Infecté à nouveau ...

[Luccio]

suite à ce post :

http://forum.zebulon.fr/index.php?showtopic=99002

 

j'ai réparé windows comme proposé dans le tuto mais au redémarrage , écran bleu à cause d'antir

 

je le désinstalle en mode sans échec et ca démarre mais apres impossible de réinstaller antivir et zonealarm me bloc l'acces au web

je le désinstalle et la c'est le drame

 

Logfile of HijackThis v1.99.1
Scan saved at 21:06:06, on 18/07/2006
Platform: Windows 2000  (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\nlsys32.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\NT\nrcs.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\Windows-spyware.exe
C:\WINNT\System32\winamp.exe
C:\WINNT\System32\algs.exe
C:\Program Files\anokynt.exe
C:\WINNT\system32\msiexec.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Documents and Settings\luc\Bureau\zlsSetup_61_744_001_fr.exe
C:\DOCUME~1\luc\LOCALS~1\Temp\GLB3.tmp
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\NT\nrcs.exe
F2 - REG:system.ini: UserInit=C:\WINNT\System32\userinit.exe,C:\WINNT\NT\nrcs.exe
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Windows spyware remover] Windows-spyware.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Vista/NT Runtime Compatibility Service] C:\WINNT\NT\nrcs.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Winamp Agent] C:\WINNT\System32\winamp.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINNT\System32\algs.exe
O4 - HKLM\..\Run: [SysTray] C:\Program Files\anokynt.exe
O4 - HKLM\..\RunServices: [Windows spyware remover] Windows-spyware.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143883948006
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Windows Vista/NT Runtime Compatibility Service (ntrcs) - Unknown owner - C:\WINNT\NT\nrcs.exe
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINNT\system32\jfkfly.exe (file missing)

 

maintenant j'ai à nouveau réparer windows, fait un prénettoyage mais je ne peux pas tjs pas installer zonealarm meme en mode sans echec

 

et si je réinstalle antir -> écran bleu et windows ne démarre pas

 

merci de me donner la marche à suivre ...

[tornado]

Bonsoir luccio,

 

j'ai réparé windows comme proposé dans le tuto mais au redémarrage , écran bleu à cause d'antir

 

Quand on répare/formate, il faut toujours penser à installer les màj de Windows. Tu as 4 Services Packs de retard... Il vaut mieux attendre la fin de la désinfection avant de le faire.

C'est sûrement la raison pour laquelle ton système est très infecté...

 

De plus, tu n'as pas de pare-feu, ni d'antivirus . Installes-en de suite, comme indiqué ci dessous :

 

=> Pour le pare-feu, tu peux choisir Kerio :

 

- Pour le télécharger, c'est ici --> http://www.sunbelt-software.com/Kerio.cfm

- Tu peux t'aider de ce tuto pour le configurer --> http://www.vulgarisation-informatique.com/kerio.php

 

=> Pour l'antivirus, tourne toi vers Avast! (étant donné qu'Antivir pose des problèmes):

 

- Pour le télécharger, c'est ici --> http://www.avast.com/eng/download-avast-home.html (choisis la version French )

- Paramètre-le selon ce tutorial --> http://www.pcentraide.com/lofiversion/index.php/t120.html

 

============================================================

 

Pour commencer la désinfection, fais ceci :

 

 

Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézipper la totalité de l'archive smitfraudfix.zip

 

Utilisation ----- option 1 - Recherche :

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

Poster le rapport sur le forum.

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

http://www.beyondlogic.org/consulting/proc...processutil.htm

 

Utilisation ----- option 2 -Nettoyage :

Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ou tuto Symantec).

Double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

Redémarrer en mode normal et poster le rapport sur le forum.

 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Attention que l'option 2 de l'outil supprime le fond d'écran !

 

 

 

A+

Modifié le 18 juillet 2006 par tornado

[Luccio]

Bonsoir luccio,

Quand on répare/formate, il faut toujours penser à installer les màj de Windows. Tu as 4 Services Packs de retard... Il vaut mieux attendre la fin de la désinfection avant de le faire.

C'est sûrement la raison pour laquelle ton système est très infecté...

 

De plus, tu n'as pas de pare-feu, ni d'antivirus . Installes-en de suite, comme indiqué ci dessous :

 

=> Pour le pare-feu, tu peux choisir Kerio :

 

- Pour le télécharger, c'est ici --> http://www.sunbelt-software.com/Kerio.cfm

- Tu peux t'aider de ce tuto pour le configurer --> http://www.vulgarisation-informatique.com/kerio.php

 

=> Pour l'antivirus, tourne toi vers Avast! (étant donné qu'Antivir pose des problèmes):

 

- Pour le télécharger, c'est ici --> http://www.avast.com/eng/download-avast-home.html (choisis la version French )

- Paramètre-le selon ce tutorial --> http://www.pcentraide.com/lofiversion/index.php/t120.html

 

============================================================

 

merci tornado pour toutes ces infos !

 

effectivement j'ai fait l'erruer de croire que lorsqu'on répare simplement windows, on concerve les maj faites précédemment....

 

par contre je ne peux tjs pas installer kerio : l'instal bloque à la fin avec plusieurs messages d'erreurs venant de windows installer semble-t-il....

 

je vais essayer pour l'antivirus....

Modifié le 18 juillet 2006 par Luccio

[Luccio]

bon ben là je crois que c'est fini ....

 

j'ai essayé d'installer l'antivirus, mon pc a planté, j'ai fait un reset et au redémarrage de windows fait maintenant un reset automatique (meme en mode sans echec, et meme apres avoir tenté une n'ieme réparation de windows...)

 

y a plus rien à faire ?

