Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu] Virus : Win32host.exe ...


Denise 1938

Messages recommandés

Bonjour,

 

Je suis nouvelle sur le forum, et j'espère avoir bien suivi les instructions.

J'espère que vous aurez beaucoup de patience, je ne connais pas grand chose

en informatique et ne suis plus très jeune.

 

Après avoir scanné mon disque dûr avec un antivirus en ligne, 3 virus ont été détectés :

 

Win32bootsfg.exe

Oswinupdate.exe

Win32host.exe

 

Je ne parviens pas à les enlever avec Trojan Remover.

 

J'ai fait des recherches sur le forum et je joins ci-dessous le rapport Hijack :

 

Logfile of HijackThis v1.99.1

Scan saved at 10:54:00, on 27/09/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\lexbces.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\MSTask.exe

C:\WINDOWS\win32host.exe

C:\WINDOWS\oswinupdate.exe

C:\WINDOWS\System32\WBEM\WinMgmt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\win32bootcfg.exe

C:\WINDOWS\system32\MSDHCP32.exe

C:\WINDOWS\system32\taskmngr32.exe

C:\WINDOWS\system32\wintasks32.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\MSDHCP32.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administrator\Mijn documenten\hijack\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bbc.co.uk/worldservice/learning...ish/index.shtml

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [MS Domain Name Server Deamon] p.exe

O4 - HKLM\..\Run: [Windows Core Kernel Update] C:\WINDOWS\system32\win32bootcfg.exe

O4 - HKLM\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe

O4 - HKLM\..\Run: [Task Manager Win32] C:\WINDOWS\system32\taskmngr32.exe

O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [Win Tasks 32] wintasks32.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] p.exe

O4 - HKLM\..\RunServices: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe

O4 - HKLM\..\RunServices: [Win Tasks 32] wintasks32.exe

O4 - HKCU\..\Run: [MS Domain Name Server Deamon] p.exe

O4 - HKCU\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe

O4 - HKCU\..\Run: [Win Tasks 32] wintasks32.exe

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\lexbces.exe

O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe

O23 - Service: Win32 Update (Win32Update) - Unknown owner - C:\WINDOWS\oswinupdate.exe

 

Merci de bien vouloir m'aider.

 

Denise

Modifié par Denise 1938
Lien vers le commentaire
Partager sur d’autres sites

Re,

 

 

La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur :

 

- "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure

- Dans types, choisis "Page web complète"

- Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple)

- Ouvre-le et choisis "Enregistrer sous"

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver :P

 

======================================================================

 

 

Etape 1 : Téléchargement / installation des outils nécessaires

 

=> Télécharge et installe les logiciels suivants, en suivant les instructions (si il y a)

 

- Ewido anti-malware d' Ewido Networks --> http://www.ewido.net/en/download/

-- Pour commencer, installe Ewido en suivant les instructions données par le logiciel

-- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.

-- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"

-- Ferme Ewido. Ne pas le lancer tout de suite.

- Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html

 

- Starter de la compagnie Codestuff => http://telechargement.zebulon.fr/185-starter.html

(Dézippe le fichier téléchargé, lance StarterSetup.exe. Laisse les options par défaut, et choisis French à "Choose Interface language")

 

- ATF-cleaner d'Atribune--> http://www.atribune.org/public-beta/ATF-Cleaner.exe

-- Le logiciel ne nécessitant pas d'installation, tu peux le lancer directement, en double-cliquant dessus

-- Tu peux donc déplacer ATF-cleaner.exe sur le bureau (comme ça, tu l'as de suite "sous la main")

 

- Jv16 Powertools de Jouni Vuorio --> http://telechargement.zebulon.fr/201-jv16-powertools.html

-- Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page)

 

 

Etape 2 : Redémarrage en mode sans échec

 

On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication :

 

- Va dans Démarrer > Arrêter l'ordinateur > choisis Redémarrer . Dès que la fermeture de Windows est terminée, le système commence à redémarrer (écran noir) puis le BIOS se charge. Commence dès cet instant à tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite :P) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuye sur [Entrée].)

 

- Le tuto si tu bloques sur quelque chose => http://service1.symantec.com/SUPPORT/INTER...020325143456924

 

 

Etape 3: Désactivation / Suppression du service infectieux

 

* Désactivation

 

Va dans Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) recherche le service suivant:

 

Win32 Kernel Update

 

Quand le service est trouvé, pointe dessus, double-clique (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter,

puis déroule le Type de Démarrage pour le modifier en Désactivé

Clique sur Appliquer puis OK

 

- Fais strictement la même chose avec le service suivant :

Win32 Update

 

 

* Suppression

 

Lance Hijackthis, choisir Open the Misc.Tools section

la fenêtre "Configuration va s'ouvrir

clique sur Delete a NT service...

la fenêtre "Delete a Windows NT service" va s'ouvrir

Entre dans la zone de dialogue :

 

Win32Kernel

 

Note : assure-toi de ne mettre d'espace, ni avant, ni après !

cliquer OK

 

Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer.

