Virus/Trojan TR/Drop.Softomat.AN

Bonjour,

Tu me parles de ces dll de WindowsLive ... ou alors de quels processus ?

En attendant, moi je n'ai rien trouvé sur ces DLL dans mes recherches ... je les bloque toutes, on verra bien, mais j'avais l'impression que IE, ne fonctionnait plus à cause de ce blocage ... Comme je navigue avec Firefox , c'est pas un problème ...

Je vais même essayer Chrome sur cette machine saine, j'ai déjà essayer la beta, ça marche pil poil !

Re,

Oui, je sais bien et je suis particulièrement attentif ... mais je suis "beta testeur" pour plusieurs éditeur.

Pour IE, je sais aussi qu'il est obligatoire (ça fait 25 ans que j'utilise des machines) mais ce n'est que pour cela que je le garde !

Du nouveau : J'ai récupérer un CD de Vista chez un voisin mais pas de pot, ma bécane n'en a pas voulu comme elle me refusait jusqu'à maintenant toute réparation ... Un autre voisin ayant la même version que moi avec un Dell, j'ai essayé son CD et hop (coup de bol, ou je ne sais pas !) l'install s'est lancée ...
et j'ai donc choisi la réparation de Vista (mise à jour) ...
Le seul souci c'est qu'il doit redémarrer plusieurs fois au cours de la réparation, alors je sais si les modif vont être prises en compte ... ???
On va voir ce que ça va donner et ensuite on pourra normalement mieux nettoyer s'il reboote normalement et si l'on peut passer en sans échec facilement !!!
Je compte sur vous deux ou seulement toi pour m'aider à nettoyer après la réparation du système, car y'avait un schtuc ... surement du à l'infection que j'ai eu je ne sais trop comment, je le dis au début, mais pas sur que ce soit cela !!!

Et bien, ça vient de tomber avant que je poste : Mise à jour annulée ... a rencontré une erreur et ne peut pas continuer ! MERDE

Bonsoir,

Oui, je suis toujours dans la panade, et j'arrive de moins en moins souvent à me connecter ...

Ne serait-ce pas ce nouveau ver qui circule " Confi..." je sais plus son nom !!!

Bonjour,

Relie le sujet, tu verras le problème : Tout ce que je supprime et Dieu c'est que je l'ai fait plus que vous me l'avez demandé et même avant que je vous interpelle ... tout reviens au démarrage !

Oui, j'ai désinstaller de nombreux programmes y compris les antispy et cela à chaque fois que je vais redémarré ...

>>> Je ne peux rien désinstaller, ça sert à rien, c'est de nouveau présent et actif chaque fois !
Et comme tout ce que j'installe, c'est idem, c'est plus installer au redémarrage !

Pour la dll, je l'ai déjà remplacer plusieurs fois par une dll saine, prise en différents endroits, mais rien a faire à cause de ce que je vous explique juste ci-dessus dans ce post iet que je vous ai déjà signalé à maintes reprises dans les 3 pages ce topic

Bonsoir,

On ne m'a pas aidé nul part ailleurs qu'ici LOL

Et mon problème est enfin résolu ... plus rien, car j'ai pu enfin formater, je ne sais par quel miracle et j'ai réinstallé Vista et mes applications sur un DD sain et propre ...
Installer AVIRA et je vais installer le pare-feu maintenant à la place de celui de Windaube ...
Avira a trouvé les saloperies dans la dll IAS qui se trouvait dans un dossier windows.old qui sort de je ne sais où ???

Puis-je supprimer ce dossier qui je pense ne sert à rien car il est verrouillé !??

Merci pour votre aide, sans être devant la machine, vous avez fait tout ce que vous avez pu, mais c'était tellement bizarre et complexe cette affaire !

J'ai juste un petit problème au démarrage que je ne comprends pas, faut que j'aille voir dans le bios pour le disque de démarrage, car il me met à chaque démarrage : " Pas de partition sur cette table " et ne démarre pas ...
Je met alors le DVD et là, il démarre en mettant d'appuyer sur n'importe quel touche pour lancer le DVd ou le CD, ce que je ne fais pas, ert il se lance ensuite normalement sur le C:
Je comprends pas trop le truc, mais bon on va voir dans le bios, la séquence de démarrage a du être modifiée par les saloperies que j'avais, enfin je suppose !

Bonjour,

Alors mon formatage n'a été que simulé ... je comprends pas, j'ai eu les fenêtres de formatage avec le défilement ... comme s'il s'était déroulé normalement et mon système fonctionne maintenant comme neuf !!

Ce fichier .old peut-on le supprimer complètement ???

Pour l'infection, je ne retrouve rien, mais je suis prêt à faire toutes les vérif que tu voudras !!!

Bonsoir,

Merci pour ta réponse, mais comme tu dis, c'est impossible de l'effacer même en ayant les droits d'admin ...

Pour l'enlever sous Vista, il faut :

1. Cliquez sur Démarrer
Vous cliquez sur Tous programmes, cliquez sur Accessoires et puis cliquez sur Outils système.
2. Cliquez sur Nettoyage de disque.
3. Dans la boîte de dialogue "nettoyage du disque" Options, cliquez sur Les Fichiers de tous les utilisateurs de ce PC.

