Répondre à la discussion
Affichage des résultats 1 à 16 sur 16

Infecté - ErrorSafe avec popup incessante , system Doctor



  1. #1
    raka

    Infecté - ErrorSafe avec popup incessante , system Doctor


    ------

    Salut tout le monde,

    Je suis de retour avec un nouveau malware mais cette fois ce n'est pas sur mon pc

    Donc voila , cette fois il s'agit toujours de page popup incessantes proposant le téléchargement de Scan antivirus malware entre autre : ErrorSafe, System Doctor etc...

    Un processus qui tourne me semble bizarre aussi : vavacfoi.exe

    D'avance Merci

    -----
    Fichiers attachés Fichiers attachés
    r[Q]ka feel the power !!!

  2. Publicité
  3. #2
    Cyrrus

    Re : Infecté - ErrorSafe avec popup incessante , system Doctor

    Bonjour raka,

    Belle infection ! ....et on y va tous en coeur !

    Avant toutes choses :

    Attention : Ton système ne dispose pas de Firewall, ce qui est très dangeureux ! Pour éviter de prendre une autre infection, il est indispensable que tu installes un firewall, je te conseille de choisir parmis les pare-feu suivants qui sont gratuits :Si tu ne sais pas configurer, tu trouveras ci-dessous des aides :
    De plus le système n'a jamais été mise à jour. Lorsque tu auras terminé les manips prescrites ci dessous, rends toi sur Windows Update et fais les mises à jour critiques/de sécurité (SP1 minimum!). Sinon...ca va être sans fin....

    ~~~~~~


    Fais Ctrl-Alt-Suppr et Termine le processus suivant : vavacfoi.exe


    1. Télécharge ce fichier (par ejvindh)
    http://www.uploads.ejvindh.net/rustbfix.exe
    ...et sauvegarde-le sur ton Bureau.

    Double clique rustbfix.exe afin de lancer l'outil.
    Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
    Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
    Poste ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse


    2. Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    • Double-clique VundoFix.exe afin de le lancer.
    • Clique sur le bouton Scan for Vundo.
    • Lorsque le scan est complété, clique sur le bouton Remove Vundo.
    • Une invite te demandera si tu veux supprimer les fichiers, clique YES
    • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    • Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
    • Démarre ton PC à nouveau.
    • Poste le rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo"

    3. Refais un rapport Diaghelp option 1.

    Poste moi les rapports de rustbfix, Vundofix, le nouveau Diaghelp option 1 et un nouveau rapport Hijackthis.

    Bonne journée
    Cyrrus
    Dernière modification par Cyrrus ; 24/06/2007 à 12h51.

  4. #3
    raka

    Re : Infecté - ErrorSafe avec popup incessante , system Doctor

    Voila les 3 logs

    Merci
    Fichiers attachés Fichiers attachés
    r[Q]ka feel the power !!!

  5. #4
    Cyrrus

    Re : Infecté - ErrorSafe avec popup incessante , system Doctor

    Bonjour raka,

    Il me manque des rapports :

    -> celui de Vundofix
    -> le nouveau Diaghelp

    C'est important que tu me les postes car je ne peux pas te diriger à l'aveuglette...


    Tu n'as pas mis ton Windows à jour...il le faut pourtant.

    Télécharge ce fichier - combofix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!
    Double clique sur Combofix.exe et suis les instructions.
    Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

    NoteNe pas cliquer dans la fenêtre de combofix durant le passage de l'outils.
    Poste moi le rapport de Vundofix, le rapport de Combofix, un nouveau rapport Hijackthis, et le rapport de Diaghelp (si tu ne l'as pas encore fait, fais le après Combofix, sinon tant pis).

    Cyrrus

  6. A voir en vidéo sur Futura
  7. #5
    raka

    Re : Infecté - ErrorSafe avec popup incessante , system Doctor

    Voici, désolé en fait je pensais qu'il faillait te mettre les fichiers étape après étape.

    J'ai juste un soucis quand je fais le scan avec hijackthis, il se coupe sans cesse, il me faut donc un coup de bol pour que le scan s'effectue convenablement. Je ne suis donc pas sur qu'il soit fait convenablement


    Merci bien
    Fichiers attachés Fichiers attachés
    r[Q]ka feel the power !!!

  8. #6
    Cyrrus

    Re : Infecté - ErrorSafe avec popup incessante , system Doctor

    Bonsoir raka,

    Télécharge le fichier en pièces jointes. Assure toi qu'il se nomme bien ComboFix-Do.txt

    Fais un glisser-déposer de ce fichier sur l'icone de Combofix (comme si tu voulais mettre un fichier dans un dossier).

