Bonjour,
j'ai besoin d'aide, je me sens dans une impasse.
J'ai certainement chopé un virus ou un malware en effet je ne peux plus installer un anti-virus ou faire un scan en ligne.
J'ai suivit la procédure anti-malware de Fs mais je ne peux pas installer Ewido.
Je requières donc votre aide.
Merci d'avance.
Cordialement.
Bonjour letpilote,
Poste nous au moins le log hijackthis en pièces jointes. On devrai pouvoir voir ce qui bloque.
Si je comprends bien, tu ne peux rien installer ? ou seulement les programmes antivirus/malware ?
Bonne journée
Cyrrus
Bonjour Cyrrus,
j'espérais un peu tomber sur toi, j'ai eu l'occasion de voir sur le forum ton immense talent !
Je peux effectivement faire le log hijackthis, je te l'enverrais demain, je suis actuellement au bureau. Je n'ose plus connecté mon ordi perso sur le net.
Je n'est pas essayé d'installé un autre type de logiciel que du type anti-virus/malware.
Merci de ton aide.
A plus tard.
Laurent
Re Laurent,
Ok pour le log, à demain donc
Tu peux tout autant compter sur Igor et Synthexe
Cyrrus
Bonjour
pour essayer d'utiliser les scan en ligne
cherche le fichier "hosts" , il doit etre dans
C:\WINDOWS\system32\drivers\et c
ouvre le avec le bloc note
dedans tu ne devrais avoir que la ligne
127.0.0.1 localhost
supprime les autres ( en les copiant ailleur , on ne sait jamais ^^)
ensuite réessaye d'acceder aux scan en lignes
++
Bonjour à tous,
voici mon log Hijackthis.
Merci, RUNESTAFF j'essairais cette méthode ce soir.
J'attends vos suggestions avec impatience.
Cordialement.
Laurent
Bonjour à tous,
voici la procédure, fais la bien en entier, si tu ne comprends pas quelque chose dedans n'hésite pas à poser des questions.
Elle est longue donc Je te conseille de conserver la forme de cette procédure en sauvegardant grâce à ton navigateur:
Si tu utilises Internet explorer:
- Clique sur Fichier
- Puis sur Enregistrer sous
- Choisis l'emplacement de la sauvegarde ( ie : Mes documents par exemple )
- Clique sur Enregistrer
Si tu utilises Firefox:
- Clique sur Fichier
- Puis sur Enregistrer sous
- Choisis l'emplacement de la sauvegarde ( ie : Bureau par exemple )
- Clique sur Enregistrer
1/ Téléchargement et installation des programmes :
Télécharge Ewido anti-spyware
- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
- Ferme Ewido. Ne pas le lancer tout de suite.
Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
Télécharge ATF Cleaner par Atribune.
Télécharge DiagHelp.zip sur ton bureau
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
2/ passage en mode sans échec
Au démarrage, tapote immédiatement sur la touche F8 (parfois c'est F5), puis tu verras un écran avec un choix de démarrages : choisis « Mode sans échec » avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur).
NB:Si tu rencontres un problème, va voir ici : http://service1.symantec.com/support...20905112131924
3/ Utilisation d'ATF-Cleaner :
Si tu utilises le navigateur Firefox :
- Double-clique ATF-Cleaner.exe afin de lancer le programme.
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty SelectedSi tu utilises le navigateur Opera :
- Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.Clique Exit, du menu prinicipal, afin de fermer le programme.
- Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.
