Help ! Virus trop intelligent pour moi

[B12Sfull-black]

Bonjour,

 

le pc de mon fils est infecté par un virus ou autre saloperie qui me désactive le gestionnaire des taches et qui redirige sur un page web pour anti spyware, via une petite icone triangulaire jaune en bas à droite dans la barre des taches.

Outre la redirection, cette m...e empêche le démarrage de tous programmes anti virus, anti-spyware, Hijacjkthis, désactive le firewall, etc....

J'ai essayé le Scan en ligne (secuser.com) , mais il interrompt aussitôt le processus.

Le seul truc que j'ai réussi à faire, c'est télécharger Stinger, le renommer et le lancer, mais il n'a rien trouvé.

J'ai aussi réussi à faire un scan avec Nod32, qui a soit disant effacer les fichiers concernés, mais en fait c'est toujours comme avant.

J'arrive pas à le dégommer même en mode sans échec et après avoir désactiver la restauration système.

 

Après bien des recherches sur Google qui m'ont ramenées souvent sur Zébulon.fr, j'ai essayé d'appliquer ce qui était décrit, but unsuccessfull

Donc, j'appelle au secours.

Quelqu'un a certainement déjà était confronté a cette m...e et à la recette qui va bien pour l'éradiquer....

 

Merci

[angelique]

Bienvenu sur zebulon

 

1/*telecharge sur ton bureau http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe

Double-clique sur HJTInstall.exe pour lancer le programme

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

 

2/Télécharge SUR TON BUREAU SmitfraudFix de S!Ri, moe31 et balltrap34 ici:

 

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

 

exécute Smitfraudfix.exe , un dossier de meme nom est crée à coté

Dans le menu, sélectionne 1 et poste le rapport généré.

[B12Sfull-black]

Bienvenu sur zebulon

 

1/*telecharge sur ton bureau http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe

Double-clique sur HJTInstall.exe pour lancer le programme

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

 

2/Télécharge SUR TON BUREAU SmitfraudFix de S!Ri, moe31 et balltrap34 ici:

 

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

exécute Smitfraudfix.exe , un dossier de meme nom est crée à coté

Dans le menu, sélectionne 1 et poste le rapport généré.

 

Merci pour le message de bienvenue et pour ta réponse,

 

malheureusement, Hijack ne se lance, tout comme l'anti-virus, il est bloqué au démarrage...

par contre j'ai le rapport de Smitfraudfix

 

SmitFraudFix v2.294

 

Rapport fait à 14:09:34,85, 24/02/2008

Executé à partir de C:\Documents and Settings\Fred\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\wuauclt.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

C:\WINDOWS\764.exe PRESENT !

C:\WINDOWS\7search.dll PRESENT !

C:\WINDOWS\absolute key logger.lnk PRESENT !

C:\WINDOWS\aconti.exe PRESENT !

C:\WINDOWS\aconti.ini PRESENT !

C:\WINDOWS\aconti.sdb PRESENT !

C:\WINDOWS\acontidialer.txt PRESENT !

C:\WINDOWS\adbar.dll PRESENT !

C:\WINDOWS\cbinst$.exe PRESENT !

C:\WINDOWS\daxtime.dll PRESENT !

C:\WINDOWS\default.htm PRESENT !

C:\WINDOWS\dp0.dll PRESENT !

C:\WINDOWS\eventlowg.dll PRESENT !

C:\WINDOWS\fhfmm-Uninstaller.exe PRESENT !

C:\WINDOWS\fhfmm.exe PRESENT !

C:\WINDOWS\flt.dll PRESENT !

C:\WINDOWS\hcwprn.exe PRESENT !

C:\WINDOWS\hotporn.exe PRESENT !

C:\WINDOWS\iexplorr23.dll PRESENT !

C:\WINDOWS\ie_32.exe PRESENT !

C:\WINDOWS\jd2002.dll PRESENT !

C:\WINDOWS\kkcomp$.exe PRESENT !

C:\WINDOWS\kkcomp.dll PRESENT !

C:\WINDOWS\kkcomp.exe PRESENT !

C:\WINDOWS\kvnab$.exe PRESENT !

C:\WINDOWS\kvnab.dll PRESENT !

C:\WINDOWS\kvnab.exe PRESENT !

C:\WINDOWS\liqad$.exe PRESENT !

C:\WINDOWS\liqad.dll PRESENT !

C:\WINDOWS\liqad.exe PRESENT !

C:\WINDOWS\liqui-Uninstaller.exe PRESENT !

C:\WINDOWS\liqui.dll PRESENT !

C:\WINDOWS\liqui.exe PRESENT !

