[Résolu] W32 / Ramnit.E

[man010]

bonjour,

 

j'ai suivi les instructions, mais la mise à jour a "failed" et le scan ne se lance pas... j'ai un message d'erreur : "internal error!!! this could be of incorect systeme date setting... "

 

je ne sais pas quoi faire...

 

merci d'avance de ta reponse

[tomtom95]

Bonjour man010

 

Tu as bien lancer le pc en mode sans échec avec prise en charge réseau ?

 

Sinon la mise à jour ne pourra pas ce faire.

 

On va essayer de faire une autre analyse de ton ordinateur.

 

Appliquer plutôt cette procédure en mode normal stp.

 

Télécharge OTL

• Désactive temporairement ton antivirus et ferme toutes les applications en cours.
  
• Double-clique sur OTL.exe pour le lancer.
  Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur.
   
  
  Dans le menu contextuel.
  
• L'interface principale s'ouvre :
   
  
  
• Dans la section Rapport en haut à droite de la fenêtre
  
• coche Rapport standard
  
• coche tout les utilisateurs
  
• Laisse tous les autres paramètres par défaut
  
• Dans la partie du bas "Personnalisation" copie/colle la liste en citation :

  netsvcs
  msconfig
  safebootminimal
  safebootnetwork
  activex
  drivers32
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  %SYSTEMDRIVE%\*.exe
  /md5start
  explorer.exe
  userinit.exe
  winlogon.exe
  wininit.exe
  csrss.exe
  smss.exe
  svchost.exe
  services.exe
  tcpip.sys
  .sys
  /md5stop
  %systemroot%\*. /mp /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\system64\*.dll /lockedfiles
  %systemroot%\syswow64\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  %systemroot%\system32\drivers\*.sys /90
  %systemroot%\System32\config\*.sav
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
  SAVEMBR:0
  hklm\software\clients\startmenuinternet|command /rs
  hklm\software\clients\startmenuinternet|command /64 /rs
  CREATERESTOREPOINT

• Clique sur le bouton Analyse
  patiente pendant le balayage du système.
  
• Après le balayage
  2 rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches)
   
  Ne les poste pas sur le forum ils seraient trop long
   
  Pour me les transmettre:
  
• héberger le fichier contenant ce rapport ici http://cjoint.com/'>http://cjoint.com/
  
• Pour Héberger le fichier http://cjoint.com/
  
• Sur la page du site Clique sur parcourir va jusqu'au rapport ZHPDiag sur ton bureau
  
• Puis Clique sur ouvrir
  ce qui va te ramène sur le site cjoint
  
• Ensuite en bas Clique sur Créer le lien Cjoint
  Une nouvelle fenêtre apparait avec un lien en bleu
  
• Surligne le lien pour le Copier/colle
  
• Indique ensuite dans ta prochaine réponse l'adresse d'hébergement de ce rapport pour que je puisse le télécharger et l'analyser.

 

A+

[man010]

oui j'ai bien téléchargé et instalé en mode sans echec avec prise en charge reseau... j'ai d'ailleurs pu poster sur le forum de cette session...

 

Bon je vais suivre les nouvelles instructions... mais je ferai ça l'année prochaine

 

tous mes voeux pour toi et tes proches...

[tomtom95]

man010

 

Ok

 

Passe un bon réveillon ,et a l'année prochaine

[man010]

bonjour,

 

voici OTL.txt et Extras.txt

 

comme tu me l'as demandé je me suis mis sur le bureau en mode normal... j'ai désactivé antivir...

 

merci beaucoup de ton attention

[tomtom95]

Bonjour man010

 

Bon boulot ,bien on continu

 

• Désactive temporairement tes protections (antivirus etc...)
  et ferme toutes les applications en cours
   
  
• Relance OTL Clique sur l'icone présent sur ton bureau
  Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur
  
• Important :Copie-colle correctement le script dans la fenêtre personnalisation :
   
  