4/ Utilisation d'hijackthis
Lance hiajckthis, choisis "Do a scan only" et coche les lignes suivants :
Ferme toutes les fenetres sauf Hijakcthis et clique sur "Fix Checked"R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
F2 - REG:system.ini: Shell=Explorer.exe winservnt32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\u serinit.exe,winservnt32.exe
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb. dll (file missing)
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\f r\msnappau.exe"
O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e14.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e14.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e14.e
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
5/Affiche les fichiers/dossiers cachés :
Pour afficher les fichiers et dossiers cachés du systéme :
- Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
- Cocher la case : Afficher les fichiers et dossiers cachés
- Décocher la case : Masquer les extensions des fichiers dont le type est connu
- Décocher la case : Masquer les fichiers protégés du système d'exploitation
---> Répondre OUI à la demande de confirmation- Cliquer Appliquer puis OK
6/ Suppression manuelle des élémenent :
Supprimes les éléments en gras suivants :
[quote]
C:\\nwnmff_e14.exe
C:\\dfndrff_e14.exe
C:\\kybrdff_e14.exe
C:\WINDOWS\winsys.exe
C:\WINDOWS\ssms.exe
C:\WINDOWS\system32\ssl.exe
C:\WINDOWS\netconf32.exe
internat.exe
winservnt32.exe
pour ces deux la, fait une recherche en passant par démarrer- > rechercher -> "tous les dossiers/fichiers"
dans "options avancées", il faut que tu vérifies que les cases "rechercher dans les dossiers cachés" et "rechercher dans les fichiers systèmes" soient cochées.
Vide ta corbeille !!
7/ Utilisation d'Ewido
- Du mode Sans Échec, lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
- Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
- Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
8/ Redémarre en mode normal mais ne te connecte pas encore !!
9/ Passage de Clean :
Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.
10/ Passage de Diaghelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
- Enregistre le fichier créer (sur ton bureau par exemple )
11/ Utilisation d'hijackthis :
Lance Hiajckthis :
Clique sur Open Misc Tools Section
clique sur open Uninstall manager -> clique sur "Save list" -> enregistre le fichier .
Refais un log hiajckthis :
Lance hijackthis, choisis do a scan and save a log et sauvegarde le fichier généré.
12/ Prochaine réponse
Dans ta prochaine réponse j'attends les rapports suivants :
-le log hijackthis
-la uninstall list
-le rapport de diaghelp
-le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt
-le log d'ewido
Bon courage,
Igor
Bosoir ,
si tu n'as pas commencé la procédure ne fait pas ceci :
Clique sur Open Misc Tools Section
clique sur open Uninstall manager -> clique sur "Save list" -> enregistre le fichier .
Bonne soirée,
Igor
Bonsoir,
voici les différents fichiers de logs.
Je sens déjà une amélioration, je peux ouvrir cette fenêtre !!
Je ne pouvais même pas ouvrir ce thread parce qu'il y avait marqué virus !
Merci à tous et surtout à Igor pour cette première phase.
J'espère que je me suis débarrassé de cette (CENSURE) de virus.
A lundi pour la suite.
Cordialement.
Avec la pièce jointe c'est mieux !
Bonjour letpilote,
on va continuer la désinfection de ton pc !!
1/
2/
Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
- Redémarre ton ordinateur
- Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8.
- A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
- Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
- Choisis ton compte.
Déroule la liste des instructions ci-dessous :N.B.: Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
- En mode sans échec, fais un clic droit sur le fichier SDFix.zip et choisis extraire tout,
- Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
- Appuie sur Y pour commencer le script.
- Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
3/Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml
- Clic en bas sur "I accept"
- Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.
- Lance-le en double-cliquant sur le fichier blbeta.exe
- Accepte la licence, et clique enfin sur "Scan" puis Next et exit.
- Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe
Aide : Tu peux consulter le tutorial de F-Secure BlackLight
Dans ta prochaine réponse, poste les rapports suivants :
-le rapport de SDFix (dans le dossier SDFix sur ton Bureau)
-le rapport de Blacklight
-un nouveau log Hijackthis.
Bonne soirée,
Igor
Bonjour Igor,
J'ai fait la 2ème procédure mais je pense qu'il y a autre chose parce que d'un état correcte je suis repassé à un état d'alerte.
Je m'explique :
après la première phase de nettoyage, j'ai remarque que mon firewall (en l'occurence Kerrio) avait été réactivé et je n'avais plus d'alerte virus de Avast, ni de Ewido.
J'ai fait la deuxième phase de nettoyage, et j'ai voulut te poster les rapports, à ce moment, j'ai remarqué que Kerrio avait disparu et j'ai commencé à recevoir des alertes avast et Ewido.
Dois-je refaire toute la première procédure (je pense que je vais refaire de toute façon) et observé plus attentivement ce qui se passe lors de la deuxième ?
