bonjour
je me suis déja identifié chez vous pour résoudre des soucis pour des amis ou collègues.
Aujourd'hui, c'est moi qui semble avoir des problémes.
PC ralenti, plantage sans raison, programme bloqué.
Mon analyse antivirus n'a rien detecté.
atp cleaner a detecté et fixé des anomalies.
Conformément à votre procédure, j'ai fait les 3 diag que je vous joins
par avance merci de votre aide
Bonjour milche
Effectivement tu es infecté par Vundo/Virtumonde, des restes du ver MSN ... on a du boulot :
- Télécharge MSNFix (de !aur3n7) sur ton bureau.
- Décompresse-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécute l'option R.
- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage.
- Sauvegarde ce rapport puis post ce rapport sur le forum, en pièce jointe, ainsi qu'un nouveau scan HijackThis fait en mode normal.
Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt
=========================
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
- Double-clique VundoFix.exe afin de le lancer
- Clique sur le bouton Scan for Vundo
- Lorsque le scan est complété, clique sur le bouton Remove Vundo
- Une invite te demandera si tu veux supprimer les fichiers, clique YES
- Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
- Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
- Poste le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse, en pièce jointe.
========================
AIDE : Configurer le contrôle des ActiveX
- Fais un scan en ligne Kaspersky avec Internet Explorer :
- Dans la nouvelle fenêtre, clique sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail
- Sauvegarde puis poste le rapport généré (en pièce jointe) en fin d'analyse.
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
======================
Poste moi les rapports demandés : MSNFix, VundoFix, KasperskyOnline et un nouveau hijackthis.
Bonne journée
bonsoir synthexeet merci de me venir en aide
J'ai effectué les manips ci-dessus et rien n'a été comme prévu
je n'ai pas trouvé de rapport msnfix avec date et l'heure mais j'ai trouvé la piéce ci-jointe.
ensuite, vundofix n'a apparemment rien trouvé car il n'y a pas eu de suppression à effectuer. Je vous joins le rapport.
Je vous joins aussi le rapport hijackthis
De plus je vous joins via un autre pc car le mien plante dés la connection à IE.
merci de votre aide
@ bientôt
PS; Je n'ai pas pu acceder à kasperski en ligne (IE plante)
Bonsoir
Tu as mal lu ma procédure, à aucun moment je ne t'ai demandé de télécharger le fix de symantec, mais celui d'Atribune : http://www.atribune.org/ccount/click.php?id=4
Reprends cette partie stp.
Peux etre as-tu passé 2 fois MSNFix mais en tout cas, plus de trace maintenant dans le rapport hijack, mais il reste Vundo.
Fais également ceci :
Clique sur Démarrer --> Exécuter --> Saisie ensuite ce qui suit :
SC stop FTRTSVC
Valide en cliquant sur Ok.
Recommence l'opération en saisissant ceci :
SC delete FTRTSVC
SC stop IDriverT
SC delete IDriverT
======================
Poste les rapports demandés : VundoFix d'Atribune, et un nouveau hijackthis.
Bonne soirée/nuitée
Salut Synthexe
mea culpa
j'ai voulu faire le fier en telechargeant le fix de symantec croyant pouvoit eradiquer cette coch.......
Promis je recommencerai plus
J'ai donc fait scrupuleusement en mode normal et norton desactivé les manips demandées. En effet, norton en parallelle me dit qu'il l'a éradiqué et plante le pc alors j'ai preferé debrancher le reseau et desactiver norton et tout s'est passé comme demandé.
dans l'ordre
- debranchement reseau
-desactivation norton
-scan vundo fix
-les manips
- le scan hijackthis
Je joins les rapports
encore merci pour ton aide
Coucou
Pas de soucis, ce n'est pas grave cette fois, mais de temps en temps, on pense bien faire, et du fait que l'on ne connait pas les outils, on peut planter sa machine ...
VundoFix n'a rien vu non plus ... bizarre, nouvelle variante ? à voir.
- Télécharge combofix.exe (par sUBs) sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
- Double clique combofix.exe et suis les invites.
- Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport en pièce jointe dans ta prochaine réponse.
