PC infecté =S

[InOx]

Bonjours,Ma tante me disait que sont PC allait mal..Alors je suis aller chez eu et j'ai vue que sont PC allait vraiment mais vraiment trop mal..

Voilà ce qu'il avait:

-Sont antivirus marchait mais n'était pas à jour!

-En entrant dans la session il y avait toujours un virus..

-Les fenêtres se fermait à 1mm (très long quoi!)

 

J'ai mis son Antivirus(Kaspersky internet security v6) à jour et j'ai fais un scan :

-A tout les 1 secondes il avait un virus xD ( J'exagère un peu )

-À la fin du scan il avait effacé 1200 virus xD halala c'est la première fois que je vois ça..

Ensuite j'ai fais un scan Avec AD-Adware et Spybot 1.4 :

Il mont trouver plein de spyware et tout..

 

(Il allait déja mieu le pc mais pas asser)

 

Voilà..

J'aimerais savoir comment enlever le reste de Virus (Il en reste encore car il est encore TRÈS lent et les fenêtres se ferme à 1 cm encore)

P.S : Elle est limité dans le téléchargement alors pas de téléchargement svp

 

InOx

[Thanos]

salut InOx

 

Malheureusement il va surement falloir télécharger des programmes pour désinfecter son pc!! Ce sont de petits utilitaires pour la plupart!

 

Commence par poster un rapport hijackthis stp =>

 

Télécharger la dernière version d'HijackThis

• Installation et utilisation d'HijackThis:
  
• Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.
  Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
  
• Arrêter tous les programmes en cours et fermer toutes les fenêtres
   
  
• Lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"
  
• NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran.
  
• Ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans ta prochaine réponse.
  

Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.

 

@+

[InOx]

salut InOx

 

Malheureusement il va surement falloir télécharger des programmes pour désinfecter son pc!! Ce sont de petits utilitaires pour la plupart!

 

Commence par poster un rapport hijackthis stp =>

 

Télécharger la dernière version d'HijackThis

• Installation et utilisation d'HijackThis:
  
• Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.
  Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
  
• Arrêter tous les programmes en cours et fermer toutes les fenêtres
   
  
• Lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"
  
• NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran.
  
• Ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans ta prochaine réponse.
  

Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.

 

@+

 

 

Ok ! Mais ça peut prendre du temps! Car je ne vais pas chez ma tante souvent et elle reste loin ( J'esseyerais dy aller demain ou le plutot possible)

[Thanos]

ok ca marche On a absolument besoin de rapports pour voir ce que le disque dur contient. Après ca on attaque !

bonne nuit.

[InOx]

Voici le rapport de Hijackthis ! :

 

Logfile of HijackThis v1.99.1

Scan saved at 17:52:14, on 2007-03-10

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\WINDOWS\System32\lxbtcoms.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\a-squared Free\a2free.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.fr.msn.ca/0SEFRCA/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.fr.msn.ca/0SEFRCA/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.fr.msn.ca/0SEFRCA/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\Run: [LXBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra 'Tools' menuitem: Aide i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1173466147097

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://www.kidsmania.ca/ExentCtl.ocx

O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} - http://advnt01.com/dialer/int_ver34.CAB

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: c:\progra~1\kasper~1\kasper~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll

O20 - Winlogon Notify: Reinstall - C:\WINDOWS\

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbtcoms.exe

O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Program Files\VeriSign\NAVI\naviagent.exe

O23 - Service: W2k PCtel speaker phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

 

Et voici le diag :(J'ai un problême avec je crois !)

 

Liste les derniers fichiers des repertoires Windows...

 

Liste fichiers sans compagnies des repertoires Windows...

 

Liste possibles fichiers de l'infection Wareout.

 

Recherche de rootkit! (Merci S!Ri)

C:\WINDOWS\system32\drivers\orean32.sys existe !

 

Recherche des infections connues...

Le système ne peut trouver le fichier tmp3.txt.

Impossible de trouver C:\Documents and Settings\Annie\Bureau\tmp3.txt

 

Liste les programmes installes...

 

Liste les fichiers des repertoires sensibles...

 

OPÉRATION RÉUSSIE : les commutateurs de l'entrée du système d'exploitation "1" o

nt été ajoutés au fichier BOOT.INI.

 

P.S : P.S :Elle n'a pas de Pare-feu.. il en faudrait un qui est petit car son ordi n'est pas très puissante..Je viens de voir qu'elle avait SP1 et qu'elle n'avait pas télécharger les UPDATES de microsoft car elle a une limite de téléchargement..je me demandais si y'avais pas un moyen pour les mettres sur un CD et comme ça je lui amenrais et elle n'aurait pas à les télécharger!

