Problème de suppression de fichier

[invite09876456789221]

Bonjour,
J'avais un fichier qui était trouvé par viruscan comme infecté mais qu'il ne pouvait pas mettre en quarantaine. Et chaque fois que je demarrai mon ordinateur il viruscan disait qu'il y avait un cheval de troie dans ce fichier.

J'ai pu le "neutralisé" grace a avenger, parcontre il est toujours dans le dossier avenger et je ne peut pas le supprimer (meme avec killbox ou unlocker).

Je vous remercie par avance de m'aider à supprimer ce fichier.

Depuis que j'ai ce fichier dans le dossier avenger j'ai au démarrage deux commande ms-dos (cmd.exe) me disant ne pouvant pas modifier l'attribut du fichier con.exe et ne trouvant pas le fichier *.reg.

Si après avoir supprimer le fichier con.exe elle apparaissent encore je vous ferait un printscrean.

Merci
-----

[igor51]

Bonjour et Bievenue sur Futura !

Avenger est un outil très puissant et dangereux, il ne faut pas l'utiliser comme ça, tu aurais tout simplement pu "tuer" ton système.

Tu es très infecté, je ne sais pas si la désinfection portera ces fruits ou si ton système la supportera, je te conseille donc de sauvegarder dès à présent tes documents importants.

============================== ==============================

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

============================== ============================

Bonne journée

[invite09876456789221]

Merci pour ton aide.

Je ne pensais pas avoir un aussi gros problème !

Je suis en train de faire les sauvegardes des photos de mes filles alors sur dvd. Mais j'ai un disque dur externe et je ne sais pas si je prends un risque a y faire une sauvegarde dessus. Peu-t-il être infecté si j'y sauvegarde des fichier dessus ?

Dès que les sauvegardes sur les dvd seront terminée je lance combofix et je te poste le log et le rapport de hijackthis.

Encore merci.

[invite09876456789221]

J'ai effectué les opérations demandées voilà les log.

Merci

[A voir en vidéo sur Futura]

[igor51]

Bonsoir,

on va continuer,

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Normalement, il ne devrait pas y avoir de problème pour sauvegarder sur le disque externet

Bonne soirée

[invite09876456789221]

Ok voilà les log .

Je te suis très reconnaissant pour le temps que tu passes pour moi

A tout hasard je te poste également une capture d'écrant des deux commandes qui apparaissent au démarrage (cmd.exe).

Encore milles fois merci pour tout !

[JPL]

Voudrais-tu avoir l'amabilité de poster une capture d'écran en jpg et non en ppt zippé ! Tu sembles partisan du principe shadock : pourquoi faire simple quand on peut faire compliqué !

[invite09876456789221]

voilà pour la capture en jpg.

Désolé pour cette manipulation il est vrai un peu "longuette"

C'est ma femme qui fait ce genre de chose...

[JPL]

C'est ma femme qui fait ce genre de chose...

Oh ! Déloyal !

J'ai supprimé le zip.

[igor51]

Bonsoir à tous les deux,


il s'en passe des choses pendant que j'essaie de répondre !!!

Bande de petit cachotier

[igor51]

Bonsoir à tous les deux,

1. Télécharger The Avenger par Swandog46 sur votre Bureau.

• Click sur Avenger.zip pour ouvrir le fichier
• Extraire avenger.exe sur votre bureau

2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Drivers to unload:
okdcdkpv
kwibepyv
knlvdlpf
oxlglpxw
nsluylbb
pnorhkkj
ahauilld

Files to delete:
C:\WINDOWS\System32/drivers\okdcdkpv.sys
C:\WINDOWS\System32/drivers\kwibepyv.sys
C:\WINDOWS\System32/drivers\knlvdlpf.sys
C:\WINDOWS\System32/drivers\oxlglpxw.sys
C:\WINDOWS\System32/drivers\nsluylbb.sys
C:\WINDOWS\System32/drivers\pnorhkkj.sys
C:\WINDOWS\System32/drivers\ahauilld.sys
C:\wqeoreaw.bat
C:\tknunjda.bat
C:\Program Files\Windows NT\con.exe
C:\zip.exe

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
3. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

• Sous "Script file to execute" choisir "Input Script Manually".
• Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
• Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
• Cliquer Done
• ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
• Répondre "Yes" deux fois quand demandé.

