Antimalware Doctor et gros bugs

[pear]

Bonjour,

 

Il faut absolument passer au sp3.il est soutenu par Microsoft jusqu'en 2014 alors que sp2 ne l'est plus depuis le 13 juillet., donc plus d'updates.

 

Par contre j'ai réactivé la protection TeaTimer de Spybot-Search & Destroy

 

Vous avez eu tort. Spybot est totalement dépassé.

Préfrez Maleware'sbytes.

 

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connus "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

 

Rendez vous à cette adresse:

Cliquez sur parcourir pour trouver ces fichiers

C:\WINDOWS\system32\hostautomgr.exe

et cliquez sur "envoyer le fichier"

Copiez /collez la réponse dans votre prochain message.

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

 

 

Téléchargez TFC par OldTimer sur votre Bureau

Faites un double clic sur TFC.exe pour le lancer.

Sous Vista, faites un clic droit sur le fichier et choisissez Exécuter en tant qu'Administrateur

L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours auparavant.

Cliquez sur le bouton Start pour lancer le processus.

Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux.

Laissez le programme s'exécuter sans l'interrompre.

Lorsqu'il aura terminé, l'outil devrait faire redémarrer votre systèmepour parachever le nettoyage..

S'il ne le faisait pas,faites redémarrer manuellement le PC

 

Désinstaller la Restauration Système.

 

Poste de Travail->Propriétés->Restauration Système.

Cocher la case "Désactiver la Restauration sur tous les lecteurs".

Vous la décocherez par la suite et Redémarrerez

Un nouveau point de restauration sera créé au redémarrage.

 

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

 

Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

Nettoyage

Relancez Mbam

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

Ps: je ne suis pas sur le forum 24h/24

[Molok]

Bonsoir pear,

 

La situation s'est empirée...!!!

Au derniers instants de l'analyse MBAM, pleins de fenêtres se sont ouvertes et pleins de truc bizarres se sont produits. Il semble que j'ai maintenant été infecté par "security tool"...? Antivir s'excite à nouveau, le PC a planté, mais j'ai quand même accès à Windows, mais rien ne fonctionne vraiment!

Je vous envoie tout de même les rapports demandés dans le précédant message:

 

Analyse Virus Total:

 

File name:

hostautomgr.exe

Submission date:

2010-09-02 15:42:11 (UTC)

Current status:

queued (#6) queued (#6) analysing finished

Result:

24/ 43 (55.8%)

 

VT Community

 

