Desinfection PC portable

[invite58ab5c05]

Bonjour à tous,

Je veux désinfecter un PC portable et J'ai besoin de vos lumières !

Configuration : PC Packard Bell / Win XP
Symptome :
Il parait que c'est le tout nouveau virus, les symptomes sont (étais, car j'ai déjà réglé quelques problèmes) le bloquage du gestionnaire des taches, le changement de fond d'écran, et des réactions un peu bizarre comme la demande de connexion à Internet sans aucune raison (et par la numérotation en plus).

Enfin bref, après une analyse Avast, il me trouvait UN virus.
Donc j'ai mis AntiVir. Lui m'en dégoté 7 (pas mal hein !)

Je transmet les log de tout ça.

Merci d'avance !
-----

[igor51]

Bonjour

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Pour une aide visuelle, n'hésite pas à lire ce tutorial : Aide pour Combofix


Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.

Double-clique sur SmitfraudFix.exe
Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
un texte va apparaitre, qui liste les fichiers infectés si présent.
Poste le rapport dans ta prochaine réponse.

**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.

Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les processus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consultin...rocessutil.htm

[invite58ab5c05]

Bonjour !

Tout d'abord merci pour ta réponse. J'ai pu enfin effectué les deux analyses que tu m'avais préconisées.

Suite au passage de Combofix le PC se figeait (aucune action possible mis à part arreter le PC (correctement) en appuyant une fois sur le bouton d'alim)... Après deux trois redémarrages je me suis rendu compte que c'était dès que je touchais le clavier. J'ai donc désinstaller/réinstaller les driver du clavier et tout est rentré dans l'ordre.

J'ai donc pu lancer SmitfraudFix (qui, soit disant passant, était déctecté comme un virus par AntiVir. Mais après mis à jour de la base de donnée virale aujourd'hui, il n'a plus l'air de le considéré comme tel)

Je te poste les nouveaux rapports.

Merci,

[invite58ab5c05]

Bonjour !

Voila, pour compléter j'ai fais un pti scan en ligne Kaspersky... c'est pas très bon ! Je te poste le rapport,

Merci !

[A voir en vidéo sur Futura]

[invite58ab5c05]

Bonjour,

Nouveau symptome...

J'ai installé Kerio Firewall et, au démarrage, il me detecte une tentative d'injection de code de rundll32 dans explorer. Voici le texte exact de cette intrusion :

Process C:\WINDOWS\system32\rundll32.e xe injected dangerous code into C:\WINDOWS\Explorer.exe (code address: 0x1000902D)

Voila, je ne sais pas si ça va permettre d'avancé, mais je trouve ça un peu bizard!



Bonne journée !

[Cyrrus]

Bonjour,

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Code:

File::
C:\WINDOWS\system32\tqydatpv.dll
C:\WINDOWS\system32\vptadyqt.ini

Folder::
C:\Program Files\Search Settings


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"5867d372"=-
"SearchSettings"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\langwrbk32]

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste le.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

---------------------------------------
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Bonne journée
Cyrrus

[invite58ab5c05]

Bonjour et Merci !

Je te poste les rapports, j'espère que tout est régler !

Encore merci, bonne journée.

[Cyrrus]

Bonjour,

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

----------------------------------

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Enregistre le rapport généré.

Poste ce rapport dans ta réponse sur le forum.

NOTE: Le scan est à faire avec Internet Explorer.

Bonne journée
Cyrrus

[invite58ab5c05]

Bonjour,

Merci pour ta réponse.
J'ai un léger soucis, je ne suis plus autorisé à joindre des fichiers (ni à créer de nouvelles discussions d'ailleurs!)
Voici les regles que j'ai en bas lorsque je veux répondre :

Vous pouvez ouvrir de nouvelles discussions : non
Vous pouvez envoyer des réponses : oui
Vous pouvez insérer des pièces jointes : non
Vous pouvez modifier vos messages : non

--------------------------------------------------------------------------------

Les balises BB sont activées : oui
Les smileys sont activés : oui
La balise [IMG] est activée : oui
Le code HTML peut être employé : non

PS: j'ai vider le cache de mes deux naviguateur avec ATF-cleaner. Comment puis je t'envoyer mes nouveaux rapport?

Merci,