clache

Je relance ici en espérant que cela fera avancer mon sujet. Il est référencé comme ci-dessous : Besoin d'aide – virus « gendarmerie » / Nettoyer PC Vista infecté, sans accès réseau Merci d'avance.

Bonjour a tous, Me revoici sur votre fabuleux forum toujours pour aider mes collègues suite a une infection. Le portable concerné est sous vista SP1, et avait un rogue ou virus type fausse alerte gendarmerie j'ai réussi a enlever cette page (en mode sans échec), par contre je voudrais nettoyer et sécuriser ce pc il est sous vista sp1, et je n'ai plus de connexion réseau, soit en wifi soit en Ethernet j'a mis a jour les pilotes, puis désinstallé et réinstallé la carte wifi, mais rien? j'ai chargé le programme hijackthis, mais je voudrais de l'aide pour l'analyse, et surtout pour ne pas véroler le pc qui me permet de vous envoyer les logs par internet ? Merci de votre aide A Plus Clache Je dois preciser une chose j'ai demarré le portable concerné avec un live cd sous linus, et je n'ai pas de probleme pour me connecter en wifi j'en conclu donc que ce n'est pas un prbléme materiel! par contre je ne sais pas comment (si c'est possible?) analyser et poster les log depuis linux (surtout en live cd) depuis ce poste, c'est pourquoi je passe par un autre pc. Voli voilou, vous savez presque tout. -édit- Dans cette section, il ne faut pas multiplier les messages dans ton sujet avant d'être pris en charge : au vu de la présence d'une « réponse », les helpers ne s'y intéresseront pas, croyant le problème pris en mains par l'un des leurs. Tu peux en revanche poster un petit rappel dans le sujet « On m'a oublié ! », épinglé en tête de la section et prévu à cet effet…

Je viens de tenter une mise a jour IE8, mais il me demande d'installer une mise a jour BV932823 V3 pour mise a jour, et si je tente cette mise a jour, il me dit qu'il faut le faire manuelement, ce qui m'est refusé en me disant que le language de mon pc est different de celui de la mise a jour? J'ai essayé en francais ou en anglais, mais j'ai le meme message, depuis que j'avais fait la reparation de XP, meme en ayant choisit le language Francais lors de l'installation, j'ai remarqué que lorsque je quitte XP, il me donne des infos en anglais ou US ( the systéme is shooting down...) Que pense tu que je puisse faire??? Mais c'est peu être un autre sujet??? Si tu le souhaite, nous pouvons clore ce sujet ( svp me preciser comment marquer RESOLU dans l'en tête!) En tout cas MERCI beaucoup pour cette aide tres utile et precieuse Bon apétit et bonne journée

Merci Apollo Pour ce qui est de tes remarques, je vais les suivre (IE) meme si j'utilise plus opera comme navigateur pour ce qui est du service pack 3, j'avais essayé de l'installer mais il n'avait pas voulu s'installer?? crois tu que je doive recommancer?? Pour les mise a jour je les fait normalement, crois tu par contre que je doivent purger les points de restaurations et re verifier si lorsque j'en fais un il fonctionne??? en tout cas MRECI beaucoup pour ton aide Clache

Voici le second rapport de ZHPDIAG Download ZHPDiag_Clache_0705111_1227.txt from Sendspace.com - send big files the easy way Bonne reception

