Probleme infection serieuse

[invite18845d9f]

Bonjour, mon ordinateur est completement infecte le probleme est que je ne peux meme pas suivre la procedure ennoncee sur le forum antimalware.
En effet, lorsque je tente d'executer le go.cmd de DiagHelp mon PC m'informe que ce fichier est deja utilise par une autre application. Il m'est donc impossible de faire la moindre analyse que faire???

Merci de bien vouloir me venir en aide

bon dimanche

eaurelit
-----

[igor51]

Bonjour et Bienvenu sur Futura,

Passe à la partie Hijackthis de la procédure, on verra plus tard pour le Diaghelp

Bonne journée

[invite18845d9f]

Voila j'ai commence a partir de hijackthis voici les deux rapports (hijackthis et rootkit unhooker)

Merci bonne journee

eaurelit

[invite18845d9f]

Ps: je pense que le rapport de rootkit unhooker ne doit pas etre complet car mon ordinateur a rencontre un probleme lors de l'analyse.

Merci

eaurelit

[A voir en vidéo sur Futura]

[igor51]

Bonsoir

Tu es bien infecté, mais ne t'inquiète pas, on va nettoyer cela.

---------------------------------------------------------------------------
Voici la procédure à faire en entier, si dedans, il y a quelque chose que tu ne comprends pas, n'hésite pas à poser des questions.
Les rapports demandés seront recapitulés à la fin de la procédure et tous doivent être postés en pièce jointe

---------------------------------------------------------------------------
La procédure est assez longue et elle va s'opérer en mode sans échec, tu n'auras donc pas accès à internet, il faut donc que tu conserves cette procédure sur ton ordinateur.
Si tu utilises Internet explorer:

• Clique sur Fichier
• Puis sur Enregistrer sous
• Choisis l'emplacement de la sauvegarde ( ie : Mes documents par exemple )
• Clique sur Enregistrer

Si tu utilises Firefox:

• Clique sur Fichier
• Puis sur Enregistrer sous
• Choisis l'emplacement de la sauvegarde ( ie : Bureau par exemple )
• Clique sur Enregistrer

------------------------------------------------------------------------------
Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Supprime les fichiers/dossiers suivants :

C:\Documents and Settings\All Users\Application Data\Support about cash this\Owns Obj.exe
C:\DDocuments and Settings\Olivier\AApplication DataFORDEA~1\DARTUSERROAM.exe
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\ svchost.exe

Vide la corbeille!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~


Lance Hijackthis, choisis Do a scan only et coche les lignes suivants :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Config Loader] scvhost.exe
O4 - HKLM\..\Run: [Cash This Loud Meow] C:\Documents and Settings\All Users\Application Data\Support about cash this\Owns Obj.exe
O4 - HKLM\..\RunServices: [Config Loader] scvhost.exe
O4 - HKCU\..\Run: [PEAK64] C:\DOCUME~1\Olivier\APPLIC~1\F ORDEA~1\DARTUSERROAM.exe
O4 - Global Startup: svchost.exe

Ferme toutes les fenêtres sauf HijackThis et clique sur Fix Checked

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

En mode normal :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

• Ouvre le dossier Diaghelp et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
• Une fenêtre va s'ouvrir, choisis l'option 1
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
• A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note..
• Poste le rapport qui s'affiche dans ton prochain post.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~

Crées un fichier avec le bloc note et colle ce texte dedans :

Code:

@ECHO OFF
dir %Windir%\tasks /a h > files.txt
notepad files.txt
del /q files.txt
exit

- Dans le menu "Fichier":"Enregistrer sous"
- Enregistrer dans : Bureau
- Nom du fichier : findjob.bat
- Type : tous les fichiers
- cliquer sur Enregistrer
- quitter Notepad

Double clique sur le fichier findjob.bat : une fenêtre va s'ouvrir rapidement,c'est normal.

---------------------------------------------------------------------------


Dans ta prochaine réponse, j'attends les rapports suivants:

-> AVG-AS
-> SDFix
-> Le rapport créer par findlop.bat
-> un nouveau log Hijackthis
-> le rapport Diaghelp option 1

Bonne soirée,
Igor

[invite18845d9f]

Bonjour, j'ai commencer à executer la procedure décrite dans ton message, malheureusement au moment d'executer SDfix, mon ordinateur à planté alors qu'il en etait à 25% de son scan et depuis je n'arrive pas à le rallumer.
Il m'est donc impossible de t'envoyer les rapports.
J'espere pouvoir le rallumer (car ca n'est pas la premiere fois qu'il me fait le coup).

