

C:\Pilotes\PILOTES.ISO\OUTILS\RéINSTALLATION

As tu encore des dysfonctionnements ?

Bonne soirée
Cyrrus

[invitefba1a595]

bonsoir Cyrrus,
merci de ta reponse, je vois bien que tu es sur tous les fronts
je vais faire ce que tu demandes demain
en tout cas je n'ai plus de message d'erreur au demarrage de windows, tout a l'air ok !
merci à nos anges gardiens
j'apprends beaucoup avec vous et j'ai chaudement recommendé ce forum à mes collegues un peu ignares comme moi
merci beaucoup
à demain pour la suite de la chasse aux vilaines bebetes

[invitefba1a595]

bonsoir Cyrrus
apres ce petit breack j'ai voulu refaire la procedure
killbox : impossible de coller le chemin indiqué !!!
j'ai cherché aussi dans le C : rien
( premier scan hijackthis)
je suis donc revenue sur avast et j'ai voulu eliminer les fichiers douteux mis en quarantaine : ok plus de virus
( scan hitjack 2 )
j'ai donc liberé ces fichiers et fait un nouveau scan avast:
positif ( les memes ) : action destruction plutot que la quarantaine
( scan hijackthis 3 )
peux-tu les analyser et me dire si j'ai bien fait
j'espere comme toi que l'on pourra passer à autre chose enfin
merci de ta patience

à bientôt Pièce jointe 10998

12 sep (3)hijackthis.log

12 sept (2) hijackthis.log

[invitefba1a595]

excuse moi Cyrrus, fausse manoeuvre d'effacement
voila le log 1
text bien sur !
a plus tard !
scan 12 sept hijackthis.log

[invitebf5cd8b2]

Bonsoir mamijo,

Les 3 logs sont propres. L'infection est donc éradiqué. As tu encore des dysfonctionnements ?

Si non je te conseille vivement de lire le dossier de prévention de Futura => http://www.futura-sciences.com/compr...ssier627-1.php

Bonne soirée
Cyrrus

[invitefba1a595]

bonsoir Cyrrus et nos autre anges gardiens
je suis tres satisfaite de cette reponse
apparemment je n'ai pas d'autres troubles
je reviendrais tout de suite sur ce site pour trouver de l'aide
c'est formidable ce que vous faites et je suis tres contente d'en avoir profité
merci à Igor aussi de m'avoir dirigée sur votre site car je serais encore dans les limbes
pour une debutante comme moi c'était vraiment super d'être dirigée pas à pas, j'ai vraiment apprecié , même si je vous ai ennervé plus d'une fois ( si, si, )
le forum Futura est vraiment le mieux que je connaisse,je reste avec vous
à bientôt, merci encore
jo

[invite37c6d0cb]

salut a tous moi j des gros pb avec l ordi comme anti virus j ai avg
ma 1 question et que faire une fois les virus placer en 40taine
2 question avg est il lanti virus qu il me fo merci a ts d avance

[invite37c6d0cb]

de plus qd je scanne mon ordi jamais de virus decter
part contre qd je veut ouvrir mes video imposible explorer exe et si je clic sur ne pas envoyer tout se ferme help help merci