demande d'aide pour une desinfection

[invited5b521f8]

Bonjour à vous, je m adresse a vous apres avoir pris connaissance de vos forums et que j aimerais en finir avec ce virus avec une aide en ligne et pour une fois ne pas dependre des pros qui ne disent rien. Meme si je ne connais pas grand chose, je deteste etre pris pour moins que rien.
Depuis peu, le demarrage de mon ordinateur s'effectue anormalement. La premiere page Dos me propose F1 pour continuer ou Delete pour acces au Setup. Si choix Setup, signalement absence lecteur de disquette. Si choix continuer, message de TrendChipAwayVirus qui signale un rootkit sans le nommer et propose inserer un floppy disk et R pour redemarrer le systeme, ou C pour continuer. Ai essaye la disquette de boot et redemarrage, le message demeure. Ai essaye le CD installation XP familial, pensant pouvoir redemarrer a partir du CD. Rien non plus. En continuant, AVAST a signale le virus MBR:\\.PHYSICALDRIVE0 et propose scan. Sans succes, message incident. Ai change pour AVIRA antivir qui ne le signale meme pas.
Ai suivi preconisations dans Les Premiers gestes et effectue les scans pour diagnostics en PJ.
Signes de dysfonctionnement:
-depuis une quinzaine, bord gauche de la fenetre outlook express se deplacant vers la droite avec le curseur et que j ai attribue tout dabord a une mauvaise manip.
-plus preoccupant, la touche Supprd du clavier ne fonctionne plus pour tout message que je redige, y compris celui-ci. ai verifie, ça marche sous word.
- est-ce lie ou pas, impossible supprimer, par ex, harry potter II dans ajout/suppression de programmes.
Ai un fils de 21 ans qui telecharge musiques et jeux avec ses amis, surement du crackage dans tout ça. Ai lance voici 15 jours CCleaner, je crois, qui a revele un nombre enorme de programmes a risque, la plupart ceux installes en musique et jeux.
materiel: carte Asus, windows xp edition familiale version 5.1.2600, processeur intelpentium 4 CPU 2.40 GHz version x86 family 15 model 2 stepping 7, vitesse 2423 MHz. Je me suis fait installe un second disque dur voici un an, sans rapport mais après une premiere eradication (ecrasement).
Je pense n avoir rien oublie. Merci en tout cas a celui ou celle ou ceux qui me viendront en aide pour reparer. Mon ordi est devenu un de mes outils de travail les plus precieux. Ai sauvegarde tous mes dossiers vitaux.
A vous lire
durutti
-----

[Tom-Tom]

Bonjour,

Tu as oublié le log de Diaghelp qui se nomme "Résultat".

Le log de Hijackthis devrait se nommer hijackthis.log. As-tu bien téléchargé la bonne version de Hijackthis ? (la version qui est dans le dossier Malware)

[yoda1234]

Bonjour,

Tu as oublié le log de Diaghelp qui se nomme "Résultat".

Bonjour,

je confirme.

Le log de Hijackthis devrait se nommer hijackthis.log. As-tu bien téléchargé la bonne version de Hijackthis ? (la version qui est dans le dossier Malware)

Pas de problème, il a simplement utilisé la version actuelle du programme.

[invited5b521f8]

Bonjour à vous et merci de vous interesser à mon sort. En fait, j'ai eu beaucoup de mal à suivre les "consignes", vraisemblablement en raison des mises à jour des outils. D'où un certain "clapotage" de ma part. En ce qui concerne Diaghelp, je vous adresse donc Résultat. Pour Hijackthis, je l'avais téléchargé directement en version 2.0.2, suite à la lecture d'un dialogue. Aujourd'hui, je l'ai supprimé, j'ai téléchargé Hijackthis via le dossier Malwares dans Mes documents, mais là, grosses difficultés: à l'extraction (étape double clic sur dossier Hijackthis), qui ne se passe pas comme expliqué dans le dossier, apparait un message d'erreur qui le déclare "corrompu", puis au double clic sur Hijackthis.exe, message qu'il n'est pas une application Win32 valide. du coup, je l'ai supprimé pour le télécharger de nouveau, j'ai raté une étape, il est dans local settings - temporary internet files - content IE5 2cx2ulb mais les messages d'erreur demeurent les mêmes. Je vais tenter de réessayer.
A vous lire et merci d'avance

[A voir en vidéo sur Futura]

[yoda1234]

Bonjour,

ce n'est pas la peine de re-télécharger HijackThis, le rapport au message #1 suffit.
Comme je l'ai expliqué, la version du programme que nous utilisons dans notre procédure est l'ancienne version.

