[resolu]attaque en force dans le windows/system 32

[Le sioux]

Re

 

OK, pourras tu faire cela aussi stp :

 

Télécharge OAD de !aur3n7.

• Enregistre le sur ton Bureau.
  
• Double clique sur le OAD pour le lancer.
  
• Nom de fichier à rechercher tape ou fais un copier-coller de :
   

  hqnlyu.dll

   
  
• Type de recherche : sélectionne l’option 6 puis valide par [Entrée]
  
• OAD va maintenant rechercher le fichier.
  
• Laisse le travailler jusqu'à ce qu'il en ai terminé.
  
• Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.
  

--> Fais un copier / coller de ce rapport dans ton prochain post.

 

Note importante : Suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient.

 

Fais de même pour svphawon.dll et poste les deux rapports.

 

@ ce soir.

 

Edit : OAD peut être pris comme une nuisance par certains antivirus, si c'est le cas avec le tien, rassures ton antivirus en lui disnat d'ignorer, OAD est sain, pas de soucis.

Modifié le 17 septembre 2008 par Le sioux

[doc charly]

voici les rapports /

 

17/09/2008 ---- 12:44:08,10

 

----------------------------------

§§§§§§ [hqnlyu.dll] §§§§§§

----------------------------------

[X] Registre

 

-------------- [ ] rapide

-- Fichier --- [ ] disque systeme

------------- [X] complete

 

 

********************

[Registre]

********************

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"="hqnlyu.dll"

 

*******************

[Fichier]

*******************

 

 

 

*********************

[Même date]

*********************

 

Aucun fichier créé à la même date détecté

 

 

Outil Aide Diagnostic By !aur3n7 Version 1.1

----------------------------------

§§§§§ Fin Rapport §§§§§

----------------------------------

 

et le 2e :

 

17/09/2008 ---- 12:47:42,10

 

----------------------------------

§§§§§§ [svphawon.dll] §§§§§§

----------------------------------

[X] Registre

 

-------------- [ ] rapide

-- Fichier --- [ ] disque systeme

------------- [X] complete

 

 

********************

[Registre]

********************

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run\StartupFaster\116c0f70]

"CmdLine"="rundll32.exe \"C:\\WINDOWS\\system32\\svphawon.dll\",b"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run\StartupFaster\116c0f70]

"Icon"="C:\\WINDOWS\\system32\\svphawon.dll"

 

*******************

[Fichier]

*******************

 

 

 

*********************

[Même date]

*********************

 

Aucun fichier créé à la même date détecté

 

 

Outil Aide Diagnostic By !aur3n7 Version 1.1

----------------------------------

§§§§§ Fin Rapport §§§§§

----------------------------------

 

 

j'essaie de remettre la main sur mon windows pour la console de recupération

[doc charly]

euh probleme, j'ai retrouvé mon CD windows (si si je suis quelqu'un d'ordonné monsieur !!!) mais impossible de trouver qlq chose qui correspond à la ligne de commande demandée; de meme quand j'essaie dans mon poste de travail alors que j'ai bien trouvé le dossier I386

 

une idée ?

[doc charly]

dis, rien a voir avec le schmilblick mais je viens de jeter un coup d'oeil sur ta config ...waoww... mais a part des antivirus, antispyware et autres anti ....., tu as quelque chose d'installé ?

c'est vraiment le prix que l'on doit payer pour etre tranquile ? ça fout les boules !

[Le sioux]

Bonsoir Doc charly

 

Vite fait, car je pars au travail...

 

Bien joué pour OAD.

 

Pour la console de récupération, je vois ce que l'on peut faire et te dis cela sous peu.

 

Pour :

dis, rien a voir avec le schmilblick mais je viens de jeter un coup d'oeil sur ta config ...waoww... mais a part des antivirus, antispyware et autres anti ....., tu as quelque chose d'installé ?

Oui, j'ai plein d'autres choses

 

@ plus tard.

[doc charly]

bon courage pour ton taf de nuit (j'en ai fait pdt quelques années et je compatis )

 

j'attends de tes news, @ +

[Le sioux]

Bonjour doc charly

 

bon courage pour ton taf de nuit (j'en ai fait pdt quelques années et je compatis

Merci. J'ai fini, cela fait du bien de rentrer chez soi.

 

je viens de jeter un coup d'oeil sur ta config ...waoww... mais a part des antivirus, antispyware et autres anti ....., tu as quelque chose d'installé ?

c'est vraiment le prix que l'on doit payer pour etre tranquile ? ça fout les boules !

Un pare-feu, un antivirus, un anti-spyware résident (TeaTimer de Spybot S&D) et un anti-malware pour des scans de surveillance, le tout avec un Windows et les différents programmes installés sur le PC bien à jour et ce sera déjà bien.

