[Reglé] Contaminé, Balge, impossible d'installer un antivirus

[hercut]

J'avou ne pas vouloir reformaté beaucoup de donné que je dois pas perdre.

 

LA manipulation de reparation de la connection n'a pas foncitonné.

MAMAis je crois que ca a mit un sacré souque dans le pc,mon steam marche plus erreur, pareil pour bcp de programe avec des erreur differente...

[Gof]

Bonsoir Hercut

 

Combofix créé un point de restauration à son exécution. Peux tu regarder s'il existe (créé à la date où tu l'as exécuté) ? Si oui, tu devrais le restaurer. Cela ne règle rien en matière d'infection, mais cela devrait ramener ton système en l'état dans lequel il l'était juste avant son utilisation.

[hercut]

Merci Gof cela a marché nous pouvons passé au vilain!!!

[Gof]

Bonsoir Hercut

 

Merci Gof cela a marché nous pouvons passé au vilain!!!

Bonne nouvelle !

 

Bien, maintenant recommence la manipulation de mon post#5. Si ce n'est pas concluant, on essaiera autrement.

 

Je te remets la manipulation à exécuter.

 

Désactive l'UAC-User Account Control -contrôle des comptes utilisateurs (surtout, bien penser à le réactiver après la désinfection).

• Démarrer > Panneau de Configuration
  
• Double clique sur l'icône Comptes d'utilisateurs
  
• Clique ensuite sur Désactiver et valide.
  

 

Télécharge ELIBAGLA en bas de cette page > http://www.zonavirus.com/datos/descargas/95/elibagla.asp

• Clique sur le bouton Descargar Elibagla , place le sur le bureau.
  
• Double-clique dessus pour l'ouvrir.
  
• Assure-toi que dans le menu déroulant Unidad, tu aies bien C:\
  
• Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.
  
• Clique sur le bouton Explorar pour lancer l'analyse.
  

Poste le rapport ELIBAGLA stp.Si tu ne le vois pas, il se trouve ici > C:\InfoSat.txt

 

Exécute Elibagla, mais en faisant un clic-droit dessus et en sélectionnant "Exécuter en tant qu'Administrateur".

 

 

Télécharge Gmer sur ton bureau.

• Déconnecte toi (physiquement, débranche) et ferme tous les programmes ouverts.
  
• Désactive les outils de sécurité.
  IMPORTANT: Si malgré tout une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
  
• Décompresse le fichier ZIP obtenu (clic droit>extraire tout)
  
• Double-clique sur le répertoire obtenu sur ton bureau double-clique sur gmer.exe (toujours exécuter en tant qu'administrateur)
  
• Clique sur l'onglet "rootkit", puis sur Scan
  
• Arrete le scan en cliquant sur Stop (pas la peine de le faire aller jusqu'au bout).
  
• Rends toi dans ton Menu Démarrer > Exécuter et tape CMD.
  Si le menu démarrer est inaccessible, appuie simultanément sur les touches CTRL, ALT et SUPPR, puis sélectionne Fichier>Nouvelle tâche et tape CMD.
  
• Copie-colle chacune des lignes suivantes (ne les recopie pas, afin d'éviter de faire des erreurs), une par une, en validant chacune des entrées par la touche ENTREE :
  

• gmer -killall
  gmer -del service srosa
  gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\srosa"
  gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\srosa"
  gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\srosa"
  gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS"
  gmer -del file "C:\Windows\System32\drivers\hldrrr.exe"
  gmer -del file "C:\WINDOWS\SYSTEM32\WINTEMS.EXE"
  gmer -del file "C:\WINDOWS\SYSTEM32\BAN_LIST.TXT"
  gmer -reboot
  

Si le PC ne redémarre pas tout seul, fais un reset pour forcer le redémarrage. Une fois que l'ordinateur a redémarré

Supprime ce dossier :

• C:\Windows\System32\drivers\down
  

Poste le rapport Elibagla, indique moi comment s'est passé la manipulation avec Gmer.

 

A bientôt.

[hercut]

Soucit gmer -killall

Il kill tout les processus donc pas moyen de faire du copier collé...

Et il kill aussi gmer, enfin c'est se qu'il m'a fait la dernier fois...

[Gof]

Bonsoir Hercut

 

En effet, la commande ferme tous les processus, de sorte de pouvoir plus facilement supprimer les fichiers incriminés. Mais la commande CMD doit rester ouverte, n'est ce pas ?

 

Recommence, mais en surlignant toutes les lignes d'un coup, et en les collant d'un coup dans la fenêtre CMD. Il devrait les interpréter ligne par ligne. Dis moi si cela a fonctionné. Sinon, on essaie autre chose.

[hercut]

Je vais etre agassant, mais si je kill gmer comment les commande que tu me donne peuvent focntionner?

 

Aussi j'arrive pas a les copier coller meme avec un clique droit...

[Gof]

Bonjour Hercut

 

Je vais etre agassant, mais si je kill gmer comment les commande que tu me donne peuvent focntionner?

 

En fait, en lançant Gmer en version graphique, il est copié sous System32. Il est donc dans un "chemin" reconnu dans ce qu'on appelle le PATH. Ce qui signifie qu'on peut par exemple l'utiliser en ligne de commande sans lui indiquer de chemin complet. Du coup, quand je te le fais utiliser en ligne de commande, l'interface graphique ne compte pas et effectivement, la commande "killall" le ferme. Mais ce n'est pas normalement gênant car ce n'est pas la version graphique démarrée qui va travailler.

 

On va faire autrement. Il est toujours important que l'UAC soit désactivé et que tu exécutes les fichiers en tant qu'administrateur.

 

- Télécharge sur ton bureau DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php

- !!! Ne double-clique pas dessus !!! Fais un clic droit sur le fichier et extraire tout

- Un nouveau dossier chercher va être créé DiagHelp

- Ouvre le dossier DiagHelp.

- Double-clic sur catchme.exe (le .exe peut ne pas apparaître).

 

Une fenêtre va s'ouvrir, vas dans l'onglet Script.

Copie/colle ceci :

 

files to kill:

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS

C:\Windows\System32\drivers\hldrrr.exe

C:\WINDOWS\SYSTEM32\WINTEMS.EXE

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT

C:\WINDOWS\system32\drivers\hidr.exe

Clic sur Run.

 

Redémarre l'ordinateur. Dis moi si cela a fonctionné.

[hercut]

En parlant de l'UAC, se qui est bizard sait que j'ai jamais activé cette option enfin je l'avais desactivé.

Dans les option la case est decoché pourtant depuis quelque temps il me repose les questions de cette UAC...

 

Comment je sais si ca a fonctioné?

[Gof]

Re

 

Pour assurer le coup et afin de savoir si les fichier sont encore présents ou non :

• Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
  
• Double-clique sur OTMoveIt.exe pour le lancer.
  
• Assure toi que Unregister Dll's and Ocx's soit coché.
  
• Copie-colle dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved
  

• C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
  C:\Windows\System32\drivers\hldrrr.exe
  C:\WINDOWS\SYSTEM32\WINTEMS.EXE
  C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
  C:\WINDOWS\system32\drivers\hidr.exe
  C:\Windows\System32\drivers\down
  

• Clique sur MoveIt! pour lancer la suppression.
  
• Le résultat apparaitra dans le cadre Results. Copie le résultat.
  
• Clique sur Exit pour fermer.
  
• Colle le résultat dans ta prochain réponse.
  

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes. Et poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom [nombres_nombres].log

 

Exécute un nouveau passage de Elibagla et poste également le rapport associé.