4. The Avenger va automatiquement faire ce qui suit:

• Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
• Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
• Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
• The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir poste le ficher c:\avenger.txt dans votre réponse en utilisant REPONDRE

============================== =============================

Lance Hijackthis, choisis do a scan only et coche les lignes suivantes :

O4 - HKLM\..\Run: [mhjvwiyj] C:\wqeoreaw.bat
O4 - HKLM\..\Run: [xclkquar] C:\tknunjda.bat
O23 - Service: XAwx - Unknown owner - \\?\C:\Program Files\Windows NT\con.exe (file missing)

Ferme toutes les fenêtres sauf Hijackthis et clique sur Fix Checked

============================== =============================

Lance HiJackThis, choisis Open the Misc Tools Sections, coche les deux cases suivantes :

• List also minor sections (full)
• List empty sections (complete)

Clique sur Generate StartupList log, sauvegarde le rapport et poste le dans ta prochaine réponse.

============================== ============================

Crées un fichier avec le bloc note et colle ce texte dedans :

Code:

@ECHO OFF
dir C:\Windows\System32\drivers /a h > files.txt
notepad files.txt
del /q files.txt
exit

- Dans le menu "Fichier":"Enregistrer sous"
- Enregistrer dans : Bureau
- Nom du fichier : liste.bat
- Type : tous les fichiers
- cliquer sur Enregistrer
- quitter Notepad

Double clique sur le fichier liste.bat : une fenêtre va s'ouvrir rapidement,c'est normal.

============================== ============================
Dans ta prochaine réponse, j'attends les rapports suivants :

-> celui de avenger
-> celui de la startuplist
-> le rapport créé par liste.bat
-> un nouveau log Hijackthis

Bonne soirée

[invite09876456789221]

Je voulais dire plutôt que c'est ma femme qui m'a appris à sauver les captures d'écran comme ça.

Je ne recommencerai pas, promis !

[invite09876456789221]

Voilà toutes les opérations accomplies.

Déjà je n'ai plus les deux ecran cmd.exe au démarrage (capture écran )

Je poste tous les rapports.

Je me sens tout "petit petit" face à tant de manipulations très compliquées et incompréhensible pour moi. Chapeau a vous tous du groupe antimalware

[igor51]

Bonsoir,

Télécharge SREng (par Smallfrogs)

• Extrais tout son contenu sur ton Bureau
• Du dossier sreng2 qui se trouve maintenant sur ton Bureau, double clique sur SREng.exe afin de lancer l'outil
• Clique sur Smart Scan
• Ensuite, clique sur le bouton [Scan]
• Lorsque complété, clique sur le bouton [Save Reports]
• Sauvegarde le rapport sur ton Bureau

Poste le fichierSREnglLOG.log dans ta prochaine réponse

Bonne soirée

[invite09876456789221]

Que de rapports !

En voilà encore un

J'espère que tout ce présente plutot mieux qu'au début.

C'est impressionant !

[igor51]

Bonjour,

Peux-tu poster en pièce jointe le fichier c:\avenger.zip ?

Merci d'avance.

Je reviendrai plus tard pour la suite des opérations.

Bonne journée

[invite09876456789221]

Je n'ai pas de fichier c:\avenger.zip

Par contre j'ai un dossier avenger.zip sur mon bureau, mais c'est celui que j'ai téléchargé (pour "neutraliser" le fichier con.exe). Tout au début de mon problème.