Voici le rapport apres desinfection ############################## | UsbFix 7.044 | [suppression] Utilisateur: Claude (Administrateur) # HER-CC [ ] Mis à jour le 25/04/2011 par TeamXscript Lancé à 11:13:24 | 07/05/2011 Site Web: http://www.teamxscript.org Submit your sample: http://www.teamxscript.org/Upload.php Contact: [email protected] CPU: Genuine Intel® CPU T2300 @ 1.66GHz CPU 2: Genuine Intel® CPU T2300 @ 1.66GHz Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2 Internet Explorer 6.0.2900.2180 Pare-feu Windows: Activé Antivirus: AntiVir Desktop 10.0.1.58 [Enabled | Updated] RAM -> 3326 Mo C:\ (%systemdrive%) -> Disque fixe # 56 Go (13 Go libre(s) - 24%) [] # NTFS D:\ -> CD-ROM E:\ -> Disque amovible # 2 Go (1 Go libre(s) - 67%) [] # FAT F:\ -> Disque amovible # 8 Go (7 Go libre(s) - 91%) [GENERIC] # FAT32 H:\ -> Disque fixe # 233 Go (111 Go libre(s) - 48%) [Lacie250] # NTFS ################## | Éléments infectieux | Supprimé! C:\Recycler\S-1-5-21-507921405-1844823847-839522115-1003 Supprimé! C:\Recycler\S-1-5-21-507921405-1844823847-839522115-500 Supprimé! H:\$RECYCLE.BIN\S-1-5-21-2854433927-1301224992-3507917134-1000 Supprimé! H:\Recycler\S-1-5-21-1060284298-308236825-725345543-1003 Supprimé! H:\Recycler\S-1-5-21-507921405-1844823847-839522115-1003 Supprimé! C:\tmp ################## | Registre | Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoResolveSearch ################## | Mountpoints2 | Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{5d4510a5-c913-11de-8643-001641b07916} ################## | Listing | [25/10/2008 - 15:01:46 | D ] C:\$VAULT$.AVG [24/03/2009 - 11:11:22 | N | 3099] C:\additdiag.txt [02/04/2008 - 18:13:39 | N | 0] C:\AUTOEXEC.BAT [08/08/2009 - 18:35:46 | D ] C:\b15541bb2072717912a8 [05/05/2011 - 10:32:57 | SH | 217] C:\boot.ini [02/08/2007 - 14:00:00 | N | 4952] C:\Bootfont.bin [06/05/2011 - 13:36:09 | D ] C:\Config.Msi [02/04/2008 - 18:13:39 | N | 0] C:\CONFIG.SYS [06/05/2011 - 13:23:13 | D ] C:\DELL [11/03/2011 - 15:12:35 | D ] C:\Documents and Settings [02/04/2008 - 19:31:52 | D ] C:\Intel [02/04/2008 - 18:13:39 | N | 0] C:\IO.SYS [29/09/2008 - 18:49:42 | D ] C:\Missler [02/04/2008 - 18:13:39 | N | 0] C:\MSDOS.SYS [06/11/2009 - 16:26:07 | RHD ] C:\MSOCache [05/08/2004 - 12:00:00 | RASH | 47564] C:\NTDETECT.COM [21/09/2010 - 08:58:19 | N | 252240] C:\ntldr [07/05/2011 - 10:44:27 | ASH | 4278190080] C:\pagefile.sys [05/05/2011 - 14:39:53 | N | 512] C:\PhysicalDisk0_MBR.bin [06/05/2011 - 15:02:39 | D ] C:\Program Files [07/10/2009 - 09:08:51 | D ] C:\ProtoIV1 [07/05/2011 - 11:14:03 | SHD ] C:\RECYCLER [15/04/2008 - 22:45:49 | D ] C:\Solidworks Data [18/01/2011 - 17:35:53 | D ] C:\SolidWorks Data (2) [08/03/2009 - 16:18:43 | D ] C:\sqldesktop [06/05/2011 - 08:28:02 | SHD ] C:\System Volume Information [08/03/2011 - 18:08:29 | D ] C:\temp [07/05/2011 - 11:14:03 | D ] C:\UsbFix [07/05/2011 - 11:14:48 | A | 1546] C:\UsbFix.txt [06/05/2011 - 13:42:28 | D ] C:\WINDOWS [06/05/2011 - 19:10:57 | N | 7186] C:\ZHPExportRegistry-06-05-2011-19-10-57.txt [04/02/2010 - 10:11:14 | N | 2024512] E:\ubnkern [04/02/2010 - 10:11:14 | N | 1416397] E:\ubninit [13/04/2011 - 19:03:56 | N | 0] E:\ubnpathl.txt [04/02/2010 - 10:17:38 | N | 2048] E:\boot.cat [04/02/2010 - 10:11:12 | N | 118] E:\boot.msg [04/02/2010 - 10:11:12 | N | 256] E:\fr.ktl [04/02/2010 - 10:11:12 | N | 1077] E:\help.msg [04/02/2010 - 10:11:14 | N | 1416397] E:\initrd.gz [04/02/2010 - 10:11:12 | N | 14336] E:\isolinux.bin [04/02/2010 - 10:11:12 | N | 152] E:\isolinux.cfg [04/02/2010 - 10:11:12 | N | 119955] E:\logo.16 [04/02/2010 - 10:10:10 | N | 115683328] E:\ttl-431.sfs [13/04/2011 - 19:04:30 | N | 13639] E:\ldlinux.sys [04/02/2010 - 10:11:14 | N | 2024512] E:\vmlinuz [13/04/2011 - 19:04:30 | N | 108] E:\ubnfilel.txt [13/04/2011 - 19:04:30 | N | 258] E:\syslinux.cfg [13/04/2011 - 19:04:30 | N | 145680] E:\vesamenu.c32 [04/05/2011 - 18:04:38 | N | 536870912] E:\ttlsave-SVGSessionCc04052011.2fs [03/05/2011 - 16:30:08 | D ] F:\tto [11/01/2010 - 15:43:44 | N | 729350144] F:\XNGdows_Se7en_Edition.iso [11/04/2011 - 11:03:27 | SHD ] H:\$RECYCLE.BIN [05/04/2011 - 14:56:30 | D ] H:\archives_dropbox [12/04/2010 - 08:24:47 | D ] H:\Heron_Papiers_Cc [09/11/2010 - 17:56:00 | D ] H:\Honda [18/04/2011 - 11:24:12 | D ] H:\Logiciels [30/09/2010 - 15:09:44 | D ] H:\Navi_Web [07/05/2011 - 11:14:03 | SHD ] H:\RECYCLER [05/04/2011 - 19:11:13 | N | 33792] H:\Résiliation du mandat de vente_05042011.doc [30/04/2010 - 16:14:59 | D ] H:\SVG_Cc [16/12/2010 - 09:15:44 | D ] H:\SvG_Etudes_20101216 [14/09/2010 - 16:05:08 | D ] H:\SVG_Heron [10/02/2010 - 09:34:00 | D ] H:\SVG_MGP_PC [04/04/2011 - 15:01:45 | D ] H:\SVG_Port_HP [11/01/2010 - 10:39:55 | D ] H:\SVG_Tel [01/07/2010 - 19:29:55 | SHD ] H:\System Volume Information [21/02/2011 - 10:52:53 | D ] H:\transfert_infos_Rech_Empl [07/04/2011 - 16:28:40 | D ] H:\Video ################## | Vaccin | C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript) E:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript) F:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript) H:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript) ################## | Upload | Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_HER-CC.zip http://www.teamxscript.org/Upload.php Merci de votre contribution. ################## | E.O.F | A Plus

