ordinateur infecté - besoin d'aide SVP

[u44]

Je pense que tu veux parler de rkill et non pas de C:\rsit, n'est-ce pas ?

 

J'ai effectivement trouvé un rapport rkill sur C qui n'est pas plus long que ce que je t'ai posté. Il n'y a rien d'autre malheureusement.

 

A+

[nardino]

Bonjour

Non je parle bien du rapport info.txt établi par RSIT.

@+

[u44]

Bonsoir nardino,

 

Désolée, mais j'ai dû m'absenter tout à l'heure.

 

Je te remets donc le rapport info.txt établi par RSIT tel que je l'ai trouvé dans le dossier C:\rsit

 

Voilà :

 

info.txt logfile of random's system information tool 1.08 2010-08-02 23:03:35

 

======Uninstall list======

 

Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE

CCleaner-->"C:\Program Files\CCleaner\uninst.exe"

Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"

Microsoft Office PowerPoint Viewer 2007 (French)-->MsiExec.exe /X{95120000-00AF-040C-0000-0000000FF1CE}

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}

Mozilla Firefox (3.5.10)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe

StreamedSelection-->C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\StreamedSelection\Uninstall.exe

 

======Hosts File======

 

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

 

Securitycenter WMI appears to be broken

 

======Environment variables======

 

"ComSpec"=%SystemRoot%\system32\cmd.exe

"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;c:\Python22;C:\Program Files\ATI Technologies\ATI Control Panel;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static

"windir"=%SystemRoot%

"FP_NO_HOST_CHECK"=NO

"OS"=Windows_NT

"PROCESSOR_ARCHITECTURE"=x86

"PROCESSOR_LEVEL"=15

"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 1, GenuineIntel

"PROCESSOR_REVISION"=0401

"NUMBER_OF_PROCESSORS"=1

"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

"TEMP"=%SystemRoot%\TEMP

"TMP"=%SystemRoot%\TEMP

"SonicCentral"=c:\Program Files\Fichiers communs\Sonic Shared\Sonic Central\

"CLASSPATH"=.;C:\Program Files\Java\jre1.5.0_06\lib\ext\QTJava.zip

"QTJAVA"=C:\Program Files\Java\jre1.5.0_06\lib\ext\QTJava.zip

 

-----------------EOF-----------------

 

Merci !

[nardino]

Bonjour,

 

Pour remettre à zéro ton fichier hosts voici une solution. (merci Apollo)

Télécharge ce Fix-It de Microsoft

Tu cliques dessus et tu acceptes.

Suis la routine.

Il te sera demandé de redémarrer en fin, fais-le.

 

Il faut mettre à jour Java et Mozilla Firefox.

 

Java Runtime Environment (JRE)6u21 :

http://java.sun.com/javase/downloads/index.jsp

Clique sur Download Java Runtime Environment (JRE) 6 update21

Dans la page suivante, choisis Windows dans Platform coche I agree to the Java SE Runtime Environment 6 License Agreement et Continue

Dans la nouvelle page, coche Windows Offline Installation, et clique sur jre-6u21-windows-i586.exe //15.54MB.

Tu l'installeras hors connexion.

La version précédente est automatiquement désinstallée à partir de la 12.

Par Ajout/Suppression des programmes, tu désinstalles toutes les autres versions présentes.

 

Firefox http://www.mozilla-europe.org/fr/products/firefox/

 

Dis-moi où en sont tes problèmes.

@+

@+

Modifié le 3 août 2010 par nardino

[u44]

Merci nardino (et Apollo).

Je suivrai vos instructions demain et je vous tiendrai au courant.

Ce soir, je suis trop fatiguée pour m'attaquer aux méchants virus

A demain

[u44]

Bonsoir,

 

Alors, j'ai effectué la manip proposée par Apollo.

Ca a l'air d'avoir marché - en tout cas, je n'ai pas eu de message d'erreur.

J'ai mis Java et Firefox à jour et je ne rencontre plus trop de problèmees (en dehors d'une lenteur incroyable, certainement dû à son manque d'espace disc libre... et des problèmes pour le démarrage par moment - il faut appuyer plusieurs fois pour que la machine veuille bien se mettre en route - problème matériel peut-être....

