windows ne trouve pas mqtgsvc + pb de virus

Question

Bonjour à tous.

Gros soucis hier en travaillant sur mon pc (sous windows XP)

Il s'est éteint tout seul... Ca m'a inquiété, à juste titre !

Une fois relancé, plus de connexion internet, boites de dialogues à l'invite avec 4 messages du type " ne trouve pas mqtgsvc.exe".

Je me suis dit qu'une misère m'avait contaminé... Je vais donc passer antivir, spybot, bref contrôler.

Les deux sont inactivés (absents de la barre), rien ne se passe quand je les lance.

Je lance malwarebyte, il tourne et me trouve une vingtaine de trojan, voici le cr :

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1654
Windows 5.1.2600 Service Pack 3

04/05/2009 22:12:45
mbam-log-2009-05-04 (22-12-45).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 125750
Temps écoulé: 45 minute(s), 42 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 20

Processus mémoire infecté(s):
C:\WINDOWS\system\mstsc.exe (Trojan.Agent) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sk9ou0s (Worm.Bagel) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sk9ou0s (Worm.Bagel) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sk9ou0s (Worm.Bagel) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sk9ou0s (Worm.Bagel) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\mstsc (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\spool (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP54\A0009151.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP55\A0009162.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP55\A0009174.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP56\A0009180.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP56\A0009196.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP57\A0009207.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP57\A0009219.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP57\A0009242.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP57\A0009255.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP57\A0009268.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP57\A0009281.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP58\A0009292.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP58\A0009314.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP58\A0009327.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9733E39-316E-447C-B247-85528F011437}\RP58\A0009342.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data\drivers\srosa2.sys (Worm.Bagel) -> Quarantined and deleted successfully.
C:\WINDOWS\system\mstsc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\mqtgsvc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.


Je supprime tout ce petit monde, vide la quarantaine.

Rien ne change.

Aujourd'hui, après reflexion et en trainant un peu sur votre forum, je charge un certain nombre de logiciels à jour sur ma clé usb :

- je réinstalle ccleaner et le lance. Rien ne se passe

- idem avec antivir, avg, ad-aware.

- tentative de faire un Hijackthis, idem

- tentative de changer nom de l'executable de ce dernier, impossible, CTRL+Alt+Suppr, le gestionnaire de tâche m'indique que le programme ne répond pas.

- tentative de démarrage sans echec, ecran bleu avec une message "erreur 0x0000007b(0x7cc45528,0xc0000034,0x00000000,0x00000000)

En gros, je suis dans caca je vous dis pas !

Qui a une bonne idée (des mauvaises j'en ai plein !)

Merci, cordialement.

Lyonnais92 · Answer

Bonjour,

Telecharge FindyKill sur ton bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

--> Lance l installation avec les parametres par default

--> Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


--> Double clic sur le raccourci FindyKill sur ton bureau

--> Au menu principal,choisi l option 1 (Recherche)

--> Post le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

Lyonnais92 · Answer

Re,

je pense.

FindyKill est très performant contre bagle.

Lyonnais92 · Answer

Re,

tu le copies de ta clé sur l'odri infecté et tu fais comme si tu venais de le télécharger.

Lyonnais92 · Answer

Bonjour,

Relance FindyKill :

(vérifie que les supports amovibles susceptibles d'avoir été infectés sont branchés)

-> choisis cette fois-ci l'option 2 .

/!\ durant la procédure, l'ordinateur va redémarrer !... Laisses travailler l'outil jusqu' à l'apparition du message :
"nettoyage terminé" .

Note : lors du message d'avertissement , cliques sur " Ok " .

--> ensuite poste le nouveau rapport FindyKill.txt qui est généré et attends la suite ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )


PS : Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tape explorer.exe et valide .  


Réinstalle ton antivirus qui a été détruit par Bagle.

Lyonnais92 · Answer

Re,

il me manque le rapport de FindyKill option Suppression.

=================

Telecharge et installe UsbFix de C_XX & Chiquitine29

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisie l' option 1 ( Recherche )

# Laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
         Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
         Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Lyonnais92 · Answer

Re,

toutes les applications mentionnées sous 

Corrupted files # Re-Installation required 

ne fonctionnent plus et doivent être réinstallées si tu en as encore besoin.

désinstalle Spybot S&D qui va bloquer la suite de la désinfection et supprime son répertoire.

===============
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisis l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le Bureau .

# Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

=============
1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://download.cnet.com/Malwarebytes/3000-8022_4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

Lyonnais92 · Answer

Re,

le dernier  rapport de USBFix est complet ?

Lyonnais92 · Answer

Bonjour,

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisis l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le Bureau .

# Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

shob · Answer

Je pense que c'est ok, merci encore, sauf si tu as quelque chose à rajouter.
Résolu.

Lyonnais92 · Answer

Bonjour,

poste le rapport de USBFix.

Refais tourner TSIT et poste le rapport.

lL disparition des symptômes ne signifie pas l'absence d'infection.

Lyonnais92 · Answer

Bonjour,

toujours une infection USB.

On va utiliser la dernière version de USBFix;

Double clic sur le raccourci USBFix sur ton Bureau.

Choisis l'option 5 (Désinstaller).


Telecharge et installe UsbFix de C_XX & Chiquitine29

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisie l' option 1 ( Recherche )

# Laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
         Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
         Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Lyonnais92 · Answer

Bonjour,

je vois ça ici : shell\AutoRun\command - F:\DPFMate.exe 

=========
Ouvre Spybot search and destroy.

clique sur mode, choisis advanced mode;

dans la colonne de gauche clique sur le + devant tools.

clique sur résident (colonne de gauche)

dans la fenêtre de droite décoche la case devant "resident tea-timer"


Désinstalle Spybot S&D via le panneau de configuration, il va gêner la désinfection.

Tu le réinstalleras à la fin si tu souhaites.

Supprime aussi le répertoire C:\Program Files\Spybot - Search & Destroy 

==========================
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisis l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le Bureau .

# Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

===================

Supprime, via l'explorateur Windows :

F:\DPFMate.exe

shob · Answer

Bonsoir.
J'ai pas de secteur logique F:, juste un disque dur non partitionné c:
Voici le rapport :

############################## [ UsbFix V3.017 # Cleaning ]

# User : Administrateur (Administrateurs) # ORDI-XPSP2
# Update on 06/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 21:49:56 | 10/05/2009

#               Intel(R) Pentium(R) 4 CPU 2.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]

# C:\ # Disque fixe local # 149,05 Go (77,82 Go free) [WINDOWS] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]


################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{8e61b20e-1c30-11de-af26-0004e2f5e7fe}\Shell\AutoRun\command   

################## [ Listing des fichiers présent ]

[17/10/2006 11:35|--a------|0] - C:\AUTOEXEC.BAT
[13/01/2009 02:34|--a------|229] - C:\Bienvenue sur eMule-Island !.url
[26/10/2006 14:00|---hs----|212] - C:\BOOT.BAK
[17/02/2009 20:59|---hs----|212] - C:\boot.ini
[24/08/2001 14:00|-rahs----|4952] - C:\Bootfont.bin
[21/04/2009 14:34|--a------|74] - C:\CMLoader.log
[17/10/2006 11:35|--a------|0] - C:\CONFIG.SYS
[15/06/2007 16:36|--a------|12797] - C:\devicetable.log
[06/05/2009 13:00|--a------|8113] - C:\FindyKill.txt
[12/02/2009 14:20|--a------|6726] - C:\hijackthis.log
[17/10/2006 11:35|-rahs----|0] - C:\IO.SYS
[15/01/2009 07:02|--a------|2737800] - C:\mbam-setup.exe
[17/10/2006 11:35|-rahs----|0] - C:\MSDOS.SYS
[03/08/2004 22:38|-rahs----|47564] - C:\NTDETECT.COM
[07/05/2008 11:21|-rahs----|252240] - C:
tldr
[29/02/2004 17:44|--a------|52576] - C:\orange.bmp
[?|?|?] - C:\pagefile.sys
[17/10/2006 11:54|--a------|90] - C:\Setup.log
[10/05/2009 21:50|--a------|2695] - C:\UsbFix.txt

################## [ Vaccination ]

# C:\autorun.inf -> Folder created by UsbFix.  

################## [ Cracks / Keygens / Serials ]

# -> Nothing found !  

################## [ ! Fin du rapport # UsbFix V3.017 ! ] 

A demain. Merci.

Lyonnais92 · Answer

Re,

F:\ peut être une clé USB ou un afficheur de photos numériques.

Tu as ça ?

Lyonnais92 · Answer

Bonjour,

non, dans ces conditions, tout cela n'est pas nécessaire.