Bonjour Apollo Voici le rapport texte de usbfix, je n'ai passé que la phase détection, en branchant mes disks amovibles ############################## | UsbFix 7.044 | [Recherche] Utilisateur: Claude (Administrateur) # HER-CC [ ] Mis à jour le 25/04/2011 par TeamXscript Lancé à 10:47:25 | 07/05/2011 Site Web: http://www.teamxscript.org Submit your sample: http://www.teamxscript.org/Upload.php Contact: [email protected] CPU: Genuine Intel® CPU T2300 @ 1.66GHz CPU 2: Genuine Intel® CPU T2300 @ 1.66GHz Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2 Internet Explorer 6.0.2900.2180 Pare-feu Windows: Activé Antivirus: AntiVir Desktop 10.0.1.58 [(!) Disabled | Updated] RAM -> 3326 Mo C:\ (%systemdrive%) -> Disque fixe # 56 Go (13 Go libre(s) - 24%) [] # NTFS D:\ -> CD-ROM E:\ -> Disque amovible # 2 Go (1 Go libre(s) - 67%) [] # FAT F:\ -> Disque amovible # 8 Go (7 Go libre(s) - 91%) [GENERIC] # FAT32 H:\ -> Disque fixe # 233 Go (111 Go libre(s) - 48%) [Lacie250] # NTFS ################## | Éléments infectieux | Présent! C:\tmp ################## | Registre | Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoResolveSearch ################## | Mountpoints2 | HKCU\.\.\.\.\Explorer\MountPoints2\{5d4510a5-c913-11de-8643-001641b07916} Shell\AutoRun\Command = OriGINAL\LANIGirO\systerm.exe Shell\Explore\Command = E:\ Shell\open\Command = OriGINAL\LANIGirO\systerm.exe ################## | Vaccin | (!) Cet ordinateur n'est pas vacciné! ################## | E.O.F | Voila, en attente de tes remarques et conseils A PLus

