Virus ihaupd32

[tonytovo]

Bonjour à tous,

 

Voila je viens vous demander de l'aide parce que j'ai un gros souci avec l'ordinateur de mon collègue.

 

Depuis hier soir, alors qu'il pianotait tranquillement sur le web, bit defender à ouvert 5 ou 6 fenetres stipulant une attaque au trojan... en quelques secondes plus d'internet, plus d'accès à la base de registre; le gestionnaire des périphériques indiquent que toutes les données relatives à la carte réseau ont un problème ( code 39 ).

 

Grosso modo une grève générale sur l'ordi. On a bien essayé d'utiliser cc cleaner, jv16 power tools mais impossible.

 

A chaque démarrage de l'ordinateur une fenetre précise qu'internet explorer a rencontré un problème, bref plus possible d'aboutir à une connexion wifi ou même ethernet... les autres programmes ont l'air de fonctionner pour le moment.

 

Pouvez vous m'indiquer les instructions que je dois suivre pour résoudre le problème en sachant que j'utilise mon ordi personnel pour rétablir le sien.

Pour les scans dont vous avez besoin n'hésitez pas à m'indiquer le logiciel adapté.

 

Un grand merci à vous

[pear]

Bonjour,

 

Ce n'est pas une procédure mais un certain nombre de pistes à suivre.

Je vous souhaite chance et patience.

 

Pour réparer la connexion Internet:

 

#Panneau de configuration->Connexions réseaux->Propriétés->Réparer

Lorsque vous voulez réparer une connexion défectueuse en cliquant Connexion->Réparer

et que vous avez le message" Windows n'a pas pu réparer le problème car l'opération suivante n'a pas été menée à bien. Effacement de NetBT."

Télécharger Xp Tcpip Repair

 

XP TCP/IP Repair's met à jour tcp/ip et répare les connexions corrompues.

Il y a donc 2 fonctions et 2 boutons

Reset TCP/IP button to reset the Internet Protocol to newly installed status.

Repair Winsock button to remove all LSPs.

En cas de nouvel Echec,Supprimez NetBt à la main dans System32 \drivers et redémarrez

 

# La carte Ethernet peut ëtre défectueuse ou obsolète

 

#Vérifier les paramètres d'Internet ...

 

1) Dans Internet Explorer, clique sur Outils > Options Internet... puis, onglet "Sécurité".

2) Choisir la zone Internet puis, clique sur le bouton Niveau par défaut.

 

Si cela ne fonctionne pas, essayer ceci

 

Clic sur le bouton Personnaliser le niveau...

Cocher tous les boutons radio Activer ou Demander.

Valider puis, relancer Internet Explorer.

Accéder de nouveau à l'onglet "Sécurité".

Cocher le bouton radio Niveau par défaut...

Valider puis, relancer Internet Explorer.

 

# un pb au niveau du protocole TCP/IP

*Pour réinitialiser Winsock :

Sous Xp:

Démarrer-Exécuter ->Cmd /k Netsh int ip reset resetlog.txt

Démarrer-Exécuter ->Cmd /k Netsh winsock reset catalog

Sous Vista:auparavant:

Cliquez sur "Démarrer" puis "Panneau de configuration" et enfin "Comptes d'utilisateurs.

Cliquez sur désactiver le contrôle des comptes d'utilisateurs.

Cochez l'option Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur et à l'invitation de Vista redémarrez votre ordinateur.

 

 

 

Règler le MTU

 

 

si cela ne suffit pas:

 

Démarrez en mode sans échec.

Choisissez la session administrateur

Copiez collez tout ce qui suit En vertdans le bloc notes.

Enregistrez sous repar.bat sur le bureau

double clicquez sur repar.bat.