[tornado]

Re,

 

j'ai essayé d'installer l'antivirus, mon pc a planté, j'ai fait un reset et au redémarrage de windows fait maintenant un reset automatique (meme en mode sans echec, et meme apres avoir tenté une n'ieme réparation de windows...)

 

Ca serait étonnant que le pc soit toujours infecté même après une réparation (elle efface le contenu des dossiers Windows, là où se loge une grande partie des infections).

A moins qu'un virus ait infecté le secteur de démarrage, ou que ce ne soit plus un problème d'infection.

 

Avant de te proposer la "solution" ultime (qui ne va pas forcément fonctionner), je vais me renseigner auprès de personnes plus compétentes que moi ...

 

 

A+

[tornado]

Re,

 

 

Je me suis renseigné... et apparemment, tu ne peux que tenter un formatage. Le tuto => http://www.commentcamarche.net/faq/sujet-5...r-un-disque-dur

 

Avant de te lancer, si tu as des données importantes que tu souhaites sauvegarder, tu peux utiliser un livecd => http://www.framasoft.net/article3555.html

 

Le choix de la distribution n'est pas vraiment important, faut prendre celle qui fonctionne. Une liste de livecd (merci à Kewlcat)=> http://forum.zebulon.fr/index.php?showtopic=52985 (uniquement la partie Distributions ne nécessitant pas d'installation ("LiveCD", CD-ROM bootable)).

Au choix, tu peux prendre Knoppix, car elle est très simple à prendre en main.

 

Tu pourras récupérer tes données en les déplaçant sur une clé usb par exemple. Si tu as des difficultés, n'hésite pas à consulter la documentation donnée sur les sites officiel (ou même via une recherche Google, par biais des forums officiels de la distrib etc ...)

 

 

Sinon, si tu es courageux, tu peux essayer de brancher le disque dur de ton pc infecté en Slave, sur ton autre pc => http://webdemarcus.free.fr/Faire/InstallerDisqueDur.htm

Tu récupères les données et tu formates.

 

================================================================

 

 

Quand tu auras formaté, n'oublie pas de mettre à jour Windows rapidement (installation de SP etc) et d'installer un antivirus et un pare-feu ( tu peux faire des couples Avast/Kerio ou Antivir/Zonealarm free par exemple)

Pour faire ton choix :

- Une page sur les antivirus

- Une page sur les firewalls

 

(un grand merci à Odsen )

 

 

Donne-moi de tes nouvelles

 

 

A+

[Luccio]

ok merci pour ces infos

 

tiens le livecd je connaissais pas, ca a l'air pas mal pour récupérer les qlqs fichiers qui m'interessent ...

 

sinon à propos de l'ordre des choses à faire apres un formatage, il vaut mieux mettre à jour windows puis installer dans un 2eme temps firewall+antivirus ou l'inverse ?

[tornado]

Re,

 

 

ok merci pour ces infos

 

tiens le livecd je connaissais pas, ca a l'air pas mal pour récupérer les qlqs fichiers qui m'interessent ...

 

sinon à propos de l'ordre des choses à faire apres un formatage, il vaut mieux mettre à jour windows puis installer dans un 2eme temps firewall+antivirus ou l'inverse ?

 

 

Il vaut mieux commencer par mettre à jour Windows 2000 pour réparer les grandes failles de sécurité.

Mais étant donné que cela va prendre du temps, installe l'antivirus et le pare-feu dans un même temps pour ne pas être exposé trop vite aux infections. (par exemple , installe le pare-feu, puis l'antivirus, en ne faisant pas redémarrer le pc; redémarre une fois qu'il y a une demande de redémarrage pour Windows 2000).

 

 

A+ et bonne chance

 

Ps: Tiens moi au courant Et si tu as des problèmes, n'hésite pas à me demander.

[Luccio]

merci pour toute cette dévotion !

 

juste pour info et comme j'y connais rien en Linux, comment on fait pour explorer un disque dur puis pour copier coller les fichiers qui m'intéresse sur ma clé usb ....je sais c'est tres con comme question mais comme je suis entrain d'explorer les tuto sur Knoppix ou Kaella je vois que ce n'est pas si simple que ca ....

et sinon sur le cd à graver pour faire le livecd faut juste mettre le .iso ?

 

je ne capte pas à quoi sert le .md5 ?

[tornado]

Re,

 

 

juste pour info et comme j'y connais rien en Linux, comment on fait pour explorer un disque dur puis pour copier coller les fichiers qui m'intéresse sur ma clé usb ....je sais c'est tres con comme question mais comme je suis entrain d'explorer les tuto sur Knoppix ou Kaella je vois que ce n'est pas si simple que ca .... icon_eek.gif

 

Regarde ici => http://www.archilinux.org/astuces/depanner.html#recup

 

Je peux pas trouver plus clair ...

Si tu as des doutes, renseigne toi plutôt auprès de la communauté de Knoppix, via son forum français => http://forums.knoppix-fr.org/.

Et c'est normal que tu ais un peu de mal au début...

 

 

et sinon sur le cd à graver pour faire le livecd faut juste mettre le .iso ?

je ne capte pas à quoi sert le .md5 ?

 

Il faut juste que tu graves en image le fichier .iso téléchargé (avec nero, menu "Copier et sauvegarder" > graver l'image sur disque > Image, projet, copie > image du disuqe ou projet enregistré) .

Le fichier .md5 sert juste à vérifier l'intégrité du fichier .iso téléchargé. En effet, il est fréquent que le livecd ne fonctionne pas à cause d'un fichier image corrompu.

Explications : http://www.archilinux.org/knoppix/archikno...chiknoppix.html

 

 

 

Voilà...