Cliquer NO

 

 

- Fais strictement la même chose avec le libellé suivant :

 

Win32Update

 

 

Etape 4 : Utilisation d'Hijackthis/Suppression des lignes infectieuses

 

- Lance Hijackthis, clique sur le bouton "do a system scan only", et coche les lignes suivantes (il se peut que certaines lignes aient pu disparaître après les étapes précédentes. Dans ce cas, n'en tiens pas compte) :

 

 

O4 - HKLM\..\Run: [MS Domain Name Server Deamon] p.exe

O4 - HKLM\..\Run: [Windows Core Kernel Update] C:\WINDOWS\system32\win32bootcfg.exe

O4 - HKLM\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe

O4 - HKLM\..\Run: [Task Manager Win32] C:\WINDOWS\system32\taskmngr32.exe

O4 - HKLM\..\Run: [Win Tasks 32] wintasks32.exe

O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] p.exe

O4 - HKLM\..\RunServices: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe

O4 - HKLM\..\RunServices: [Win Tasks 32] wintasks32.exe

O4 - HKCU\..\Run: [MS Domain Name Server Deamon] p.exe

O4 - HKCU\..\Run: [MS Dynamic Host Configuration Protocol] MSDHCP32.exe

O4 - HKCU\..\Run: [Win Tasks 32] wintasks32.exe

 

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

 

 

- Clique sur le bouton "Fix checked"

 

 

 

Etape 5 : Utilisation de Starter

  • Lance Starter depuis le raccourci sur le bureau
     
  • Dans le panneau section de gauche :
    • Rend toi d'abord dans Registre --> Utilisateur courant --> Run
    • Dans le panneau de droite, fais un clic droit sur le fichier win32bootcfg.exe, et choisis Supprimer

    [*] Va cette fois-ci dans Registre --> Tous les utilisateurs --> Run et supprime de la même manière la valeur correspondant à win32bootcfg.exe.

     

    [*]Et toujours dans Tous les utilisateurs, va dans Runservices et supprime la valeur du fichier incriminé (toujours win32bootcfg.exe)

     

    [*] Enfin, va dans Registre --> Utilisateur courant def --> Run et supprime, toujours de la même façon, la valeur du fichier win32bootcfg.exe

NB: Il se peut que tu ne trouves pas win32bootcfg.exe dans l'une des trois sous-parties. Si c'est le cas, ne t'inquiète pas :P . C'est juste à titre de vérification.

  • Fais strictement la même chose avec les fichiers suivants :

    - MSDHCP32.exe
    - p.exe
    - taskmngr32.exe
    - wintasks32.exe

Etape 6 : Modification de l'affichage des fichiers/dossiers

 

A présent, on va modifier l'affichage des fichier et des dossiers, car la plupart du temps, les malwares "s'emparent" du statut de fichiers cachés ou fichier système pour mieux se cacher :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer le bouton radio : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

 

Et clique sur Ok

 

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

Etape 7 : Suppression des fichiers/dossiers infectieux

 

Depuis l'explorateur Windows :

 

=> Supprime les fichier suivant, si ils existent encore (en gras) :

 

- C:\WINDOWS\System32\MSDHCP32.exe

- C:\WINDOWS\System32\p.exe

- C:\WINDOWS\System32\taskmngr32.exe

- C:\WINDOWS\System32\wintasks32.exe

- C:\WINDOWS\System32\win32bootcfg.exe

 

- C:\WINDOWS\win32host.exe

- C:\WINDOWS\oswinupdate.exe

 

 

=> Vide la corbeille

 

 

Etape 8 : Nettoyage des fichiers temporaires + registre

 

On va maintenant nettoyer ton système (avec les différents outils téléchargés), pour supprimer les éventuelles traces de malwares dans les dossiers temporaires (très fréquent) et les traces dans le registre, laissées par la suppression des fichiers. A noter que je te fais passer plusieurs outils, car ils sont complémentaires :

 

=> Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement)

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

  • Clique Firefox au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

  • Clique Opera au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

 

=> Jv16 powertools (pour le nettoyage du registre uniquement)

 

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

 

(si il ya quelque chose qui t'échappe, sers toi du tuto de la page web :P )

 