Vous devez voir apparaitre un message"2 fichiers copiés"

 

@echo off

copy /Y c:\windows\ServicePackFiles\i386\ntfs.sys c:\windows\system32\drivers

copy /Y c:\windows\$NtServicePackUninstall$\tcpip.sys c:\windows\system32\drivers

echo

Pause

 

 

autre solution, si vous avez accès à internet aléatoirement:

 

Télécharger WinsockXPFix (par Option^Explicit)

- Lancez l'outil WinsockXPFix.exe par double-clic ;

- Cliquez le bouton "Fix"

- Fermez l'outil lorsque terminé.

Copier/Coller dans le bloc notes,

[version]

signature="$CHICAGO$"

 

[DefaultInstall]

DelReg=DelTemps

AddReg=AddTemps

 

[DelTemps]

HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"

HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"

HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

 

; Recreate the keys to avoid a restart

 

[AddTemps]

HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"

HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"

HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

 

Enregistrer sous deldomains.inf, sur le bureau

- Faites un clic droit sur le fichier deldomains et choisissez "Installer" (clic gauche) du menu contextuel.

- Redémarrer la machine et testez la connexion Internet

 

[/color]

 

La fonction Easy Pairing censée apporter des amélioration (fonction qui permet de simplifier la configuration WiFi sécurisée) semble ne pas être totalement au point puisqu’une fois désactivé le débit retrouve des couleurs et passe de l’orange au vert, l’utilisation du web peut donc démarrer normalement, à l’orange c’est limite l,e ROUGE est l’arrêt total.

Si vous avez rencontré des problèmes de wifi avec votre livebox, posez vous cette question mais n’hésitez pas à contacter la hotline orange avant toutes manipulation sur votre livebox si vous ne connaissez pas trop!

 

Si le portable est un Acer,

c'est Le logiciel Acer Enet Management qui gère toutes les connexion réseau.

Il faut soit faire les modifications dans ce log, soit le désactiver pour redonner la main aux outils Microsoft.

[/color]

 

Pour réparer le wifi:Sous Xp:

erreur 1068

Copiez/collez dans le bloc notes

Enregistrez sous wifi.bat , sur le bureau

double clic pour le lancer

@echo off

sc config RPC start= auto

sc config WZCSVC start= auto

Net start RPC

Net start WZCSVC

 

Copier/coller ce qui suit dans le bloc notes,

sans ligne blanche au début.

Enregistrez sur le bureau sous wifi.reg

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]

"Type"=dword:00000001

"Start"=dword:00000003

"ErrorControl"=dword:00000001

"Tag"=dword:0000000b

"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\

52,00,49,00,56,00,45,00,52,00,53,00,5c,00,6e,00,64,00,69,00,73,00,75,00,69,\

00,6f,00,2e,00,73,00,79,00,73,00,00,00

"DisplayName"="NDIS mode utilisateur E/S Protocole"

"Group"="NDIS"

"Description"="NDIS mode utilisateur E/S Protocole"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio\Linkage]

"Bind"=hex(7):5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,7b,00,41,00,33,\

00,42,00,45,00,44,00,30,00,36,00,41,00,2d,00,43,00,46,00,37,00,34,00,2d,00,\

34,00,31,00,45,00,35,00,2d,00,42,00,31,00,42,00,34,00,2d,00,34,00,35,00,38,\

00,41,00,41,00,46,00,41,00,33,00,36,00,38,00,43,00,41,00,7d,00,00,00,00,00

"Route"=hex(7):22,00,7b,00,41,00,33,00,42,00,45,00,44,00,30,00,36,00,41,00,2d,\

00,43,00,46,00,37,00,34,00,2d,00,34,00,31,00,45,00,35,00,2d,00,42,00,31,00,\

42,00,34,00,2d,00,34,00,35,00,38,00,41,00,41,00,46,00,41,00,33,00,36,00,38,\

00,43,00,41,00,7d,00,22,00,00,00,00,00

"Export"=hex(7):5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,4e,00,64,00,69,\