 

En tout cas, en ce qui concerne le virus Security master av que j'avais trouvé au départ sur sa machine, je n'en vois plus de trace apparente...

Maintenant, je ne sais pas, si tu peux me faire une autre manip pour être sûr qu'il n'y a plus rien.

On dirait presque que MBAM (que j'ai fait au début) est venu à bout de ce malware... je ne pensais pas que ça suffirait.

Est-ce que toi, dans tous les rapports que je t'ai envoyés, tu as vu des traces de "truc méchants" ??

 

Merci encore, en tout cas pour ton aide et j'attends que tu me dise qu'il n'y a plus rien à faire...

A plus

[nardino]

Bonsoir,

Nous allons établir un rapport pour contrôle plus complet que Hijackthis.

Télécharge RSIT de random/random, sur le Bureau *

 

Double-clique sur RSIT.exe afin de lancer l'outil, il ne nécessite pas d'installation.*

Clique Continue à l'écran Disclaimer si tu acceptes les conditions.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et accepte la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt, celui qui va s'ouvrir et ferme info.txt qui est réduit dans la Barre des tâches.

Il ne sera demandé qu'en cas de nécessité.

Ces rapports sont enregistrés dans le dossier C:\rsit

 

 

*Sous Vista

Clique droit sur l'icône et dans le menu sur "Exécuter en tant qu'administrateur"

 

*Sous Sept

Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Viste SP2 et la case dans Niveau de privilège.

Valide par Appliquer.

 

@+

[u44]

Bonjour,

Voici le contenu de log.txt RSIT :

 

© CJoint.com, 2008

 

J'attends ton verdict !

 

P.S: Je n'ai pas trouvé de fichier info.txt. Dans le dossier Rsit il n'y a que le vieux info.txt d'il y a 3 jours !!!!???? Je ne comprends pas.

[nardino]

Bonjour

Pour le fichier info.txt c'est normal, l'outil n'en établit pas de nouveau s'il trouve celui qui est à la racine C:\rsit.

Quelques fichiers et dossiers à supprimer.

 

Télécharge OTM de OldTimer

Enregistre-le sur le Bureau.

Double-clique sur OTM.exe pour lancer l'outil.

Note :

Sous Vista, clic droit sur le fichier et Exécuter en tant qu'administrateur.

Copie toutes les lignes ci-dessous en citation par CTRL+C dans le presse-papier.

 

:files

C:\Documents and Settings\All Users\Application Data\SMFFAV

C:\Documents and Settings\All Users\Application Data\4833ed8

C:\WINDOWS\system32\DRIVERS\SymIM.sys

C:\WINDOWS\system32\DRIVERS\SymIM.sys

C:\Program Files\Symantec

 

:reg

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"NWEReboot"=-

 

:commands

[purity]

[emptytemp]

 

Dans OTM, place le curseur dans la la fenêtre "Paste Instructions for Items to be Moved" et tu cliques sur CTRL+V pour coller le contenu du presse-papier.

Clique sur le bouton MoveIt!, le rouge.

 

 

Ferme l'outil. Le pc va redémarrer

Poste le contenu du rapport C:\_OTM\MovedFiles\********_******.log

Les * représentent Mois/Jour/Année_Heure/Minutes/Secondes

 

Un service à supprimer :

Dans Démarrer, Exécuter tu tapes cmd et tu cliques sur OK.

Au prompt, tu tapes sc delete "Planificateur LiveUpdate automatique" et tu appuies sur[Entrer] pour supprimer le service.

Respecte bien les espaces et les guillemets.

 

Ensuite tu me dis comment se comporte le pc et si tout vabien nous pourrons passer à la phase de nettoyage des outils.

@+

[u44]

Rebonjour,

 

Alors,j'ai fait le OTM de OldTimer.

Voici le rapport : © CJoint.com, 2008

 

J'ai supprimé le service dans Démarrer, Exécuter avec succès.

 

Tout a l'air de fonctionner normalement.

 

A nous le nettoyage....