Bonjour,
Mon antivirus Avast n'est plus opérationnel il semblerait que j'ai le virus Wintems.
Car cette application apparait dans la liste des processus windows et une recherche google sur internet me signale wintems en tant que virus.
Comment faire pour le supprimer et remettre en fonction avast.
Merci de votre aide
MannouPapi
Bonsoir
Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
- Double-clique sur RSIT.exe afin de lancer RSIT.
- Clique Continue à l'écran Disclaimer.
- Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste en pièce jointe log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
Bonsoir,
Merci pour votre réponse rapide. Malheureusement la procédure ne se déroule pas jusqu'au bout.
J'ai bien installé RSIT.exe sur le bureau puis je l'ai lancer. Après avoir cliquer sur continuer l'application RSIT disparait.
J'ai installé HIjackThis puis relancé RSIT mais toujours pareil !!!
Avais vous une idée. C'est le Virus qui bloque l'application ?
Merci
MannouPapi
Bonsoir
On va se sservir juste d'Hijackthis alors...
Double clique sur Hiajckthis, choisis do a system scan and save a log.
Poste moi le rapport généré
Bonne soirée
Bonsoir,
Je ne peux pas lancer HIjackThis. J'ai une fenêtre d'erreur me disant que HIjackThis n'est pas une application valide win32 !!!
Merci
MannouPapi
Re,
Oki,
Télécharge Malware Byte's Antimalware .Mais ne le lance pas
- Redémarre en mode sans échec :
- Redémarre ton ordinateur
- Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
- A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
- Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
- Choisis ton compte.
Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).
- Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
- Une fois le scan terminé,clique sur "Supprimer la sélection".
Attention Si tu n'arrives pas à redémarrer en mode sans echec par cette méthode, reviens dans ce sujet mais surtout ne passe pas par msconfig....tu risques sinon de ne plus pouvoir redémarrer correctement.
Bonjour,
Malheureusement l'ordinateur ne veut plus redémarrer en mode sans échec. Il affiche une liste de noms de driver sous ...../system32/drivers pour ensuite nous informer si on ne souhaite pas charger d347bus.sys d'appuyer sur <echape>;
Dans tous les cas de figures il reboote a chaque fois et on revient au point de départ.
j'ai bien peur que la seule solution soit de réinstaller totalement windows. Mais la réinstallation est sur le disque dur (c'est un Packard Bell avec Windows XP) n'est elle pas aussi contaminé ?
Avez-vous une solution à nous proposer (outils sur un Live CD linux tel que Knoppix?)
Merci
ù100fil
(Ps c'est l'ordinateur de mes parents que je contrôle à distance via VNC)
Bonjour,
c'est dommage de formater, tu as infection de type Bagle, un peu conmpliqué certes mais pas insoluble....
Si tu as la possibilité d'être en face du pc, je te donnerai les fichiers à effacer, n'importe qu'elle cd live fera l'affaire ( Knoppix, Ubuntu ou autre )
Si on arrive à faire tourner un outil, on pourra dire que c'est gagné....
Si on peut continuer la désinfection voici ce que tu peux faire :
Télécharge http://download.bleepingcomputer.com...tKeyRepair.exe et lance le. Si tu as une erreure de type "Ceci n'est pas une application W32" fait la deuxième procédure, sinon fais la première :
Première procédure :
Télécharge ELIBAGLA en bas de cette page.
http://www.zonavirus.com/datos/desca...5/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton Bureau.
Lance-le, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire.
ATTENTION : Ne cherche pas à aller en mode sans échec par msconfig, cela pourrait compremettre ton système
Patiente le temps du scan.
Lorsqu'il a terminé, poste le fichier infoSat.txt qui se trouve dans Poste de travail > Disque C:\
Deuxième Procédure
Télécharge ELIBAGLA en bas de cette page.
http://www.zonavirus.com/datos/desca...5/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton Bureau.
Ne le lance pas tout de suite.
Renomme le en toto.com le nom de l'extension est important.
Patiente le temps du scan.
Lorsqu'il a terminé, poste le fichier infoSat.txt qui se trouve dans Poste de travail > Disque C:\
Bonne soirée
Bonsoir,
J'ai pu derouler la procedure 1 à l'aide de vnc car je ne suis plus derriere le PC. Ci-joint les fichiers textes générés
Merci de votre aide
ù100fil
PS
Re,
c'est bon signe ça
Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.
Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.
Pour une aide visuelle, n'hésite pas à lire ce tutorial : Aide pour Combofix
Bonsoir,
Je ne peux malheureusement pas exécuter combofix car il me répond que ce n'est pas une application win32 valide.
Patrick
Bonsoir
Ok supprime la version que tu as et on fait la meme feinte
Télécharge combofix et renomme le en titi.com
Dis moi si ça marche
Bonsoir,
La feinte de marche pas. J'ai toujours la même erreur (c'est grave docteur ?). La première fois en fait je me rend compte que je n'avais pas renommé le fichier (cela avait pourtant fonctionné)
Patrick
Re
Pour restaurer le fonctionnement de tes .exe :
- Fais un clic droit > Enregistrer sous sur ce fichier : FixSwen.inf
- Une fois celui ci sur ton Bureau, fais un clic droit sur le fichier et clique sur "Installer".
Re supprime COmbofix et retélécharge la, essaie le lancer après cetet manipulation
Je ne comprend pas bien la procédure . Tu veux que j'installe le fichier Fixwen.inf qui va mettre à jour la base de registre puis que je lance un nouveau titi.com ?Envoyé par igor51
Merci
Patrick
Re,
surpprime titi.com et tout autre version de Combofix
Ensuite télécharge FixSwen.inf et tu le lances. Cela te permettra de pouvoir réutiliser les exécutables
Une fois cela fait
Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.
Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.
Pour une aide visuelle, n'hésite pas à lire ce tutorial : Aide pour Combofix
Bonsoir,
Suivi à la lettre la procédure malheureusement toujours le même PB appli win 32 non valide
Patrick
Re,
Est-ce que ton antivirus fonctionne ? (normalement non mais on sait jamais)
On va recommencer elibagla mais cette fois-ci il faudra sue tu le renomme avant de l'utiliser, avec pour extension .com
Le rootkit bloque encore l'utilisation des outils
Bonsoir,
L'antivirus avast ne fonctionne malheureusement plus. Je viens de trouver un outils de symatec http://www.symantec.com/security_res...011916-0524-99 qui a pu s'"executer il est en cour de scan du PC
si il ne donne aucun resultat je recommence la procédure avec elibagla
Merci
Patrick
Bonsoir,
Anecdote l'outil de symatec (: http://www.symantec.com/content/en/u...s/FxBeagle.exe.) me signale qu'il n'a pas trouver de W32.Beagle, Trojan.Tooso sur l'ordinateurest dans le détail
Je recommence donc la procédure elibagla
Patrick
Bonsoir,
En fait je me rend compte que c'est normal que je n'ai pas eu a renommé eliblaga car la première procédure a fonctionné
Télécharge http://download.bleepingcomputer.com...tKeyRepair.exe et lance le. Si tu as une erreure de type "Ceci n'est pas une application W32" fait la deuxième procédure, sinon fais la première :
Première procédure :
Télécharge ELIBAGLA en bas de cette page.
http://www.zonavirus.com/datos/desca...5/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton Bureau.
Lance-le, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire.
Je recommence tout de même ?
Merci
Patrick
Re,
si tu as accès au mode sans échec, fais le en mode sans échec, sinon fait le en mode normal.
Si tu le fais en mode normal alors renomme le avant de le lancer
Bonne soirée
Bonsoir,
J'ai appliqué EliBagle et le fichier Infosat contient toujours la même chose :
Mon Sep 08 23:58:57 2008
EliBagle v11.68 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Accin Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EX E --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SR OSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HL DRRR.EXE --> Bagle.dldr Acceso Denegado.
L'outils process Explorer me signaler l'exécution du process Wintems.exe (qui ne peut être détruit). Le fichier est sensé être a C:\WINDOWS\system32\wintems.ex e mais il est totalement invisible !!
Je ne trouve pas non plus de répertoire C:\WINDOWS\SYSTEM32\DRIVERS
Merci
Patrick
le même contenu
Tue Sep 09 00:22:56 2008
EliBagle v11.68 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 8 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Accin Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EX E --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SR OSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HL DRRR.EXE --> Bagle.dldr Acceso Denegado.
Bonne soirée
Patrick
Bonsoir,
Je crois avoir afin reussi a enlever le virus Bagle (en non Beagle) http://sd-1.archive-host.com/membres.../FindyKill.rar
J'ai pu reinstaller Avast et lancer des applications comme CCleaner.
Quel type de rapport (HijackThis ?) puis-je vous communiquer afin de vérifier qu'il n'existe pas de résidu ?
Merci
Patrick
Bonsoir,
On connait cette outil, mais on préfererai que tu te limites àceux qu'on te donne, sinon on s'en sortira plus.
C'est cette daube qui a permis l'infection, et tu la remets ?J'ai pu reinstaller Avast
Maintenant que tu peux lancer des appli, lance combofix, et poste le rapport.
Cyrrus
Je te remercie pour ta réponse tres courtoise ...
Je me suis permis d'utiliser un autre outil car toutes les tentatives que nous avons faite n'ont pas été concluante et j'avais le sentiment de ne pas m'en sortir.
Oui car je n'ai pas trop le temps ni la passion de m'interresser à Windows. Maintenant si tu connais un antivirus gratuit plus efficace que Avast je suis prenneur.
Merci pour votre patience et persevérence dans la prise en compte de mon problème.
Patrick
bonsoir,
ci-joint le fichier log.txt de combifix.
Quel antivirus me conseillez-vous pour windows ?
merci
patrick
Bonsoir,
C'est bien, au moins tu as de tout comme infection, on peut pas être déçu...
-----------------------------------------------
Télécharge Navilog1 de IL-MAFIOSO : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistre-le sur ton Bureau.
Double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le Bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message : *** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir. Enregistre le rapport sur ton Bureau.
Poste le, en pièce jointe, dans ta prochaine réponse.
Note : Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
--------------------------------------
Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.
Double-clique sur SmitfraudFix.exe
Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
un texte va apparaitre, qui liste les fichiers infectés si présent.
Poste le rapport dans ta prochaine réponse.
**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.
Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les processus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consultin...rocessutil.htm
---------------------------------------
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :Déroule la liste des instructions ci-dessous :
- Redémarre ton ordinateur
- Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
- A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
- Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
- Choisis ton compte.
- Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
- Appuie sur Y pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
- Enfin, poste le fichier Report.txt dans ta prochaine réponse
-----------------------------------
Ca fait beaucoup je sais, mais l'infection est un peu...énorme.
Cyrrus
Bonsoir,
J'ai bien essayé de convaincre mes parents d'utiliser Freebsd mais les petits enfants n'adherent pas du tout. En fait l'ordinateur leur est destiné et de ce fait ne contient aucune donnée critique.
Donc je me demande si n'est pas plus rapide de leur reinstaller windows.
Merci
Patrick