 

Etape 9 : Scan avec Ewido

 

On va maintenant scanner ton système avec un anti-trojan/anti-spyware très performant, pour se débarasser des infections non repérées par Hijackthis :

  • Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
     
  • Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
     
  • Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

Etape 10 : Nettoyage du registre

 

On va à nouveau nettoyer ton registre avec Jv16, car la suppression des fichiers détectés par Ewido y a probablement laissé des traces. N'effectue pas cette étape si Ewido n'a rien détecté :

 

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

 

 

Etape 11 : Redémarrage en mode normal

 

- Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5)

 

 

Etape 12 : Nouveau rapport Hijackthis

 

 

- Commence par renommer Hijackthis.exe (celui qui se trouve dans C:\Documents and Settings\Administrator\Mijn documenten\hijack\ ) en [ton pseudo sur zebulon].exe (n'insère pas d'espaces, de ponctuations ou de caractères accentués dans le nom)

 

- Double clique sur Denise1938.exe (normalement :P) et génère un nouveau rapport Hijackthis (via "Do a system scan and save a logfile), copie-le, et colle-le dans ta prochaine réponse

 

======================================================================

 

Je récapitule pour les rapports que tu dois coller dans ta prochaine réponse :

 

- Le rapport d'Ewido

- Le nouveau rapport Hijackthis (généré en mode normal)

 

 

 

Du boulot en perspective... bonne chance :P . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure.

Modifié par tornado
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir Tornado,

 

Voilà, j'ai terminé le tout.

Apparemment, tout a bien fonctionné. J'ai hésité pour le nettoyage du registre, il y avait tellement à supprimer !!!!

 

voici le rapport Hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 18:43:56, on 27/09/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\lexbces.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\MSTask.exe

C:\WINDOWS\System32\WBEM\WinMgmt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administrator\Mijn documenten\hijack\Denise1938.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bbc.co.uk/worldservice/learning...ish/index.shtml

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\lexbces.exe

 

 

 

Voici le rapport Ewido :

 

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 17:12:54 27/09/2006

 

+ Scan result:

 

 

 

C:\_RESTORE\ARCHIVE\FS253.CAB/A0002206.CPY -> Adware.GAINNetwork : Cleaned with backup (quarantined).

C:\_RESTORE\ARCHIVE\FS253.CAB/A0002203.CPY -> Adware.Gator : Cleaned with backup (quarantined).

C:\_RESTORE\ARCHIVE\FS253.CAB/A0002204.CPY -> Adware.Gator : Cleaned with backup (quarantined).

C:\_RESTORE\ARCHIVE\FS253.CAB/A0002217.CPY -> Adware.Gator : Cleaned with backup (quarantined).

C:\_RESTORE\ARCHIVE\FS253.CAB/A0002218.CPY -> Adware.Gator : Cleaned with backup (quarantined).

C:\_RESTORE\ARCHIVE\FS253.CAB/A0002219.CPY -> Adware.Gator : Cleaned with backup (quarantined).

C:\_RESTORE\ARCHIVE\FS253.CAB/A0002221.CPY -> Adware.Gator : Cleaned with backup (quarantined).

C:\_RESTORE\ARCHIVE\FS253.CAB/A0002222.CPY -> Adware.Gator : Cleaned with backup (quarantined).

C:\_RESTORE\ARCHIVE\FS253.CAB/A0002223.CPY -> Adware.Gator : Cleaned with backup (quarantined).

C:\_RESTORE\ARCHIVE\FS253.CAB/A0002224.CPY -> Adware.Gator : Cleaned with backup (quarantined).

C:\_RESTORE\ARCHIVE\FS253.CAB/A0002227.CPY -> Adware.Gator : Cleaned with backup (quarantined).

C:\_RESTORE\ARCHIVE\FS253.CAB/A0002231.CPY -> Adware.Gator : Cleaned with backup (quarantined).

C:\_RESTORE\ARCHIVE\FS253.CAB/A0002233.CPY -> Adware.Gator : Cleaned with backup (quarantined).

C:\_RESTORE\ARCHIVE\FS253.CAB/A0002234.CPY -> Adware.Gator : Cleaned with backup (quarantined).

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\AD23G9UF\we2pg[1].exe -> Backdoor.Rbot : Cleaned with backup (quarantined).

C:\MS32DRV.dll.exe -> Backdoor.Rbot : Cleaned with backup (quarantined).

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\CL2JGXI7\update[2].exe -> Proxy.Agent.hd : Cleaned with backup (quarantined).

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\CL2JGXI7\update[3].exe -> Proxy.Agent.hd : Cleaned with backup (quarantined).