[igor51]

Bonsoir

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Pour une aide visuelle, n'hésite pas à lire ce tutorial : Aide pour Combofix

bone soirée

[invited5b521f8]

Bonsoir Tom Tom, Yoda 1234 et Igor51,
J'ai suivi vos instructions le plus rigoureusement possible, même si, à un certain moment, l'execution de combofix a fait redémarrer windows et qu'il m'a fallu choisir 'redémarrer normalement' alors que j'avais été chercher la console de récupération comme indiqué dans la procédure (je me suis dit que je pourrais toujours le faire ultérieurement s'il y avait un problème).
En tout cas, la 1ère exécution de combofix ne m'ayant pas généré de rapport, j'ai recommencé et j'ai le rapport. par contre, j'ai été étonné que le balayage se fasse aussi vite (rapport aux 10' annoncées, 3/4' pas plus).
Je vous adresse aussi le rapport Hijackthis qui, ce coup-ci, ne m'a rien annoncé de corrompu ou de non valide. Par contre, je crois que le 1er rapport Hijackthis envoyé n'était pas le mien. Je me suis rendu compte après coup que j'avais enregistré un rapport sur malekal, je crois, pour essayer de comprendre. Ce rapport-ci concerne bien mon ordi.
Une question: puis-je réactiver mon anti spyware et pare-feu (l'antivirus, c'est fait) ?
Toujours merci pour votre aide et à vous lire
Durutti

[invited5b521f8]

Bonjour,
Le silence qui s'est installé depuis mon dernier message me laisse pantois et je m'interroge: c'est la première fois que je m'inscris sur un forum, je n'ai pas l'habitude de m'exprimer par sigles ou initiales. Aussi, j'aimerais savoir ce qu'est un MP. En suis-je un sans le savoir et est-ce cela la raison du silence ?
Pourquoi, en allant sur le sous-forum "sécurité et malwares", je ne retrouve pas "ma" discussion. La réactivité de vos premieres réponses et aides ... puis plus rien. Autant d'interrogations. Comme j'aime bien comprendre, je vous remercie d'avance de bien vouloir éclairer ma lanterne.

[igor51]

Bonjour

tout simplement parce qu'on est surbooké et que notre vie passe avant le forum, donc on a pas pu etre présent ces derniers temps

Télécharge mbr.exe de GMER.
Double clique dessus. Laisse le travailler.
Poste le rapport.

[invited5b521f8]

Igor51, merci pour la réponse
Il n'y avait surement aucun reproche de ma part, seulement de l'incompréhension. Sinon, en ce qui concerne la vie avant le reste, j'en sais quelquechose et j'approuve.
Donc, je joins le rapport de mbr.exe qui détecte le virus et propose mbr.exe -f pour ? le fixer ?
Merci d'avance pour l'aide inestimable
Durutti

[invited5b521f8]

Bonjour à vous

Ce petit mot pour vous dire que j'ai réussi à me débarasser du mbr physical drive zéro, suite à mon dernier échange avec Igor51.
merci en tout cas pour l'aide que vous m'avez apportée et les conseils que je trouve sur Futura-sciences.
Amicalement
Durutti

[Cyrrus]

Bonjour,

Soit tu as utilisé mbr.exe -f sans qu'on te le demande, soit tu n'as rien fait du tout. Dans tout les cas poste nous un nouveau rapport mbr.exe. En plus de cela :

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Pour une aide visuelle, n'hésite pas à lire ce tutorial : Aide pour Combofix