  :OTL
  PRC - [2009/01/26 14:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) -- C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
  IE - HKU\S-1-5-21-2488614168-1535471553-4062583559-1000\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - No CLSID value found
  IE - HKU\S-1-5-21-2488614168-1535471553-4062583559-1000\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - No CLSID value found
  [2010/04/09 16:45:01 | 000,002,149 | ---- | M] () -- C:\Users\marie\AppData\Roaming\Mozilla\Firefox\Profiles\sdjaf73b.default\searchplugins\MyStart Search.xml
  [2010/03/18 20:16:34 | 000,003,915 | ---- | M] () -- C:\Users\marie\AppData\Roaming\Mozilla\Firefox\Profiles\sdjaf73b.default\searchplugins\sweetim.xml
  [2011/02/27 21:19:27 | 000,001,583 | ---- | M] () -- C:\Users\marie\AppData\Roaming\Mozilla\Firefox\Profiles\sdjaf73b.default\searchplugins\web-search.xml
  NetSvcs: LogonHours - File not found
  NetSvcs: PCAudit - File not found
  NetSvcs: ezSharedSvc - C:\Windows\System32\ezsvc7.dll (EasyBits Sofware AS)
  O1 - Hosts: ::1 localhost => Infection Hosts (Hosts.Redirection)
  O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
  O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found.
  O2 - BHO: (no name) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - No CLSID value found.
  O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\pdfforgeToolbarIE.dll File not found
  O2 - BHO: (FDMIECookiesBHO Class) - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll ()
  O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - No CLSID value found.
  O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
  O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\pdfforgeToolbarIE.dll File not found
  O3 - HKU\S-1-5-21-2488614168-1535471553-4062583559-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
  O8 - Extra context menu item: Télécharger avec Free Download Manager - C:\Program Files\Free Download Manager\dllink.htm ()
  O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - C:\Program Files\Free Download Manager\dlselected.htm ()
  O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - C:\Program Files\Free Download Manager\dlfvideo.htm ()
  O8 - Extra context menu item: Tout télécharger avec Free Download Manager - C:\Program Files\Free Download Manager\dlall.htm ()
  O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
  O15 - HKU\.DEFAULT\..Trusted Ranges: Range1 ([http] in Local intranet)
  O15 - HKU\S-1-5-18\..Trusted Ranges: Range1 ([http] in Local intranet)
  O15 - HKU\S-1-5-21-2488614168-1535471553-4062583559-1000\..Trusted Ranges: Range1 ([http] in Local intranet)
  O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)
  O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
   
   
  :Files
  C:\Kaspersky
  C:\Users\marie\AppData\Local\awqnsiht
  C:\Users\marie\AppData\Roaming\Symantec
  ipconfig /flushdns /c
  C:\WINDOWS\tasks\*.job
  C:\*.sqm
  C:\WINDOWS\System32\*.tmp
  C:\WINDOWS\*.tmp
   
  :reg
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
  "{4EF8BE6A-899C-4196-94E7-297C5F7A203E}"=-
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
  ""=""%1" %*"
   
   
  :Commands
  [RESETHOSTS]
  [EMPTYTEMP]
  [EMPTYFLASH]
  [createrestorepoint]
  [Reboot]

• Clique ensuite sur Correction laisse l'outil travailler.
  
• Poste le contenu du nouveau rapport c'est un fichier "LOG"
  Il est sauvegardé dans le dossier C:\OTL\MovedFiles qui doit s'ouvrir avec le bloc-notes.
  
• Copie-colle ce texte dans ta prochaine réponse post via Cjoint stp

 

• Puis Télécharger

TDSSkillerde Kaspersky sur le Bureau
Ferme toutes les applications ouvertes
Désactive tes défenses (anti-virus et anti-spyware)
Faire un double clique sur tdsskiller pour le lancer.(clique droit -> lancer en tant qu'adminstrateur sous Vista et seven )
Pour les options >> l'onglet "change parameter"
ou "report"
Coche les 2 options supplémentaires:
Vérifiy driver digital signatures
Detect TDLFS file system
Cliquer sur Start scan pour lancer l'analyse
 
 

 
 
Lorsque l'outil a terminé son travail d'inspection
si des nuisibles ("Malicious objects") ont été trouvés
vérifier que l'option (Cure) est sélectionnée
 

 
Si des objects suspects ("Suspicious objects") ont été détectés
sur l'écran de demande de confirmation
modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip)
 
Puis cliquer sur le bouton (Continue) puis sur [Reboot Now]
 
 
Attendre l'affichage du fichier rapport.
 
Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage
cliquer sur le bouton (Reboot computer).
Post: le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
 
 
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Rootkit Win32.ZAccess est détecté assure toi que Cure est bien cochée.
 
Si Suspicious file est indiqué laisse l'option cochée sur Skip
 
Clique sur Continue puis sur Reboot now pour redémarrer le PC.
 
Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil HH.MM.SS heure de passage).

 

A+

Modifié le 3 janvier 2012 par tomtom95

[man010]

lut,

 

voici le rapport OTL et celui de TDSSkiller

 

je crois avoir fait une bêtise : je n'avais pas désactivé la mise à jours auto de windows, au redémarrage demandé par OTL, il en a installé une tripoté...

