Problème avec surfsidekick

[Gof]

C'est un petit peu long je sais, et je te félicite de ta patience et de ton ardeur.

 

Il faudrait que tu renouvelles l'opération, avec ce fichier :

 

Va dans Menu démarrer, Rechercher, Des fichiers ou des dossiers... :

• - Dans une partie ou l'ensemble du nom de fichier, copie-colle : w03e7476.dll
  - Dans Rechercher dans sélectionne Poste de travail
  - clique sur Quand a eu lieu la dernière modification ? et sélectionne Je l'ignore
  - clique sur Quelle est la taille ? et sélectionne Je l'ignore
  - clique sur Options avancées et coche :
  ---Rechercher dans les dossiers système
  ---Rechercher dans les fichiers et les dossiers cachés
  ---Rechercher dans les sous-dossiers
  

Tu peux t'aider et t'inspirer de l'image que tu trouveras ici

[pepi]

C’est sur mes rapports de combo sur C:\ combofix.txt sur mes documents

AutoRuns.txt

CollectedData_7922.xml

CollectedData_7952.xml

[Gof]

Pour ce fichier -> w03e7476.dll ; tu n'as pas obtenu d'autres résultats ?

[pepi]

non. Un peu de repos pour toi serait juste et nécessaire ! Si tu veux on peut continuer demain!

[Gof]

C'est gentil de te soucier de moi Mais c'est toi qui fait preuve de plus de persévérance dans cette histoire !

 

Bon, voila ce que je te demande de faire.

 

Pour t'expliquer un peu ce que je te fais faire :

- La première partie va supprimer des fichiers responsables de ton infection et des entrées dans ta base de registre.

- La deuxième partie va générer quelques logs supplémentaires pour y voir un peu plus clair.

 

Cela peut te sembler long, mais c'est juste bien détaillé, et hormis le scan Blacklight, tous les autres éléments sont relativement rapides. Si tu fatigues, ne fais que la première partie, et tu t'occuperas de la deuxième demain.

 

*** I ***

Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AutorunsDisabled]
"NI.UWA6PV_0001_N91M2107"=-
"yqzbb6c9"=-

-Enregistre ce fichier dans : Bureau

• -Nom du fichier : remove.reg
  -Type : tous les fichiers
  

Clique sur Enregistrer

Quitte le Bloc Notes: ne clique pas sur le fichier maintenant!

 

Sur le bureau tu dois avoir ce remove avec en icône le petit cube registre. Ne le double-clique pas tout de suite.

• 1. Redémarre l'ordinateur en mode sans échec
  
• 2. lance Pocket Killbox
  
• 3. choisis l'option Delete on Reboot
  
• 4. copie le chemin complet du fichier dans la boîte "Full Path of File to Delete" :
   
   
  C:\WINDOWS\system32\yqzbb6c9.dll
   
   
  
• 5. Clique sur "All Files" impérativement.
  
• 6. Clique sur "Unregister .dll Before Deleting"
  
• 7. Clique sur la croix blanche sur fond rouge (Delete File).
  
• 8. A la question "File will be Removed on Reboot, Do you want to reboot now?", réponds NON.
  
• 9. Renouvelle la manipulation de l'étape 4 avec le fichier suivant(toujours en copiant-collant l'adresse complête) :
   
   
  C:\WINDOWS\System32\w03e7476.dll
   
   
  
• 10. Renouvelle la manipulation de l'étape 4 en passant l'étape 6 avec le fichier suivant :
   
   
  C:\WINDOWS\system32\yqzbb6c9.sys
   
   
  
• 11. cette fois-ci, à la question "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI.
  
• Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.
  Tu pourras trouver un tutorial complet et détaillé par Jesses : http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm
   
   
  
• 12. Double-clique sur le fichier remove.reg pour qu'il s'exécute. Un message te demandera la fusion, accepte. Supprime le fichier reg et vide la corbeille.
  

*** II ***

 

- Double-clique ATF-Cleaner.exe afin de lancer le programme.

• Pour internet explorer
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
   
  Pour Firefox
  Sous l'onglet Firefox, choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  Clique Exit, du menu prinicipal, afin de fermer le programme.
  

- Télécharge Blacklight (de F-Secure)

• Clique sur "I ACCEPT" au bas de la page.
  
• Sauvegarde le sur ton Bureau.
  
• Double-clique blbeta.exe et accepte la licence
  
• Clique Scan puis Next
  
• Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
  
• Copie et colle le contenu de ce rapport dans ta prochaine réponse.
  
• NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
  

- Télécharge DiagHelp.zip sur ton bureau

• Ne double-clic pas dessus !! Fais un clic droit sur le fichier et "extraire tout"
  
• Un nouveau dossier chercher va être créé DiagHelp
  
• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  
• Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post.
  

- Copie-colle le texte suivant dans le bloc-notes:

 

regedit /a /e %systemdrive%\regkey.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig"

notepad %systemdrive%\regkey.txt

del /q %systemdrive%\regkey.txt

Sauvegarde comme mslook.bat sur le Bureau :

• Nom: mslook.bat
  Type: Tous les fichiers
  

Localise mslook.bat sur le Bureau et double-clique dessus. Poste le contenu du bloc-notes. Quand tu fermes le bloc-notes, la fenêtre CMD se fermera et le fichier texte sera effacé.

 

-Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/regsearch.php

• dézippe dans un répertoire dédié tel que C:\Program Files
  
• double clique sur RegSearch.exe
  
• copie colle l'entrée en bleu dans la ligne de la zone de recherche:
   
   
  yqzbb6c9
   
   
  
• rien dans la ligne "Enter string to exclude from results"
  
• clique sur OK
  
• après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées
  
• e fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch
  
• copie-colle le contenu de la fenêtre dans un post, ici
  
• ferme le bloc-notes
  
• ferme RegSearch par Cancel.
  

Bon courage

Modifié le 7 septembre 2006 par Gof

[pepi]

Très bien Gof, je vais m'appliquer et je serais de retour demain en fin d'après midi je te dirai Kenavo!

Merci mille fois!

pepi

[Gof]

A demain soir Pepi

[pepi]

Pour le Diaghelp il y a quelque chose qui cloche car quand je fait le click droit sur son icone bureau, "extraire tout" n'est pas. C'est "extraire vers"qui apparaît et ça ouvre sur extraire françois locals temporary files, je valide et la fenetre du zip apparait .je click sur go.cmd et il ouvre la fenêtre du syteme32\cmd.exe. l'option 1 est lister fichiers et unisntall liste mais quand je tape le numéro correspondant à l'option rien ne se passe.Je continuerai donc demain après ta reponse.

à plus tard

Pepi

[Gof]

Bonjour Pepi,

 

Il ne fonctionne pas, car il n'a pas été extrait correctement.

• Fais un clic-droit à un emplacement vide sur ton bureau et sélectionne Nouveau dossier.
  
• Nomme le diag par exemple.
  
• Rends toi sur le fichier diaghelp.zip et fais un clic-droit dessus puis sélectionne Extraire vers
  
• Indique l'adresse du dossier diag que tu as crée sur ton bureau et valide.
  
• Ensuite rends toi dans le dossier nouvellement crée et double-clique sur go.cmd et suis les instructions que je t'ai données.
  
• Si la manipulation a été bien effectuée, une fenêtre cmd s'ouvrira et commencera par Lancement de chercher . . . .
  
• Attendre la fin du Scan, il est un petit peu long, c'est normal.
  

A ce soir

[pepi]

Bonsoir Gof,

j'ai tous les rapports mais je crois qu'il y a peut être pas mal d'info. Y a- t -il un autre moyen de'envoi

merci