De plus dans le dossier c:\avenger il y a toujours le fichier con.exe insupprimable.

Et puis j'ai dans le dossier c:\backup-22.07.2007- 8.42.39.32\avenger\backup.reg

Voilà tout ce que je peut te donner comme information.

Mais mon pc est quand même plus rapide malgrès tout surtout pour le demarrage.

[igor51]

Bonjour,

pourrais-tu uploader ici ce fichier (ceci pour avoir des informations supplémentaires sur ton infection et pour pouvoir mioeux t'aider)

En plus, exécute cette procédure :

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Clique sur Suivant.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde en cliquant sur enregistrer-sous, choisis Bureau et dans Type choisis Fichier texte ( .txt ) puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Bonne journée

[invite09876456789221]

je n'ai pas compris quel fichier je dois uploader ?

je suis en train de faire le scan de kaspersky...

je posterai le fichier texte un fois l'analyse terminée, mais quel fichier foudrais-tu en plus ?

Merci pour ton éclairage.

[igor51]

Re,

je voudraisle dossier avenger.zip se trouvant sur ton Bureau, contenant le fichier con.exe

[invite09876456789221]

le fichier avenger.zip de mon bureau contient le fichier avenger.exe c'est celui que j'ai télécharger pour installer le programme.

si je zip le fichier c:\avenger il ne compresse pas le fichier con.exe
je te le met quand même.

[igor51]

J'ai récupéré mais ça n'a pas marché, tant pis, poste moi le rapport de Kaspersky

Bonne soirée

[invite09876456789221]

voilà enfin le rapport kapersky après 1h40 d'analyse.

On dirait que y'a pas mal de problèmes !

[invite09876456789221]

mais qu'est-ce que c'est tous ces objets verrouillés et ignorés ?

Surtout le fameux c:\avenger\con.exe !

[igor51]

Re,

Il devrait normalment se trouver dans un dossier zip pour le rendre inactif, on va essayer quelque chose

1. Télécharger The Avenger par Swandog46 sur votre Bureau.

• Click sur Avenger.zip pour ouvrir le fichier
• Extraire avenger.exe sur votre bureau

2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Files to delete:
C:\avenger\con.exe

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
3. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

• Sous "Script file to execute" choisir "Input Script Manually".
• Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
• Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
• Cliquer Done
• ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
• Répondre "Yes" deux fois quand demandé.

4. The Avenger va automatiquement faire ce qui suit:

• Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
• Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
• Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
• The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir poste le ficher c:\avenger.txt dans votre réponse.

Bonne soirée

[invite09876456789221]

bonsoir,

y'a comme un petit retour en arrière !

y'a de nouveau une commande ms-dos cmd.exe au démarrage voir capture d'écran !

Je poste également le fichier avenger.txt

[igor51]

Bonsoir,

pas de rétour en arrière, même si le message d'erreur est le même.

Maintenant, tu dois avoir un fichier backup créé par avenger, C:\avenger.zip, poste le si tu peux et poste un nouveau log Hijackthis pour que je fasse disparaitre les fenetres intempestives.

<Bonne soirée

[invite09876456789221]

Ok c'est toujours difficile à comprendre désolé.

Le seul fichier zip que j'ai c'est celui-là backup 22.07.....

et voilà le log.

Merci

[igor51]

Re,

Lance Hijackthis, choisis do a scan only et coche les lignes suivantes :

O4 - HKLM\..\Run: [qfyjxpam] C:\usrevkqf.bat

Ferme toutes les fenêtres sauf Hijackthis et clique sur Fix Checkec.

============================== ============================

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\usrevkqf.bat

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

============================== ============================== =

Refias un Diaghelp option 1 comme décrit ici >> http://www.futura-sciences.com/fr/co...701/c3/221/p3/

Poste le rapport en pièce jointe

Bonne soirée

[invite09876456789221]

Voilà c'est fait y'a pas eu de redemarrage.