probleme avec mon pc

[megataupe]

Bonjour Sasa. Dans l'immédiat, merci de bien vouloir mettre en oeuvre la procédure suivante :

 

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- installation et utilisation d'HijackThis

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

 

- redémarrer en mode normal

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un post ci-dessous (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

 

procédure de megataupe

[sasadudesert]

Bonjour Sasa. Dans l'immédiat, merci de bien vouloir mettre en oeuvre la procédure suivante :

 

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip  ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- installation et utilisation d'HijackThis

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur  poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire  

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

 

- redémarrer en mode normal

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un post ci-dessous (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

 

procédure de megataupe

526011[/snapback]

salut megataupe toute les etapes que tu me demande de faire on ete faite.

[Thanos]

un grand nettoyage d'été pour ton pc , sasa orchestré par Méga himself!

 

quelques infos sur le ver:BKDR SDBOT.GEN(cssrs=>qui imite le vrai processus csrss)

 

et son éradication: ici chez Sophos.

 

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe=>à virer , tenace!

O4 - HKLM\..\RunServices: [service] wN2S.exe=>bloque les logs files hijack,à virer!

 

Pas mal de daubes à virer au démarrage! persévérance (j'ai vu que certains affectés

 

par sdbot n'avaient plus accès à la bdr)

Modifié le 28 juin 2005 par charles ingals

[megataupe]

Bonsoir Charles . Espérons qu'Antivir a déjà effectué une partie du travail et il faudrait que sasa envoie son log HJT pour vérifier.

[Thanos]

salut méga

 

y a du boulot,on dirait J'espère effectivement qu'Antivir va dégrossir tout ca:

 

j'ai lu que wN2S.exe empechait hijack de faire son taf , ca n'a pas l'air d'être le cas ici!

[megataupe]

Bah, IPL va bientôt arriver et j'ai trouvé les clés ou il se planque ce wN2S :

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]

Service=wN2S.exe

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\]

Service=wN2S.exe

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]

Service=wN2S.exe

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\]

Service=wN2S.exe

 

[FileCreated]

c:\windows\system32\wn2s.exe=1

 

[ProcessCreated]

C:\WINDOWS\system32\wN2S.exe=1

[Thanos]

en tout cas bon courage à vous! mes compétences limitées ne me permettent pas

 

de lui être d'un grand secours

 

Merci pour le boulot que vous abattez et les infos qui nous font avancer.

 

je vais continuer à m'instruire à vos côtés:lol:

 

édit:tiens ca rime pas mal tout ça!

Modifié le 28 juin 2005 par charles ingals

[ipl_001]

Bonsoir sasadudesert, megataupe, charles ingals, bonsoir à tous,

 

sasadudesert, est-ce que ce post (aujourd'hui à 20h16) a été fait après la partie Antivir, etc. ?

 

Bien, je fusionne les 2 discussions !

 

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

[ipl_001]

Rebonjour sasadudesert, megataupe, charles ingals, rebonjour à tous,

 

Eh bien ! Tu en as des lignes à supprimer !!!

Tu as plusieurs malwares dont Agobot, RBot, ForBot, etc.

 

Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

 

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

 

 

Redémarre l'ordinateur en mode sans échec.

 

Relance un scan HijackThis, clique sur "Do a system scan and save a log file" et coche les lignes ci-dessous :

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O4 - HKLM\..\Run: [tI3px] C:\WINDOWS\psneo.exe

O4 - HKLM\..\Run: [notes] notes.exe

O4 - HKLM\..\Run: [dalwpkn] C:\WINDOWS\dalwpkn.exe

O4 - HKLM\..\Run: [MS Unix Binary] cssrs.exe

O4 - HKLM\..\Run: [abasa5jrp] C:\WINDOWS\System32\abasa5jrp.exe

O4 - HKLM\..\Run: [AutoLoaderps7q1YPkVJXZ] "C:\WINDOWS\System32\txftapi.exe" /PC="CP.IST" /ShowLegalNote="nonbranded" /UninstallName="CtxPls"

O4 - HKLM\..\Run: [pFoW3sS] txftapi.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Windows Services Management System] srvmngt.exe

O4 - HKLM\..\Run: [xpiupdate] xpiupdate.exe

O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe

O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe

O4 - HKLM\..\Run: [service] wN2S.exe

O4 - HKLM\..\Run: [Logitechs] Logitechs.exe

O4 - HKLM\..\Run: [NvCplScan] kav32.exe

O4 - HKLM\..\Run: [inapjh] c:\windows\system32\lyvxfbi.exe r

O4 - HKLM\..\RunServices: [Auto CD-ROM6 Startup] cdaccess6.exe

O4 - HKLM\..\RunServices: [notes] notes.exe

O4 - HKLM\..\RunServices: [MS Unix Binary] cssrs.exe

O4 - HKLM\..\RunServices: [Windows Services Management System] srvmngt.exe

O4 - HKLM\..\RunServices: [xpiupdate] xpiupdate.exe

O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe

O4 - HKLM\..\RunServices: [service] wN2S.exe

O4 - HKLM\..\RunServices: [Logitechs] Logitechs.exe

O4 - HKLM\..\RunServices: [NvCplScan] kav32.exe

O4 - HKCU\..\Run: [Windows Services Management System] srvmngt.exe

O4 - HKCU\..\Run: [Yo76RiemO] tsderial.exe

O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe

O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - HKCU\..\Run: [MS Unix Binary] cssrs.exe

O4 - HKCU\..\Run: [xpiupdate] xpiupdate.exe

O4 - HKCU\..\Run: [NvCplScan] kav32.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O16 - DPF: Interface Chat Wanadoo - http://chat7.x-echo.com/version6/Applet/wchatsign.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc...bridge-c267.cab

O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/59ebd971/enter.cab

O16 - DPF: {5A24E056-1511-3E9A-03EF-1BED45544ADA} - http://63.219.176.203/1/gdnFR513.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Environnement d'exécution Java 1.4.0_03) -

O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.0_03) -

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

- Supprime les fichiers/dossiers incriminés (s'ils existent encore).

Relance HijackThis, clique sur "Open the Misc Tools section", clique sur "Delete a file on reboot", montre les fichiers suivants (réponds Non à l'invite de redémararage de l'ordinateur sauf après le dernier fichier) et recommence pour montrer chacun des fichiers :

--- C:\WINDOWS\dalwpkn.exe

--- C:\WINDOWS\Nail.exe

--- C:\WINDOWS\psneo.exe

--- C:\WINDOWS\System32\abasa5jrp.exe

--- C:\WINDOWS\System32\ap9h4qmo.exe

--- c:\windows\system32\lyvxfbi.exe

--- C:\WINDOWS\System32\txftapi.exe

--- C:\WINDOWS\web\related.htm

(recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?)

--- cdaccess6.exe

--- cssrs.exe

--- kav32.exe

--- Logitechs.exe

--- MSAOL32.exe

--- MSMSN32.exe

--- notes.exe

--- srvmngt.exe

--- tsderial.exe

--- wN2S.exe

--- xpiupdate.exe

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

 

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

[sasadudesert]

merci pour toute ces instructions je vais faire tout ça maintenant et je te balance le rap ort final.A plus et encore merci.