PC infecté

[jeanphy]

Bonjour,

 

Un de mes pc est sérieusement infectés par un virus et des trojans. J'ai déjà fait des analyses avec malwavrebytes, spybot, a chaque fois j'enlève tous mais ça revient. Mon pare feu était désactivé par le trojan, j'ai réussi a le réactiver.

 

Maintenant j'ai un message erreur svchot au démarrage de windows:

 

0x7c928fea" emploie adresse mémoire 0x00000010, la mémoire ne peut pas etre "written"

 

Quand je clique sur OK mon pc redémarre.... J'ai également une autre erreur generic host process win32....

 

Je suis très ennuyé par ce virus et c'est de pire en pire. En plus désormais je ne peux plus installé d'antivirus ni faire de scan en ligne...

 

Voici mon log hijackthis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:40:46, on 03/06/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\dhcp\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\TEMP\cxz2.tmp

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\SYSTEM32\GEARSEC.EXE

C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\svchost.exe

c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\PDF Complete\pdfsvc.exe

C:\Logiciels\ProShowGold\ScsiAccess.exe

C:\WINDOWS\system32\svchost.exe

c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\atwtusb.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

c:\program Files\MicPhone\antit.exe

C:\WINDOWS\system32\atwtusb.exe

C:\WINDOWS\TEMP\ndsergsejjewgwsgwg44.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\SMINST\Scheduler.exe

C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

C:\WINDOWS\system32\WTMKM.exe

C:\Program Files\eMailChecker\MailChecker.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\System32\reader_s.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\Logiciels\SuperCopier2\SuperCopier2.exe

C:\Documents and Settings\MICHEL ___\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

C:\Documents and Settings\MICHEL ___\reader_s.exe

C:\Program Files\WinMessenger\WinMesgr.exe

C:\WINDOWS\system32\tpszxyd.sys

C:\WINDOWS\system32\dwwin.exe

c:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\sopidkc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\3361\SVCHOST.exe

Q:\log\HiJackThis.exe

C:\WINDOWS\system32\dncyool32.sys

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...all&pf=cmws

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O4 - HKLM\..\Run: [PDF Complete] C:\Program Files\PDF Complete\pdfsty.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe

O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe

O4 - HKLM\..\Run: [scheduler] C:\WINDOWS\SMINST\Scheduler.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NeroFilterCheck] c:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE

O4 - HKLM\..\Run: [MacrokeyManager] WTMKM.exe

O4 - HKLM\..\Run: [eMailChecker] "C:\Program Files\eMailChecker\MailChecker.exe" start

O4 - HKLM\..\Run: [QuickTime Task] "C:\Logiciels\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [svchost.exe] "C:\WINDOWS\system32\3361\SVCHOST.exe"

O4 - HKLM\..\RunOnce: [svchost.exe] "C:\WINDOWS\system32\3361\SVCHOST.exe"

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "c:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [superCopier2.exe] C:\Logiciels\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\MICHEL PINARD\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\MICHEL PINARD\reader_s.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-21-1029152300-176816645-3086090636-1012\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [] C:\WINDOWS\system32\config\systemprofile\.exe /i (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - S-1-5-18 Startup: userinit.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: userinit.exe (User 'Default user')

O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe

O4 - Global Startup: WinMessenger StartUp.lnk = C:\Program Files\WinMessenger\WinMesgr.exe

O8 - Extra context menu item: &Recherche AOL Toolbar - C:\Documents and Settings\All Users\Application Data\AOL\ieToolbar\resources\fr-FR\local\search.html

O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://*.mcafee.com'>http://*.mcafee.com (HKLM)

O15 - Trusted Zone: http://betavscan.mcafeeasap.com (HKLM)

O15 - Trusted Zone: http://vs.mcafeeasap.com (HKLM)

O15 - Trusted Zone: http://www.mcafeeasap.com (HKLM)

O15 - ESC Trusted Zone: http://*.mcafee.com (HKLM)

O15 - ESC Trusted Zone: http://betavscan.mcafeeasap.com (HKLM)

O15 - ESC Trusted Zone: http://vs.mcafeeasap.com (HKLM)

O15 - ESC Trusted Zone: http://www.mcafeeasap.com (HKLM)

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1229681029441

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = CPS-BE.local

O17 - HKLM\Software\..\Telephony: DomainName = CPS-BE.local

O17 - HKLM\System\CCS\Services\Tcpip\..\{8BABEA0A-8EAE-4877-9196-2F314F3FAB3A}: NameServer = 192.168.1.26

