Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

[e redemarrant, (car le pc etait completement plante) windows m'anonce ne pas retrouver le fifhier windows\devices\services.exe

je passe sur les deux sites quand meme et je reviens (si j'y arrive....)

Posté(e)

Re

 

Voici ce que tu vas devoir faire STP

 

-Télécharger et installer EasyCleaner de Toni Helenius (Programme faisant partie de la catégorie des nettoyeurs)

http://personal.inet.fi/business/toniarts/ecleane.htm

 

Télécharger la version d'évaluation d'Ewido (Programme faisant partie des anti-malwares):

http://www.ewido.net/en/download/

 

Installer et mettre à jour.

 

Important: Pendant l'installation, sur la page "Additional Options" :

décocher les deux options "Install background guard" et "Install scan via context menu".

 

Démarrer Ewido avec l'icône qui se trouve sur le Bureau.

Cliquer sur mise à jour, attendre la fin de cette mise à jour, puis fermer le programme.

 

Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC.

Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous.

Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.

 

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" et en ayant désactivé les protections résidentes si il y en a ! (ex:Spybot S&D, Ad-Watch, Microsoft AntiSpyware )

 

-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

 

 

 

-Maintenant Je vais te demander d'arrêter un service qui est lancé automatiquement en mode normal

et qui est lié à l'infection !

 

Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) rechercher le service suivant:

 

Application Layer Gateway System

 

Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,

puis dérouler le Type de Démarrage pour le modifier en Désactivé

Cliquer sur Appliquer puis OK

 

Recommence avec celui ci

NTSec

 

Lancer Hijackthis, choisir Open the Misc.Tools section

la fenêtre "Configuration" va s'ouvrir

cliquer sur (b]Delete a NT service...[/b]

la fenêtre "Delete a Windows NT service" va s'ouvrir

Entrer dans la zone de dialogue :

 

ALGS

 

Note : assurez-vous de ne mettre d'espace, ni avant, ni après !

cliquer OK

 

Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer.

Cliquer NO

 

Recommence avec celui ci

ntsec

 

 

 

-Maintenant on va modifier la base de registres pour éliminer les lignes liées a l'infection !

Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes:

 

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\devices\services.exe

F3 - REG:win.ini: load=F:\CDSETUP.EXE c:\oplimit\ocraware.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\devices\services.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe

O4 - HKLM\..\Run: [Microsoft ® Windows Connection Mapping Service] C:\WINDOWS\mapping\svchost.exe

O4 - HKLM\..\Run: [NI.UWFX5V_0001_N57M1412] "C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\50LGX7W3\WinFixer2005ScannerInstallFRA[1].exe" -nag

O4 - HKLM\..\RunServices: [MS Windows Local Directory] MSWLD32.exe

O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe

O4 - HKCU\..\Run: [zrrz] C:\PROGRA~1\COMMON~1\zrrz\zrrzm.exe

O4 - HKCU\..\Run: [MS Windows Local Directory] MSWLD32.exe

O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe

O23 - Service: Application Layer Gateway System (ALGS) - Unknown owner - C:\WINDOWS\system32\algsys.exe (file missing)

O23 - Service: NTSec(ntsec) (NTSec) - Unknown owner - C:\WINDOWS\system32\ntsec.exe (file missing)

 

 

Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked

 

-Vérifier d'avoir accès à tous les fichiers :

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer l'option : Afficher les fichiers et dossiers cachés

Désactiver l'option : Masquer les extensions des fichiers dont le type est connu

Désactiver l'option : Masquer les fichiers protégés du système d'exploitation

Puis cliquer sur "Appliquer à tous les dossiers"

 

Maintenant on va supprimer manuellement les fichiers infectieux !

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge C:\windows\

Le dossier va s'ouvrir

Supprime les fichiers indiqués en gras:

ALCXMNTR.EXE(clique droit /supprimer)

msresearch.exe

 

Répète l'opération pour ceux là

C:\WINDOWS\mapping\

svchost.exe

C:\WINDOWS\System32\

0mcamcap.exe

 

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge C:\Program Files\Common Files\zrrz\

Le dossier va s'ouvrir

Revient dessus <= supprimer le dossier !

 

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\50LGX7W3\

Le dossier va s'ouvrir <= vider le dossier !

 

Utiliser la fonction rechercher via "démarrer/rechercher/des fichiers ou des dossiers"(si problème voir ici http://www.hiboox.com/image.php?img=go6nc45.jpg )

Rechercher surement dans C:\WINDOWS\System32\ ou C:\WINDOWS\System\ et supprimer le(s) fichier(s) en gras suivant(s) si présent(s):

MSWLD32.exe

 

 

Vider la poubelle !