Je te joins les rapports de la deuxième procédure tout de même, tu y découvriras peut-être quelque chose.
A bientôt et merci encore.
letpilote
Dernière modification par yoda1234 ; 02/10/2006 à 18h05.
Bonjour,
j'ai modifié le dernier rapport parceque l'indentité de "letpilote" apparaissait clairement.
Voici donc la version sans son nom.
Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).
Bonsoir letpilote,
non ne recommence pas la procédure, je vais t'en donner une autre.
Bonne soirée,
Igor
Re,
voila la nouvelle procéudure, attention de bien la faire en entier, sinon tu risques d'etre réinfecté.
Je te conseille de conserver la forme de cette procédure en sauvegardant grâce à ton navigateur:
Si tu utilises Internet explorer:
- Clique sur Fichier
- Puis sur Enregistrer sous
- Choisis l'emplacement de la sauvegarde ( ie : Mes documents par exemple )
- Clique sur Enregistrer
Si tu utilises Firefox:
- Clique sur Fichier
- Puis sur Enregistrer sous
- Choisis l'emplacement de la sauvegarde ( ie : Bureau par exemple )
- Clique sur Enregistrer
1/ Téléchargement des outils :
->Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Pour cela :
-- Ouvre le poste de travail
-- Double-clic sur le disque C
-- Menu Fichier en haut puis Nouveau et nouveau dossier
-- Tapez BFU dans le nom du nouveau dossier
Télécharge Brute Force Uninstaller (de Merijn) et tu mets le fichier dans le dossier C:\BFU.
Rends toi dans le dossier C:\BFU :
-- Ouvre le poste de travail
-- Double-clic sur le disque C
-- Double-clic sur le dossier BFU
-- Sur le fichier BFU.zip, fais un clic droit / Extraire ici ou Extraire tout.
Ensuite :
FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger alcanshorty.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utilises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers".
Important : Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : alcanshorty.bfu et BFU.exe.
FAIS UN CLIC-DROIT ICI de Metallica et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utilises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers".
Tu dois maintenant avoir trois fichiers dans le dossier BFU!
->
- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
- Ferme Ewido. Ne pas le lancer tout de suite.
- Télécharge Vundoxfix de Atribune - mirror si le lien ne fonctionne pas : http://www.softpedia.com/get/Antivirus/VundoFix.shtml
2/ Redémarre en mode sans échec :
Au démarrage, tapote immédiatement sur la touche F8 (parfois c'est F5), puis tu verras un écran avec un choix de démarrages : choisis « Mode sans échec » avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur).
NB:Si tu rencontres un problème, va voir ici : http://service1.symantec.com/support...20905112131924
3/ Utilisation d'Hijackthis :
Lance hijackthis, choisis "Do a scan only" et coche les lignes suivantes :
ferme toutes les fenetres sauf hiajckthis et clique sur "Fix Checked"R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Intern et Explorer\Search,SearchAssistan t = http://searchbar.findthewebsiteyouneed.com
F2 - REG:system.ini: Shell=Explorer.exe msejavaupdt32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\u serinit.exe,msejavaupdt32.exe
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\WINDOWS\system32\101214853. dll
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll (file missing)
O4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] Wcgopsvc
O4 - HKLM\..\Run: [newname] c:\\nwnmff_e19.exe
O4 - HKLM\..\Run: [defender] c:\\dfndrff_e19.exe
O4 - HKLM\..\Run: [keyboard] c:\\kybrdff_e19.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_FR.cab
O20 - Winlogon Notify: ddcbaxw - C:\WINDOWS\SYSTEM32\ddcbaxw.dl l
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\system32\dllcache\s tarwin32.exe (file missing)
O23 - Service: ssms - Unknown owner - C:\WINDOWS\ssms.exe (file missing)
4/ Suppression des programmes :
En passant par "ajout/suppression de pogrammes" dans le panneau de configuration, désinstalle les programmes suivant si présent :
Search Bar
5/ Utilisation des BFU :
a)
Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :
alcanshorty.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\alcanshorty.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.
b)
Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :
EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.