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = CP_.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = CP_.local

O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll,c:\progra~1\MicPhone\antit.dll

O20 - Winlogon Notify: wvaitvop - C:\WINDOWS\SYSTEM32\wvaitvop.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Adobe Version Cue CS3 {fr_FR} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Dhcp server (DhcpSrv) - Unknown owner - C:\WINDOWS\dhcp\svchost.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: LightScribeService Direct Disc Labeling Service LightScribeServiceLightScribeService (LightScribeServiceLightScribeService) - Unknown owner - C:\WINDOWS\system32\10.tmp.exe (file missing)

O23 - Service: NBService - Nero AG - c:\Logiciels\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe

O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe

O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe

O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\services.exe (file missing)

O23 - Service: ScsiAccess - Unknown owner - C:\Logiciels\ProShowGold\ScsiAccess.exe

O23 - Service: Détection matériel noyau ShellHWDetectionAlerter (ShellHWDetectionAlerter) - Unknown owner - C:\WINDOWS\system32\D.tmp.exe (file missing)

O23 - Service: sopidkc Service (sopidkc) - Unknown owner - C:\WINDOWS\system32\sopidkc.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe

O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.32\bin\mysqld.exe

O23 - Service: WTService - Unknown owner - C:\WINDOWS\system32\atwtusb.exe

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/MICHEL~1/LOCALS~1/Temp/msohtmlclip1/01/clip_image001.gif

 

--

End of file - 14563 bytes

 

 

Merci de votre aide!

Modifié le 3 juin 2009 par jeanphy

[Falkra]

Bonjour, bienvenue.

 

Messages : 1

Si jamais tu as besoin de quelques infos ou dun peu d'aide pour retrouver tes posts :

• Comment participer à un forum
  
• Retrouver ses messages
  

 

la machine est très infectée, et les supports amovibles (clés USB, etc) aussi. Ils ont pu contaminer d'autres machines aussi.

Les autres messages d'erreur peuvent venir aussi bien d'infections que de problèmes matériels ou logiciels. On va déjà donner quelques coups de balai pour y voir plus clair.

 

 

Branche tes périphériques amovibles (clés usb, disques durs externes, etc), sans les ouvrir, avant ce qui suit.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure : dangereux.

 

Attention à bien suivre ces instructions en détail, ne pas oublier de renommer combofix.exe AVANT qu'il ne soit téléchargé, quand on peut encore changer le nom du fichier et dire au navigateur où le télécharger.

 

Télécharge combofix.exe de sUBs et renomme-le TRALALA.exe avant de le sauvegarder sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  
• Double-clique combo-fix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

[jeanphy]

Bonjour, bienvenue.

 

Si jamais tu as besoin de quelques infos ou dun peu d'aide pour retrouver tes posts :

• Comment participer à un forum
  
• Retrouver ses messages
  

 

la machine est très infectée, et les supports amovibles (clés USB, etc) aussi. Ils ont pu contaminer d'autres machines aussi.

Les autres messages d'erreur peuvent venir aussi bien d'infections que de problèmes matériels ou logiciels. On va déjà donner quelques coups de balai pour y voir plus clair.

 

 

Branche tes périphériques amovibles (clés usb, disques durs externes, etc), sans les ouvrir, avant ce qui suit.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure : dangereux.

 

Attention à bien suivre ces instructions en détail, ne pas oublier de renommer combofix.exe AVANT qu'il ne soit téléchargé, quand on peut encore changer le nom du fichier et dire au navigateur où le télécharger.

 

Télécharge combofix.exe de sUBs et renomme-le TRALALA.exe avant de le sauvegarder sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  
• Double-clique combo-fix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

 

 

Ok je vais faire ca des que j'aurais accés à la machine cad en fin de matiné!

 

Qu'entend tu par "ta machine est trés infecté"? Je suis sur un réseau et je voudrais éviter que les autres machines choppent ça aussi! Est ce récupérable? Mes autres machines sont mieux protégés!

 

Merci pour ton aide!

[Falkra]

Il y a plusieurs familles de bestioles tranquillement installées (entre 3 et 5 différentes, selon la façon dont on compte), bref beaucoup trop, de toute façon, il y en a partout.

 

Une des propagations se fait par supports amovibles, clés USB, etc, mais a priori pas par réseau.

Je te donnerai de quoi vérifier les autres machines aussi après, il faut d'abord nettoyer celle-là et les clés USB.