 

-Exécuter EasyCleaner (Utiliser le raccourci sur le bureau):

(Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre)

Utiliser les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

*Remarque:

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" -

"Browser Cookies" puis clique sur "Find".

Lorsque le scan est terminé,clique sur "Delete all".

 

Relancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer

(avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et cocher

"Effectuer cette action avec toutes les infections".

 

A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

-Redémarrer en mode normal :

 

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Mettre un nouveau rapport HijackThis

-Poster le rapport Ewido

-Indiquer si le Pc présente encore des dysfonctionnements

 

Après avoir posté ta réponse :

 

Peux-tu faire s'il te plait un scan en ligne?=>

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrives pas : tutorial

 

Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

 

A plus et bon courage ! :P

Posté(e)

Logfile of HijackThis v1.99.1

Scan saved at 18:20:28, on 07/05/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\Program Files\ewido\security suite\ewidoguard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\ntvdm.exe

C:\windows\system\hpsysdrv.exe

C:\Program Files\USB Storage RW\shwicon.exe

C:\OPLIMIT\ocrawr32.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\ps2.exe

C:\WINDOWS\VM_STI.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\ewido\security suite\SecuritySuite.exe

C:\WINDOWS\system32\winmine.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\hijackthis\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.laposte.net/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

F3 - REG:win.ini: load=F:\CDSETUP.EXE c:\oplimit\ocraware.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [WCOLOREAL] "C:\Program Files\Coloreal\coloreal.exe"

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NI.UWFX5V_0001_N57M1412] "C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\50LGX7W3\WinFixer2005ScannerInstallFRA[1].exe" -nag

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [zrrz] C:\PROGRA~1\COMMON~1\zrrz\zrrzm.exe

O4 - HKCU\..\Run: [MS Windows Local Directory] MSWLD32.exe

O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: customize__IE.lnk = C:\hp\region\customizeIe.wsf

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: MsnFixer.lnk = ?

O4 - Global Startup: Picture Package Menu.lnk = ?

O4 - Global Startup: Picture Package VCD Maker.lnk = ?

O4 - Global Startup: Scanner Detector.lnk = C:\Program Files\ScanSuite\SDetect.exe

O4 - Global Startup: Ulead Acquire Fast.lnk = C:\Program Files\Ulead Systems\Ulead Photo Assistant\UATRAY.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - https://www-secure.symantec.com/techsupp/as...rl/SymAData.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Windows Device Synchronization Agent (DeviceSynchronization) - Unknown owner - C:\WINDOWS\devices\services.exe (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe (file missing)

 

mon pc s'eteint tt seul, j'ai perud le raport eido d'avant, je l'ai refait mais avec moins de resultat

Posté(e)

ewido avant que le pc s'eteigne (une horoge se met n route lorsque je suis sur le net)

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 18:18:31, 07/05/2006

+ Somme de contrôle: AA2C94E1

 

+ Résultats du scan:

 

C:\Documents and Settings\Propriétaire\Cookies\propriétaire@adtech[2].txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder

C:\Documents and Settings\Propriétaire\Cookies\propriétaire@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

 

 

::Fin du rapport

je m'en vais scanner en ligne....

meric en tout cas pour les explications.....meme si la je me decourage un peu......

Posté(e) (modifié)

pas moyen de scanner en ligne, j'ai systematiquement le pc qui plante apres l'indication suivante : (je l'avais deja avant, mais pas systematiquement) : un decompte et un arret du systeme avec les donnees :

arret initié par autoriteNT\System

cause erreur -1073741819

avec le fichier cité : c:\system32\lsass.exe

je retente quand meme, mais bon....pas facile de rester plus de dix minutes en ligne, alors pour telecharger!!!

Modifié par fireblub
Posté(e)

bon apres des galeres sans nom, voici enfin le rapport en ligne de panda !!!!

j'en ai fait deux, ne sachant sur quoi cliquer

une sur les disques locaux la voici :

Incident Statut Analyse

 

Adware:Adware/Adsmart No Désinfecté C:\docs.exe

Spyware:Cookie/empnads No Désinfecté C:\Documents and Settings\Default User\Cookies\propriétaire@empnads[1].txt

Spyware:Cookie/Rn11 No Désinfecté C:\Documents and Settings\Default User\Cookies\propriétaire@rn11[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Default User\Cookies\propriétaire@xiti[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Default User\Cookies\propriétaire@xiti[2].txt

Adware:Adware/Adsmart No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\6J8LGNIP\z[1].jpg

Adware:Adware/Adsmart No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y5CTMRAZ\lewl[1].exe

Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@adtech[1].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@bluestreak[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@xiti[1].txt

 

