Malware et panneau de configuration inaccessible

[midland]

RE midland,

 

Comme je te vois sur le topic, je te prépare une procédure pour un premier nettoyage.

 

A tout de suite.

 

Cordialement.

 

Ça marche !

[wong]

Bonsoir midland,

 

Télécharge ATF Cleaner par Atribune : http://www.atribune.org/ccount/click.php?id=1

 

Enregistre-le sur ton bureau.

 

 

Télécharge AVG Anti-Spyware de ewido/grisoft : http://www.ewido.net/en/download/

• Enregistre-le sur ton bureau.
  
• Lance le depuis l'icône presente sur ton bureau.
  
• Clique sur modifier l'état du bouclier résident et mise à jour automatique, pour désactiver ces deux fonctions.
  
• Clique sur mise à jour, commencer la mise à jour.
  
• Clique sur analyse puis sur paramètres.
  
• Clique sur actions recommandées puis sur quarantaine.
  
• Ferme le programme.
  

 

Redémarre en mode sans échec

 

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou, événtuellement, d'enregistrer ) la procédure.

• Clique sur Démarrer
  
• Clique sur Arrêter l'ordinateur
  
• Dans la fenêtre qui s'ouvre : clique sur " Redémarrer "
  
• Appui sur la touche F8 ( ou F5 sur certains PC ) dès qu'un écran de texte apparaît ( puis disparaît ).
  
• Utilise les touches de direction pour sélectionner le mode sans échec voulu ( " mode sans échec " seul )
  
• Appui dur la touche " ENTRÉE "
  
• Attend la fenêtre avec le choix des sessions ( noms d'administrateurs ).
  
• Clique sur ta session normale : ton nom (Administrateur )
  
• Une nouvelle fenêtre s'affiche " Bureau " : clique sur OUI
  

Pour éventuellement t'aider voici un tuto en images : http://www.malekal.com/modesansechec.php

 

 

1°) Nettoyage avec HijackThis

 

Lance un scan HijackThis : Clique sur Do a system scan only et coche les lignes ci-dessous :

 

O3 - Toolbar: IE Custom Tools - {23ED2206-856D-461A-BBCF-1C2466AC5AE3} - C:\Program Files\Video Add-on\ictmdl.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [OoPDFSettingsv6.exe] C:\Program Files\OFFICE ONE6.0\OFFICE One PDF Manager v6\OoPDFSettingsv6.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

 

Ferme toutes les fenêtres, sauf le logiciel Hijackthis, et Clique sur Fix checked puis ferme HijackThis.

 

 

 

2°) Nettoyage avec AVG Anti-Spyware

 

Procedure préalable à l'utilisation d'AVG Anti-Spyware : Très important pour bien supprimer les fichiers tmp ,cookies et autres, pour une meilleure lecture du rapport d'AVG Anti-Spyware.

 

Double-clique ATF Cleaner.exe afin de lancer le programme.

• Main correspond à IE
  
• Sous l'onglet Main, choisis : Select All
  
• Clique sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  
• Clique le bouton Empty Selected
  
• NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  
• Clique le bouton Empty Selected
  
• NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu principal, afin de fermer le programme.

 

 

3°) Lance AVG Anti-Spyware

 

Clique sur scanner, puis sur scan complet du système.

 

Si des fichiers malveillants sont trouvés :

• Clique sur Appliquer toutes les actions
  
• Clique sur enregistrer le rapport d'analyse.
  
• Copie/Colle le rapport dans ton prochain message
  

Pour t'aider tu as deux tutos à ta disposition:

• ATFCleaner: http://pitcatsite.ovh.org/html/ATFCleaner.html
  
• AVG Anti-Spyware: http://pitcatsite.ovh.org/html/avg_a-s.html
  

Redémarre en mode normal

 

Lance HijackThis

Copie/Colle un nouveau rapport HJT dans ta prochaine réponse

 

 

J'attens 2 rapports ( celui de AVG AS et celui de HijackThis ).

 

 

Cordialement.

[midland]

Merci beaucoup Wong. Je m'en occupe dès demain, je tombe de fatigue. J'espère y arriver !

Bonne nuit

[wong]

RE,

 

Prends ton temps et fais-le calmement. C'est pas compliqué mais il faut bien suivre.

 

Bonne nuit.

[midland]

RE,

 

Prends ton temps et fais-le calmement. C'est pas compliqué mais il faut bien suivre.

 

Bonne nuit.

 

OK, c'est fait ! Voilà le rapport AVGas

---------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 20:59:53 19/10/2007

 

+ Résultat de l'analyse:

 

 

 

HKLM\SOFTWARE\Classes\CLSID\{A82BE883-EE51-4FAB-85B4-9432C6056673} -> Adware.VipSearcher : Nettoyé et sauvegardé (mise en quarantaine).