 

On va pouvoir déloger tout ce beau monde, sans formater (si c'est la bonne version de la bestiole), ne t'inquiète pas.

On peut en général récupérer les données avant.

[jeanphy]

Il y a plusieurs familles de bestioles tranquillement installées (entre 3 et 5 différentes, selon la façon dont on compte), bref beaucoup trop, de toute façon, il y en a partout.

 

Une des propagations se fait par supports amovibles, clés USB, etc, mais a priori pas par réseau.

Je te donnerai de quoi vérifier les autres machines aussi après, il faut d'abord nettoyer celle-là et les clés USB.

 

On va pouvoir déloger tout ce beau monde, sans formater, ne t'inquiète pas.

 

 

Ok merci! je pense en effet savoir de quel clef usb ça vient! Je l'ai mis en quarantaine physiquement . Et pour l'instant je ne vais pas m'en resservir! Si c'était le cas un simple format cle usb sur un pc qui va être formaté pourrait suffire?

 

Merci! car je dois absolument récupérer ce pc sans formater! C'est surtout l'erreur svchost qui me fait peur! et le fait que le pc redémarre tout seul....

[Falkra]

Merci! car je dois absolument récupérer ce pc sans formater! C'est surtout l'erreur svchost qui me fait peur! et le fait que le pc redémarre tout seul....

Pas de souci, on peut shooter tout ça proprement.

 

Ok merci! je pense en effet savoir de quel clef usb ça vient! Je l'ai mis en quarantaine physiquement

Très bien, mais justement il faudra la brancher avant de passer combofix, de toute façon, il va bien falloir la nettoyer, donc l'utiliser.

 

Prends le temps qu'il faut, relis bien les infos sur combofix avant de l'utiliser, et poste le rapport quand il sera prêt.

Ne t'en fais pas, ce ne sont pas des infections très très coriaces, si on n'en trouve pas d'autres.

 

Pour svchost et les redémarrages, c'est potentiellement plus ennuyeux, mais on en saura plus d'ici quelques rapports.

Paramètre les écrans bleus comme dit plus haut, ça donnera aussi plein d'infos.

 

@ toute

[jeanphy]

Pas de souci, on peut shooter tout ça proprement.

 

Très bien, mais justement il faudra la brancher avant de passer combofix, de toute façon, il va bien falloir la nettoyer, donc l'utiliser.

 

Prends le temps qu'il faut, relis bien les infos sur combofix avant de l'utiliser, et poste le rapport quand il sera prêt.

Ne t'en fais pas, ce ne sont pas des infections très très coriaces, si on n'en trouve pas d'autres.

 

Pour svchost et les redémarrages, c'est potentiellement plus ennuyeux, mais on en saura plus d'ici quelques rapports.

Paramètre les écrans bleus comme dit plus haut, ça donnera aussi plein d'infos.

 

@ toute

 

J'ai fais ce que tu m'a dis!

 

Combofix se lance, je vois les barres vertes qui se lance et puis après il me met une petite fenêtre avec une bulle ou il il y a un point d'interrogation. Je ne peux cliquer que sur OK et aprés plus rien ne se passe.... :P

 

Merci par avance de ton aide!

[Falkra]

Aïe, je crains que tu aies Virut, une des pires bestioles en circulation.

 

Si c'est le cas (on va vérifier), il n'y aura pas grand chose d'autre à faire que de reformater par contre (hélas) après avoir sauvegardé tes données perso.

 

Fais un scan en ligne Kaspersky avec Internet explorer impérativement.

• Clique sur Accept
  
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
  
• clique une nouvelle fois sur "Accept"
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport. Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier. Colle ce rapport dans ta réponse sur le forum.

[jeanphy]

Aïe, je crains que tu aies Virut, une des pires bestioles en circulation.

 

Si c'est le cas (on va vérifier), il n'y aura pas grand chose d'autre à faire que de reformater par contre (hélas) après avoir sauvegardé tes données perso.

 

Fais un scan en ligne Kaspersky avec Internet explorer impérativement.

• Clique sur Accept
  
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
  
• clique une nouvelle fois sur "Accept"
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport. Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier. Colle ce rapport dans ta réponse sur le forum.

 

Ok je vais essayer le scan en ligne! J'ai renommer combofix juste avant de le télécharger en tralala.exe mais sur le bureau il apparait toujours en combofix.exe. Normal?

 

Comment être sur que c'est ce virus la? oooh nan pas formater.....

[Falkra]

Le scan Kaspersky nous le dira, mais ça semble mal engagé, d'après les noms de fichiers en cause.