Problèmes suite à un virus

[KHEOPS1982]

Salut à tous,

J'ai trois problème sur mon pc suite à un ou plusieurs virus probablement. C'est pourquoi je poste ici.
1: mon programme cyberlink power producer 3 ne démarre plus. je lance le programme et puis j'ai la fenêtre avec l'image de démarrage du soft et puis plus rien, le programme ne démarre pas et ça bloque. j'ai essayé de réinstaller mais rien
2: la fonction recherche de windows ne s'affiche plus. je démarre le programme et puis j'ai la fenêtre du programme et rien ne s'affiche à l'interieur
3: windows media player 11 ne démarre pas . je clique pour lancer le programme et rien

je joins un log hijackthis et un rapport d'un scan avg anti-spyware
j'ai essayé de faire un scan en ligne avec kaspersky mais ça ne se lance pas. Bien sur j'utilise pour cela internet explorer car avec mozilla firefox ça ne fonctionne pas

J'espère qu'on pourra m'aider

merci
-----

[invite275db609]

Bonjour KHEOPS

Consulte je te prie la procédure préliminaire du forum.

Note : Effectue ce qui est demandé, mais ne fais pas la partie optionnelle avec Rootkit Unhooker, c'est à dire le point 4 du dossier.

Reviens ensuite dans ce sujet pour poster les rapports générés par la procédure.

Bonne journée

[KHEOPS1982]

Salut à tous,

Voilà j'ai fait ATF Cleaner mais j'utilise Firefox mais l'onglet Firefox est désactivé donc je sais pas effectué le programme comme expliqué si on utilise firefox j'ai fait en cliquant sur Main.
Je poste rapport diaghelp (mon ordinateur n'a pas redémarré) et hijackthis.

Merci

[invite275db609]

Bonsoir

Tu es infecté par un rootkit récent, une variante de rustock, logiquement, on devrait pouvoir le dégager sans problème, mais un doute est toujours possible, si tu veux bien sauvegarder tes documents importants, ce serait une bonne sécurité.

On attaque la bete :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le contenu du fichier Report.txt dans ta prochaine réponse, en pièce jointe, sur le forum, avec un nouveau log Hijackthis !

N.B.:
- Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.

=====================

Clique-droit sur ton bureau et crée un nouveau fichier texte.
Dans celui-ci, copie/colle ce qui suit /!\ Attention, pas de ligne vierge devant regedit4 /!\ :

Code:

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
"winkve32"=-

Assure toi que Retour à la ligne automatique ne soit pas coché.
Sauvegarde le fichier sur ton bureau, en prenant soin de sélectionner Tous types de fichiers, en le nommant fixme.reg
Double-clique sur fixme.reg et accepte la fusion avec le registre.
Une fois cela fait, tu peux supprimer le fichier fixme.reg

=====================

Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :

O20 - Winlogon Notify: fccaxxw - fccaxxw.dll (file missing)
O20 - Winlogon Notify: winkve32 - C:\WINDOWS\SYSTEM32\winkve32.d ll
O20 - Winlogon Notify: wudb - C:\WINDOWS\system32\wudb.dll (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd. exe" -d -f "%ProgramFiles%\WinPcap\rpcapd .ini (file missing)

Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.

======================

• Télécharge OTMoveIt de OldTimer.
• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :

Code:

C:\WINDOWS\SYSTEM32\winkve32.dll

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le bouton rouge Moveit!.
• Ferme OTMoveIt.
  Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Poste nous le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles, celui de SDFix, celui d'OTmoveIt, un nouveau hijackthis et un nouveau diaghelp option, en pièce jointe.

Bonne soirée/nuitée

[A voir en vidéo sur Futura]

[KHEOPS1982]

Salut ,

J'ai fait ce que tu m'as dit et je poste les rapports en pièces jointes. Par contre, je n'ai pas trouvé dans hijackthis cette ligne a cochée :

O20 - Winlogon Notify: wudb - C:\WINDOWS\system32\wudb.dll (file missing)

Merci

[invite275db609]

Bonjour KHEOPS1982

Beau boulot

Il reste cependant un peu de travail à faire :

• Télécharge combofix.exe (par sUBs) sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
• Double clique combofix.exe et suis les invites.
• Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport en pièce jointe dans ta prochaine réponse.