not reviewed

Safety score: -

Compact

Print results

Antivirus Version Last Update Result

AhnLab-V3 2010.09.02.05 2010.09.02 Trojan/Win32.FakeAV

AntiVir 8.2.4.46 2010.09.02 -

Antiy-AVL 2.0.3.7 2010.09.02 Trojan/Win32.Agent.gen

Authentium 5.2.0.5 2010.09.02 -

Avast 4.8.1351.0 2010.09.02 Win32:Malware-gen

Avast5 5.0.594.0 2010.09.02 Win32:Malware-gen

AVG 9.0.0.851 2010.09.02 Generic19.ADR

BitDefender 7.2 2010.09.02 Trojan.Generic.KDV.31184

CAT-QuickHeal 11.00 2010.09.02 -

ClamAV 0.96.2.0-git 2010.09.02 -

Comodo 5946 2010.09.02 -

DrWeb 5.0.2.03300 2010.09.02 -

Emsisoft 5.0.0.37 2010.09.02 Rogue!IK

eSafe 7.0.17.0 2010.09.01 -

eTrust-Vet 36.1.7832 2010.09.02 Win32/FakeAlert.BIX

F-Prot 4.6.1.107 2010.09.01 -

F-Secure 9.0.15370.0 2010.09.02 Trojan.Generic.KDV.31184

Fortinet 4.1.143.0 2010.09.02 -

GData 21 2010.09.02 Trojan.Generic.KDV.31184

Ikarus T3.1.1.88.0 2010.09.02 Rogue

Jiangmin 13.0.900 2010.08.30 -

K7AntiVirus 9.63.2424 2010.09.02 -

Kaspersky 7.0.0.125 2010.09.02 Trojan-Clicker.Win32.Agent.oej

McAfee 5.400.0.1158 2010.09.02 Generic.dx!tqa

McAfee-GW-Edition 2010.1B 2010.09.02 Artemis!B2291E6D8D5D

Microsoft 1.6103 2010.09.02 Rogue:Win32/FakeVimes

NOD32 5419 2010.09.02 a variant of Win32/Kryptik.GJT

Norman 6.05.11 2010.09.02 W32/Suspicious_Gen2.BYCWT

nProtect 2010-09-02.01 2010.09.02 Trojan.Generic.KDV.31184

Panda 10.0.2.7 2010.09.02 Trj/CI.A

PCTools 7.0.3.5 2010.09.02 Trojan.FakeAV

Prevx 3.0 2010.09.02 -

Rising 22.63.03.03 2010.09.02 -

Sophos 4.57.0 2010.09.02 Mal/FakeAV-CS

Sunbelt 6824 2010.09.02 Trojan.Win32.Generic!SB.0

SUPERAntiSpyware 4.40.0.1006 2010.09.02 -

Symantec 20101.1.1.7 2010.09.02 Trojan.FakeAV!gen30

TheHacker 6.5.2.1.361 2010.09.02 Trojan/Kryptik.gjt

TrendMicro 9.120.0.1004 2010.09.02 -

TrendMicro-HouseCall 9.120.0.1004 2010.09.02 -

VBA32 3.12.14.0 2010.09.02 -

ViRobot 2010.8.31.4017 2010.09.02 -

VirusBuster 12.64.14.1 2010.09.02 -

Additional information

Show all

MD5 : b2291e6d8d5d7adf3ce994dd4d485eb2

SHA1 : ef695779670d6613382baf426c78c6b9416e8bc0

SHA256: 7edce561863a66ffcb56ce671b157664f2baae6537230d25da2605f63fc07537

ssdeep: 3072:+S5Geh9P5qH8AYLc/OQ0l0wGNI6ouwCceJ+akyx:l51PEH8AQc/JwGDouwC9J+i

File size : 153600 bytes

First seen: 2010-08-30 06:17:29

Last seen : 2010-09-02 15:42:11

TrID:

Win64 Executable Generic (86.2%)

Win32 Dynamic Link Library (generic) (7.6%)

Clipper DOS Executable (2.0%)

Generic Win/DOS Executable (2.0%)

DOS Executable Generic (2.0%)

sigcheck:

publisher....: n/a

copyright....: n/a

product......: n/a

description..: n/a

original name: n/a

internal name: n/a

file version.: n/a

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

PEInfo: PE structure information

 

[[ basic data ]]

entrypointaddress: 0x19DC

timedatestamp....: 0x4C77D40F (Fri Aug 27 15:04:47 2010)

machinetype......: 0x14c (I386)

 

[[ 7 section(s) ]]

name, viradd, virsiz, rawdsiz, ntropy, md5

.texte, 0x1000, 0x1C00, 0x1C00, 3.48, a03c093e6ee57c38f756adfb7fec29df

.DATA21, 0x3000, 0x22000, 0xC20, 0.00, be6df2b5d57dec437b3006fd44e5e90e

.data1, 0x25000, 0x23000, 0x22200, 8.00, 0b40395ae130154a7a7258d2da8a656e

.idata, 0x48000, 0x1000, 0x900, 1.05, 3b86d7531558c3ae4f76e51866c85e61

.e4355, 0x49000, 0x1000, 0x200, 0.00, bf619eac0cdf3f68d496ea9344137e8b

.rsrc1, 0x4A000, 0x9F0, 0xA00, 5.67, dd7dd270cd94a9e8129e81b5665b614c

.wdata1, 0x4B000, 0x1000, 0x200, 0.00, bf619eac0cdf3f68d496ea9344137e8b

 

[[ 2 import(s) ]]

kernel32.dll: GlobalSize, VirtualProtect, LoadLibraryA, GlobalLock, GetCommandLineW, GlobalUnlock, GlobalFix

user32.dll: PeekMessageA, BeginPaint

 

[[ 2 export(s) ]]

Sbvykkhjg, WriteBxtpyfwajb

 

VT Community

 

0

 

This file has never been reviewed by any VT Community member. Be the first one to comment on it!

 

VirusTotal Team

 

 

 

 

Et voilà le rapport MBAM: Heu... je l'enverrai dans un instant, je ne peux actuellement plus ouvrir MBAM! Je vais essayer en mode sans échec.