HKU\S-1-5-21-4108066755-2929699908-3011282234-1007\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A82BE883-EE51-4FAB-85B4-9432C6056673} -> Adware.VipSearcher : Nettoyé et sauvegardé (mise en quarantaine).

C:\ncj.exe -> Not-A-Virus.Hoax.Win32.Renos.bh : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\HP_Propriétaire\us00info.exe -> Not-A-Virus.Hoax.Win32.Renos.eo : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\drivers\etc\1.hosts -> Trojan.Qhost.my : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\drivers\etc\2.hosts -> Trojan.Qhost.my : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\drivers\etc\3.hosts -> Trojan.Qhost.my : Nettoyé et sauvegardé (mise en quarantaine).

 

 

Fin du rapport

 

et hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:04:23, on 19/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\svchost.exe

c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\keyhook.exe

C:\WINDOWS\system32\ps2.exe

C:\PROGRA~1\MESSAG~1\StartMessager.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\windows\system\hpsysdrv.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\Program Files\OFFICE ONE6.0\OFFICE One PDF Manager v6\OoPDFSettingsv6.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\WINDOWS\system32\wuauclt.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Documents and Settings\HP_Propriétaire\Bureau\HiJackThis\HijackThis.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\PROGRA~1\WINSTR~1\tbu54F\tbhelper.dll

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll

O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Win Stream plugin - {BFB5F154-9212-46F3-B547-AC6106030A54} - C:\PROGRA~1\WINSTR~1\tbu54F\win_stream_plugin.dll

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe

O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [OoPDFSettingsv6.exe] C:\Program Files\OFFICE ONE6.0\OFFICE One PDF Manager v6\OoPDFSettingsv6.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {68A2C3BD-7809-11D3-8ACF-0050046F2F9A} (AXELPlayer Class) - http://www.mindavenue.com/Downloads/AXELPlayerAX_Win32.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1192567556375

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O20 - Winlogon Notify: disk - C:\WINDOWS\system32\diskperff.dll

O22 - SharedTaskScheduler: designers - {f0c5ef8b-f4bb-4612-9ea8-361fff3da3d5} - (no file)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPwdSvc.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Norton Internet Security\comHost.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

--

End of file - 10161 bytes

 

Il y a juste une chose que j'ai laissée, c'est la ligne :

O4 - HKLM\..\Run: [OoPDFSettingsv6.exe] C:\Program Files\OFFICE ONE6.0\OFFICE One PDF Manager v6\OoPDFSettingsv6.exe

parce que ça correspond à un programme que j'ai installé et que j'utilise depuis 4-5 ans sur cet ordinateur et d'autres ordis sans souci.

 

Je n'ai toujours pas accès à mon panneau de configuration, mais on avance !

Céline

[wong]

Bonjour midland,

 

Je vois que tu es sur le topic.

 

Dans l'attente d'une précision sur la ligne 020 à supprimer, on va continuer.

 

Retour dans 1 h.

 

Cordialement.

[wong]

Bonjour midland,

 

Lance HijackThis :

 

Clique sur Do a system scan only et coche les lignes ci-dessous :

 

R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\PROGRA~1\WINSTR~1\tbu54F\tbhelper.dll

O3 - Toolbar: Win Stream plugin - {BFB5F154-9212-46F3-B547-AC6106030A54} - C:\PROGRA~1\WINSTR~1\tbu54F\win_stream_plugin.dll

O16 - DPF: {68A2C3BD-7809-11D3-8ACF-0050046F2F9A} (AXELPlayer Class) - http://www.mindavenue.com/Downloads/AXELPlayerAX_Win32.cab

 

Ferme toutes les fenêtres, sauf le logiciel Hijackthis, et Clique sur Fix checked puis ferme HijackThis.

 

 

Analyse de fichier :

 

Fais analyser ce fichier en ligne stp : C:\WINDOWS\system32\diskperff.dll

Clique sur cette adresse => http://www.virustotal.com/flash/index_en.html

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre => parcours ton disque dur , et recherche le fichier diskperff.dll que tu trouveras en allant dans le dossier C:\WINDOWS\system32

 

Tu cliques une fois sur le fichier diskperff.dll ( il prend une couleur bleue ) puis tu cliques sur "[b}ouvrir[/b]" en bas de la fenêtre puis sur "send" .Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse.

 

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ce prendra pour faire analyser)

 

et chez Jotti : http://virusscan.jotti.org/

 

 

Télécharge VundoFix.exe ( par Atribune ) sur ton Bureau : http://www.atribune.org/ccount/click.php?id=4

• Double-clique VundoFix.exe afin de le lancer.
  
• Clique sur le bouton Scan for Vundo
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
  
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  
• Copie/colle le contenu complet du rapport situé dans C:\vundofix.txt dans ta prochaine réponse
  

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-dessus, à partir de "clique sur le bouton Scan for Vundo".

 

Cordialement.

[midland]

Bonjour Wong et merci beaucoup pour ton aide. Je suis en train de faire ce que tu m'indiques dans ton dernier post, je mettrais un post dès que ce sera terminé.