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\K52FK10D\jjupdatep[2].exe -> Proxy.Ranky : Cleaned with backup (quarantined).

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\QHEHC3S7\jjupdatep[2].exe -> Proxy.Ranky : Cleaned with backup (quarantined).

:mozilla.7:C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\4j9jnadw.default\cookies.txt -> TrackingCookie.Doubleclick : Cleaned.

:mozilla.5:C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\4j9jnadw.default\cookies.txt -> TrackingCookie.Webtrendslive : Cleaned.

C:\Documents and Settings\gert\Cookies\[email protected][2].txt -> TrackingCookie.Yieldmanager : Cleaned.

 

 

::Report end

 

 

Merci de tout coeur.

Denise

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

 

J'essaie d'installer l'antivirus AVAST.

Je reçois ce message :

 

 

Buffer overrun detected.

Program: \locals settings..\...\temp\ ... avast.setup

 

A Buffer overrun has been detected which has corrupted the program's internal state.

The program cannot safely continue execution and must now be terminated.

 

 

Aurais-je encore des virus ?

 

Merci beaucoup pour votre aide.

 

Denise qui garde son calme :P

Lien vers le commentaire
Partager sur d’autres sites

Re,

 

 

Beau boulot, ton nouveau rapport Hijackthis ne montre plus de signes d'infection. :P

Et ewido a bien bossé :P

 

 

J'essaie d'installer l'antivirus AVAST.

Je reçois ce message :

 

 

Buffer overrun detected.

Program: \locals settings..\...\temp\ ... avast.setup

 

A Buffer overrun has been detected which has corrupted the program's internal state.

The program cannot safely continue execution and must now be terminated.

 

 

Aurais-je encore des virus ?

 

 

Je ne sais pas vraiment si ça provient des virus. J'aimerais qu'on attende d'avoir bien vérifié que le système soit propre.

 

Donc tu peux attendre pour l'installation de l'antivirus pour l'instant. Si Avast est installé , désinstalle-le (via "panneau de configuration" => ajout/suppression de programmes).

 

J'aimerais cependant que tu installes un pare-feu (beaucoup plus important quel l'antivirus) pour ne pas que de nouvelles infections s'introduisent sur ton système. Je te recommande Kerio, qui est imple à configurer, gratuit et efficace :

 

- Téléchargement : http://www.sunbelt-software.com/Kerio-Download.cfm

- Tutoriel : http://www.malekal.com/kerio_firewall.html (merci à Malekal_morte)

 

=======================================

 

Après avoir installé un pare-feu, tu vas scanner ton système avec différents outils, ainsi que nettoyer les fichiers infectieux mis en quarantaine par Ewido :

 

===============================================================

 

 

* Suppression des fichiers en quarantaine d'ewido

 

- Lance ewido anti-spyware depuis le bureau

- Clique sur le bouton "Infections" dasn le menu du haut

- Clique sur l'onglet "Quarantine"

- Choisis "Select all" puis clique sur "Remove finally"

 

 

* Scan Av en ligne : Panda Activescan

 

- Commence par désactiver le bouclier Web d'avast ( clic droit sur pasdenom3io.jpg dans la barre des tâches => arrêter le service => bouclier web ) car l'activex de panda et avast entrent en conflit. Ne t'inquiète pas, tu ne risques rien

 

- Rend toi sur cette page, et choisis "Analyser gratuitement..." => http://www.pandasoftware.fr/Activescan/Activescan.html

 

- Met une adresse mail bidon pour éviter de recevoir de la pub de Panda (ou crée une adresse jetable --> http://www.jetable.org/fr/index )

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, clique sur "sauver le rapport"

- Sauvegarde-le dans un endroit sûr comme le bureau (j'en ai besoin)

- Réactive le bouclier Web d'avast

 

- Un tutoriel en images si tu bloques sur quelque chose => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 (merci à Malekal_morte)

 

NB : Si le scan en fonctionne pas, vérifie qu'Internet Explorer est bien paramétré pour les activex => http://www.inoculer.com/activex.php3 (toute la partie

Paramétrer Internet Explorer

 

 

 

* Scan anti-rootkit : Blacklight

 

Ensuite, on va vérifier si des rootkits ("malwares cachés") n'ont pas infecté ton système (c'est une infection de plus en plus courante) :

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

========================================================

 

N'oublie pas de mettre dans ta prochaine réponse :

 

- Le rapport de Panda (activescan.txt)

- Le rapport de Blacklight (préalablement sauvegardé dans un fichier .txt)

 

 

 

A+ :P

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir Tornado,

 

J'ai enfin terminé.