Un nettoyage général :

Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
mets les à jour, comme indiqué dans les démos ou tutos.

Ne les utilise pas tout de suite.


Antispywares et autres :
 
Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.


Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
.

=======================================


========================================
->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]



========================================
Lance Malwarebytes AntiMalware

Dans l'onglet analyse, vérifie que "Exécuter un scan rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter. 

Poste le rapport dans ta réponse.
========================================

->Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Registre] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Quand l'outil te le demandera, choisis de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================
 Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.

===========================================


- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

http://www.bitdefender.fr/scan_fr/scan8/ie.html

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.

A l'ouverture de la page "Scanner Options", cliquer sur [click here] de "To change this and other settings, click here" puis cliquer sur le + devant "Second option" et cocher "Report only" puis cliquer sur [OK]. 


Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier sur le forum.

Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

===============

Il ne restera plus qu'à nettoyer les outils.

Lyonnais92 · Answer

Re,

après Bit defender, fais ceci :

Clique sur démarrer, tous les programmes, accessoires, puis bloc-note
Dès qu'il s'ouvre, copie/colle le texte ci-dessous dans le bloc note:

dir "C:\Documents and Settings\*" /a > files.txt
notepad files.txt


Clique sur fichier, enregistrer sous, choisis de mettre dans type: "tous les fichiers"
Nom de fichier: abcde.bat et enregistre le ou tu le retrouvera facilement

Double clique dessus, un rapport va s'ouvrir, enregistre le et copie le dans ta réponse.

shob · Answer

Bonsoir. Bitdefender ok, ras Rapport de ta manip : Le volume dans le lecteur C s'appelle WINDOWS Le num‚ro de s‚rie du volume est 5C4B-048D R‚pertoire de C:\Documents and Settings 28/02/2009 09:40 . 28/02/2009 09:40 .. 11/05/2009 13:32 Administrateur.ORDI-XPSP2 28/02/2009 09:40 AdministrateurORDI-XPSP2 11/11/2006 17:54 All Users 13/02/2009 18:37 All Users.WINDOWS 03/11/2006 19:35 Default User 19/02/2009 18:51 Default User.WINDOWS 13/02/2009 18:05 LocalService 08/05/2009 12:03 LocalService.AUTORITE NT 13/02/2009 18:05 NetworkService 08/05/2009 12:03 NetworkService.AUTORITE NT 23/02/2009 14:23 rem Administrateur … supprimer 13/02/2009 18:05 Richard et Anne 27/06/2008 23:12 4ÿ096 Richard et Anne.LOG 1 fichier(s) 4ÿ096 octets 14 R‚p(s) 83ÿ559ÿ714ÿ816 octets libres

Lyonnais92 · Answer

Re,

le compte Richard et Anne ne fonctionne plus ?

Lyonnais92 · Answer

Re,

* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

shob · Answer

Hello.
Voici le rapport :
[ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\hijackthis.log: trouvé !
C:\FindyKill.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\_OtMoveIt: trouvé !
C:\UsbFix: trouvé !
C:\FindyKill: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Administrateur.ORDI-XPSP2\Menu Démarrer\Programmes\Accessoires\Outils système\HijackThis.lnk: trouvé !
C:\Documents and Settings\Administrateur.ORDI-XPSP2\Menu Démarrer\Programmes\Accessoires\Outils système\UsbFix: trouvé !
C:\Documents and Settings\Administrateur.ORDI-XPSP2\Menu Démarrer\Programmes\Accessoires\Outils système\FindyKill: trouvé !
C:\Documents and Settings\Administrateur.ORDI-XPSP2\Mes documents\Rsit.exe: trouvé !
C:\Documents and Settings\Administrateur.ORDI-XPSP2\Mes documents\Divers\lociciels à conserver\HJTInstall.exe: trouvé !
C:\Documents and Settings\Administrateur.ORDI-XPSP2\Mes documents\Divers\lociciels à conserver\UsbFix.exe: trouvé !
C:\Documents and Settings\Administrateur.ORDI-XPSP2\Mes documents\Divers\lociciels à conserver\OTMoveIt3.exe: trouvé !
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Accessoires\Outils système\HijackThis: trouvé !
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Accessoires\Outils système\HijackThis\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\Administrateur.ORDI-XPSP2\Menu Démarrer\Programmes\Accessoires\Outils système\HijackThis.lnk: supprimé !
C:\Documents and Settings\Administrateur.ORDI-XPSP2\Mes documents\Divers\lociciels à conserver\HJTInstall.exe: supprimé !
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Accessoires\Outils système\HijackThis\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\hijackthis.log: supprimé !
C:\FindyKill.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Administrateur.ORDI-XPSP2\Mes documents\Rsit.exe: supprimé !
C:\Documents and Settings\Administrateur.ORDI-XPSP2\Mes documents\Divers\lociciels à conserver\UsbFix.exe: supprimé !
C:\Documents and Settings\Administrateur.ORDI-XPSP2\Mes documents\Divers\lociciels à conserver\OTMoveIt3.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\_OtMoveIt: supprimé !
C:\UsbFix: supprimé !
C:\FindyKill: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\Administrateur.ORDI-XPSP2\Menu Démarrer\Programmes\Accessoires\Outils système\UsbFix: supprimé !
C:\Documents and Settings\Administrateur.ORDI-XPSP2\Menu Démarrer\Programmes\Accessoires\Outils système\FindyKill: supprimé !
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Accessoires\Outils système\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Drôles de suppression, on a fait quoi là ?