C:\WINDOWS\ngd.dll PRESENT !

C:\WINDOWS\pbar.dll PRESENT !

C:\WINDOWS\pbsysie.dll PRESENT !

C:\WINDOWS\settn.dll PRESENT !

C:\WINDOWS\spredirect.dll PRESENT !

C:\WINDOWS\vxddsk.exe PRESENT !

C:\WINDOWS\wbeCheck.exe PRESENT !

C:\WINDOWS\wbeInst$.exe PRESENT !

C:\WINDOWS\wml.exe PRESENT !

C:\WINDOWS\xadbrk.dll PRESENT !

C:\WINDOWS\xadbrk.exe PRESENT !

C:\WINDOWS\xadbrk_.exe PRESENT !

C:\WINDOWS\xxxvideo.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\acespy\ PRESENT !

C:\WINDOWS\system32\ace16win.dll PRESENT !

C:\WINDOWS\system32\ESHOPEE.exe PRESENT !

C:\WINDOWS\system32\msole32.exe PRESENT !

C:\WINDOWS\system32\ssa.dll PRESENT !

C:\WINDOWS\system32\vxddsk.exe PRESENT !

C:\WINDOWS\system32\winfrun32.bin PRESENT !

C:\WINDOWS\system32\wml.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Fred

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Fred\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Fred\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

C:\Program Files\3721\ PRESENT !

C:\Program Files\Accoona\ PRESENT !

C:\Program Files\akl\ PRESENT !

C:\Program Files\amsys\ PRESENT !

C:\Program Files\e-zshopper\ PRESENT !

C:\Program Files\Helper\ PRESENT !

C:\Program Files\p2pnetworks\ PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.32.176

DNS Server Search Order: 212.27.32.177

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{99ACAA5F-AD74-4D30-B87F-327492C3258A}: DhcpNameServer=212.27.32.176 212.27.32.177

HKLM\SYSTEM\CS1\Services\Tcpip\..\{99ACAA5F-AD74-4D30-B87F-327492C3258A}: DhcpNameServer=212.27.32.176 212.27.32.177

HKLM\SYSTEM\CS2\Services\Tcpip\..\{99ACAA5F-AD74-4D30-B87F-327492C3258A}: DhcpNameServer=212.27.32.176 212.27.32.177

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.32.176 212.27.32.177

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.32.176 212.27.32.177

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.32.176 212.27.32.177

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Mais ce virus est un truc de ouf, j'ai même pas pu ouvrir le topic depuis le PC infecté, j'accède au forum et quand je clique sur le topic concerné, hop Firefox se ferme !!!!!!! incroyable !

Modifié le 24 février 2008 par B12Sfull-black

[angelique]

Donc ça a l'air de sentir le bagle

 

Télécharge combofix.exe (par sUBs) et sauvegarde le SUR TON BUREAU.

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Mais dans le fenetre de dialogue d'enregistrement tu le renommes avant de l'enregistrer par Combo-Fix

 

* Double-clique Combo-Fix afin de l'exécuter et suis les instructions.

 

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

[angelique]

arf!! tu as edité ton 1er message

 

Avant l'execution de Combo-Fix peux tu :

 

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

relance SmitfraudFix.cmd dans le dossier crée et execute l'option 2 , poste le rapport avec le rapport de Combo-Fix

[B12Sfull-black]

Donc ça a l'air de sentir le bagle

 

Télécharge combofix.exe (par sUBs) et sauvegarde le SUR TON BUREAU.

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Mais dans le fenetre de dialogue d'enregistrement tu le renommes avant de l'enregistrer par Combo-Fix

 

* Double-clique Combo-Fix afin de l'exécuter et suis les instructions.

 

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

 

voici :

 

ComboFix 08-02-24.4 - Fred 2008-02-24 14:52:50.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.132 [GMT 1:00]

Endroit: C:\Documents and Settings\Fred\Bureau\salutfix.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\svcp.csv

C:\WINDOWS\system32\winsub.xml

 

.

((((((((((((((((((((((((((((( Fichiers créés 2008-01-24 to 2008-02-24 ))))))))))))))))))))))))))))))))))))

.