00,73,00,75,00,69,00,6f,00,5f,00,7b,00,41,00,33,00,42,00,45,00,44,00,30,00,\

36,00,41,00,2d,00,43,00,46,00,37,00,34,00,2d,00,34,00,31,00,45,00,35,00,2d,\

00,42,00,31,00,42,00,34,00,2d,00,34,00,35,00,38,00,41,00,41,00,46,00,41,00,\

33,00,36,00,38,00,43,00,41,00,7d,00,00,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio\Security]

"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\

05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\

20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\

00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\

00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio\Enum]

"0"="Root\\LEGACY_NDISUIO\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

 

Pour réparer le wifi: Sous Vista

 

Vérifiez que ces services soient démarrés en automatique

NativeWiFi Filter

Protocole EAP (Extensible Authentification Protocol)

 

Copiez/collez dans le bloc notes

Enregistrez sous wifi.bat , sur le bureau

double clic pour le lancer

@echo off

sc config RPC start= auto

sc config WZCSVC start= auto

Net start RPC

Net start WZCSVC

 

Copier/coller ce qui suit dans le bloc notes,

sans ligne blanche au début.

Enregistrez sur le bureau sous wifi.reg.

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]

"Type"=dword:00000001

"Start"=dword:00000003

"ErrorControl"=dword:00000001

"Tag"=dword:0000000d

"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\

52,00,49,00,56,00,45,00,52,00,53,00,5c,00,6e,00,64,00,69,00,73,00,75,00,69,\

00,6f,00,2e,00,73,00,79,00,73,00,00,00

"DisplayName"="NDIS Usermode I/O Protocol"

"Group"="NDIS"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio\Linkage]

"Bind"=hex(7):5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,7b,00,32,00,38,\