Lyonnais92 · Answer

Re,

on a supprimé les outils de la désinfection.

Supprime ToolsCleaner sur ton Bureau et C:\Tcleaner.txt (l'outil de suppression des outils).

Fin de la désinfection.

=========================
Voici quelques conseils pour mieux protéger ton ordi des malwares : 
 
1) Mets à jour Windows en consultant régulièrement le site de mise à jour :
http://www.update.microsoft.com/windowsupdate/v6/default.aspx
2) pour réduire les risques de réinfection, je te recommande fortement d'installer ces programmes gratuits :

- SpywareBlaster protège des ActiveX malicieux  : http://www.commentcamarche.net/telecharger/telecharger 226 spyware blaster

un tutoriel :
https://www.malekal.com/tutorial-spywareblaster/

- SpywareGuard offre une protection en temps réel contre les tentatives d'installation des spywares. Prends garde à n'avoir qu'un seul anti-spyware en garde active pour éviter les risques de conflit : http://www.commentcamarche.net/telecharger/telecharger 34055277 spywareguard .

- Sécurise Internet Explorer
         * Clique sur Démarrer puis Exécuter
         * Tape Inetcpl.cpl dans la zone de saisie puis OK
         * Clique sur l'onglet Sécurité
         * Clique sur "Rétablir toutes les zones au niveau par défaut"
         * Sélectionne Zone Internet et clique sur "Personaliser le niveau"
         * Dans la section sur les ActiveX, règle sur "Demander" les téléchargements des ActiveX sognés et non sognés et règle sur "Désactivé" "Contrôles d'initialisation et de script ActiveX non marqués comme sécurisés" 

- ATF Cleaner nettoye les fichiers temporaires d'Internet Explorer et Windows (et Firefox), vide la corbeille et effectue quelques autres actions de nettoyage. Il améliore la vitesse et élimine les fichiers malveillants logés dans les fichiers temporaires : https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

- Noscript est un "Addon" pour Firefox qui empêche l'exécution de scripts en provenance des sites Web. il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée : http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net

- Conserve une sauvegarde des fichiers importants. Ceco devient de plus en plus important. Cet article, en anglais, est rempli d'informations sur les solutions possibles : http://www.geekstogo.com/559/options-for-home-computer-data-backup-part-1/

- MVPS Hosts replace le fichier Hosts par un fichier contenantles sites de pub et autres sites dangereux. Fondamentalement, cela empêche l'ordi de se connecter à ces sites en redirigeant l'appel vers 127.0.0.1 qui correspond à ton ordi. Ceci rend plus difficile d'infecter l'ordi.

https://winhelp2002.mvps.org/hosts.htm

- Il vaut mieux utiliser un navigateur alternatif à Internet Explorer. Je recommande celui de Mozilla, Firefox, très agréable, mieux sécurisé et doté d'un très bon bloqueur de pop-ups. lien de téléchargement : http://www.commentcamarche.net/telecharger/telecharger 111 firefox

3) Si tu lis l'anglais, cet article de Tony Klein comporte d'excellentes suggestions : http://www.geekstogo.com/how-did-i-get-infected-in-the-first-place

4)ERUNT (Emergency Recovery Utility NT) permet de prendre une sauvegarde de la base de registre et de la restaurer en cas de besoin. La copie de sauvegarde du registre effectuée par Windows n'est pas complète : http://www.commentcamarche.net/telecharger/telecharger 34055395 erunt

5)Console de récupération Face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution. Un tutoriel ici : https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm . N'hésite pas à poser des questions si nécessaire.