 

2008-02-24 14:47 . 2008-02-24 14:47 <REP> d-------- C:\WINDOWS\LastGood

2008-02-24 14:25 . 2008-02-24 14:27 <REP> d-------- C:\SmitfraudFix

2008-02-24 14:23 . 2008-02-24 13:48 1,301,316 --a------ C:\SmitfraudFix.exe

2008-02-24 14:09 . 2008-02-24 14:44 344 --a------ C:\WINDOWS\system32\tmp.reg

2008-02-24 13:48 . 2008-02-24 13:48 <REP> d-------- C:\Program Files\Trend Micro

2008-02-23 22:56 . 2008-02-23 22:56 268 --ah----- C:\sqmdata00.sqm

2008-02-23 22:56 . 2008-02-23 22:56 244 --ah----- C:\sqmnoopt00.sqm

2008-02-23 21:23 . 2008-02-23 22:08 <REP> d-------- C:\Program Files\EsetOnlineScanner

2008-02-23 21:23 . 2006-05-05 10:41 453,120 -----c--- C:\WINDOWS\system32\dllcache\mrxsmb.sys

2008-02-23 21:17 . 2008-02-23 21:17 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion

2008-02-23 14:15 . 2008-02-23 14:15 <REP> d-------- C:\Program Files\Yahoo!

2008-02-23 14:15 . 2008-02-23 14:15 <REP> d-------- C:\Program Files\CCleaner

2008-02-23 14:13 . 2005-02-25 04:35 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe

2008-02-22 23:09 . 2008-02-24 14:06 <REP> d--h----- C:\WINDOWS\$hf_mig$

2008-02-22 21:48 . 2006-09-07 21:19 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau

2008-02-22 21:48 . 2006-09-07 21:19 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2008-02-22 21:48 . 2006-09-07 19:33 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles

2008-02-22 21:48 . 2008-02-23 22:55 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents

2008-02-22 21:48 . 2006-09-07 21:19 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer

2008-02-22 21:48 . 2008-02-23 14:32 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris

2008-02-22 21:48 . 2008-02-23 22:56 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau

2008-02-22 21:48 . 2008-02-22 21:48 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Talkback

2008-02-14 21:44 . 2008-02-24 02:15 122,385 --a------ C:\WINDOWS\system32\bcfafecfc.dll

2008-02-14 08:00 . 2008-02-14 08:00 12,347,015 --------- C:\AVG7QT.DAT

2008-02-13 21:40 . 2008-02-23 21:57 40,578 --a------ C:\WINDOWS\system32\diperto.ini

2008-02-13 21:40 . 2008-02-13 21:40 15,360 --a------ C:\WINDOWS\system32\kwbvgmvp.exe

2008-02-13 21:30 . 2008-02-13 21:30 <REP> d---s---- C:\Documents and Settings\Fred\UserData

2008-02-11 16:50 . 2008-02-11 16:50 <REP> d-------- C:\Documents and Settings\Fred\Contacts

2008-02-11 16:49 . 2008-02-11 16:49 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE

2008-02-11 16:49 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui

2008-02-11 16:49 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui

2008-02-11 16:49 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui

2008-02-11 16:49 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui

2008-02-11 09:40 . 2008-02-11 09:40 2,715,648 --a------ C:\WINDOWS\system32\OnlineScanner.ocx

2008-02-11 09:39 . 2008-02-11 09:39 253,952 --a------ C:\WINDOWS\system32\OnlineScannerDLLA.dll

2008-02-11 09:39 . 2008-02-11 09:39 237,568 --a------ C:\WINDOWS\system32\OnlineScannerDLLW.dll

2008-02-08 13:53 . 2008-02-08 13:53 110,592 --a------ C:\WINDOWS\system32\OnlineScannerLang.dll

2008-02-05 08:48 . 2008-02-05 08:48 77,824 --a------ C:\WINDOWS\system32\OnlineScannerUninstaller.exe

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-24 07:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7

2008-02-11 15:50 --------- d-----w C:\Program Files\MSN Messenger

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09 15360]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [2006-09-07 19:55 369664]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:09 15360]

"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [2006-09-07 19:55 155136]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\bcfafecfc]

C:\WINDOWS\system32\bcfafecfc.dll 2008-02-24 02:15 122385 C:\WINDOWS\system32\bcfafecfc.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Grisoft\\AVG Free\\avginet.exe"=

"C:\\Program Files\\Grisoft\\AVG Free\\avgemc.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

 

S2 RIFGNYCQ;RIFGNYCQ;C:\WINDOWS\system32\rifgnycq.bwa []

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-24 14:53:50

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs a chargé sous des processus courants ---------------------

 

PROCESS: C:\WINDOWS\system32\winlogon.exe

-> C:\WINDOWS\system32\bcfafecfc.dll

.

Temps d'accomplissement: 2008-02-24 14:54:32

ComboFix-quarantined-files.txt 2008-02-24 13:54:18

.

2008-02-24 13:06:45 --- E O F ---

[angelique]

ok execute smitfraudfix option 2 en mode sans echec , je te prepare la suite pendant ce temps là

 

--------------------------

 

edit!