====================

• Télécharge clean de Malekal_Morte, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
  
• Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître.
• Choisis l'option 1 et appuie sur Entrée pour valider.
• Poste le rapport (en piece jointe) qui apparait dans ta prochaine réponse.

=======================

Poste moi les 2 rapports, combofix et un clean option1.

Bonne journée

[KHEOPS1982]

Salut,

Voilà les deux rapports Combofix et Clean.

Merci

[invite275db609]

Bonjour

Super

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Dans la nouvelle fenêtre, clique sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Poste moi également un nouveau rapport hijackthis.

As-tu encore des dysfonctionnements ?

Bonne journée

[KHEOPS1982]

Salut,

Le scan Kaspersky ne fonctionne pas, je clique sur accepte mais il y a rien qui vient (aucune fenêtre et aucun message). J'ai toujours mes trois problèmes :

1: mon programme cyberlink power producer 3 ne démarre plus. je lance le programme et puis j'ai la fenêtre avec l'image de démarrage du soft et puis plus rien, le programme ne démarre pas et ça bloque. j'ai essayé de réinstaller mais rien
2: la fonction recherche de windows ne s'affiche plus. je démarre le programme et puis j'ai la fenêtre du programme et rien ne s'affiche à l'interieur
3: windows media player 11 ne démarre pas . je clique pour lancer le programme et rien

Merci

[invite275db609]

Passes-tu bien par Internet Explorer pour lancer Kaspersky ??

As-tu essayer de réparer ton systeme avec le disque d'XP ?

• Télécharge puis installe AVG Anti-Spyware (AVG AS) :
• Une fois AVG AS lancé, clique sur "Mise à jour"
• Ferme le programme.

Redémarre en mode sans échec

• Relance AVG AS puis choisis l'onglet "Analyse"
• Puis l'onglet "Paramètres"
• Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
• Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"
  Si un fichier est infecté détécté en fin d'analyse
• Clique sur "Appliquer toutes les actions"
• Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
• Enregistre ce fichier texte sur ton bureau.

Redémarre normalement.

Poste le rapport en pièces jointes.

[KHEOPS1982]

Salut,

Voilà, je poste le rapport Avg . Je n'ai pas de disque xp. Au fait, quand j'ai acheté mon portable je n'ai pas fait le disque xp et maintenant je ne sais pas comment le faire parce que sinon les erreurs se retrouvons dessus.
Mon portable est un acer et j'ai réinstaller cyberlink par eRecovery management et ça ne change rien.

Merci

[invite275db609]

Tu n'as aucun disque fourni par Acer pour réinstaller le system ?? (il me semble que tu devrais en avoir un, mon pere a un Acer aussi et à 2 disques de restauration ...)

[KHEOPS1982]

Salut,

Quand j'ai acheté mon portable et que je l'ai ouvert pour la première fois, le pc a demandé de faire un cd mais je n'avais plus de cd de stock donc j'ai passé cette étape donc maintenant je ne sais pas comment faire car si j'en fait un , je suppose que les erreurs seront desssus.

Merci

[invite275db609]

Bonjour

Tu dois avoir une partition cachée pour te permettre de réparer ton windows.
Voila deja un lien pour en savoir un peu plus :
http://www.commentcamarche.net/forum...vre-avec-l-ord

Bonne journée

[KHEOPS1982]

Salut,

J'ai finalement trouver la solution à mes trois problèmes en trouvant ce lien sur le web :

http://www.commentcamarche.net/forum...herche-sous-xp

Je n'ai pas fait de restauration. Je n'ai pas trouver comment faire le cd de restauration avec la partition cachée.

Merci

[invite275db609]

Super

L'infection était résolue, tes dysfonctionnements sont donc maintenant résolus après quelques recherches de ta part, c'est parfait :

Fais encore ceci pour finaliser la desinfection :

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre.

Désinsalle/supprime tout ce que je t'ai fait téléchargé (sauf bien sur le firewall), tu peux aussi garder ATF-Cleaner.

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.

Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Autres Infections
Ton infection était Rustock, Rootkit.Agent.ey, Trojan.Dialer.qn

Aide-toi des règles de Malware Complaints pour formater ton message.
Merci de ton aide

Bonne fin de journée