Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Mon ordinateur est infecté

dydeline

Par dydeline
dans Analyses et éradication malwares

 Partager

Messages recommandés

oGu Godlike Member

oGu

Posté(e)
Posté(e)
Par contre pour le scan only de HJT, tu me dis de fermer mes navigateurs avant de cliquer sur Fix Checked, puis de redémarrer et d'utiliser à nouveau mon navigateur, c'est-à-dire ? je ne comprends le truc avec le navigateur...

 

Simplement: tu fermes Internet Explorer AVANT de cliquer sur Fix Checked puis tu redémarres.

 

Une fois cette manip' effectuée, tu peux à nouveau utiliser ton navigateur, c'est tout :P !

oGu Godlike Member

oGu

Posté(e)
Posté(e)

Question: quand tu crées le CFScript, le fichier texte ressemble-t-il à ceci:

 

hhls4.jpg

 

Car la réponse donnée par Combofix est bizarre...j'ai l'impression que tu mets TOUT sur une seule et même ligne??

dydeline Power Member

dydeline

Posté(e)
  • Auteur
Posté(e)
Ouais, il semblerait que cela soit un dialer porno.

 

On lui fera la peau lors de la phase antispyware.

 

Edit: j'ai très légérement modifié le CFScript: il ne FAUT PAS de saut de ligne entre File:: et c:\documents and settings\ blablabla...

 

C'est pas ça qu'il fallait faire : tout sur la même ligne ? je recommence alors...

dydeline Power Member

dydeline

Posté(e)
  • Auteur
Posté(e)

Après rectification, voici le rapport combo, j'espère que c'est mieux comme ça ...

 

ComboFix 08-04-11.3 - Les Babies 2008-04-12 21:35:12.4 - NTFSx86

Endroit: C:\Documents and Settings\Les Babies\Bureau\ComboFix.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

TimedOut: progfile.dat

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\mrofinu1001186.exe

C:\WINDOWS\system32\a.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés 2008-03-12 to 2008-04-12 ))))))))))))))))))))))))))))))))))))

.

 

2008-04-12 21:27 . 2008-04-12 21:27 40,704 ---hs---- C:\WINDOWS\system32\mdm.exe

2008-04-12 14:41 . 2008-04-12 16:47 <REP> d-------- C:\Program Files\Navilog1

2008-04-12 13:10 . 2008-04-12 13:11 <REP> d-------- C:\WINDOWS\ERUNT

2008-04-11 20:31 . 2008-04-11 20:31 <REP> d-------- C:\Program Files\Trend Micro

2008-04-11 11:51 . 2008-04-11 20:25 <REP> d-------- C:\Hijackthis

2008-04-11 11:29 . 2008-04-11 11:29 <REP> d-------- C:\Program Files\Avira

2008-04-11 11:29 . 2008-04-11 11:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-04-10 15:43 . 2004-07-02 00:08 360,960 --a--c--- C:\WINDOWS\system32\dllcache\qmgr.dll

2008-04-10 15:43 . 2004-07-02 00:08 331,776 --a------ C:\WINDOWS\system32\winhttp.dll

2008-04-10 15:43 . 2004-07-02 00:08 331,776 --a--c--- C:\WINDOWS\system32\dllcache\winhttp.dll

2008-04-10 15:43 . 2004-07-02 00:08 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll

2008-04-10 15:43 . 2004-07-02 00:08 17,408 --a--c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll

2008-04-10 13:55 . 2008-04-10 14:00 147,456 --a------ C:\WINDOWS\system32\hqghumea.dll

2008-03-13 19:52 . 2008-03-13 19:52 <REP> d-------- C:\Program Files\iKlax Media

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-11 14:59 --------- d-----w C:\Program Files\HOTPC

2008-04-10 06:24 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-04-10 06:21 --------- d-----w C:\Program Files\Spybot - Search & Destroy

2008-03-31 15:44 --------- d-----w C:\Program Files\Messenger Plus! Live

2008-03-10 08:48 --------- d-----w C:\Program Files\NBPROF

2008-03-05 14:10 67 ----a-w C:\popit.dat

2008-03-03 11:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!

2008-03-03 11:24 --------- d-----w C:\Program Files\Windows Live

2008-03-03 11:24 --------- d-----w C:\Program Files\MSN Messenger

.