@ + tard
resalut synthexe
j'ai lancé le logiciel qui a planté vers la fin du scan je pense (ecran noir et redemarrage urgence au bouton necessaire) et n'a pas eu le temps de créer le rapport. Apres le redemarrage j'ai relancé le scan et obtenu ce rapport. A coté du fichier texte il y avait ce fichier également. Je ne sais pas s'il peut te servir.
@+ et merci
Bonsoir milche ...
- Crée un fichier avec le bloc-note, saisie le contenu de la boite ci-dessous :
Code:File:: C:\WINDOWS\system32\gebcb.exe C:\WINDOWS\system32\pmnnonk.dll Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0da6902c-06b7-4988-ae93-da5a7ec880a0}] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dmsos1] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"=""
- Sauvegarde le fichier avec le nom suivant : CFScript.txt
- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Poste le rapport généré, accompagné d'un nouveau hijackthis.
Bonne soirée
c'est encore moi
je viens de faire ce que tu m'as demandé et voici le résultat des rapports ci-joint
par avance merci de ta dispo
excuse moi
une petite erreur
c'est le rapport precedent que je viens de t'envoyer
voici en piéce jointe le dernier rapport
merci
Reu
Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :
Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.O20 - AppInit_DLLs: c:\windows\system32\pmnnonk.dl l
AIDE : Configurer le contrôle des ActiveX
- Fais un scan en ligne Kaspersky avec Internet Explorer :
- Dans la nouvelle fenêtre, clique sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail
- Sauvegarde puis poste le rapport généré (en pièce jointe) en fin d'analyse.
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
Où en sont tes dysfonctionnements ?
Poste moi le rapport de KasperskyOnline accompagné d'un nouveau hijackthis.
Bonne soirée/nuitée
bonjour synthexe
Je suis à nouveau sur mon pc et tout semble aller dans le meilleur des mondes( rapidité retrouvée avec une stabilité du systéme)
Mais ma joie fut de courte durée car en voyant les résultats du scan kapersky online, je suis inquiet. A la vue de la passoire norton interrnet security, j'envisage de changer pour Avast ou antivir. Qu'en penses-tu?
Je te joins les deux rapports demandés.
Merci de ton aide
Bonsoir milche
Non non, ne t'affole pas, TOUS les fichiers detectés sont non-actif, car situé :Mais ma joie fut de courte durée car en voyant les résultats du scan kapersky online, je suis inquiet.
dans la quarantaine de Norton (tu peux/dois la vider)
dans la restaration systeme (que l'on va nettoyer tout de suite après)
et dans la sauvegarde de MSNFix (supprime le dossier D:\Mes documents\diagnostic\MSNFix )
Un fichier cependant à supprimer : D:\Mes documents\mes fichiers telechargés\Logiciel\paintshop pro 8\crackPSPro810.zip (les cracks font parmi des grands vecteurs de malwares)
Si tu n'as plus de dysfonctionnements (si tu en as encore, ne fais pas ce qui suit et dis-moi lesquels), fais ceci :
Et voila, un nouveau point de restauration qui est a priori propre.
- Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
- Coche la case "Désactiver le système de restauration..."
- Redémarre l'ordinateur
- Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
- Décoche la case "Désactiver le système de restauration..."
Désinsalle/supprime tout ce que je t'ai fait télécharger (sauf bien sur le firewall), tu peux aussi garder ATF-Cleaner.
Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.
Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.
Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.
Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Autres Infections
Ton infection était Trojan.Win32.Autoit.ar, Backdoor.Win32.VanBot.dk, Email-Worm.Win32.Bagle.gen, Backdoor.Win32.IRCBot.aaq, Trojan.Win32.Agent.qt
Aide-toi des règles de Malware Complaints pour formater ton message.
Merci de ton aide
Bonne soirée
salut synthexe et
Combien d'entre nous n'auraient pas formaté purement et simplement leur pc sans vous.
Merci pour votre
compétence
gentillesse
patiente
et surtout compétence
Grace à vous aussi, je commence à pouvoir aider avec votre soutien mon entourage
bref Merci beaucoup et bon vent à votre site
milche