 

ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 

Driver::
RIFGNYCQ

File::
C:\WINDOWS\system32\rifgnycq.bwa
C:\WINDOWS\system32\kwbvgmvp.exe
C:\WINDOWS\system32\bcfafecfc.dll
C:\WINDOWS\system32\diperto.ini

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\bcfafecfc]

 

 

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture

 

 

 

 

* Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

[B12Sfull-black]

ok execute smitfraudfix option 2 en mode sans echec , je te prepare la suite pendant ce temps là

 

--------------------------

 

edit!

 

ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 

Driver::
RIFGNYCQ

File::
C:\WINDOWS\system32\rifgnycq.bwa
C:\WINDOWS\system32\kwbvgmvp.exe
C:\WINDOWS\system32\bcfafecfc.dll
C:\WINDOWS\system32\diperto.ini

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\bcfafecfc]

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture

* Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

J'ai un petit problème qui vient de se greffer...

après le tranfert du txt, ComboFix a démarré tout seul et ne m'a pas demandé de choisir entre 1 et 2,

puis windows s'est fermé et au redémarrage, ne démarre plus; motif : hall.dll endomagé ou manquant.

 

Comment je fais pour réinstaller ce dll, je ne l'ai pas trouvé sur mon PC qui est aussi en win XP ?

[angelique]

après le tranfert du txt, ComboFix a démarré tout seul et ne m'a pas demandé de choisir entre 1 et 2,

 

oui!oui c'est normal , c'est mon canned que je n'ai pas modifié ^^

 

pouarf!! ton boot.ini est endommagé, surement en relation avec ton autre sujet

 

On va le rapparer comme ceci

 

1. Configurez l'ordinateur pour démarrer à partir du lecteur de CD-ROM ou de DVD-ROM.

2. Insérez le CD-ROM Windows XP dans le lecteur de CD-ROM ou de DVD-ROM, puis redémarrez l'ordinateur.

3. Lorsque le message "Appuyez sur n'importe quelle touche pour démarrer du CD-ROM" s'affiche, appuyez sur une touche quelconque afin de démarrer l'ordinateur à partir du CD-ROM Windows XP.

4. Lorsque le message "Bienvenue" s'affiche, appuyez sur R pour démarrer la console de récupération.

5. Si vous possédez un ordinateur à double démarrage ou à démarrage multiple, choisissez l'installation à laquelle vous devez accéder à partir de la console de récupération.

6. Lorsque vous y êtes invité, tapez le mot de passe de l'administrateur, puis appuyez sur ENTRÉE.

7. À l'invite de commandes, tapez bootcfg /list, puis appuyez sur ENTRÉE. Les entrées dans votre fichier Boot.ini actuel s'affichent à l'écran.

8. À l'invite de commandes, tapez bootcfg /rebuild, puis appuyez sur ENTRÉE. Cette commande recherche sur les disques durs de l'ordinateur des installations de Windows XP, Microsoft Windows 2000 ou Microsoft Windows NT, puis affiche les résultats. Suivez les instructions qui s'affichent à l'écran pour ajouter les installations de Windows au fichier Boot.ini. Par exemple, suivez ces étapes pour ajouter une installation Windows XP au fichier Boot.ini :

a. Lorsqu'un message semblable à celui-ci s'affiche, appuyez sur Y :

Nombre d'installations de Windows reconnues : 1

 

[1] C:\Windows

Ajouter l'installation à la liste des options de démarrage ? (Oui/Non/Tout)

b. Un message semblable au suivant s'affiche :

Entrez l'identificateur de chargement

C'est le nom du système d'exploitation. Lorsque ce message s'affiche, tapez le nom de votre système d'exploitation, puis appuyez sur ENTRÉE. Il s'agit de Microsoft Windows XP Professionnel ou de Microsoft Windows XP Édition familiale.

c. Le système affiche un message semblable au suivant :

Entrez les options de chargement du système d'exploitation

Lorsque ce message s'affiche, tapez /fastdetect, puis appuyez sur ENTRÉE.

 

Remarque Les instructions qui s'affichent sur votre écran peuvent être différentes selon la configuration de votre ordinateur.

 

9. Tapez exit, puis appuyez sur ENTRÉE pour quitter la console de récupération. Votre ordinateur redémarre et la liste de démarrages mise à jour s'affiche lorsque le message "Choisissez le système d'exploitation à démarrer" s'affiche.