 

------- Sigcheck -------

 

2003-05-29 11:49 1010176 40406985a32b55ecf89d91c320105b58 C:\WINDOWS\explorer.exe

2002-08-30 14:00 1017856 7d51fc25301dd78ab5dcb5fed701985c C:\WINDOWS\$NtUninstallKB820291$\explorer.exe

2003-05-29 11:49 1010176 1ae4750d8d6467d4e64262c1c195d90e C:\WINDOWS\Driver Cache\i386\explorer.exe

2004-08-20 01:09 1046016 6a83471b1e647b94e456674eecb0dd3e C:\WINDOWS\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\explorer.exe

2003-05-29 11:49 1010176 f6bdafdfbb2a33d967cc86b0b49de880 C:\WINDOWS\system32\dllcache\explorer.exe

.

((((((((((((((((((((((((((((( snapshot_2008-04-12_20.27.29.45 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-04-12 18:22:44 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat

+ 2008-04-12 19:27:08 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat

- 2008-04-12 18:22:44 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

+ 2008-04-12 19:27:08 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

- 2008-04-12 18:22:44 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

+ 2008-04-12 19:27:08 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

+ 2008-04-12 19:27:08 40,704 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S12VKLIR\mixit[1].exe

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-30 14:00 23040]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PCTVOICE"="pctspk.exe" [2002-03-10 15:29 176128 C:\WINDOWS\system32\pctspk.exe]

"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2002-06-14 23:32 139264]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2002-06-14 23:32 557056]

"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 167936]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-11 11:37 262184]

"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-04-12 21:27 40704]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-30 14:00 23040]

"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-04-12 21:27 40704]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

ImageMixer for HDD Camcorder.lnk - C:\Program Files\PIXELA\ImageMixer for HDD Camcorder\IMx3Launcher.exe [2007-06-29 10:51:17 1884160]

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 10:15:56 77876]

Moniteur WiFi OLITEC.exe.lnk - C:\Program Files\OLITEC\Moniteur WiFi OLITEC\Moniteur WiFi OLITEC.exe [2007-12-18 00:31:51 925696]

 

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]

R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]

R3 MRVW225;802.11g/b Wireless LAN Dirver for Windows XP;C:\WINDOWS\System32\DRIVERS\MRVW225.sys [2007-05-11 16:36]

S2 Microsoft Windows TCP Protocol;Microsoft Windows TCP Protocol;"C:\WINDOWS\System32\dllcache\wintcps.exe" []

S2 R54G Wireless Service;R54G Wireless Service;C:\Program Files\Wireless 802.11g Monitor\WLService.exe []

S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2007-10-16 11:13]

S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\System32\DRIVERS\fbxusb.sys [2003-12-31 12:35]

S3 Ip6FwHlp;Pare-feu de connexion Internet IPv6;C:\WINDOWS\System32\svchost.exe [2002-08-30 14:00]

S3 rt2571;Wireless 802.11g USB Adapter Driver;C:\WINDOWS\System32\DRIVERS\rt2571.sys [2004-05-07 14:47]

 

.

**************************************************************************

 

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-12 21:37:42

Windows 5.1.2600 Service Pack 1 NTFS

 

detected NTDLL code modification:

ZwOpenFile

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-04-12 21:38:54

ComboFix-quarantined-files.txt 2008-04-12 19:38:36

ComboFix2.txt 2008-04-12 18:27:59

ComboFix3.txt 2008-04-12 15:27:24

ComboFix4.txt 2008-04-12 10:59:21

Pre-Run: 8,461,332,480 octets libres

Post-Run: 8,440,451,072 octets libres

.

2008-04-10 13:46:35 --- E O F ---

 

 

Et le rapport HJT

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:44:23, on 12/04/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\pctspk.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\PIXELA\ImageMixer for HDD Camcorder\IMx3Launcher.exe

C:\Program Files\OLITEC\Moniteur WiFi OLITEC\Moniteur WiFi OLITEC.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\mdm.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: ImageMixer for HDD Camcorder.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Moniteur WiFi OLITEC.exe.lnk = ?

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1207829131775

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe (file missing)

O23 - Service: R54G Wireless Service - Unknown owner - C:\Program Files\Wireless 802.11g Monitor\WLService.exe (file missing)

 

--

End of file - 5025 bytes

dydeline Power Member

dydeline

Posté(e)
  • Auteur
Posté(e) (modifié)

Euh... j'ai encore une question: aujourd'hui, j'étais chez mes beaux parents et j'ai profité de leur connexion internet (Free, connexion USB) pour procéder aux manip' que tu me conseillais. L'ordi n'a pas planté de la journée malgré nombreux allers-retours sur le net, redémarrages, etc. On est rentré à 21h30. Je me suis reconnectée à la maison (Free, connexion WIFI) et là, ça fait déjà deux fois qu'il plante: 1ère : décompte avant extinction du PC sans que je ne fasse rien ; 2e : impossible d'ouvrir le moindre programme, ni internet... rien => reset obligatoire pour pouvoir faire quelque chose, même "démarrer - arrêter" ne fonctionne plus.