Modifié le 2 septembre 2010 par Molok

[Molok]

En fait je ne peux pas l'envoyer, Windows ne démarre pas. Arrivé au stade ou windows devrait s'ouvrir, le PC redémarre. La machine redémarre donc en boucle, sans s'arrêter. Que dois-je faire? Comme la première fois, utiliser le CD d'installation pour réparer Windows, puis installer les SP2 et SP3?

 

Au secours!

 

Merci encore pour votre aide.

[pear]

Bonsoir,

 

Avant tout, il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)

Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

Voir ici (en français): .

 

Télécharger OTLPEStd.exe

 

Ou à partir de ce lien

sur le Bureau

Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

 

Si tout va bien, la machine démarrera sur l'environnement OTLPE

 

Double-click sur l'icone OTLPE

A la demande "Do you wish to load the remote registry"->choisir Yes

et "Do you wish to load remote user profile(s) for scanning"->choisir Yes

vérifier que "Automatically Load All Remaining Users" est sélectionné et presser OK

 

L' écran d'OTLPE s'affiche:

Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.

 

sous Custom Scan/Fixes copier_coller le contenu ci dessous ,en vert :

netsvcs

%SYSTEMDRIVE%\*.exe

/md5start

explorer.exe

taskmgr.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

cdrom.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\*. /mp /s

CREATERESTOREPOINT

 

clic Run Scan .

le scan terminé , le fichier se trouve là C:\OTL.txt

 

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution:

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

[Molok]

Re-bonsoir pear,

 

Merci de m'avoir répondu.

 

Malheureusement, sous la panique (et avant d'avoir vu votre réponse), j'ai procédé aux modifications et installations dont j'ai parlé tout à l'heure... J'ai donc, à nouveau réparé Windows et installé le SP2. J'espère pourtant que ces démarches n'auront pas affecté le PC plus qu'il ne l'était . Ensuite j'ai fait une analyse avec MBAM.

 

Quoi qu'il en soit, j'ai tout de même suivi vos instructions à la lettre avec le logiciel OTLPE.

Et voilà le rapport: © CJoint.com, 2008

 

 

 

Voilà le rapport premier MBAM que je devais vous envoyer:

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4531

 

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

 

02.09.2010 21:15:05

mbam-log-2010-09-02 (21-15-05).txt

 

Type d'examen: Examen complet (C:\|E:\|)

Elément(s) analysé(s): 301956

Temps écoulé: 3 heure(s), 5 minute(s), 29 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 3

Elément(s) de données du Registre infecté(s): 2

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 12

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*certevtsui.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*hostautomgr.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sniffer (Trojan.Dropper) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Rogue.Antivirus2010) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Rogue.Antivirus2010) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\certevtsui.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\hostautomgr.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

C:\Documents and Settings\Claudius\Menu Démarrer\Programmes\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\crt.dat (Malware.Trace) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\cryptnet32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\shimg.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Claudius\Local Settings\Temp\0.10141913248034129.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Documents and Settings\Claudius\Local Settings\Temp\0.21594802651392886.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Documents and Settings\Claudius\Local Settings\Temp\0.6622613893603556.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Documents and Settings\Claudius\Local Settings\Temp\0.9173055836067433.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\_ex-08.exe (Trojan.Dropper) -> Delete on reboot.

C:\Documents and Settings\Claudius\Local Settings\Application Data\Windows Server\admin.txt (Malware.Trace) -> Quarantined and deleted successfully.

 

 

 

 

 

 

 

Et voilà le rapport de la seconde analyse MBAM (au ca où):

 

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4531

 

Windows 5.1.2600 Service Pack 2 (Safe Mode)

Internet Explorer 6.0.2900.2180

 

03.09.2010 00:21:26

mbam-log-2010-09-03 (00-21-26).txt

 

Type d'examen: Examen complet (C:\|E:\|)

Elément(s) analysé(s): 310667

Temps écoulé: 1 heure(s), 36 minute(s), 12 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 2

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 7

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\442942168 (Rogue.SystemSecurity) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*srvbridgebase.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Documents and Settings\Claudius\Local Settings\Application Data\442942168.exe (Rogue.SystemSecurity) -> Quarantined and deleted successfully.

C:\Documents and Settings\LocalService\Local Settings\Application Data\srvbridgebase.exe (Malware.Packer.Gen) -> Delete on reboot.