 

et une sur le poste de travail (dans le doute) la voila :

 

Incident Statut Analyse

 

Adware:adware/dollarrevenue No Désinfecté c:\windows\drsmartload.dat

Outil indésirable:application/winantivirus2006 No Désinfecté c:\program files\fichiers communs\WinAntiVirus Pro 2006

Adware:adware/sqwire No Désinfecté Registre Windows

Adware:adware/vog No Désinfecté Registre Windows

Adware:Adware/Adsmart No Désinfecté C:\docs.exe

Spyware:Cookie/empnads No Désinfecté C:\Documents and Settings\Default User\Cookies\propriétaire@empnads[1].txt

Spyware:Cookie/Rn11 No Désinfecté C:\Documents and Settings\Default User\Cookies\propriétaire@rn11[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Default User\Cookies\propriétaire@xiti[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Default User\Cookies\propriétaire@xiti[2].txt

Adware:Adware/Adsmart No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\6J8LGNIP\z[1].jpg

Adware:Adware/Adsmart No Désinfecté C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y5CTMRAZ\lewl[1].exe

Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@adtech[1].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@bluestreak[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@xiti[1].txt

kekcaveut dire????merci!!!!!!

 

 

 

ceci dit, les virus nommmes systematiquement parl'antivirus son t des virud poebot essentiellement

Posté(e) (modifié)

Re

 

Le rapport n'est pas correct ! :P

 

As tu suivi toutes les instructions ?

Certains fichiers que tu devait supprimer sont toujours présents ?!?

As tu rencontrer des problèmes pour les trouver les supprimer ?

 

 

 

1er temps

 

Télécharge ATF Cleaner par Atribune.

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

Ensuite :

 

1/faire une sauvegarde du registre

 

Cliquer sur démarrer/executer

Taper :

regedit /e Sav.reg

Le fichier de sauvegarde se trouve ici

C:\Documents and Settings\Le nom de ta session\Sav.reg

 

2/ Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[-HKEY_CURRENT_USER\Software\SQ]

[-HKEY_CLASSES_ROOT\CLSID\{2662BDD7-05D6-408F-B241-FF98FACE6054}]

[-HKEY_CLASSES_ROOT\CLSID\{57E69D5A-6539-4d7d-9637-775DE8A385B4}]

[-HKEY_CLASSES_ROOT\CLSID\{6E6DD93E-1FC3-4F43-8AFB-1B7B90C9D3EB}]

[-HKEY_CLASSES_ROOT\CLSID\{3C5BA506-6C30-4738-9CED-797ACADEA8DC}]

[-HKEY_CLASSES_ROOT\Interface\{1A8B567B-BD3F-44A1-8B94-F50D37A1914E}]

[-HKEY_CLASSES_ROOT\Interface\{B8CFDC9E-E634-40E3-A51E-C097F23D53B9}]

[-HKEY_CLASSES_ROOT\Interface\{D686DB39-659A-491A-A35C-60B99495C16E}]

[-HKEY_CLASSES_ROOT\Interface\{3A021D2F-5F75-47F5-9BAB-A137E1FB015F}]

[-HKEY_CLASSES_ROOT\Interface\{32E715F3-6481-4118-A689-504312933CE6}]

[-HKEY_CLASSES_ROOT\TypeLib\{118AF62F-21B1-4492-8111-C1A03C5E09CB}]

[-HKEY_CLASSES_ROOT\TypeLib\{4D0AC936-BDE8-4EA2-B4FB-9F89E5B4C186}]

[-HKEY_CLASSES_ROOT\TypeLib\{805AF2C8-98C7-4F3C-A7C9-25EBF27567F3}]

[-HKEY_CLASSES_ROOT\TypeLib\{909E0059-F545-42DE-9D2C-CC4A3E336EC3}]

[-HKEY_CLASSES_ROOT\TypeLib\{C6C2871F-7467-4A35-90FA-9E9894BC1916}]

[-HKEY_CLASSES_ROOT\TypeLib\{43732063-1BDA-45A0-BBEE-13E014CB4041}]

[-HKEY_CLASSES_ROOT\SQToolbar.Band]

[-HKEY_CLASSES_ROOT\SQToolbar.Band.1]

[-HKEY_CLASSES_ROOT\XTSearch.XTSearchHook]

[-HKEY_CLASSES_ROOT\XTSearch.XTSearchHook.1]

[-HKEY_CLASSES_ROOT\XTUpdate.XT]

[-HKEY_CLASSES_ROOT\XTUpdate.XT.1]

[-HKEY_CLASSES_ROOT\XupiterToolbar.Band]

[-HKEY_CLASSES_ROOT\XupiterToolbar.Band.1]

[-HKEY_CLASSES_ROOT\XTUpdate.XT]

[-HKEY_CLASSES_ROOT\XTUpdate.XT.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units
\{3C5BA506-6C30-4738-9CED-797ACADEA8DC}]

[-HKEY_CLASSES_ROOT\Classes\SQLoader.Loader]

[-HKEY_CLASSES_ROOT\Classes\SQLoader.Loader.1]

[-HKEY_CURRENT_USER\Software\Xupiter]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Sqwire]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2662BDD7-05D6-408F-B241-FF98FACE6054}]

 

-Enregistre ce fichier dans : Bureau

-Nom du fichier : remove.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes: ne clique pas sur le fichier maintenant!