00,46,00,42,00,41,00,39,00,33,00,45,00,2d,00,45,00,32,00,34,00,43,00,2d,00,\

34,00,46,00,30,00,32,00,2d,00,41,00,37,00,37,00,39,00,2d,00,30,00,42,00,41,\

00,37,00,37,00,46,00,46,00,44,00,33,00,38,00,37,00,42,00,7d,00,00,00,5c,00,\

44,00,65,00,76,00,69,00,63,00,65,00,5c,00,7b,00,33,00,30,00,36,00,35,00,39,\

00,36,00,33,00,42,00,2d,00,31,00,46,00,42,00,44,00,2d,00,34,00,41,00,43,00,\

39,00,2d,00,42,00,33,00,45,00,30,00,2d,00,43,00,46,00,38,00,39,00,33,00,31,\

00,30,00,44,00,34,00,45,00,44,00,32,00,7d,00,00,00,5c,00,44,00,65,00,76,00,\

69,00,63,00,65,00,5c,00,7b,00,43,00,38,00,45,00,32,00,32,00,43,00,30,00,43,\

00,2d,00,31,00,31,00,32,00,32,00,2d,00,34,00,42,00,37,00,39,00,2d,00,38,00,\

38,00,33,00,37,00,2d,00,46,00,31,00,38,00,37,00,42,00,38,00,42,00,44,00,39,\

00,31,00,37,00,44,00,7d,00,00,00,00,00

"Route"=hex(7):22,00,7b,00,32,00,38,00,46,00,42,00,41,00,39,00,33,00,45,00,2d,\

00,45,00,32,00,34,00,43,00,2d,00,34,00,46,00,30,00,32,00,2d,00,41,00,37,00,\

37,00,39,00,2d,00,30,00,42,00,41,00,37,00,37,00,46,00,46,00,44,00,33,00,38,\

00,37,00,42,00,7d,00,22,00,00,00,22,00,7b,00,33,00,30,00,36,00,35,00,39,00,\

36,00,33,00,42,00,2d,00,31,00,46,00,42,00,44,00,2d,00,34,00,41,00,43,00,39,\

00,2d,00,42,00,33,00,45,00,30,00,2d,00,43,00,46,00,38,00,39,00,33,00,31,00,\

30,00,44,00,34,00,45,00,44,00,32,00,7d,00,22,00,00,00,22,00,7b,00,43,00,38,\

00,45,00,32,00,32,00,43,00,30,00,43,00,2d,00,31,00,31,00,32,00,32,00,2d,00,\

34,00,42,00,37,00,39,00,2d,00,38,00,38,00,33,00,37,00,2d,00,46,00,31,00,38,\

00,37,00,42,00,38,00,42,00,44,00,39,00,31,00,37,00,44,00,7d,00,22,00,00,00,\

00,00

"Export"=hex(7):5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,4e,00,64,00,69,\

00,73,00,75,00,69,00,6f,00,5f,00,7b,00,32,00,38,00,46,00,42,00,41,00,39,00,\

33,00,45,00,2d,00,45,00,32,00,34,00,43,00,2d,00,34,00,46,00,30,00,32,00,2d,\

00,41,00,37,00,37,00,39,00,2d,00,30,00,42,00,41,00,37,00,37,00,46,00,46,00,\

44,00,33,00,38,00,37,00,42,00,7d,00,00,00,5c,00,44,00,65,00,76,00,69,00,63,\

00,65,00,5c,00,4e,00,64,00,69,00,73,00,75,00,69,00,6f,00,5f,00,7b,00,33,00,\

30,00,36,00,35,00,39,00,36,00,33,00,42,00,2d,00,31,00,46,00,42,00,44,00,2d,\

00,34,00,41,00,43,00,39,00,2d,00,42,00,33,00,45,00,30,00,2d,00,43,00,46,00,\

38,00,39,00,33,00,31,00,30,00,44,00,34,00,45,00,44,00,32,00,7d,00,00,00,5c,\

00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,4e,00,64,00,69,00,73,00,75,00,\

69,00,6f,00,5f,00,7b,00,43,00,38,00,45,00,32,00,32,00,43,00,30,00,43,00,2d,\

00,31,00,31,00,32,00,32,00,2d,00,34,00,42,00,37,00,39,00,2d,00,38,00,38,00,\

33,00,37,00,2d,00,46,00,31,00,38,00,37,00,42,00,38,00,42,00,44,00,39,00,31,\

00,37,00,44,00,7d,00,00,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio\Enum]

"0"="Root\\LEGACY_NDISUIO\00"

"Count"=dword:00000001

"NextInstance"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wlansvc]

"DisplayName"="@%SystemRoot%\\System32\\wlansvc.dll,-257"

"ErrorControl"=dword:00000001

"Group"="TDI"

"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,79,00,73,00,74,00,65,00,6d,\

00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,72,00,\

69,00,63,00,74,00,65,00,64,00,00,00

"Start"=dword:00000002

"Type"=dword:00000020

"Description"="@%SystemRoot%\\System32\\wlansvc.dll,-258"

"DependOnService"=hex(7):6e,00,61,00,74,00,69,00,76,00,65,00,77,00,69,00,66,00,\

69,00,70,00,00,00,52,00,70,00,63,00,53,00,73,00,00,00,4e,00,64,00,69,00,73,\

00,75,00,69,00,6f,00,00,00,45,00,61,00,70,00,68,00,6f,00,73,00,74,00,00,00,\

00,00

"ObjectName"="LocalSystem"

"ServiceSidType"=dword:00000001

"RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\

00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\

67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\

00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\

00,00,53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,00,69,00,76,00,69,\

00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,\

69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,00,62,\

00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\

00,00

"FailureActions"=hex:2c,01,00,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\

00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wlansvc\Parameters]

"ServiceDllUnloadOnStop"=dword:00000001

"ServiceMain"="WlanSvcMain"

"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\

00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\

77,00,6c,00,61,00,6e,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wlansvc\Parameters\OEM]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wlansvc\Parameters\WlanAPIPermissions]

