problème dans procédure à suivre..

[invitea811f7e9]

Bonjour,

Ayant des problèmes de malwares, j'ai tenté de suivre votre procédure mais après le lancement du programme Diaghelp, celui ci m'ouvre une fenetre indiquant : une erreur d'execution '52' puis dans la fenetre de commande "recherche de rootkit (Merci S!Ri)...
Que dois-je faire???

Merci d'avance.

Tyldou
-----

[igor51]

Bonjour et Beinvenue,

as-tu bien dézippé entièrement l'archive ?

Quel est ton système d'exploitation ?

As-tu des logiciels de protections comme le Tea Timer de Spybot S&D ?

Bonne journée

[invitea811f7e9]

Bonsoir,

Merci!
Oui, je pense que l'archive est bien dezippée.. (mais comment en être sûre???) Je suis sur Windows 2000 Pro et je n'ai pas le logiciel Tea Timer de Spybot S&D... Par contre, j'ai installé des logiciel en pensant régler mes problèmes de malwares mais forcément ça marche pas!! j'ai installé Zone Alarm, Ad-Aware et Avast...

Merci!

[igor51]

Re,

oki, ne fais pas la partie avec Diaghelp et poste moi le rapport d'HijackThis.

Bonne soirée

[A voir en vidéo sur Futura]

[invitea811f7e9]

J'ai téléchargé le programme HijackThis.. mais quand je le lance comme indiqué dans la procédure, j'ai pas de fichier .log qui s'enregistre.. j'ai que le fichier du bloc-note.. je comprends pas pourquoi....

Merci

[igor51]

Re,


le fichier qui s'affiche, tu le sauvegardes et tu le postes ensuite.

Bonne soirée

[invitea811f7e9]

Merci pour la rapidité de tes réponses!

Voici le fichier du bloc-note après l'execution de HijackThis. (si j'ai bien compris ce que tu m'as demandé!!)

Merci!

[igor51]

Bonsoir,

Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml
Déroule la procédure ci-dessous

• Clic en bas sur I accept
• Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.
• Lance-le en double-cliquant sur le fichier blbeta.exe
• Accepte la licence, et clique enfin sur "Scan" puis Next et exit.
• Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe
• Ouvre fsbl-bxxxx.log et poste le rapport dans ta prochaine réponse

Aide : Tu peux consulter le tutorial de F-Secure BlackLight


Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

Poste moi les deux rapports générés.

Bonne soirée

[invitea811f7e9]

Bonsoir,

Alors, nouveau soucis.. j'ai commencé à appliqué la procédure que tu m'indiques, mais quand je lance F-Secure, il ne fait pas de scan car il rencontre une erreur.. je te mets quand meme le rapport en pièce jointe..

Faut-il que je fasse l'étape avec AVG (en sachant que j'utilise comme anti-spyware, si ça en est bien un.. : Ad-Aware)??

Merci d'avance!!

[igor51]

Bonsoir,

oui, réalise l'opération avec AVG-AS, il est bien plus puissant que Ad-aware

[invitea811f7e9]

Bonjour,

Décidement, tu vas vraiment penser que je suis nulle en info.. pourtant en règle générale je me débrouille pas trop mal, mais là, c'est la cata!!
Impossible de démarrer l'ordi en mode sans echec.. Je presse F8, il me propose le menu, je choisis bien le 1er, puis, Windows 2000.. là, un écran défile avec des trucs, que j'ai pas le temps de lire et puis, écran noir avec un petit trait de commande qui clignote en haut à gauche.... et au bout de quelques temps, l'ordi redémarre tout seul... j'ai essayé 2 fois, il a fait la meme chose.... comment m'y prendre????

Merci!!

[igor51]

Bonjour,

fais le scan en mode normal pour l'instant et poste moi le rapport généré.

Bonne journée

[invitea811f7e9]

Bonsoir,

Voici le rapport de AVG-AS.. en espérant que ton aide résoudra mes problèmes!!
Au fait, comment cela se fait-il que je ne puisse pas démarrer en mode sans échec.. alors que normalement meme quand l'ordi ne veux pas démarrer normalement il peut au moins démarrer dans ce mode!!???
Merci encore!

[igor51]

Bonsoir,

il se peut que ce soit du à un malware, je vais faire quelque recherche pour voir ce problème.

Dis moi quels genres de problème as-tu ?

Télécharge Gmer sur ce lien

Déconnecte toi d'internet si possible et ferme tous les programmes.
Décompresse le fichier zip et double-clic sur gmer.exe
IMPORTANT Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
A droite, coche "Files" et "Services"
Clic sur Scan
Lorsque le scan est terminé, clique sur "copy"

Ouvre le bloc-note et clique sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et poste le rapport dans ta prochaine réponse.