Modifié le 11 mars 2007 par InOx

[Thanos]

salut InOx

P.S :Elle n'a pas de Pare-feu.. il en faudrait un qui est petit car son ordi n'est pas très puissante..

Dis moi, Kaspersky Internet Security 6 intègre un parefeu ?!

Si le parefeu intégré fonctionne, il ne faut pas en ajouter un autre!

 

je me demandais si y'avais pas un moyen pour les mettres sur un CD et comme ça je lui amenrais et elle n'aurait pas à les télécharger!

Certainement!! Consulte ce lien > http://www.zebulon.fr/astuces/astuce-windows-149.html

Un fois les maj téléchargées et gravées, tu peux consulter cette astuce pour les installer automatiquement > http://www.zebulon.fr/astuces/astuce-windows-150.html

 

Stp InOx, ouvre le fichier qui se trouve dans C:\ et qui se nomme resultat.txt.

À la fin du scan il avait effacé 1200 virus xD halala c'est la première fois que je vois ça..

Est ce que tu peux poster le rapport généré par Kaspersky ?

[InOx]

Allo! J'ai pu aller hier chez ma tante mais vue le décalage horaire je crois qu'on ne sait pas vue..Je ne sais pas si aujourd'hui je vais pouvoir i aller...

 

Est-ce que les mise à jour de SP2 je les mets sur le CD pareil même si elle n'a que SP1 ?

 

Pour le résultat de Kaspersky :

 

Je crois qu'il s'est effacé parce que quand je suis aller voir dans la section ''Data file'' tout était à 0 ou presque.. mais je me souvien que c'était du genre

 

''Win-***-***'' xD pas grand indice ein xD

 

P.S : Oui il a le pare-feu! Donc de ce coté la c'est Ok!Elle m'a dit qu'il allait mieu mais qu'il était encore lent! Mais c'est peut-e^tre normal sa config c'est :

SP1+AMD 900Mhz+132MO RAM

 

InOx

[Thanos]

salut

 

P.S : Oui il a le pare-feu! Donc de ce coté la c'est Ok!Elle m'a dit qu'il allait mieu mais qu'il était encore lent! Mais c'est peut-e^tre normal sa config c'est :

SP1+AMD 900Mhz+132MO RAM

C'est bien d'avoir précisé ca InOx !!! 132Mo de ram??? tu es sur?? parce que sans 512 MO, qui est le minimum vital pour faire tourner Windows XP, ca rame A MORT!!!

Sérieusement, si tu peux, arrange toi pour ouvrir le pc et regarde le type de mémoire installée( relève la référence exacte) : ensuite fais l'achat d'une barrête de mémoire de 512 Mo !!!

L'idéal serait d'avoir 1GO (voire 2 quand c'est possible).

Ce type de mémoire ne coute pas cher et je garantis que le pc ne sera plus le même!!! Une fusée en comparaison....

 

Ceci dit, j'aimerai si tu repasses sur le pc, que tu postes un rapport comme ceci >

 

Ouvre HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique sur Generate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici.

 

Clique sur cette adresse => http://www.virustotal.com/flash/index_en.html

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier orean32.sys que tu trouveras en allant dans le dossier C:\WINDOWS\system32

 

Tu cliques une fois sur le fichier orean32.sys (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "send" .Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ce prendra pour faire analyser)

 

N'oublie pas le rapport sous C:\ et qui se nomme resultat.txt

 

On verra après pour les mises à jour

[InOx]

Je crois que tu exagère un peu! Parce que j'ai un PC : 3000 MhZ +512mo RAM avec SP2 qui vas très bien (c'est sur)

mais j'au aussi un autre ordi:600 MHz + 312 Mo de RAM avec window xp SP2 et qui vas aussi bien que celui de 3000 et 512....sauf pour les jeux!

 

 

pour ce que tu m'a demander je le ferai quand je serais chez elle..

Et tu voulais que je rajoutes de la RAM.. je crois pas qu'elle vas vouloir payer.. xD et je me dis que si ma petite machine de 600 Mhz vas bien alors elle aussi elle peus aller aussi bien!

 

 

 

InOx

 

Merci de ton aide

[Thanos]

d'accord pour 512 Mo InOx !! mais franchement sous cette valeur, le pc est une limace!! pour peu qu'il soit infecté, ou que trop d'applications tournent en même temps....132MO RAM c'est vraiment très juste!

en attendant les rapports, bonne soirée