6/ Suppression manuelle des fichiers:
Supprime les fichiers/dossiers si présents :
Vide ta corbeille !!C:\Program Files\Uninstall_CDS.exe
c:\nwnmff_e19.exe
c:\dfndrff_e19.exe
c:\kybrdff_e19.exe
internat.exe << fais une recherche pour celui-ci
C:\WINDOWS\TEMP\it_0012.exe
C:\WINDOWS\system32\serv32.exe
C:\WINDOWS\System32\.exe
C:\WINDOWS\system32\msejavaupdt32.exe
C:\WINDOWS\system32\dllcache\starwin32.exe
C:\WINDOWS\Wcgopsvc.exe
C:\WINDOWS\ssms.exe
7/ Utilisation d'ATF-Cleaner
Si tu utilises le navigateur Firefox :
- Double-clique ATF-Cleaner.exe afin de lancer le programme.
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty SelectedSi tu utilises le navigateur Opera :
- Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.Clique Exit, du menu prinicipal, afin de fermer le programme.
- Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.
8/ utilisation d'Ewido:
- Du mode Sans Échec, lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
- Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
- Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
9/Passage de Clean
Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.
10/ passage de SDFix:
Déroule la liste des instructions ci-dessous :
- En mode sans échec, fais un clic droit sur le fichier SDFix.zip et choisis extraire tout,
- Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
- Appuie sur Y pour commencer le script.
- Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
11/ Passage de Vundofix :
- Double-clique VundoFix.exe afin de le lancer.
- Clique sur le bouton Scan for Vundo.
- Lorsque le scan est complété, clique sur le bouton Remove Vundo.
- Une invite te demandera si tu veux supprimer les fichiers, clique YES
- Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
- Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
- Démarre ton PC à nouveau.
12/ Dans ta prochaine réponse :
Il faut que tu me poste les rapports suivants :
- le log d'Ewido
- le log de clean
- le rapport de SDFix
- le rapport de vundofix
- un log Hijackthis
Si tu as des questions, n'hésite pas.
Bonne soirée,
Igor
Bonjour Igor,
j'ai effectuer la procédure mais j'ai remarqué une chose qui a peut-être de l'importance : je n'arrive pas à lancer Ewido du mode sans echec.
Pour pallier cet état de fait, j'ai lancer un scan et un fix avec Spybot Search and Destroy, je te joins le log correspondant.
En mode normal, j'ai quand même lancer un scan Ewido.
D'autre part, j'avais effectivement un logiciel Search Bar mais je n'ai pas put le désinstaller, toutefois, il y avait un autre logiciel qui me paraissait bizarre : Search 888, je l'ai désinstaller.
Voilà, a plus tard pour la suite et encore merci.
Letpilote
PS : je n'arrive pas à mettre les pièces jointes ?
Bonsoir letpilote,
tu as bien fait de désinstaller search 888.
Pour le scan avec ewido, ca arrive quelque fois que des personnes ne puissent pas le lancer en Mode Sans échec, mais lance le en mode normal.
Pour le log de spybot S&D, tu peux le poster aussi, y'a pas de problème.
Et je ne sais pas pourquoi tu ne peux pas mettre de pièce jointe, je vais tester ici.
Bonne soirée,
Igor
Sa marche pour moi, vérifie que tu ne remette pas le meme log,il te le refuse sinon.
voici les logs
Et le dernier log.
Bonsoir letpilote,
je pense que ca doit aller mieux maintenant.
On va continuer car il reste quelque truc à enlever.
1/
Enregistre le rapport qu'il te propose pour le joindre à ton prochain message(WinXP, Win2K)
Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Utilisation ----- option 1 - Recherche :
Dézipper la totalité de l'archive smitfraudfix.zip
3 options à lancer séparément :
----- option 1
Double cliquer sur smitfraudfix.cmd
Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/proc...processutil.htm
2/
3/Télécharge gmer : http://www.gmer.net/gmer.zip
Déconnecte toi d'internet si possible et ferme tous les programmes.
Décompresse le fichier zip et double-clic sur gmer.exe
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit" et clic sur Scan
Lorsque le scan est terminé, clic sur "copy"
Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau
Redémarre en mode sans échec
4/
Enregistre le rapport pour le joindre à ton prochain messageDouble cliquer sur smitfraudfix.cmd
Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention que l'option 2 de l'outil supprime le fond d'écran !