 

sinon pendant un long moment après avoir activé antivir et le firewall, il n'y a pas eu d'alerte puis antivir c'est remis a couiner au lancement de automatique de defender je crois...

 

ça se chope facilement la vérole mais c'est dur de s'en débarrasser...

 

 

et toujours merci pour ton aide

[tomtom95]

Bonsoir man010

 

Tu vas utiliser Combofix

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

• Télécharge
  Combofix sUBs sur ton Bureau et pas ailleurs
  Lien 2
   
  
• fermez toutes les fenêtres et autres logiciels ouverts ;
  
• antivirus
  anti-spywares
  etc..
   
  
• Branche tes supports externes sur le pc (Clé USB-Disque Dur-etc..)
  Allumé Sans les ouvrirs avant de procéder.
   
  
• Ensuite double clique sur Combofix.exe Pour Vista fais un clique droit sur l'icône et exécute en tant qu'administrateur.
  accepte la licence d'utilisation et laisse toi guider.
  
• Il est possible que ton pare-feu te demande
  si tu acceptes ou non l'accès de nircmd.cfexe : accepte.
  
• Clique sur Oui/Yes
  pour poursuivre avec la recherche de nuisibles
  Puis laissez le logiciel travailler
  
• IMPORTANT ne clique sur rien pendant exécution de l'analyse
  
• Clique seulement sur ce que demande ComboFix
  
• Lorsque l'analyse sera terminée
  un rapport apparaîtra.
  Copie-colle ce rapport dans ta prochaine réponse
  
• le rapport est sauvegardé à la racine du disque C:\ComboFix.txt poste le rapport

 

Tu as le tutorial sur ce lien pour t'aider

http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

 

• Si ta connection internet ne fonctionne plus redémarrer le pc
  
• Si toujour pas de connection
  
• Clique sur le bouton Démarrer.
  
• Clique sur l'option de menu Paramètres.
  
• Clique sur l'option Panneau de configuration.
  
• Après l'ouverture du Panneau de configuration
  faites un double clique sur l'icône Connexions réseau.
  
• Si ton Panneau de configuration est paramétré pour un affichage en catégories
  faites un double clique sur Connexions réseau et Internet puis clique sur Connexions réseau tout en bas.
  
• Tu verras alors une liste de toutes les connexions réseau disponibles. Repére la connexion vers ton adaptateur Sans Fil ou Réseau local et faites un clique droit dessus.

 

A+

[man010]

lut,

 

voila operation combofix faite, voici le rapport

 

antivir ne couine plus... j'ose espéré...

[tomtom95]

Bonjour man010

 

Ok trés bien

 

Suppression de combofix

Clique sur démarrer >> Exécuter ou tape sur les touches [windows +R]

Ensuite tape Combofix /uninstall

Cela va désinstaller proprement Combofix

 

Fait la mise à jour

Sun java Runtime Version 6 Update 30

http://www.java.com/fr/download/manual.jsp

installe Windows En ligne

 

• Télécharge

Temp File Cleaner (TFC) de Old Timer :
 
Enregistre-le sur le Bureau
Enregistre (sauvegarde) tous tes travaux en cours et ferme les applications - quitte-les définitivement (l'outil les fermera de toute façon automatiquement)
Double-clique sur TFC.exe (sous Vista - Windows 7 clique droit
"exécuter en tant qu'administrateur)
Clique sur Start
Laisse l'outil travailler (cela prend de quelques secondes à quelques minutes)
Si l'outil demande à redémarrer :
Clique sur Yes
Si l'outil ne propose pas le redémarrage
redémarrer manuellement.

 

Télécharge la dernier version MalwareByte's sur ton Bureau.

• Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
  Une fois l'installation et la mise à jour effectuées :
  
• Branche tes supports externes sur le pc (Clé USB,Disque Dur,etc..)
  Allumé Sans les ouvrirs
  
• Exécute maintenant MalwareByte's Anti-Malware.
  
• Pour Vista et seven fais un clique droit sur l'icône et exécute en tant qu'administrateur.
  sélectionne "Exécuter un examen complet".
  
• Afin de lancer la recherche clique sur"Rechercher".
  
• Coche toutes les cases de tes lecteurs
  
• Une fois le scan terminé une fenêtre s'ouvre clique sur OK.
  
• Si des infections sont présentes
  clique sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
  
• poste le rapport dans ta prochaine réponse.

 

REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression accepte en cliquant sur Ok.

 

A+