 

Pour la console de récupération :

mais impossible de trouver qlq chose qui correspond à la ligne de commande demandée; de meme quand j'essaie dans mon poste de travail alors que j'ai bien trouvé le dossier I386

- Avec le CD : regarde dans ton Poste de travail quelle lettre est attribué au lecteur CD/DVD dans lequel tu introduis ton CD de Windows puis entre la commande :

X:\i386\winnt32.exe /cmdcons

(Remplace X par la lettre qui correspond à ton lecteur CD/DVD)

 

- Sans le CD : localise i386 s'il est à la racine de C, alors entre C:\i386\winnt32.exe /cmdcons

sinon, remplace C:\i386 par le chemin de son emplacement.

Dis moi si tu y parviens, sinon, on fera sans ...

 

Fais déjà ce qui suit :

 

Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) :

 

REGEDIT 4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run\StartupFaster\116c0f70]

"CmdLine"=-

"Icon"=-

 

/!\ Important : REGEDIT 4 doit être sur la toute 1ere ligne sinon le fix ne fonctionnera pas. /!\

 

Puis "Fichier"/"Enregistrer sous" :

dans : sur le Bureau

Nom du fichier : fix.reg

Type de fichier : "Tous les fichiers"

Clique sur "Enregistrer"

 

/!\ Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers"./!\

 

Quitte Internet et double clique sur fix.reg sur ton Bureau

=> Tu dois obligatoirement avoir un message "Voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"

Si c'est bien le cas, clique sur "Oui"

 

Fais redémarrer ton PC et dis moi si le message d'erreur à propos de svphawon.dl a bien disparu.

 

@ suivre.

[doc charly]

hello:

 

j'ai essayé d'installer la console de recuperation mais je tombe sur ce message, que je partes du CD ou du disque dur (bizarre non du disque dur ??)

 

Le programme d'installation ne peut pas poursuivre car la version de Windows installée sur votre ordinateur est plus récente que la version qui se trouve sur le CD-ROM.

 

Avertissement : Si vous décidez de supprimer la version la plus récente de Windows qui est actuellement installée sur votre ordinateur, les fichiers et les paramètres ne pourront pas être récupérés.

 

j'essaie le reste et te reviens le + vite

 

merci (et peut etre bonne nuit si tu recuperes !)

[doc charly]

ça a pas marché pour le message d'erreur svphawon.dll ... je ne crois pas m'etre planté dans ta manip' et il m'a bien demandé si je voulais changer le registre mais même message quand je rallume ... désolé.

 

questions annexes (je sais bien qu'en général les informaticiens n'aiment pas regler 2 problemes à lafois mais je tente ma chance )

 

- comment je fais pour que certains programmes ne se lancent pas automatiquement lors du démarrage de windows (genre quicktime, le telechargeur de photo Adobe,...)

- dans le 1e rapport que j'ai posté, il y avait un paquet de ligne sur DAP; ce logiciel pose un probleme, je dois le virer ?

 

merci, @ +

[Le sioux]

Bonsoir doc charly

 

OK. Laisse tomber pour la console de récupération ...

 

Je répondrais plus en détails à tes questions par la suite, la je file au taff ... désolé

 

On continue :

 

ComboFix avec CFScript :

 

/!\ Note: Le code ci-dessous a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système./!\

 

Sélectionne le texte suivant (en citation) dans son intégralité :

 

KillAll::

 

Driver::

WinIK

 

File::

C:\WINDOWS\system32\Drivers\WinIK.sys

C:\WINDOWS\005576_.tmp

 

Registry::

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=""

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{669695BC-A811-4A9D-8CDF-BA8C795F261C}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run\StartupFaster\116c0f70]

• Copie le texte sélectionné (CTRL+C).
  
• Ouvre le Bloc-notes [/b](Démarrer / Tous les Programmes>Accessoires >bloc-notes).
  
• Colle le texte copié dans ce Bloc-notes (CTRL+V).
  
• Sauvegarde sur ton Bureau ce fichier sous le nom de CFScript.txt
  

/!\Déconnecte toi du net et désactive ton antivirus pour que ComboFix puisse s'exécuter normalement /!\

(Aide si besoin : http://forum.pcastuces.com/desactiver_les_...entes-f31s4.htm Merci Morgane )

• Fais un Glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix (sur ton Bureau) comme ici :
  

 

• Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.
  
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
  

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

• En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
  
• Une fois le scan achevé, un rapport va s'afficher : Poste son contenu (si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt ) , ainsi qu’un
  nouveau rapport HijackThis.
  

/!\Ré-active la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\.

 

@ suivre