C:\Documents and Settings\Claudius\Local Settings\Temp\ie39.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\Claudius\Local Settings\Temporary Internet Files\Content.IE5\7XS0CX5A\yo[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\Claudius\Local Settings\Temporary Internet Files\Content.IE5\YTPPY03P\setup480[1].exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

C:\Documents and Settings\Claudius\Menu Démarrer\Programmes\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.

C:\Documents and Settings\Claudius\Local Settings\Temp\ie3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

[pear]

Bonjour,

 

Le but d'Otlpe était de redémarrer la machine.

Mais puisqu'il est là:

 

Nettoyage

 

Double-clique sur l'icône OTLPE sur le Bureau.

 

A la demande Do you wish to load the remote registry cliquezYes

et de même Do you wish to load remote user profile(s) for scanning cliquez Yes

Vérifiez que Automatically Load All Remaining Users est bien coché et validez

 

copier/coller tout le texte suivant (en vert) dans la fenêtre de Personnalisation Custom Scan/Fixes

:OTL

DRV - File not found [Kernel | On_Demand] -- -- (WDICA)

DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)

DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)

DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)

DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)

DRV - File not found [Kernel | System] -- -- (PCIDump)

DRV - File not found [Kernel | System] -- -- (lbrtfdc)

DRV - File not found [Kernel | System] -- -- (Changer)

O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found.

O20 - Winlogon\Notify\cryptnet32: DllName - cryptnet32.dll - File not found

C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

 

C:\WINDOWS\bootstat.dat

C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

C:\WINDOWS\WMSysPr9.prx

C:\WINDOWS\System32\0EF28D81E9.sys

 

NetSvcs: 6to4 - File not found

NetSvcs: HidServ - C:\WINDOWS\System32\hidserv.dll File not found

NetSvcs: Ias - File not found

NetSvcs: Iprip - File not found

NetSvcs: Irmon - File not found

NetSvcs: NWCWorkstation - File not found

NetSvcs: Nwsapagent - File not found

NetSvcs: WmdmPmSp - File not found

 

 

:commands

[PURITY]

[EMPTYTEMP]

[REBOOT]

Dans la fenêtre de l'outil OTLPE, cliquez sur [bRun Fix][/b] ;

Patientez juqu'à l'apparition du rapport

Faites un "Shutdown" de l'environnement OTLPE (via le bouton "Start" au bas à gauche) et redémarrez normallement la machine infectée après avoir retiré le CD OTLPE.

collez le rapport de OTLPE dans votre réponse

 

 

Vous allez télécharger Combofix.

 

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

La console de Récupération

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Certaines infections comme braviax empêcheront son installation.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

 

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

 

Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher:

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Vous avez téléchargé Combofix.

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

[Molok]

Bonjour,

 

A nouveau petit problème.

J'ai effectué la procédure avec OTLPE sans aucun souci. Par contre aucun rapport n'est apparu ensuite. Maintenant lorsque je redémarre windows, il faut un long moment pour que les icônes du bureau apparaissent et j'arrive sur une version de windows où la barre de tâche en bas de l'écran ressemble à celle de windows 2000 (?) et ou il est impossible de me connecter à internet. Les connexions réseaux ont disparu, et je n'arrive pas à en créer une nouvelle (lors de la procédure, certains de choix ne peuvent étrangement pas être sélectionnés). Il y a apparemment un problème avec la carte réseau (?).

 

Que dois-je faire?

[pear]

Je vous ai demandé de lancer Combofix.

[Molok]

J'ai d'abord lancé la procédure de nettoyage de OTLPE comme demandé, et j'étais sur le point de lancer combofix. Mais comment le lancer si je n'ai plus accès à internet pour le télécharger. Je le télécharge sur un autre PC et le transfère sur le PC infecté par clé USB? Est-ce que Combofix fonctionne si il n'y a pas d'accès à internet?

 

Merci.

[pear]

Vous avez 2 moyens:

En mode sans échec avec prise ne charge réseau ou celle que vous indiquez.

 

Vous pouvez aussi tenter ceci:

 

Pour réparer la connexion Internet:

 

#Panneau de configuration->Connexions réseaux->Propriétés->Réparer

Lorsque vous voulez réparer une connexion défectueuse en cliquant Connexion->Réparer

et que vous avez le message" Windows n'a pas pu réparer le problème car l'opération suivante n'a pas été menée à bien. Effacement de NetBT."