[midland]

Analyses de diskperff.dll :

Fichier diskperff.dll reçu le 2007.10.28 17:21:00 (CET)

Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

 

 

Fichier diskperff.dll reçu le 2007.10.28 17:21:00 (CET)

Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

 

 

Résultat: 1/31 (3.23%)

 

 

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2007.10.27.0 2007.10.26 -

AntiVir 7.6.0.30 2007.10.26 TR/Clicker.Delf.CT

Authentium 4.93.8 2007.10.26 -

Avast 4.7.1074.0 2007.10.28 -

AVG 7.5.0.503 2007.10.28 -

BitDefender 7.2 2007.10.28 -

CAT-QuickHeal 9.00 2007.10.26 -

ClamAV 0.91.2 2007.10.28 -

DrWeb 4.44.0.09170 2007.10.28 -

eSafe 7.0.15.0 2007.10.28 -

eTrust-Vet 31.2.5244 2007.10.26 -

Ewido 4.0 2007.10.28 -

FileAdvisor 1 2007.10.28 -

Fortinet 3.11.0.0 2007.10.19 -

F-Prot 4.3.2.48 2007.10.26 -

F-Secure 6.70.13030.0 2007.10.27 -

Ikarus T3.1.1.12 2007.10.27 -

Kaspersky 7.0.0.125 2007.10.28 -

McAfee 5150 2007.10.26 -

Microsoft 1.2908 2007.10.28 -

NOD32v2 2621 2007.10.28 -

Norman 5.80.02 2007.10.26 -

Panda 9.0.0.4 2007.10.28 -

Prevx1 V2 2007.10.28 -

Rising 19.46.61.00 2007.10.28 -

Sophos 4.23.0 2007.10.28 -

Sunbelt 2.2.907.0 2007.10.27 -

Symantec 10 2007.10.28 -

TheHacker 6.2.9.110 2007.10.27 -

VBA32 3.12.2.4 2007.10.28 -

VirusBuster 4.3.26:9 2007.10.27 -

Information additionnelle

File size: 27136 bytes

MD5: 0be52be18a8508b65f33e704b3e63242

SHA1: 91dc3031db43365653fa08fa07fbdf999bb20480

 

 

 

 

et -----------

 

Scan taken on 28 Oct 2007 16:26:52 (GMT)

A-Squared Found nothing

AntiVir Found TR/Clicker.Delf.CT

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

CPsecure Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

Panda Antivirus Found nothing

Rising Antivirus Found nothing

Sophos Antivirus Found nothing

VirusBuster Found nothing

VBA32 Found nothing

 

 

Je passe à Vundo et je te tiens au courant !

OK, Vundo n'a rien trouvé et je n'ai toujours pas accès au panneau de configuration. Ce serait le troyen clicker le responsable ? Comment je fais pour l'éliminer ?

Modifié le 28 octobre 2007 par midland

[wong]

Bonjour midland,

 

1°) Télécharge la dernière version de Killbox : http://informatruc1.free.fr/desinfection/KillBox.exe

Enregistre-le sur ton bureau.

 

2°) Redémarre ton PC en mode sans échec

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou, événtuellement, d'enregistrer ) la procédure.

 

2.1 - Lance HijackThis :

 

Clique sur Do a system scan only et coche la ligne ci-dessous :

 

O20 - Winlogon Notify: disk - C:\WINDOWS\system32\diskperff.dll

 

Ferme toutes les fenêtres, sauf le logiciel Hijackthis, et Clique sur Fix checked puis ferme HijackThis.

 

 

2.2 - Lance PocketKillbox :

• Choisis l'option Delete on Reboot
  
• Clique sur le menu File de KillBox ( en haut à gauche ) et choisis l'option Paste from Clipboard
  
• Copie/Colle le chemin du fichier à supprimer : C:\WINDOWS\system32\diskperff.dll
  
• Sous "Full Path Of File To Delete" le chemin du fichier vient de s'inscrire: il faut t'en assurer en cliquant sur la petite flèche à droite.
   
  
• Important : Un fichier ".dll" est présent, Coche "Unregister .dll Before Deleting".
  
• Clique sur la croix blanche sur fond rouge (Delete File) : "File will be Removed on Reboot, Do you want to reboot now?"
  
• Réponds OUI si tu es prêt à procéder.
  
• Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.
  
• Copie/Colle le rapport de PocketKillbox situé sur C:\!KillBox\Logs dans ta prochaine réponse
  

Tuto animé de baltrap34 en flash ici : http://perso.orange.fr/rginformatique/sect...rus/killbox.htm

 

 

3°) Redémarre en mode normal

 

 

Lance HijackThis

 

Copie/Colle un nouveau rapport HijackThis dans ta réponse

 

 

J'attends 2 rapports ( celui de KillBox et celui de HijackThis ).

 

Cordialement.