 

Est-ce que ça peut avoir un lien avec la connexion ou c'est le plus grand des hasards ?

 

EDIT : ben voilà, ça vient de recommencer. C'est une fenêtre qui s'ouvre avec écrit ceci à l'intérieur :

 

"Arrêt du système. Veuillez arrêter tous les travaux en cours et quitter votre session. Toutes les modifications non enregistrées seront perdues. Cet arrêt a été initié par AUTORITE NT\SYSTEM

Temps restant avant l'arrêt du système : 00:01:00

Message

Le processus système C:\WINDOWS\system32\lsass.exe s'est terminé de manière inattendue avec le code d'état 128. Le système va maintenant s'arrêter et redémarrer."

Modifié par dydeline
dydeline Power Member

dydeline

Posté(e)
  • Auteur
Posté(e) (modifié)

Et flute de chez flute... je crois que mon PC a installé tout seul les dernières mises à jour XP... pourtant j'avais décoché la case dans les propriétés du PC... et là je viens de retourner voir, c'était coché "installation automatique"... JE comprends pas pourquoi !!! J'espère que ça fiche pas tout ton travail en l'air....

Modifié par dydeline
oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Yo!

 

 

"Arrêt du système. Veuillez arrêter tous les travaux en cours et quitter votre session. Toutes les modifications non enregistrées seront perdues. Cet arrêt a été initié par AUTORITE NT\SYSTEM

Temps restant avant l'arrêt du système : 00:01:00

Message

Le processus système C:\WINDOWS\system32\lsass.exe s'est terminé de manière inattendue avec le code d'état 128. Le système va maintenant s'arrêter et redémarrer."

 

 

Ca ressemble à Sasser, un virus ancestral...très étrange!!

 

Cela te le fait à chaque fois ou pas? Ca vient d'arriver?

 

 

Pour les mises à jour, le risque c'est de rendre ton PC instable car il ne faut pas faire de maj sur une machine infectée, mais au point où on en est!

 

J'ai réfléchis à un détail qui paraissait secondaire de prime abord: l'alerte sur l'exe de Antivir, suivi de la longue liste d'exe (réputés saisn) dans la liste ComboFix, me fait penser à Virut, qui pourrit TOUT les exécutables de ta machine...On ne guérit pas cette infection, là c'est formatage direct!

 

Bref, avant de s'alerter, on va poursuivre ce qu'on avait commencé, mais je suis moins confiant qu'après les premières étapes, qui avaient bien fonctionnées:les rapports CF montrent que des salo****es reviennent, il doit y avoir un dropper quelque part que j'ai raté...

 

 

 

11dfb29f82183908e9db95c10eef.jpegDESACTIVER le TEA-TIMER

 

 

  • Ouvre Spybot
  • Va dans le Menu "Mode" --> "Mode avancé"
  • Confirme en cliquant sur le bouton "Oui".
  • Clique ensuite sur "Outil" dans la barre de navigation de Spybot (volet de gauche) puis sur "Résident"
  • Pour activer/désactiver Tea-Timer, il suffit de cocher/décocher dans le panneau central :
     
    CocheOn.png Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.

 

 

 

 

11dfb29f82183908e9db95c10eef.jpegSDFIX

 

Je te conseille d'imprimer cette procédure pour pouvoir la suivre hors connexion internet, une fois en sans échec.

  • Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
     
http://download.bleepingcomputer.com/andymanchesta/SDFix.exe
 
 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
 
Puis redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.
     
    Suis la liste des instructions ci-dessous :

  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis

 

 

 

 

 

11dfb29f82183908e9db95c10eef.jpegSUPPRIMER UN SERVICE

 

  • Dans Démarrer > Exécuter et taper Services.msc puis OK
  • Choisir le mode "Etendu" (onglets inférieurs)
  • Grâce à la barre de défilement (à droite) rechercher le service suivant:
     
    Microsoft Windows TCP Protocol
  • Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).
  • Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,
  • Dérouler le Type de Démarrage pour le modifier en Désactivé
  • Cliquer sur Appliquer puis OK
  • Lancer Hijackthis, choisir Open the Misc.Tools section
  • La fenêtre "Configuration" va s'ouvrir
  • Cliquer sur Delete a NT service...
  • La fenêtre "Delete a Windows NT service" va s'ouvrir
  • Saisir dans la zone de dialogue :
     
    Microsoft Windows TCP Protocol
     
     
    Note : s'assurer de ne mettre d'espace, ni avant, ni après !
    cliquer OK
     
    Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez redémarrer.
    Cliquer NO

 

Nota: il se peut que HijackThis t'indique "not found in the registry" à la fin de l'opération. Dans ce cas signale-le moi et poste un nouveau log HijackThis que l'on s'assure que ce service ait disparu.