Remarque tape le mot de passe d'administrateur si la boîte de dialogue User Account Control s'affiche et clique puis, sur OK. Sinon cliquez sur Continuer.

4. Dans la boîte de dialogue " nettoyage du disque : Sélection du disque ", sélectionnez le disque dur que vous souhaitez nettoyer et puis cliquez sur OK. Attendez pendant que le système analyse l'ordinateur pour des fichiers inutiles.
5. Cliquez sur l'onglet Nettoyage de disque et puis recherchez la case de cocher " Installations antérieures de Windows ".
6. Si vous trouvez cette case à cocher, sélectionnez-la et puis cliquez sur OK.

Si vous ne trouvez pas cette case à cocher, passez à l'étape 7.
7. Lorsqu'on vous invite à confirmer la suppression de fichiers, cliquez sur Supprimer les fichiers.
8. Attendez pendant que le système supprime les fichiers. Vous avez à présent supprimé le dossier Windows.old.

Cette info est sur cette page de Windaube : https://support.microsoft.com/fr-fr/help/933212

J'ai fait une analyse complète avec ANTIVIR, et aussi avec MABAM et rien n'a été détecté ... je vais installé Hitjack This pour te poster un rapport !

Enfin si tu veux bien ???

Ok

J'ai fait un scan avec Hitjack This, je te poste le log et je fais tout de suite ce que tu viens de m'indiquer . . .

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:14:44, on 15/02/2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16809)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Users\claudius\AppData\Local\Google\Update\GoogleUpdate.exe
C:\Program Files\mozilla.org\SeaMonkey\seamonkey.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Safari\Safari.exe
C:\Program Files\Flock\flock.exe
C:\Users\claudius\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\claudius\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\K-Meleon\k-meleon.exe
C:\Users\claudius\AppData\Roaming\Maxthon2\Maxthon.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Opera\opera.exe
C:\Users\claudius\AppData\Local\Google\Chrome\Application\chrome.exe
F:\Logiciels\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://entraidecorsica.bb-fr.com/votes-weborama-toutes-les-2-heures-f189/liens-pour-voter-t9417.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar1.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [Google Update] "C:\Users\claudius\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SeaMonkey Quick Launch] "C:\Program Files\mozilla.org\SeaMonkey\SeaMonkey.exe" -turbo
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

Re,

L'activeX s'installe normalement . . .

Impossible de faire la mise à jour de Online ... il est allé jusqu'au bout 100% et m'a mis une fenêtre IE :

" Certains composants sont endommagés ou ne sont pas correctement installés. Veuillez réinstaller l'application "

Je refais l'installation 3 fois de suite et à chaque fois, il m'ouvre cette fenêtre IE pour me dire la même chose . . . alors comment faire ???

Re,
Non, je ne joue pas du tout . . . je ne fais que ce que tu me dis !!! LOL

Le rapport Option 2 du nettoyage :

############################## [ FindyKill V4.716 ]

# User : claudius (Administrateurs) # PC-DE-CLAUDIUS
# Update on 10/02/09 by Chiquitine29
# Start at: 22:58:26 | 15/02/2009

# Genuine Intel(R) CPU T2130 @ 1.86GHz
# Microsoft© Windows VistaT dition Familiale Premium (6.0.6000 32-bit) #
# Internet Explorer 7.0.6000.16809
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | Updated ]

# C:\ # Disque fixe local (OS) # NTFS
# D:\ # Disque fixe local (RECOVERY) # NTFS
# E:\ # Disque CD-ROM (VISTA_32_PREMIUM) # CDFS
# F:\ # Disque amovible (ZMate 4GB) # FAT32

############################## [ Active Processes ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## [ Infected Files / Folders C:\ ]


################## [ C:\Windows ]


################## [ C:\Windows\Prefetch ]

Deleted ! - C:\Windows\prefetch\SEAMONKEY.EXE-045EDEF5.pf
Deleted ! - C:\Windows\prefetch\WINUPGRO.EXE-B5551E91.pf

################## [ C:\Windows\system32 ]


################## [ C:\Windows\system32\drivers ]


################## [ C:\Users\claudius\AppData\Roaming ]


################## [ Cleaning Temp Files... ]


################## [ Registry / Infected keys ]


################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio # Type of startup = 3

EapHost # Type of startup = 2

Wlansvc # Type of startup = 2

SharedAccess # Type of startup = 2

wuauserv # Type of startup = 2

wscsvc # Type of startup = 2

WinDefend # Type of startup = 2

# -> UAC is Enable

################## [ Cleaning Removable drives ]

# Deleting files :

Not deleted !! - E:\autorun.inf

################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ Searching Other Infections ]

# -> Nothing found ! ..

################## [ ! End of Report # FindyKill V4.716 ! ]



Au redémarrage, il a fallu que je bricole avec le DVD, car j'ai eu de nouveau le message : No Bootable partiton in table . . .

Et dans le bios, c'est bien C: en premier alors comprends pas !!!