Bonne soirée

[invitea811f7e9]

Bonjour,

Nouveau rebondissement... décidement je ne m'en sors pas!! Alors, j'ai télécharger Gmer, je l'ai dezippé, mais après, impossible de le lancer...

Mon sort est entre tes mains!!
Merci

[invitea811f7e9]

Re-,

J'ai oublié de te dire quels types de problèmes je rencontre... en fait, pas grand chose.. surtout ce qui me dérange le +, c'est les ouvertures de fenetres intempestives (de site X ; pas terrible quand mon fils est avec moi devant l'ordi..., d'alertes de sécurité, de sites de rencontres, etc...), un ordinateur qui rame quand meme bien, des problème aussi avec acrobat (j'ouvre des fichiers mais quand il s'agit de les fermer, ça rame vraiment beaucoup..)... quoi d'autre.... je pense avoir fait le tour...
Ah oui, aussi, qu'est ce que le programme svchost.exe?? Car il est souvent en processus actif (voir en 2 ou 3 exemplaires..)??

Merci..!

[igor51]

Bonjour,

merci pour les détails, sa va me faire avancer, cependant une petite question...As-tu un message d'erreur ou autre chose ?

Lance Hijackthis choisis do a scan only et coche les lignes suivantes :

Code:

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {44515AE5-25B3-46CF-833B-0D816C602868} - http://www.morefreenudes.com/her_fir.../downloads.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by115w.bay115.mail.live.com/m...s/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1123178015671
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1130936925562
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypixmania.com/fr/fr/impo...ixUploader.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {826287F8-454E-11D9-ADFE-00062919A34C} (ActiveXUploadFotoCom.UserCtrlFotoCom) - http://express.foto.com/activeX/newUploadFotoCom.CAB
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.5 Combo Control) - http://www.pixdiscount.fr/clients/ImageUploader3.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f001.mail.caramail.lycos.fr/a...leUploader.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.1.0.56.cab
O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://express.foto.com/SFUploader/SpeedUploader.cab

Ferme toutes les fenêtres sauf Hijackthis et clique sur Fix Checked

============================== =============================


Crées un fichier avec le bloc note et colle ce texte dedans :

Code:

@ECHO OFF
dir C:\WINNT\System32\ /a h > files.txt
notepad files.txt
del /q files.txt
exit

- Dans le menu "Fichier":"Enregistrer sous"
- Enregistrer dans : Bureau
- Nom du fichier : check.bat
- Type : tous les fichiers
- cliquer sur Enregistrer
- quitter Notepad

Double clique sur le fichier check.bat : une fenêtre va s'ouvrir rapidement,c'est normal.

Poste moi le rapport généré.

Bonne journée

[invitea811f7e9]

Bonsoir,
Voici le rapport généré... Mais dans la fenêtre de commande qui s'est ouverte, il était noté : fichier introuvable... je ne sais pas si c'est normal...

Sinon, je crois que parfois certains messages d'erreurs s'affichent mais je crois que ça ne concernent que mon disque dur externe... pas sure...

Je commence a être un peu perdue...

Merci encore

[igor51]

Bonjour,


on va essayer de s'occuper de ses pubs...

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\WINNT\System32\bcjxgetcao_navtmp.dat
  C:\WINNT\System32\czvtqd.exe
  C:\WINNT\System32\czvtqd.dat
  C:\WINNT\System32\czvtqd_nav.dat
  C:\WINNT\System32\czvtqd_navps.dat
  C:\WINNT\System32\bcjxgetcao.exe
  C:\WINNT\System32\bcjxgetcao.dat
  C:\WINNT\System32\bcjxgetcao_nav.dat
  C:\WINNT\System32\bcjxgetcao_navps.dat
  C:\WINNT\System32\czvtqd_navmp.dat

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

============================== ==============================

Télécharge Brute Force Uninstaller (de Merijn).

• Créé un nouveau dossier directement sur le C:\ et nomme-le BFU.
• Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)
• Télécharge le fichier joint EGDACCESS.bfu (de Metallica).
• Sauvegarde dans le dossier créé (C:\BFU).
  Ouvre le fichier, fais fichier -> enregistrer sous et la tu le nommes egdacess.bfu et tu choisis dans types : tous les fichiers
  Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

Déconnecte toi d'internet et Ferme tous les programmes qui n'ont pas d'utilité ici.