"Permit List"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCWD;;;NO)(A;;CCRC;;;BA)(

A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"Deny List"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCWD;;;NO)(A;;CCRC;;;BA)(

A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"AC Enabled"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCWD;;;NO)(A;;CCRC;;;BA)(

A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"BC Scan Enabled"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCDCWPSDRCWD;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCW

D;;;NO)(A;;CCRC;;;BA)(A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"BSS Type"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCWD;;;NO)(A;;CCRC;;;BA)(

A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"Show Denied"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCDCWPSDRCWD;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCW

D;;;NO)(A;;CCRC;;;BA)(A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"Interface Properties"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCWD;;;NO)(A;;CCRC;;;BA)(

A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"Ihv Control"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCWD;;;NO)(A;;CCRC;;;BA)(

A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"All User Profiles Order"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCDCWPSDRCWD;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCW

D;;;NO)(A;;CCRC;;;BA)(A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"Add New All User Profiles"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCWPRC;;;BU)(A;;CCDCWPSDRCWD;;;BU)(A;;CCRC;;;NO

)(A;;CCWPRC;;;NO)(A;;CCDCWPSDRCWD;;;NO)(A;;CCRC;;;BA)(A;;CCWPRC;;;BA)(A;;CCDCWPS

DRCWD;;;BA)(D;;FA;;;WD)"

"Add New Per User Profiles"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCDCWPSDRCWD;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCW

D;;;NO)(A;;CCRC;;;BA)(A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"Media Streaming Mode Enabled"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCDCWPSDRCWD;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCW

D;;;NO)(A;;CCRC;;;BA)(A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"Current Operation Mode"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCWD;;;NO)(A;;CCRC;;;BA)(

A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

 

 

Si dans Hijackthis, vous avez ( O10 - Unknown file in Winsock LSP: c:\winnt\system32\machinchose.dll)

 

1. Téléchargez LSPfix

Sous Vista,

# Cliquez sur "Démarrer" puis "Panneau de configuration" et enfin "Comptes d'utilisateurs.

# Cliquez sur Activer ou désactiver le contrôle des comptes d'utilisateurs.

# Décochez l'option Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur et à l'invitation de Vista redémarrez votre ordinateur.

Vous ferez l'opération inverse par la suite.

 

2. Lancez l'application (Exécutez la) et agrandissez la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton.

3. Déconnectez-vous d'Internet et fermez toutes les instances (fenêtres) Internet Explorer.

4. Cochez la case "I know what I'm doing" ("Je sais ce que je fais").

5. Sélectionnez toutes les instances de la dll néfaste( O10 - Unknown file in Winsock LSP: c:\winnt\system32\machinchose.dll)

 

et rien d'autre et faites les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove").

6. Cliquez sur le bouton "Finish".

7. Maintenant, redémarrez votre ordinateur en mode sans echec

8. Rechercher et détruire le fichier machinchose.dll lui-même.

 

LSPs et Windows XP

Si vous avez XP Home ou XP Pro, forcez Windows à détruire et reconstruire à neuf son protocole tcp/ip grâce à l'utilitaire NetShell qui s'utilise en ligne de commande (fenêtre de lignes de commande)

Démarrer-Exécuter ->Cmd /k Netsh int ip reset resetlog.txt

Démarrer-Exécuter ->Cmd /k Netsh winsock reset catalog

 

 

Les infections Koobfaceinstallent un proxy , empêchant une connexion normale

Sous Vista, la désactivation du proxy dans IE ne suffit pas à rétablir les mises à jour.

Pour rétablir Windows Update, il faut lancer la commande suivante (avec les droits administrateur):

Démarrer->Exécuter

netsh winhttp reset proxy

 

Pour réparer Internet Explorer, vous pouvez être amené à le réinstaller.