Bonne journée
Cyrrus

[invited5b521f8]

Bonjour Cyrrus,
J'ai effectivement exécuté mbr.exe -f comme me l'indiquait le 1er rapport de mbr.exe. J'avais lu un échangesur un forum où il y avait la marche à suivre pour l'exécuter "%userprofile%\Bureau\mbr" -f et ça m'a donné le rapport ci-joint.
Je fais comme vous me dites au plus tôt
Merci et bon dimanche
Durutti

[igor51]

Bonsoir

Poste le rapport de combofix

bonne soirée

[invited5b521f8]

Bonjour Cyrrus et Igor 51

Je vous adresse ci-joint le rapport COMBOFIX.EXE

Merci pour votre aide.

Durutti

[Cyrrus]

Bonsoir,

Où en sont les symptômes ?

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).


Bonne soirée
Cyrrus

[invited5b521f8]

Bonsoir Cyrrus

J'apprécie ta solicitude. Ca a l'air d'aller mieux, sauf que, pour démarrer, et par rapport à avant, je suis obligé de taper F1 (l'autre alternative est Suppr pour accéder au Setup) pour dérouler jusqu'à la page des comptes.
Ca ne me dérange pas tant que ça, mais ça ne le faisait pas avant.

Tant que je parle du Setup, j'amorce sur le DVD XP? Devrais-je activer le disque dur et désactiver le dvd ?

Ci-joint le rapport de MBAM, comme demandé.

Merci et bon week-end à toi.
Durutti

[Cyrrus]

Bonjour,

Il reste peut etre une bestiole pas commode :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Bonne journée
Cyrrus

[invited5b521f8]

Bonsoir Cyrrus

merci de continuer à t'interesser à mon cas.
Ci-joint les deux rapports demandés.
En espérant que je ne sois plus contaminé !
A bientôt
Durutti

[Cyrrus]

Bonjour,

Tant que je parle du Setup, j'amorce sur le DVD XP? Devrais-je activer le disque dur et désactiver le dvd ?

Que veux tu dire par là ? Tu lances bien sdfix depuis le systeme, qui est sur ton disque dur ?


Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.
NB : Tu dois être connecté avec des droits d'Administrateur.

1. ferme toutes les applications et fenêtres
2. double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
   Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
3. s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
   • tu devras cliquer 2 fois sur le OK des boîtes de dialogue
     Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
   • quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
     main.txt <- ouvert en premier plan et en plein écran
     extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
   S'il s'agit d'une utilisation supplémentaire de DSS :
   • tu n'auras pas de boîte de dialogue (pas de OK)
   • quand le traitement est terminé, un fichier texte s'affiche :
     main.txt <- ouvert en premier plan et en plein écran
4. copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post
5. copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)
6. n'oublie pas de réactiver les protections si elles ont été stoppées.

Poste les rapports de DSS (un rapport hijackthis est inclus dans les rapports DSS).

Une fois ces vérifications faites, et si je ne trouve rien, je te laisserai tranquille.

Bonne journée
Cyrrus

[invited5b521f8]

Cyrrus, bonjour

Je viens de découvrir que tu m'avais répondu directement par e-mail, en faisant le ménage dans ma boîte aux lettres, d'où le décalage entre ma réponse et ton dernier message.

Merci en tout cas pour m'assister jusqu'au bout. Pour répondre à ta question, oui, j'avais lancé sdfix depuis le système (téléchargé, installé dans programfiles du disque dur).
J'ai téléchargé donc DSS et t'adresse les deux rapports... par répondre à ton mail (je ne vois pas d'option "pièce jointe").

Merci et bon week-end
Durutti

[invited5b521f8]

Cyrrus, rebonjour, suite réponse automatique sur ma messagerie, je fais un copier-coller de main.text que j'ai recopié sous word (je sais, je merde un max !). Donc je ne sais plus quoi faire parce que je ne peux le coller ci-dessous trop de caractères.
merci de me répondre, je n'ai apparamment plus le droit d'envoyer de pièces jointes (cf règles ci-dessous)