5/ Recommence Vundofix
- Double-clique VundoFix.exe afin de le lancer.
- Clique sur le bouton Scan for Vundo.
- Lorsque le scan est complété, clique sur le bouton Remove Vundo.
- Une invite te demandera si tu veux supprimer les fichiers, clique YES
- Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
- Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
- Démarre ton PC à nouveau.
6/ Prochaine réponse:
Il me faut les rapports suivants:
les deux rapports de smitfraufix
le rapport de Gmer
le rapport de Vundofix
un nouveau log hijackthis
Dis moi aussi si tu as des dysfonctionnements? toujours des problèmes ?
Bonne soirée,
Igor
Bonjour Igor,
voici les résultats de cette phase de désinfection. Effectivement, ça commence à aller mieux.
J'ai eu un écran bleu, après le passage de gmer, au moment d'éteindre mon PC.
Le scan de Vundofix est rassurant puisqu'il n'a rien détecté.
Par contre, parmi les disfonctionnements, j'ai régulièrement des fenêtres parasites sur Internet explorer pour me proposé des anti-virus. Heureusement, j'utilise plutôt Firefox.
A ce propos, j'ai trouvé pourquoi, je n'arrive pas à uploader les fichiers, il doit y avoir un bug sous Firefox.
A plus tard.
Laurent
Bonsoir letpilote,
d'accord pour les différents dysfonctionnements.
Tu as un vundo qui revient tout le temps ( c'est ce qui te crée les fenetres publicitaires), donc il faut trouver ce qui le recréer.
Pour Firefox, comme tu as eu une grosse infection essaie de le désinstaller puis de le résinstaller.
Pour la suite :
1/
2/ DiaghelpSilentRunners
Télécharge et utilise Silentrunners http://www.silentrunners.org/Silent%20Runners.vbs
Clic droit sur le lien et choisis Enregistrer la cible sous
Double clic sur Silentrunners, patiente un peu rapport sera généré, quant ce sera terminé tu en sera averti, poste ce rapport
Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
Enregistre le rapport généré
Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 2
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
Enregistre le rapport généré
3/
Recommence Vundofix
Poste moi les rapports suivants :
-le rapport de silent runners
-les deux log de diaghelp
-le rapport de vundofix
-un nouveau log hijackthis
Bonjour Igor,
tu crois que l'on va y arriver ! Je commence un peu à désespérer !
Néanmoins voici les logs demandé.
Merci.
Cordialement.
Letpilote
Bonsoir letpilote,
je ne crois pas que l'on va y arriver j'en suis même sur!!!
On va continuer la procédure par la suppression de fichiers.
Ensuite télécharges et installes :
KillBox de Option^Explicit
Aide Killbox
sélectionne entièrement la liste ci-dessous :
---> et tu fais clic droit / copierCode:C:\WINDOWS\System32\lyscohtt.dll C:\WINDOWS\System32\ayxoqqhq.dll C:\WINDOWS\System32\lucpimit.exe C:\WINDOWS\System32\yyivlwmh.dll C:\WINDOWS\System32\ljhih.dll C:\WINDOWS\System32\ddcbaxw.dll C:\WINDOWS\system32\aswBoot.exe
Ouvres killbox
- Sélectionne "delete on reboot"
- Clique sur le menu "File" -> "Past from clip board"
- Clique sur All Files
- Clique sur la croix rouge et et blanche
- Répond yes et laisse redémarrer ton pc.
N'hésite pas à consulter l'Aide killbox
NOTE: Si tu reçois le message "PendingFileRenameOperatio ns Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur
2/ Supprime manuellement les fichiers/dossiers en gras suivant :
c:\Documents and Settings\### ###\Local Settings\Temp\nstmp\uninstall.exe << c'est un fichier
c:\Documents and Settings\### ###\Local Settings\Temp\nstmp1\uninstall.exe << c'est un fichier
les ### étant ton nom de session
C:\Program Files\fichiers communs\{78E8E17D-07C7-1036-0811-030212160021} << c'est un dossier
Si tu as des problèmes pour supprimes les fichiers/dossiers, passe par le mode sans échec.