* Démarrer-> Exécuter

* Tapez rundll32.exe setupapi, InstallHinfSection DefaultInstall 132 %windir%\Inf\ie.inf

* Cliquez sur OK

ou encore:

Réparer IE6

 

C'est nouveau, c'est écrit par Raghu Boddu, et présenté sur le site The Windows Club de Anand C Khanse (MS MVP),

Cela ré-enregistrera environ 89 fichiers DLL & OCX indispensables à IE 7 et IE 8.

 

Repair IE7 et IE8

Enregistrer sur le bureau.

Fermer Internet Explorer

Dézipper dans un dossier de votre choix

Cliquez sur Fix IE Utility

Cliquez sur Run Utility

Patientez quelques instants

Cliquez sur Renregistered All files

[tonytovo]

Bonjour,

 

Merci pour ta réponse,

 

je vais essayer de suivre ta démarche pour voir si ça peut solutionner le problème.

 

Si quelqu'un est prêt à m'accompagner pour le traitement du virus même ça serait avec grand plaisir.

[pear]

Si vous en avez la possibilité, lancez Mbam, au besoin en le téléchargeant sur clé usb sur une machine qui puisse se connecter au Web.

 

 

 

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

 

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

[tonytovo]

Voila, j'ai supprimé la sélection.

 

Voici le rapport :

 

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

 

Version de la base de données: 3930

 

Windows 5.1.2600 Service Pack 2

Internet Explorer 8.0.6001.18702

 

08/04/2010 14:37:57

mbam-log-2010-04-08 (14-37-57).txt

 

Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|)

Elément(s) analysé(s): 130307

Temps écoulé: 29 minute(s), 22 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 5

Elément(s) de données du Registre infecté(s): 1

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 13

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ewrgetuj (Worm.Prolaco.M) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

F:\q9.cmd (Spyware.OnlineGames) -> Quarantined and deleted successfully.

F:\pcxis.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.

F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Worm.Conficker) -> Quarantined and deleted successfully.

C:\Program Files\Internet Explorer\js.mui (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\app_dll.dll (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

C:\Documents and Settings\Propriétaire\Local Settings\Temp\wmpscfgs.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Propriétaire\Application Data\wiaservg.log (Malware.Trace) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Propriétaire\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Program Files\Internet Explorer\rasadhlp.dll (Spyware.Passwords) -> Delete on reboot.

C:\Documents and Settings\Propriétaire\Local Settings\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\Propriétaire\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

C:\Documents and Settings\Propriétaire\Local Settings\Temp\geurge.exe (Worm.Prolaco.M) -> Quarantined and deleted successfully.

[pear]

On s'occupe d'abord de Conficker/Downadup

Symantec met à disposition un outil contre ce ver :

Ici

Télécharger FixDownadup

 

sur le bureau

Fermez tous les programmes,y compris les protections,désactivez la connexion Internet

 

Désinstallez la Restauration Système.

Poste de Travail->Propriétés->Restauration Système.

Cocher la case "Désactiver la Restauration sur tous les lecteurs".

Vous la décocherez par la suite, .

Un nouveau point de restauration sera créé au redémarrage.

 

Pour activer la commande "Exécuter en tant qu'administrateur "sur les raccourcis , si vous n'avez pas les droits Administrateur:

Cliquez avec le bouton droit sur l'icône du raccourci, puis cliquez sur Propriétés.

Sur l'onglet Raccourci, cliquez sur avancé.

Activez la case à cocher suivante :

"Cette option peut vous autoriser à exécuter ce raccourci en tant qu'autre utilisateur ou à continuer en tant que vous-même tout en protégeant votre ordinateur et vos données de programmes non autorisés"

Si cela ne s'exécutait pas:

Démarrer ->Exécuter->Services.msc->Connexion secondaire->Démarrage Manuel

Réessayer

 

Double cliquez sur FixDownadup.exe pour le lancer

 

Cliquez sur Start

En cas d'échec recommencez la procédure en Mode sans Echec

Redémarrez et relancez une seconde fois.