    Combofix va se lancer, un rapport va être créé, sauvegarde le et poste le dans ta prochaine réponse.
    Télécharge cet outil : Win32DelfKill

    Double clique dessus, cela va créé un dossier, avec à l'intérieur le fichier fix.bat. Execute ce fichier.

    Ton ordinateur va redémarrer automatiquement, c'est normal.

    Un rapport sera créé ici : c\windelf.txt > Poste le dans ta prochaine réponse.

    Refais un scan avec Diaghelp option 1, ainsi qu'un scan avec Hijackthis.

    Poste moi en pièces jointes les rapports de Combofix, Win32delfkill, Diaghelp et Hijackthis.

    Bonne soirée
    Cyrrus
    Fichiers attachés Fichiers attachés

  9. Publicité
  10. #7
    raka

    Re : Infecté - ErrorSafe avec popup incessante , system Doctor

    Voici les nouveau log ... dsl pour le retard


    encore merci
    Fichiers attachés Fichiers attachés
    r[Q]ka feel the power !!!

  11. #8
    Cyrrus

    Re : Infecté - ErrorSafe avec popup incessante , system Doctor

    Bonjour raka,

    Ne t'excuse pas, tu poste ici quand tu veux/peux.

    Ca progresse bien, mais ce n'est pas encore terminé.

    1. Télécharge OTMoveIt de OldTimer.
    • Sauvegarde le sur ton Bureau.
    • Double-Clique sur OTMoveIt.exe pour le lancer.
    • Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):

      Code:
      C:\WINDOWS\fgredsds.exe
      C:\WINDOWS\htrrgrtgrgewfer.exe
      C:\WINDOWS\g8192890.exe
      C:\WINDOWS\g6990500.exe
      C:\WINDOWS\g5668968.exe
      C:\WINDOWS\g4348843.exe
      C:\WINDOWS\g3029140.exe
      C:\WINDOWS\g1708328.exe
      C:\WINDOWS\g506234.exe
      C:\WINDOWS\g172486765.exe
      C:\WINDOWS\g171166593.exe
      C:\WINDOWS\g169846312.exe
      C:\WINDOWS\g168526156.exe
      C:\WINDOWS\g167205984.exe
      C:\WINDOWS\g165885812.exe
      C:\WINDOWS\g164685359.exe
      C:\WINDOWS\g163365171.exe
      C:\WINDOWS\g162045000.exe
      C:\WINDOWS\g160724843.exe
      C:\WINDOWS\g159404656.exe
      C:\WINDOWS\g158204203.exe
      C:\WINDOWS\g156884031.exe
      C:\WINDOWS\g155563859.exe
      C:\WINDOWS\g154243687.exe
      C:\WINDOWS\g152923515.exe
      C:\WINDOWS\g151603343.exe
      C:\WINDOWS\g150402921.exe
      C:\WINDOWS\g149082718.exe
      C:\WINDOWS\g147762593.exe
      C:\WINDOWS\g146442375.exe
      C:\WINDOWS\g145122203.exe
      C:\WINDOWS\g143921750.exe
      C:\WINDOWS\g142601578.exe
      C:\WINDOWS\g141281406.exe
      C:\WINDOWS\g139961250.exe
      C:\WINDOWS\g138641062.exe
      C:\WINDOWS\g137321125.exe
      C:\WINDOWS\g136120421.exe
      C:\WINDOWS\g134800234.exe
      C:\WINDOWS\g133480078.exe
      C:\WINDOWS\g132159890.exe
      C:\WINDOWS\g130839734.exe
      C:\WINDOWS\g129638312.exe
      C:\WINDOWS\g128318140.exe
      C:\WINDOWS\g126997968.exe
      C:\WINDOWS\g125677796.exe
      C:\WINDOWS\g124357609.exe
      C:\WINDOWS\g123037437.exe
      C:\WINDOWS\g121837062.exe
      C:\WINDOWS\g120516734.exe
      C:\WINDOWS\g119196578.exe
      C:\WINDOWS\g117879515.exe
      C:\WINDOWS\g116556031.exe
      C:\WINDOWS\g115355531.exe
      C:\WINDOWS\g114035406.exe
      C:\WINDOWS\g112715156.exe
      C:\WINDOWS\g111394984.exe
      C:\WINDOWS\g110194781.exe
      C:\WINDOWS\g108874609.exe
      C:\WINDOWS\g107674140.exe
      C:\WINDOWS\g106353859.exe
      C:\WINDOWS\g105033671.exe
      C:\WINDOWS\g103713500.exe
      C:\WINDOWS\g102515328.exe
      C:\WINDOWS\g101311906.exe
      C:\WINDOWS\g100111390.exe
      C:\WINDOWS\g98791218.exe
      C:\WINDOWS\g97471046.exe
      C:\WINDOWS\g96150875.exe
      C:\WINDOWS\g94830718.exe
      C:\WINDOWS\g93630265.exe
      C:\WINDOWS\g92310093.exe
      C:\WINDOWS\g90989359.exe
      C:\WINDOWS\g89789156.exe
      C:\WINDOWS\g88588906.exe
      C:\WINDOWS\g87268812.exe
      C:\WINDOWS\g144109.exe
      C:\WINDOWS\hsdegrtyt.exe
      C:\WINDOWS\grehgtryhrd.exe
      C:\WINDOWS\jhgedfrgre.exe
      C:\WINDOWS\fwremkltgr.exe
      C:\WINDOWS\rhtrhjhtregr.exe
      C:\WINDOWS\g534041937.exe
      C:\WINDOWS\System32\d4xofa.dll
      C:\WINDOWS\System32\mcrh.tmp
    • Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
    • Clique sur le boutton rouge Moveit!.
    • Ferme OTMoveIt
    Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

    Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

    2. Lance Hijackthis, clique sur Do a system scan only, et coche les lignes suivantes :

    Code:
    O2 - BHO: (no name) - {0DD28E9C-3A11-446F-964C-830A42D59287} - C:\WINDOWS\System32\mljgd.dll (file missing)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {A8480F31-3135-4EC4-993E-3647845D40Db} - C:\WINDOWS\System32\itmvyhha.dll (file missing)
    O2 - BHO: (no name) - {D1159422-16E3-462F-A93D-FB718E100408} - C:\WINDOWS\System32\d3dxim.dll (file missing)
    Clique sur Fix Checked.

    3. Relance Vundofix comme expliqué plus haut, sauvegarde son rapport.

    4.
    Télécharge Panda Antirootkit.
    • Décompresse l'archive sur ton Bureau.
    • Double clique sur PAVARK.exe pour lancer l'application.
    • Clique sur Accept, puis sur Start Scan.
    • Une fois le scan terminé, clique sur Advanced Report, puis sur Export CSV. Pense à renommer le fichier .cvs en .txt pour que le forum ll'accepte.


    Ferme l'application et poste ton rapport dans ta prochaine réponse.
    Poste moi le rapport de OTMoveit et de Panda Antirootkit, le nouveau rapport de Vundofix et un nouveau log hijackthis.

    Bonne journée
    Cyrrus

  12. #9
    raka

    Re : Infecté - ErrorSafe avec popup incessante , system Doctor

    Voila tous les logs

    Fichiers attachés Fichiers attachés
    r[Q]ka feel the power !!!

  13. #10
    Cyrrus

    Re : Infecté - ErrorSafe avec popup incessante , system Doctor

    Re,

    Il manque le rapport de Panda. Poste le stp.

    Bon, on y arrive, patience ! Ou en sont les symptômes ?

    1. Refait la manip OTMoveit avec ces fichiers :

    Code:
    C:\WINDOWS\System32\yqfrgkyu.exe
    C:\WINDOWS\System32\cdwurbqq.exe
    C:\WINDOWS\System32\iwtflumd.ini
    C:\WINDOWS\System32\kvjvqgly.exe
    C:\WINDOWS\System32\uslyvxcs.exe
    C:\WINDOWS\System32\dyljmjfq.ini
    C:\WINDOWS\System32\xvspgmfk.exe
    C:\WINDOWS\System32\vavacfoi.exe
    C:\WINDOWS\System32\pkfmbawm.exe
    C:\WINDOWS\System32\wudb.dll
    C:\WINDOWS\System32\xggrsfru.ini
    C:\WINDOWS\System32\guoamtpc.ini
    C:\WINDOWS\System32\xtyyrumc.ini
    C:\WINDOWS\g18527296.exe
    C:\WINDOWS\g1713390.exe
    C:\WINDOWS\g991500.exe
    2.

    Étape 1:
    Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.
    Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

    Étape 2:
    Voici comment mettre l'outil à jour :
    1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
    2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
    3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
    4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.
    Ne pas lancer le scan tout de suite !

    Étape 3:
    Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.