Lyonnais92 · Answer

Bonjour,

vérifie que tu démarres en mode sans échec sous la session Administrateur.

Si oui

sous la session Administrateur, Panneau de configuration et gestion de comptes.

Ajoute un compte.

Redémarre en mode normal.

Toujours le problème ?


Pour retrouver ta session Administrateur, en mode sans échec et tu supprimes le compte que tu viens de créer (mais ça devrait faire réapparaître le message).

shob · Answer

Je suis pas à la maison mais : quand j'ai démarré hier en mode sans echec, il m'a affiché le même message, avec obligation de saisir "administrateur", pas de mot de passe (heureusement)
Tu veux que je créé un nouvel utilisateur, ou activer l'invité (qui ne l'est pas actuellement) suffit ?
La fonction qu'il me propose de désinstaller pour profiter des options de démarrage (dont je te parlait dans mon post d'hier), qu'en dis tu ?
Merci.
Notes, je verrai ça ce soir, je rentre pas ce midi.

shob · Answer

Oui.
J'ai créé Famille VIOLLE ; il m'a dit que je devais créer au moins un compte administrateur (surprenant ?) et l'a donc d'office mis en administrateur, malgré l'existance de l'autre (pour le coup administrateur en théorie...)
Le compte créé s'appelle "Famille VIOLE".
Au redémarrage, deux fois, toujours le même message.
Quand je vais pour modifier la façon dont s'ouvre une session, toujours la même invitation à desinstaller la fonction en question dans mon post plus haut...
Ci après copie de ton abcde :
Le volume dans le lecteur C s'appelle WINDOWS
Le num‚ro de s‚rie du volume est 5C4B-048D

R‚pertoire de C:\Documents and Settings

28/02/2009 09:40 <REP> .
28/02/2009 09:40 <REP> ..
12/05/2009 18:41 <REP> Administrateur.ORDI-XPSP2
28/02/2009 09:40 <REP> AdministrateurORDI-XPSP2
11/11/2006 17:54 <REP> All Users
13/02/2009 18:37 <REP> All Users.WINDOWS
03/11/2006 19:35 <REP> Default User
19/02/2009 18:51 <REP> Default User.WINDOWS
13/02/2009 18:05 <REP> LocalService
08/05/2009 12:03 <REP> LocalService.AUTORITE NT
13/02/2009 18:05 <REP> NetworkService
08/05/2009 12:03 <REP> NetworkService.AUTORITE NT
23/02/2009 14:23 <REP> rem Administrateur … supprimer
13/02/2009 18:05 <REP> Richard et Anne
27/06/2008 23:12 4ÿ096 Richard et Anne.LOG
1 fichier(s) 4ÿ096 octets
14 R‚p(s) 83ÿ559ÿ862ÿ272 octets libres
A plus tard.

Lyonnais92 · Answer

Bonjour,

j'ai trouvé sur le Net :

http://www.gsiteg.com

la manière de résoudre le problème.

Comme tu peux le voir, si la désinstallation ne fonctionne pas, il faut réinstaller puis désinstaller.

Pour le compte en administrateur, c'est normal.

La session Administrateur ne va plus apparaître qu'en mode sans échec. Il faut donc au moins un compte "régulier" avec les droits d'administrateur.


Tiens moi au courant pour Netware service.

Lyonnais92 · Answer

Bonsoir,

tu as essayé de réinstaller Netware avant de supprimer ?

shob · Answer

Quand je l'ai désinstallé, j'ai eu accès aux options de démarrage de session, ai demandé à démarrer avec l'ecran d'invite, mais ça n'a rien changé, il m'a quand même dit que "le système n'a pas pu ouvrir de session...etc" et m'a demandé de saisir un nom (administrateur) pour ouvrir la session.
Fait caguer...

Lyonnais92 · Answer

Bonjour,

merci de l'information.

Content que ce soit résolu.

Bon surf.

Windows ne trouve pas mqtgsvc + pb de virus

28 réponses

Votre réponse

Newsletters