Télécharger Xp Tcpip Repair

 

XP TCP/IP Repair's met à jour tcp/ip et répare les connexions corrompues.

Il y a donc 2 fonctions et 2 boutons

Reset TCP/IP button to reset the Internet Protocol to newly installed status.

Repair Winsock button to remove all LSPs.

En cas de nouvel Echec,Supprimez NetBt à la main dans System32 \drivers et redémarrez

 

# La carte Ethernet peut ëtre défectueuse ou obsolète

 

#Vérifier les paramètres d'Internet ...

 

1) Dans Internet Explorer, clique sur Outils > Options Internet... puis, onglet "Sécurité".

2) Choisir la zone Internet puis, clique sur le bouton Niveau par défaut.

 

Si cela ne fonctionne pas, essayer ceci

 

Clic sur le bouton Personnaliser le niveau...

Cocher tous les boutons radio Activer ou Demander.

Valider puis, relancer Internet Explorer.

Accéder de nouveau à l'onglet "Sécurité".

Cocher le bouton radio Niveau par défaut...

Valider puis, relancer Internet Explorer.

 

# un pb au niveau du protocole TCP/IP

*Pour réinitialiser Winsock :

Sous Xp:

Démarrer-Exécuter ->Cmd /k Netsh int ip reset resetlog.txt

Démarrer-Exécuter ->Cmd /k Netsh winsock reset catalog

Sous Vista:auparavant:

Cliquez sur "Démarrer" puis "Panneau de configuration" et enfin "Comptes d'utilisateurs.

Cliquez sur désactiver le contrôle des comptes d'utilisateurs.

Cochez l'option Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur et à l'invitation de Vista redémarrez votre ordinateur.

 

Pour réparer le wifi:Sous Xp:

erreur 1068

Copiez/collez dans le bloc notes

Enregistrez sous wifi.bat , sur le bureau

double clic pour le lancer

@echo off

sc config RPC start= auto

sc config WZCSVC start= auto

Net start RPC

Net start WZCSVC

 

Copier/coller ce qui suit dans le bloc notes,

sans ligne blanche au début.

Enregistrez sur le bureau sous wifi.reg

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]

"Type"=dword:00000001

"Start"=dword:00000003

"ErrorControl"=dword:00000001

"Tag"=dword:0000000b

"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\

52,00,49,00,56,00,45,00,52,00,53,00,5c,00,6e,00,64,00,69,00,73,00,75,00,69,\

00,6f,00,2e,00,73,00,79,00,73,00,00,00

"DisplayName"="NDIS mode utilisateur E/S Protocole"

"Group"="NDIS"

"Description"="NDIS mode utilisateur E/S Protocole"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio\Linkage]

"Bind"=hex(7):5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,7b,00,41,00,33,\

00,42,00,45,00,44,00,30,00,36,00,41,00,2d,00,43,00,46,00,37,00,34,00,2d,00,\

34,00,31,00,45,00,35,00,2d,00,42,00,31,00,42,00,34,00,2d,00,34,00,35,00,38,\

00,41,00,41,00,46,00,41,00,33,00,36,00,38,00,43,00,41,00,7d,00,00,00,00,00

"Route"=hex(7):22,00,7b,00,41,00,33,00,42,00,45,00,44,00,30,00,36,00,41,00,2d,\

00,43,00,46,00,37,00,34,00,2d,00,34,00,31,00,45,00,35,00,2d,00,42,00,31,00,\

42,00,34,00,2d,00,34,00,35,00,38,00,41,00,41,00,46,00,41,00,33,00,36,00,38,\

00,43,00,41,00,7d,00,22,00,00,00,00,00

"Export"=hex(7):5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,4e,00,64,00,69,\

00,73,00,75,00,69,00,6f,00,5f,00,7b,00,41,00,33,00,42,00,45,00,44,00,30,00,\

36,00,41,00,2d,00,43,00,46,00,37,00,34,00,2d,00,34,00,31,00,45,00,35,00,2d,\

00,42,00,31,00,42,00,34,00,2d,00,34,00,35,00,38,00,41,00,41,00,46,00,41,00,\

33,00,36,00,38,00,43,00,41,00,7d,00,00,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio\Security]

"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\

05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\

20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\

00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\

00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio\Enum]

"0"="Root\\LEGACY_NDISUIO\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

Modifié le 3 septembre 2010 par pear