Voici la copie du rapport de ZHPFix Il ne m'a pas demandé de redemarrer? Rapport de ZHPFix 1.12.3280 par Nicolas Coolman, Update du 02/05/2011 Fichier d'export Registre : C:\ZHPExportRegistry-06-05-2011-19-10-57.txt Run by Claude at 06/05/2011 19:10:57 Windows XP Professional Service Pack 2 (Build 2600) Web site : ZHPFix Fix de rapport ========== Clé(s) du Registre ========== O23 - Service: (AMService) . (.Arab Team 4 Reverse Engineering - System Analyzing Tool.) - C:\WINDOWS\TEMP\synq\setup.exe => Clé supprimée avec succès O51 - MPSK:{c4daca01-1de3-11dd-847e-001641b07916}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\AdobeR.exe (.not file.) => Clé supprimée avec succès O64 - Services: CurCS - 05/05/2011 - C:\WINDOWS\TEMP\synq\setup.exe - AMService(AMService) .(.Arab Team 4 Reverse Engineering - System Analyzing Tool.) - LEGACY_AMSERVICE => Clé supprimée avec succès SS - | Auto 05/05/2011 54272 | (AMService) . (.Arab Team 4 Reverse Engineering.) - C:\WINDOWS\TEMP\synq\setup.exe => Clé absente ========== Valeur(s) du Registre ========== O4 - HKUS\S-1-5-18\..\Run: [AMService] . (.Arab Team 4 Reverse Engineering - System Analyzing Tool.) -- C:\WINDOWS\TEMP\synq\setup.exe => Valeur supprimée avec succès O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente ========== Dossier(s) ========== C:\Program Files\Fichiers Communs\Nosibay => Supprimé et mis en quarantaine ========== Fichier(s) ========== c:\windows\temp\synq\setup.exe => Supprimé et mis en quarantaine ========== Récapitulatif ========== 4 : Clé(s) du Registre 3 : Valeur(s) du Registre 1 : Dossier(s) 1 : Fichier(s) End of the scan Voila , sinon merci pour ce début de désinfection, je dois malheureusement m'absenter aprés ce message je serait de retour tard en fin de soirée, si il y a d'autres choses a faire, dit le moi je ferais cela ce soir A plus tard peut être, sinon a demain MERCI encore Clache

Ci joint le rapport de TDSKiller Download TDSSKiller.2.5.0.0_06.05.2011_18.10.45_log.txt from Sendspace.com - send big files the easy way Je viens de redemarrer le pc, il est beaucoup plus reactif et Avira est réactivé A plus

Excuse moi d'être bavard, je viens de trouver le fichier, mais tout se fait trés lentement je vais te l'envoyer , mais je pense redemarrer le pc car lea moindre commande demande 5 minute a s'executer par contre je vois sur le disque a la racine ( ou je trouve ce rapport, C:\) un fichier marqué (icone de vlc) nom: PhysicalDiskO_MBR.bin taille 1Ko ce fichier date d'hier? ??? est ce normal

Le pc vient de rebooter, par contre tout est tres lent et long a se declencher??? j'essai de trouver le fichier rapport. Par contre je vois que mon anti virus (Avira) est désactivé ( parapluie fermé mais marqué comme activé?) Pense tu que je puisse éteindre et relancer le PC???

En parralléle je suis sur un autre pc pour poster je viens de passer ton soft TDS KILLER et effectivement il a trouvé un probleme je suis en train de rebooter, je t'envoie le rapport dés que dispo

Je viens de passer le rapport sur un autre pc j'ai reussit a le passer au bout de é essais, Voici le lien Download ZHPDiag06052011a.txt from Sendspace.com - send big files the easy way Je vais quand même essayer ce que tu m'as dit sur le portable infécté a plus

Désolé mais la connexion sur ce serveur se ferme également??? dois je attendre que cela se débloque ou est ce un probléme de mes envois??

Pour Apollo Je viens de faire un scan avec ZHPDIAG, par contre le serveur de cijoin.fr semble en surcharge, car avec opera ou firefox je ne peut y acceder. je le met des que possible et je te donne le lien Si tu connait , faut il être inscript pour poster un fichier?? par contre je rencontre des pbs avec "Generic Host....., il semble que mon systeme ne soit vraiment pas stable j'ai essayé de faire un retour avec un point de restauration, mais impossible ( test sur 3 points différents). A plus