    Étape 4:
    Du mode Sans Échec, voici comment utiliser le programme :
    1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky
    2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.
    3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
    4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.
    5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.
    6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !
    7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.
    Ferme le programme. Redémarre ton PC en mode Normal. Poste le rapport que tu as sauvegardé dans ta prochaine réponse.


    Poste moi donc les rapports de eScan, OTMoveit (le nouveau), et Panda (que tu as oublié).

    Cyrrus

  14. #11
    raka

    Re : Infecté - ErrorSafe avec popup incessante , system Doctor

    Justement pour le rapport panda j'ai beau eu regarder il n'avait pas de "advance report" nin même quelque chose qui puisse faire penser à un log. Je continue avec les étapes suivantes.

    A toute à l'heure
    r[Q]ka feel the power !!!

  15. #12
    Cyrrus

    Re : Infecté - ErrorSafe avec popup incessante , system Doctor

    Justement pour le rapport panda j'ai beau eu regarder il n'avait pas de "advance report" nin même quelque chose qui puisse faire penser à un log. Je continue avec les étapes suivantes.
    Ah...te souviens tu s'il t'avais trouvé quelque chose ? Continue en effet.

  16. Publicité
  17. #13
    raka

    Re : Infecté - ErrorSafe avec popup incessante , system Doctor

    Voila

    Pour le rapport Panda il ne m'a rien détecté de ce que je me souviens
    Fichiers attachés Fichiers attachés
    r[Q]ka feel the power !!!

  18. #14
    Cyrrus

    Re : Infecté - ErrorSafe avec popup incessante , system Doctor

    Bonjour raka,

    On arrive au bout. Relance otmoveit et clique sur Clean Log. Supprime le dossier de Diaghelp.

    • Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
    • Coche la case "Désactiver le système de restauration..."
    • Décoche la case "Désactiver le système de restauration..."
    Et voila, un nouveau point de restauration qui est a priori propre
    Copie/colle ce qui suit dans un fichier bloc/notes :

    Code:
    @echo off
    cd C:\Windows
    dir > C:\filew.txt
    cd C:\Windows\system32
    dir > C:\filews.txt
    Enregistre le sous check.bat, et double clique dessus. Une fenêtre va s'ouvrir et se ferme rapidement, c'est normal.

    Poste moi les deux fichiers créés : C:\filew.txt et C:\filews.txt en pièces jointes.

    Bonne journée
    Cyrrus

  19. #15
    raka

    Re : Infecté - ErrorSafe avec popup incessante , system Doctor

    Voila,

    En fait à quoi sert la dernière manipulation ? Ca m'intéresse
    Fichiers attachés Fichiers attachés
    r[Q]ka feel the power !!!

  20. #16
    Cyrrus

    Re : Infecté - ErrorSafe avec popup incessante , system Doctor

    Bonjour raka,

    En fait à quoi sert la dernière manipulation ?
    C'est un petit script qui liste les fichiers des dossiers Windows et system32.

    Cela me permet de vérifier s'il ne reste plus de fichier infectieux. Il en reste justement deux :

    Supprime donc les fichiers :

    C:\Windows\g141859.exe
    C:\Windows\g96643265.exe

    Normalement il ne devrait pas opposer de résistance. Si tu ne les vois pas pense à afficher les fichiers/dossiers cachés :

    • Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
    • Cocher la case : Afficher les fichiers et dossiers cachés
    • Décocher la case : Masquer les extensions des fichiers dont le type est connu
    • Décocher la case : Masquer les fichiers protégés du système d'exploitation
    • cliquer sur "Appliquer"
    • cliquer sur le bouton "Appliquer à tous les dossiers" / OK

    S'il résiste donne moi le message d'erreur que Windows te donnera.

    Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

    Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.
    Bon Dimanche
    Cyrrus

Discussions similaires

  1. fenêtres intempestives errorsafe, doctor, win...
    Par melb2 dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 14
    Dernier message: 16/12/2007, 08h56
  2. Infecté par un virus, pub Clean Driver, system doctor intempestives
    Par raka dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 27
    Dernier message: 15/06/2007, 20h17
  3. Publicité incessante
    Par sigismund dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 7
    Dernier message: 31/05/2007, 21h02
  4. fichier infecté en .pif dans c:\System Volume Information\
    Par robin dans le forum Internet - Réseau - Sécurité générale
    Réponses: 6
    Dernier message: 27/03/2004, 19h17
Découvrez nos comparatifs produits sur l'informatique et les technologies.