3/ Scan en ligne :
Fais un scan en ligne avec Kaspersky WebScanner
Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.
On va te demander de télécharger un contôle active x, accepte .
Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".
Le scan va commencer.
Dans ta prochaine réponse, poste moi le rapport de kasperky ainsi qu'un nouveau log hijackthis.
Bonne soirée,
Igor
Bonjour Igor,
merci de me soutenir.
Voici les logs.
A plus tard.
Letpilote
Bonjour letpilote,
on va y arriver !!!
Exécute Vundofix
- Ne clique pas sur [b]Scan for a vundo"
- Clique droit au milieux de la fenêtre
- Clique sur Add more files ?
- Copie/colle les fichiers ci-dessous ( un par case) :
- Clique sur Add files
- Supprime ce qui se trouve dans les trois cases, et
- ajoute la ligne suivante:
- Clique sur Add files
- Ensuite clique sur Close Windows
- Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
- Si l'outils demande un redémarrage, accepte
- Poste le rapport Vundofix, ainsi qu'un nouveau log hijackthis
Bonne journée,
Igor
Bonjour Igor,
voici les logs demandés.
A plus tard.
Letpilote
Bonsoir letpilote,
très bien on touche au but, l'opération a résussi !!
As-tu encore des dysfontionnements ?
Fais ceci maintenant
-Télécharger jv16:
http://telechargement.zebulon.fr/201...owertools.html
-pour plus de détails=>son tutorial:
http://www.zebulon.fr/articles/base-de-registre-3.php
- Mettre le logiciel en français Preferences > Language > Français > OK.
- Ensuite, Outils registre > menu Outils > nettoyeur de registre.
- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".
- Cliquer sur "Continuer" puis sur "Démarrer".
- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"
puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.
N'hésite pas à recommencer deux trois fois l'opération parceque tu dois avoir beaucoup de clés orphelines.
Lance Hijackthis, choisis "do a scan only" et coche les lignes suivantes :
Ferme toutes les fentres sauf hiajckthis et clique sur "Fix Checked"O2 - BHO: (no name) - {62DE449F-910B-4CC2-BAD5-078FA5847A62} - C:\WINDOWS\system32\ljhih.dll (file missing)
O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\system32\lyscohtt.d ll (file missing)
Refais un scan avec kasperky :
Fais un scan en ligne avec Kaspersky WebScanner
Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.
On va te demander de télécharger un contôle active x, accepte .
Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".
Le scan va commencer.Poste le rapport qui sera généré stp, ainsi qu'un nouveau log hiajckthis
Bonne soirée,
Igor
Bonsoir Igor,
moi aussi, je sens que nous tenons le bon bout. Je n'est plus de dysfonctionnement et les logs sont plus propres.
Voici les nouveaux.
A plus tard.
Letpilote
Bonjour letpilote,
les logs sont propres !!
Bon maintenant on va supprimer un peu tout ce que je t'ai fait installer !!
Supprime via "ajout/suppression de programmes" les logiciels suivants ( vérifie si d'autre n'apparaissent pas la liste, à ce moment la, désinstaller les) :
Hijackthis
Killbox
Supprime les dossiers/fichiers suivants :
killbox (le dossier)
Hijakcthis (si il reste encore des traces)
Diaghlep
Clean
BFU
SDFix
Blacklight
Vundofix
Smitfraudfix
gmer
silents runners
Je te conseille de garder AVG Anti Spyware ainsi que ATF-Cleaner pour l'entretient de ton pc.
Ensuite réalise l'opération suivantes :
Maintenant que ton ordinateur, je te recommande vivement de lire ce dossier pour protéger ton ordinateur >> http://www.futura-sciences.com/compr...ssier627-1.php
- Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
- Coche la case "Désactiver le système de restauration..."
- Redémarre l'ordinateur
- Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
- Décoche la case "Désactiver le système de restauration..."
Et voila, un nouveau point de restauration qui est a priori propre
Comme on a effecuté des opération assez lourde, je te conseille aussi de défragmenter ton système et de nettoyer ton registre.
Si tu as des questions , n'hésite surtout pas.
Bonne journée,
Igor