Je ne sais pas ce qu'il se passe, mais mon pc n'a jamais aussi lent.

Il faut plus d'une minute pour ouvrir le site de Zebulon !!!!!

Je sais que je n'ai pas un pc rapide. Je suis ici chez une amie qui a l'Adsl.

Chez moi, je ne l'ai pas. Si ici ça prend plus d'une minute, chez moi il en faudra 10'

Est-ce possible que le firewall ralentisse à ce point là ?

 

voici le rapport de Panda (qui a pris des heures !!! ) :

(4 virus et 5 espions)

 

Incident Statut Analyse

 

Spyware:Cookie/WebtrendsLive No Désinfecté C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\4j9jnadw.default\cookies.txt[statse.webtrendslive.com/]

Spyware:Cookie/Toplist No Désinfecté C:\Documents and Settings\Administrator\Cookies\administrator@toplist[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Administrator\Cookies\administrator@xiti[1].txt

Virus:Trj/Sadcase.B Désinfecté C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\CL2JGXI7\j2updatea[1].exe

Virus:Trj/Sadcase.B Désinfecté C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\CL2JGXI7\j2updatea[2].exe

Virus:Trj/Ranky.QF Désinfecté C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\CL2JGXI7\update[1].exe

Virus:Trj/Ranky.NW Désinfecté C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\K52FK10D\j2update[1].exe

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\gert\Cookies\gert@belnk[1].txt

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\gert\Cookies\[email protected][2].txt

Virus:W32/Sdbot.ftp.worm Désinfecté C:\WINDOWS\SYSTEM32\i

 

Pour le rapport de Blacklight :

 

Rien n'a été trouvé : No hidden items were found.

 

Je suppose que c'est bon signe ?

 

Je te remercie pour ta patience et gentillesse.

 

Denise

:P

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

 

 

Pour l'adsl, je ne sais pas si c'est en rapport avec Kerio... il est vrai que Kerio est un peu lourd en ressources, mais il n'est pas censé ralentir ta connexion (mais plutêt le démarrage du pc par exemple)

 

Désinstalle-le, puis redémarre.

 

* Si tu constates des améliorations, tourne toi vers un autre pare-feu, plus léger comme Outpost free. Certes il est un peu plus compliqué à configurer, mais il est très efficace une fois le paramétrage effectué :

 

- Télécharge-le ici => http://www.agnitum.com/products/outpostfree/download.php (indique une adresse mail valide pour recevoir sur ta boîte le lien de téléchargement)

 

- Pour l'installer/le configurer, 2 excellentes adresses :

-- Le tutoriel d'Odsen

-- Tutorial et configuration Outpost de Malekal_Morte

 

 

* Si tu ne constates pas d'améliorations, réinstalle Kerio ou choisis Outpost, et continue les manips

_____________________________________

 

 

Panda indique quelques fichiers infectieux, qu'il a supprimés. J'aimerais, pas mesure de sécurité, que tu vides (ou supprimer le contenu) manuellement le dossier suivant :

 

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files

 

NB : Ferme Internet Explorer avant la suppression des fichiers contenus dans le dossier

 

____________________________________

 

 

Si tu as le temps, tu peux faire un autre scan antivirus :

 

- Pour cela, rend toi sur cette page => http://webscanner.kaspersky.fr/

- Et clique sur l'image suivante pour lancer l'outil :

11d105e522a4d72254b76463d151.jpg

- A la fin du scan, n'oublie pas de sauvegarder le rapport (que tu devras copier/coller dans ta prochaine réponse)

 

- Pour utiliser ce scan en ligne, tu peux suivre ces instructions => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566 (merci à Malekal_morte)

 

__________________________________

 

 

 

 

A+ :P

Modifié par tornado
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir Tornado,

 

j'ai enlevé Kerio et installé Outpost. il y a en effet un mieux,

mais quand même encore assez lent à comparer sans

pare-feu.

 

J'ai vidé mes fichiers temporaires Internet.

 

Mais, pas moyen de scanner avec Kapersky.

J'ai scanné avec www.secuser.com qui m'a rien détecté.

(donc pas de rapport). Est-ce suffisant ?

 

J'ai à nouveau essayé d'installer AVAST. J'ai toujours ce

message : Buffer overrun detected ... the program cannot

safely continue execution and must now be terminated.

 

J'ai une disquette de Norton, mais il me semble avoir lu

quelque part que Norton ralentissait assez bien ...

J'ai déjà eu Avast, et je n'avais pas de problème sur ce

pc.

Quel antivirus me conseilles-tu ?

 

Mille fois merci.

 

Denise

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...