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
Sous Scriptline to execute copie/colle cette ligne :
c:\bfu\EGDACCESS.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

Poste moi le rapport de Ot move It ainsi qu'un nouveau log Hijackthis

Bonne journée

[invitea811f7e9]

Bonsoir,

Alors voici les 2 rapports demandés..

Bon... je m'absente ce WE donc si je ne donne pas de nouvelles dès demain matin, ne t'étonnes pas!! je reviendrais le plus rapidement possible!!

Merci encore!! je reviendrais dans la soirée voir si tu as eu le temps de te pencher sur mon affaire!!

[igor51]

Bonjour,

profite bien du week end, chez moi il fait beau en plus

Dis moi si tu as toujours ses problèmes de pubs.

Télécharge Panda Antirootkit.

• Décompresse l'archive sur ton Bureau.
• Double clique sur PAVARK.exe pour lancer l'application.
• Clique sur Accept, puis sur Start Scan.
• Une fois le scan terminé, clique sur Advanced Report, puis sur Export CSV

Ferme l'application et poste ton rapport dans ta prochaine réponse.

Bonne journée

[igor51]

Bonsoir,

télécharge SafeBootKeyRepair de sUBs

Double clique dessus et laisse toi guider.

Ensuite, re-essayer d'aller en mode sans échec.

Bonne soirée

[invitea811f7e9]

Bonjour,

Alors, oui, les problèmes de pub sont toujours là...
Par contre impossible de te joindre le fichier qui est noté comme fichier non valide... pas meme moyen de le copier dans le bloc note.. comment je dois-faire???

Pour ce qui est du redemarrage en mode sans echec, ça marche toujours pas... j'ai enregistré le rapport généré sur le bloc note par SafeBootKeyRepair, je te le mets aussi en pièce jointe...

merci encore et bon AM!

[invitea811f7e9]

Bonjour,

Pas de nouvelles de ta part.. je pense que tu dois etre bien occupé.. je pense que je vais essayer de reprendre la procédure depuis le debut si j'ai le temps dans la journée... au cas où si tu passes par là et que tu as d'autres pistes, tiens moi au courant!!

Merci beaucoup!
Bon dimanche.

[igor51]

Bonjour,

tu as bien fait de remonter ce sujet, je t'avais oublié,

Suis cette procédure à la lettre et reviens me dire comment se comporte ton pc après ça : http://www.malekal.com/Adware.Magic_...mozTocId213723 ( Suppression de Magic.Control avec Ashampoo )

Bonne journée

[invitea811f7e9]

Bonjour,

Alors, du coup j'ai pas refait toute la procédure de sécurité de votre site.. j'ai fait la procédure que tu m'as indiqué.... Alors, deja, j'ai rencontré des problèmes avec le logiciel ashampoo qui a généré des erreur et qui a du etre fermé.... est ce que je dois essayer de le télécharger à nouveau et de recommencer??
Sinon, j'ai quand meme suivi la procédure à la lettre... j'avais un processus actif en XXXXXXXX.exe... par contre pas de clefs de registres apparaissaient... Aucun non plus des programmes cités n'étaient présent sur mon ordi. Alors est ce que ça vient des erreurs que j'ai rencontrées ou est ce que je ne suis pas infectées par ça??

Aussi, toujours autant de fenetres de pub apparaissent meme beaucoup!!

Est ce que j'ai un rapport quelconque à te poster?


Voilà, pleins de questions, j'espère que tu pourras me repondre.

Merci encore!

[igor51]

Bonsoir

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Bonne soirée

[invitea811f7e9]

Bonjour,

Alors voilà les 2 rapports demandés..
Je me posais quand meme une question : est ce un problème si pendant que les programme s'execute j'ai d'autres programmes en fond (anti-virus, spyware, pare-feu, etc..)??

Merci encore.

[igor51]

Bonjour,

pas de problème pour les autres programmes, à part les trucs résidents tel que PrevX tout est Ok pour pouvoir passer l'outil.

Je pense que ça doit être le rootkit a été supprimé, ce qui est une bonne chose.

Refais la partie avec Brute Force Unistaller de ce post : http://forums.futura-sciences.com/post1248317-19.html

Ensuite fais ceci :

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Clique sur Suivant.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde en cliquant sur enregistrer-sous, choisis Bureau et dans Type choisis Fichier texte ( .txt ) puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Poste moi le rapport généré par le scan de kaspersky.

Bonne journée

[invitea811f7e9]

Bonjour,

Alors voici le rapport Kaspersky. Pour une fois, j'ai pas rencontré de problèmes!! Par contre, pas possible de te joindre celui de BFU, on me dit, fichier non valide, est-ce normal??

J'attends tes instructions!!

a bientot. Merci!