En attendant je t'informe que je n'ai pas trouver le dossier: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\ svchost.exe
ou alors en faisant une recherche il en apparait un du même nom dans le dossier windows32 mais je n'ai pas osé le supprimer
De plus lors de l'execution de Hijackthis, le fichier O4 - Global Startup: svchost.exe n'est pas apparu pas dans la liste à cocher.

J'epere que tu trouveras une solution à mon problème en esperant que mon PC veuille bien redemarer.

Merci d'avance
eaurelit

[igor51]

Bonsoir,

Ne touche surtout pas celui qui est dans system32!!!

Une petite question pour t'aider à réparer : est-ce que tu n'arrive plus à rallumr ton pc ( rien à l'écran ) ou est-ce que tu as quelque chose à l'écran mais que rien ne se passe ? Si oui qu'est-ce que tu vois ?

Bonne soirée

[invite18845d9f]

Je me suis douté que celui dans le dossier system32 ne devait pas etre touché.
Ceci etant mon PC à l'air vraiment mal: impossible de le rallumer (je vois le logo Windows completement déformé avec la barre de chargement en dessous déformée elle aussi). Bref, ca sent le roussi.
Au pire si j'arrive à le mettre en periphérique sur un autre ordinateur me sera t'il possible de le réparer quand même?
Si oui j'espere que tu sauras commnent faire

En tout cas merci
eaurelit

[igor51]

Bonsoir,

déja, si tu arrives à le mettre en esclave sur un autre pc alors sauvegarde les documents que tu veux.

On pourra tenter de faire le ménage comme cela. Je te donnerai les instructions dès que tu m'auras dit que tu as trouvé un autre ordinateur.

Bonne soirée

[invite18845d9f]

Normalement c'est bon j'ai déjà trouvé un ordinateur. Tu peux dores et déjà me donner les instructions je les executerai des que possible.

En te remerciant
eaurelit

[invite18845d9f]

En fait mon rdinateur demarre seulement en mode sans echec mais l'application Sdfix le fait planter aurais tu une solution sachant que je n'ai pas acces à internet?

Si c'est le cas merci d'avance
Bonne soirée
eaurelit

[igor51]

Bonjour,



Laisse tomber la partie avec Sdfix pour l'instant et essaye de faire la suite.
Voici ce que tu vas faire pour redémarrer correctement en mode normal.

>> http://support.microsoft.com/kb/330184/fr

Voila, reviens me dire si cela a marché.

Bonne journée

[invite18845d9f]

Peux tu me dire sur quelle touche appuyer lors du demarrage de mon ordinateur pour pouvoir démarer a partir du cd rom?
Merci

eaurelit

[igor51]

Bonsoir,

normalement, tu appuie sur n'importe quelle touche lorsque le cd windows est déja mis...Sinon sur certaine carte mère, il y'a F11 qui marche, sinon il faut que tu changes la séquences de boot dans ton bios en appuyant sur Suppr


Bonne soirée

[invite18845d9f]

Finalement j'ai reussi a redemerrer mon ordinateur normalement, j'ai continue la procedure mais mon ordinateur m'affiche un message d'erreur lorsque Diaghelp s'execute ("reg.exe erreur d'application: l'application n'a pas reussi a s'initialiser correctement (0xc0000005). Cliquez sur OK pour arreter l'application.")
Je ne peux donc pas continuer je vais voir si je peux faire la suite.

Merci bonne journee
eurelit

[invite18845d9f]

En attendant voici les rapports deja fait

Merci

[igor51]

Bonjour,

arrives-tu à redémarrer en mode normal ?

AVG-AS a fait un beau boulot, est-ce que ton pc se comporte un peu mieux ?

Poste moi un nouveau log Hijackthis

Bonne journée

[invite18845d9f]

Ca y est je peux enfin redemarrer mon ordinateur en mode normal!!!!!!
Par contre l'icone windows est toujours deformee lors du demarrage.
De plus, lors de certaine manipulations (notament lors dew l'installation de programmes) windows m'affiche un message d'erreur (ResHacker) Mais je ne sais pas a quoi cela est du.

Ceci etant voici le rapport de Hijackthis.
Bonne soiree
Merci
eaurelit

[igor51]

Bonjour,

peux-tu refaire un Diaghelp ?

Sinon fais ceci:
Télécharge SREng (par Smallfrogs)

• Extrais tout son contenu sur ton Bureau
• Du dossier sreng2 qui se trouve maintenant sur ton Bureau, double clique sur SREng.exe afin de lancer l'outil
• Clique sur Smart Scan
• Ensuite, clique sur le bouton [Scan]
• Lorsque complété, clique sur le bouton [Save Reports]
• Sauvegarde le rapport sur ton Bureau

Poste le fichierSREnglLOG.log dans ta prochaine réponse.


Bonne journée