 

Réinstallez La restauration Système et la connexion internet, les protections.

 

Téléchargez et installez ces Mises à jour de sécurité pour Windows XP

 

KB890830

et

KB958644)

 

 

Kaspersky:

 

Télécharger klwk.zip de Kaspersky

(il est recommandé d'Enregistrer l'outil sur un CDROM pour éviter les problématiques d'infection par écriture d'un fichier "autorun.inf" malicieux, soit dans un répertoire séparé, soit sur un media amovible type clef USB)

* Décompresser klwk.zip dans le dossier où vous l'avez enregistré

* Lancer le fichier exécutable klwk.com

sans paramètre : l'outil scannera alors la mémoire et arrêtera les processus du virus

avec le paramètre /s l'outil analysera tous les disques durs à la recherche des copies du virus disséminées sur le système à des fins de lancement automatique du virus au démarrage du PC.

* Attendre la fin de l'exécution de klwk.com

 

Si votre réseau local a été infecté, avant de nettoyer le PC, il est nécessaire de le déconnecter du réseau (ou d'internet), puis de le traiter avec l'outil klwk.com, pour ensuite le reconnecter au réseau

[tonytovo]

Je n'arrive pas à atteindre propriétés dans le poste de travail qui n'est pas cliquable.

 

J'ai essayé de passé par ta manip :

Démarrer ->Exécuter->Services.msc->Connexion secondaire->Démarrage Manuel

 

Mais ça ne change rien.

 

Je ne peux pas en faisant le clique droit avoir accès à :

"Cette option peut vous autoriser à exécuter ce raccourci en tant qu'autre utilisateur ou à continuer en tant que vous-même tout en protégeant votre ordinateur et vos données de programmes non autorisés"

 

la encore il est en sous brillance...

[pear]

Avez vous les droits admistrateur sur cette machine ?

Etes vous sous Xp home ou Pro?

 

l'onglet Sécurité

Sous Xp pro

décocher "Utiliser le partage de fichiers simples"dans Outils->Options des Dossiers->Affichâge.

 

Sous Xp home

Par défaut, Windows XP Home édition ne gère pas la sécurité des répertoires et des fichiers comme le font NT4, 2000 et XP Pro.

Pour ajouter cette fonction précieuse dès lors que l'ordinateur est en réseau et que l'on veut gérer des droits sur certains dossiers.

Téléchargement Security Configuration Manager

-Lancez NTFS.EXE

Décompresser ce fichier (ne pas l'éxécuter)

-Dans le répertoire de décompression, sélectionnez SETUP.INF,clic droit->Installer

-A la demande "Souhaitez remplacer le fichier ESENT.DLL", refusez en cliquant sur NON POUR TOUS

-Redémarrer votre poste de travail.

-L'onglet Sécurité est installé.

 

 

Je viens de voir vos images.

Votre carte Ethernet a un problème.

Vous avez tenté "Réparer" ?

Modifié le 8 avril 2010 par pear

[tonytovo]

Je te mets le lien d'imprim écran pour que tu situes le souci :

 

 

http://img361.imageshack.us/i/postetravail.jpg/

 

http://img27.imageshack.us/i/postedetravail2.jpg/

 

http://img176.imageshack.us/i/gestionnaire.jpg/

 

J'ai fait un nettoyage du disque et j'ai supprimé les points de sauvegarde sauf le plus récent comme le propose windows.

Je suis en train de lancer ton outil symantec...

[tonytovo]

Justement je dirais que le virus en lui même vire les droits administrateurs puisque il n'y a qu'un seul compte sur l'ordinateur

 

La carte ethernet fonctionnait et depuis l'attaque virus plus rien... Comme je l'ai dit précedemment le virus à l'air de couper l'accès à la carte réseau...

 

J'ai telecharger les pilotes mais rien de plus, code 39. impossible de refaire marcher.

Modifié le 8 avril 2010 par tonytovo