Gros problème !

[nanoutulipe]

Bonjour à tous,

Mon ordi débloque complètement depuis que j'ai installer un logiciel p2peer...! que j'ai viré depuis

Je pense qu'il est bien infecté. Après un petit tour sur votre forum, j'ai donc appliqué plusieurs trucs :

Mon fichier bootini ayant disparu, j'ai suivi une procédure indiquant d'utiliser bootcfg via la console de récupération. Sans résultat, toujours pas de fichier bootini... Je me retrouve avec 4 systèmes d'exploitation au démarrage !

J'ai également fait une analyse avec smitfraudfix :

rapport avant :

SmitFraudFix v2.127

 

Rapport fait à 10:39:02,24, 24/04/2007

Executé à partir de C:\Documents and Settings\Anne\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

C:\WINDOWS\keyboard1.dat PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Anne

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Anne\Application Data

 

C:\Documents and Settings\Anne\Application Data\Install.dat PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Anne\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{2188CEDE-B239-484C-8EA6-B84DC1001001}"="xkexjkakssut"

 

[HKEY_CLASSES_ROOT\CLSID\{2188CEDE-B239-484C-8EA6-B84DC1001001}\InProcServer32]

@="C:\WINDOWS\system32\xkexjkakssut.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2188CEDE-B239-484C-8EA6-B84DC1001001}\InProcServer32]

@="C:\WINDOWS\system32\xkexjkakssut.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{CEDE2188-484C-B239-A68E-DC1B84001001}"="phlonoomfyhw"

 

[HKEY_CLASSES_ROOT\CLSID\{CEDE2188-484C-B239-A68E-DC1B84001001}\InProcServer32]

@="C:\WINDOWS\system32\phlonoomfyhw.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CEDE2188-484C-B239-A68E-DC1B84001001}\InProcServer32]

@="C:\WINDOWS\system32\phlonoomfyhw.dll"

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

http///forum.zebulon.fr/index.php?showforum=40

 

 

 

 

Rapport après :

 

SmitFraudFix v2.127

 

Rapport fait à 11:56:38,03, 24/04/2007

Executé à partir de C:\Documents and Settings\Anne\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{2188CEDE-B239-484C-8EA6-B84DC1001001}"="xkexjkakssut"

 

[HKEY_CLASSES_ROOT\CLSID\{2188CEDE-B239-484C-8EA6-B84DC1001001}\InProcServer32]

@="C:\WINDOWS\system32\xkexjkakssut.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2188CEDE-B239-484C-8EA6-B84DC1001001}\InProcServer32]

@="C:\WINDOWS\system32\xkexjkakssut.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{CEDE2188-484C-B239-A68E-DC1B84001001}"="phlonoomfyhw"

 

[HKEY_CLASSES_ROOT\CLSID\{CEDE2188-484C-B239-A68E-DC1B84001001}\InProcServer32]

@="C:\WINDOWS\system32\phlonoomfyhw.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CEDE2188-484C-B239-A68E-DC1B84001001}\InProcServer32]

@="C:\WINDOWS\system32\phlonoomfyhw.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\keyboard1.dat supprimé

C:\Documents and Settings\Anne\Application Data\Install.dat supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{2188CEDE-B239-484C-8EA6-B84DC1001001}"="xkexjkakssut"

 

[HKEY_CLASSES_ROOT\CLSID\{2188CEDE-B239-484C-8EA6-B84DC1001001}\InProcServer32]

@="C:\WINDOWS\system32\xkexjkakssut.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2188CEDE-B239-484C-8EA6-B84DC1001001}\InProcServer32]

@="C:\WINDOWS\system32\xkexjkakssut.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{CEDE2188-484C-B239-A68E-DC1B84001001}"="phlonoomfyhw"

 

[HKEY_CLASSES_ROOT\CLSID\{CEDE2188-484C-B239-A68E-DC1B84001001}\InProcServer32]

@="C:\WINDOWS\system32\phlonoomfyhw.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CEDE2188-484C-B239-A68E-DC1B84001001}\InProcServer32]

@="C:\WINDOWS\system32\phlonoomfyhw.dll"

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

Impossible de faire Hijackthis. La fenetre se referme immédiatement même en mode sans échec.

 

Bref, je suis désespérée !

 

Merci d'avance à ceux qui se pencheront sur mon problème.

PS : je vous écrit du boulot, donc ma réponse ou la mise en application de la résolution des problèmes va me prendre du temps.

 

Anne

[bruce lee]

Bonjour nanoutulipe et bienvenue sur zebulon

 

Telecharge la version original de hijackThis http://www.merijn.org/files/hijackthis.zip

 

Déconnecte toi du net et installe le sur ton bureau

 

Lance le en cliquant sur Do a system scan and save a logfile a la fin du scan le bloc note va s'ouvrir tu fais un copier coller de tout son contenu.

[nanoutulipe]

Bonjour nanoutulipe et bienvenue sur zebulon

 

Telecharge la version original de hijackThis http://www.merijn.org/files/hijackthis.zip

 

Déconnecte toi du net et installe le sur ton bureau

 

Lance le en cliquant sur Do a system scan and save a logfile a la fin du scan le bloc note va s'ouvrir tu fais un copier coller de tout son contenu.

 

 

 

Ok, je ne pourrais le faire qu'en début d'après-midi et je te tiens au courant

Merci

Anne

[bruce lee]

Re,

 

Fait ca quand tu as le temps

 

Tu en as pour moins de 5 minutes a faire la manip.

 

@+

[nanoutulipe]

Rien à faire, impossible de faire l'analyse, la fenetre du logiciel se referme tout de suite. Je crois que je vais tout formater et basta !

Quels logiciels indispensables faut-il installer pour blinder un ordi ? (hormis l'antivirus de base...)

Merci de vos réponses

Anne

 

 

Je précise que j'ai essayé aussi en mode sans échec...

[bruce lee]

Bonjour,

 

Attend un peu avant de formater.

 

1/telecharge silent runners http://www.silentrunners.org/Silent%20Runners.vbs

(fait clique droit sur le lien, puis enregistrer la cible sous)

 

2/déconnecte toi du net et ferme toutes les applications en cours.

 

3/lance silent runners laisse le travailler quand il aura finit de scanner tu en sauras averti par un message et un nouveau fichier texte sera crée ouvre ce fichier texte et colle la totalité du rapport.

[nanoutulipe]

Bonjour,

 

Attend un peu avant de formater.

 

1/telecharge silent runners http://www.silentrunners.org/Silent%20Runners.vbs

(fait clique droit sur le lien, puis enregistrer la cible sous)

 

2/déconnecte toi du net et ferme toutes les applications en cours.

 

3/lance silent runners laisse le travailler quand il aura finit de scanner tu en sauras averti par un message et un nouveau fichier texte sera crée ouvre ce fichier texte et colle la totalité du rapport.

 

 

Je suis enfin de retour,

merci beaucoup pour tes infos. J'ai réussi à faire un hijackthis, je sais meme pas comment. mais impossible de me reconnecter sur le site du forum pour poster ma réponse. J'arrivais à naviguer sur beaucoup de sites, mais dès que je m'inscrivais sur un forum concernant les virus, la page se refermait ! Un virus super intelligent ????

Bref, tellement ras-le-bol, que j'ai tout formaté et me voici de retour. Par contre, je n'ai pas pu sauvegarder le rapport hijackthis...

Pour info, que fait silent runners ?

 

Anne

[bruce lee]

Bonjour,

 

silent runners permet de voir certaines choses que HijackThis ne voit pas.

 

Poste quand même un rapport HijackThis s'il te plait.