 

 

 

 

flechedroitets2.pngSUPPRIMER UN SERVICE #2

 

 

Boonty Games est un nid à saleté!

 

  • Dans le menu Démarrer, clique sur "exécuter"
  • Saisis cmd et valide avec "ok"
  • Dans l'invite qui s'ouvre, copie et colle cette ligne
     
    sc delete sc stop BOONTY

  • Valide avec OK
  • Copie-colle maintenant cette commande dans la fenêtre:
     
    sc delete BOONTY

  • Valide avec OK
  • Redémarre

 

 

 

flechedroitets2.pngCCLEANER SLIM

  • Télécharge systemsr4.pngCCleaner SLIM
  • Installe-le, lance-le et clique sur l'onglet : "Registre"
  • Clique sur "Rechercher des erreurs" puis "Corriger les erreurs"
  • Répond "oui" à la demande de sauvegarde proposéeet enregistre-la dans tes documents
  • Clique sur l'onglet "nettoyeur" puis "lancer le nettoyage"
  • Pas de rapport à fournir ce coup-ci !

 

 

 

flechedroitets2.png CREATION/EXECUTION D'UN CFSCRIPT

  • Rend-toi sur cette page:
     
    http://dl.free.fr/getfile.pl?file=/g6thJVAN/CFScript.txt
  • Clique à droite de la page sur "télécharger le ficher" en enregsitre-le sur ton bureau
  • Désactive ton antivirus et ton antispyware
     

  • Te référant à l'image ci-dessous, déplace le fichier téléchargé, qui se nomme CFScript.txt, sur ComboFix.exe
    ComboFix sera lancé.

    CFScript.gif
     
  • Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
  • Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
  • Soumet le fichier en cliquant "OK"
  • Enfin, poste les deux rapports suivants dans ta prochaine réponse :
     
    - Combofix.txt (il est stocké ici: > C:\ComboFix.txt)
    - Un nouveau rapport HijackThis

 

 

 

Enfin, une procédure longue:

 

flechedroitets2.pngeSCAN

 

La procédure est un peu compliquée, lis-la plusieurs fois et fais-la tranquillement

 

 

Télécharge systemsr4.pngeScan Antivirus Toolkit


  • Sauvegarde-le sur ton Bureau.
     
    Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.
  • Étape 2:
    Voici comment mettre l'outil à jour :
     
    1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
     
     
    escanunzipib8.jpg
     
     
    2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
     
    3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une touche pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
     
    4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.
     
    Ne pas lancer le scan tout de suite !
     

  • Étape 3:
    Redémarre en mode Sans Échec :
    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisi la première option : Sans Échec, et valide avec "Entrée". Parfois, le PC met du temps à se lancer (plusieurs minutes), c'est normal.
    5) Choisi ton compte régulier, et non Administrateur

  • Étape 4:
    Une fois en mode Sans Échec, voici comment utiliser le programme :
     
    1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky
     
    mwavscanyb7.jpg
     
    2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.
     
    3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
     
    4.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.
     
    5.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !
     
    6.) Ouvre un nouveau fichier Bloc-notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.
     
    Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

 

 

A ce soir et courage!

Modifié par oGu
dydeline Power Member

dydeline

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour,

 

l'arrêt automatique de la machine avec le décompte ne se produit pas à chaque fois, des fois ça se bloque et je peux plus rien faire... je suis obligée de reseter. Je vais suivre tout cette procédure et te tiens au courant.

 

Merci pour ton aide.

 

EDIT : je ne trouve pas le programme SpyBot, j'ai bien TeaTimer mais pas sPybot...

Modifié par dydeline
oGu Godlike Member

oGu

Posté(e)
Posté(e)
EDIT : je ne trouve pas le programme SpyBot, j'ai bien TeaTimer mais pas sPybot...

 

Pas possible ça!

 

Ta machine est décidemment mystérieuse...laisse tomber la désactivation alors et poursuis...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...