 

 

http://support.microsoft.com/kb/289022/fr

http://support.microsoft.com/kb/330184/fr

[B12Sfull-black]

oui!oui c'est normal , c'est mon canned que je n'ai pas modifié ^^

 

pouarf!! ton boot.ini est endommagé, surement en relation avec ton autre sujet

 

On va le rapparer comme ceci

 

1. Configurez l'ordinateur pour démarrer à partir du lecteur de CD-ROM ou de DVD-ROM.

2. Insérez le CD-ROM Windows XP dans le lecteur de CD-ROM ou de DVD-ROM, puis redémarrez l'ordinateur.

3. Lorsque le message "Appuyez sur n'importe quelle touche pour démarrer du CD-ROM" s'affiche, appuyez sur une touche quelconque afin de démarrer l'ordinateur à partir du CD-ROM Windows XP.

4. Lorsque le message "Bienvenue" s'affiche, appuyez sur R pour démarrer la console de récupération.

5. Si vous possédez un ordinateur à double démarrage ou à démarrage multiple, choisissez l'installation à laquelle vous devez accéder à partir de la console de récupération.

6. Lorsque vous y êtes invité, tapez le mot de passe de l'administrateur, puis appuyez sur ENTRÉE.

7. À l'invite de commandes, tapez bootcfg /list, puis appuyez sur ENTRÉE. Les entrées dans votre fichier Boot.ini actuel s'affichent à l'écran.

8. À l'invite de commandes, tapez bootcfg /rebuild, puis appuyez sur ENTRÉE. Cette commande recherche sur les disques durs de l'ordinateur des installations de Windows XP, Microsoft Windows 2000 ouMicrosoft Windows NT, puis affiche les résultats. Suivez les instructions qui s'affichent à l'écran pour ajouter les installations de Windows au fichier Boot.ini. Par exemple, suivez ces étapes pour ajouter une installation Windows XP au fichier Boot.ini :

a. Lorsqu'un message semblable à celui-ci s'affiche, appuyez sur Y :

Nombre d'installations de Windows reconnues : 1

 

[1] C:\Windows

Ajouter l'installation à la liste des options de démarrage ? (Oui/Non/Tout)

b. Un message semblable au suivant s'affiche :

Entrez l'identificateur de chargement

C'est le nom du système d'exploitation. Lorsque ce message s'affiche, tapez le nom de votre système d'exploitation, puis appuyez sur ENTRÉE. Il s'agit de Microsoft Windows XP Professionnel ou de Microsoft Windows XP Édition familiale.

c. Le système affiche un message semblable au suivant :

Entrez les options de chargement du système d'exploitation

Lorsque ce message s'affiche, tapez /fastdetect, puis appuyez sur ENTRÉE.

 

Remarque Les instructions qui s'affichent sur votre écran peuvent être différentes selon la configuration de votre ordinateur.

 

9. Tapez exit, puis appuyez sur ENTRÉE pour quitter la console de récupération. Votre ordinateur redémarre et la liste de démarrages mise à jour s'affiche lorsque le message "Choisissez le système d'exploitation à démarrer" s'affiche.

http://support.microsoft.com/kb/289022/fr

http://support.microsoft.com/kb/330184/fr

 

Hop !

C'est bon, je suis revenu au point de départ.

 

En fait, le virus est toujours là, mais sur une autre partition.

 

Je m'explique :

il y a plusieurs moi (années ?) j'ai installé un 2éme XP sur le PC du fils à cause d'un problème de HD (C:) qui ne voulait plus booter

Donc j'ai un win XP sur C: et un Win XP sur D:

 

Le PC a fonctionné plusieurs mois sur la partition D: sans problèmes, puis un jour, pour une raison que je ne me rappelle plus, j'ai été ammené à faire un CHKDSK / option quelque chose sur C:

Au redémarrage, le PC a redémarré sur C: et les jours qui ont suivit, il a toujours normalement démarré sur C:...

 

En fait, ce tartufe de fils ne m'avait pas tout dit....

Il a quelques jours, pour une raison indéterminée, le PC à redémarré sur la partition D: qui n'était plus à jour en matière d'anti-virus et de mise à jour de sécurité Win Xp depuis des lustres...

Verdict immédiat, PC infecté par ce maudit virus.

 

Et là, en faisant les manips indiquées par vos soins et notamment les dernières (bootcfg / rebuild), le PC redémarre à nouveau sur la partition C: qui est saine (enfin je l'espère) et à jour en anti-virus et windows sécurité à 2 semaines préts...

 

Donc l'étape suivant maintenant, c'est de virer cette deuxième partition avec son maudit virus.

 

En tout cas, un grand merci pour le temps consacré et en plus, j'apprends plein de chose.

Donc si vous savez comment je peux virer cette deuxième partition, je suis preneur.

 

Encore merci