 

Sur le bureau tu dois avoir ce remove.reg.

 

 

2ème temps

 

Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC.

Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous.

Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.

 

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" et en ayant désactivé les protections résidentes si il y en a ! (ex:Spybot S&D, Ad-Watch, Microsoft AntiSpyware )

 

-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

 

 

-Maintenant on va modifier la base de registres pour éliminer les lignes liées a l'infection !

 

- Clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier remove.reg

 

Lancer HijackThis, (scan only ou scanner seulement) cocher les lignes suivantes si présentes:

 

F3 - REG:win.ini: load=F:\CDSETUP.EXE c:\oplimit\ocraware.exe

O4 - HKLM\..\Run: [NI.UWFX5V_0001_N57M1412] "C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\50LGX7W3\WinFixer2005ScannerInstallFRA[1].exe" -nag

O4 - HKCU\..\Run: [zrrz] C:\PROGRA~1\COMMON~1\zrrz\zrrzm.exe

O4 - HKCU\..\Run: [MS Windows Local Directory] MSWLD32.exe

O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe

 

Fermer tous les programmes et navigateur, et Cliquer sur Fix Checked

 

-Vérifier d'avoir accès à tous les fichiers :

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer l'option : Afficher les fichiers et dossiers cachés

Désactiver l'option : Masquer les extensions des fichiers dont le type est connu

Désactiver l'option : Masquer les fichiers protégés du système d'exploitation

Puis cliquer sur "Appliquer à tous les dossiers"

 

 

 

Maintenant on va supprimer manuellement les fichiers infectieux !

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge c:\windows\

Le dossier va s'ouvrir

Supprime le fichier indiqué en gras:

drsmartload.dat(clique droit /supprimer)

 

Répète l'opération pour ceux là

C:\WINDOWS\System32\

0mcamcap.exe

c:\program files\fichiers communs\

WinAntiVirus Pro 2006

C:\

docs.exe

 

C:\PROGRA~1\COMMON~1\zrrz\<= supprimer le dossier

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Y5CTMRAZ\ <=vider le dossier

C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\50LGX7W3\ <=vider le dossier

 

Utiliser la fonction rechercher via "démarrer/rechercher/des fichiers ou des dossiers"(si problème voir ici http://www.hiboox.com/image.php?img=go6nc45.jpg )

Rechercher surement dans C:\WINDOWS\System32\ ou C:\WINDOWS\System\ et supprimer le(s) fichier(s) en gras suivant(s) si présent(s):

MSWLD32.exe

 

 

Vider la poubelle !

 

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

 

 

Si tu utilises le navigateur Firefox :

  • Clique Firefox au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

  • Clique Opera au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

-Exécuter EasyCleaner (Utiliser le raccourci sur le bureau):

(Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre)

Utiliser les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

*Remarque:

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" -

"Browser Cookies" puis clique sur "Find".

Lorsque le scan est terminé,clique sur "Delete all".

 

Relancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer

(avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et cocher

"Effectuer cette action avec toutes les infections".

 

A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

-Redémarrer en mode normal :

 

-Poster une réponse dans le même sujet

(Cliquer sur répondre entre "flash" et "nouveau " tout en bas de page!)

-Mettre un nouveau rapport HijackThis

-Poster le rapport Ewido

-Indiquer si le Pc présente encore des dysfonctionnements

 

Après avoir posté ta réponse :

 

Créer un fichier texte sur ton bureau copie dedans le code ci dessous

 

RegEdit /e c:\regfile.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ & Start c:\regfile.txt

 

Renomme le fichier en regfile.bat

double clique dessus un rapport va apparraitre copie le dans une nouvelle réponse

Après avoir posté le rapport supprime regfile.bat

 

Recommence l'opération avec ce code

 

RegEdit /e c:\regfile.txt HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ & Start c:\regfile.txt

 

 

Peux-tu faire s'il te plait un scan en ligne?=>

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrives pas : tutorial

 

Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

 

A plus et bon courage ! :P

Modifié par regis56

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...