Trojan Ultra Coriace ! Relevé le défi SVP !

Fermé
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009 - 5 juin 2009 à 16:03
 Utilisateur anonyme - 6 juin 2009 à 20:26
Bonjour,

Alors petit résumé de la situation :

Je suis actuellement infecté par un trojan suite à l'éxécution d'un fichier téléchargé (je sais, bien fait pour toi...)
Ce n'est pourtant pas la première fois que j'ai affaire à ce genre de petite bête (Baggle le mois dernier...) mais je dois admettre que celle ci m'as completement desarmé :

Kapersky ne se lance plus, meme apres reinstalle et en mode sans echec
Malwarebytes meme chose
Scan en ligne (fsecure, kapersky...) impossible (ne peut se connnecter au serveur de mise à jours/Virus database)
Spyware doctor mise à jours impossible
Adware ne detecte rien (comme par hazard...)
et le comble : Hijackthis ne se lance pas non plus (meme apres reinstall mode sans echec...)

Je precise bien en tant du que tout ces logiciels fonctionnaient avant "l'attaque!" et que ma machine "etait" ;( parfaitement saine en grand parano que je suis...

J'oubliais le Comble du comble : Partition de restauration suprimée ?!! (portable VAIO) le lecteur cd etant HS vous comprenez que le formattage n'est plus une option...

A ce niveau la je ne m'attend pas à un miracle mais si un petit genie avait envie de relever le défi ou si quelqu'un ètait capable ne serait ce que nommer cette sale put.. de ... ... de bete j'en serai grandement soulagé Merci, merci, merci...

"A vous Charlie"
A voir également:

52 réponses

Utilisateur anonyme
5 juin 2009 à 16:07
ah ben la c est ou virut , ou conficker

sa lut les port usb fonctionnent-ils ?
3
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
6 juin 2009 à 20:19
Si c'est pour dire des conneries ... c'est pas la peine de parler ...
3
Utilisateur anonyme
5 juin 2009 à 17:23
2
Utilisateur anonyme
5 juin 2009 à 16:20
non mais je parle de toi samdu10
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
5 juin 2009 à 16:53
ok samdu10 tu es tres fort tu n'as qu'a t'en occuper dans ce cas

beufaboy , à bientot ou....bon courage
1
Ced_King Messages postés 3511 Date d'inscription lundi 2 mars 2009 Statut Contributeur Dernière intervention 10 octobre 2016 664
5 juin 2009 à 16:59
Salut,

Il faut lire :

J'oubliais le Comble du comble : Partition de restauration suprimée ?!! (portable VAIO) le lecteur cd etant HS vous comprenez que le formattage n'est plus une option...

@+
1
XxTitxX Messages postés 1176 Date d'inscription samedi 24 mai 2008 Statut Membre Dernière intervention 30 août 2012 247
5 juin 2009 à 16:07
Salut!

A ta place, je formaterais le pc via une clef USB.

Tiens avec ce tuto:
http://www.hotline-pc.org/usb-boot.htm#
Et google tu devrais pouvoir t'en sortir ....
0
lesane662 Messages postés 1448 Date d'inscription jeudi 18 décembre 2008 Statut Membre Dernière intervention 3 février 2019 149
5 juin 2009 à 16:07
Salut ,

pour suivre !
0
Utilisateur anonyme
5 juin 2009 à 16:15
y en a ils font vraiment rire....enfin bon commence aussi pas desnstaller Spyware Doctor et spybot stp
0
XxTitxX Messages postés 1176 Date d'inscription samedi 24 mai 2008 Statut Membre Dernière intervention 30 août 2012 247
5 juin 2009 à 16:25
Je suppose que c'est ma proposition qui te fait rire ....

Je n'en doute pas, n'empêche que parfois il est carrément plus rapide de formater et de repartir sur de bonnes bases plutôt que de s'évertuer à le supprimer... Surtout pour les virus de merde bien chiant.

Après je comprend que ma proposition te fasse sourire, mais nous sommes là pour proposer plusieurs possibilités, et celle là n'est pas à négliger...

Voilà mon avis...

Personnellement, je n'ai jamais éradiqué de virus de cette façon car je n'ai jamais été touché par un virus vraiment coriace (il faut sortir couvert ;)....
0
samdu10 Messages postés 268 Date d'inscription lundi 9 février 2009 Statut Membre Dernière intervention 1 mai 2010 16
5 juin 2009 à 16:34
moi aussi je parle de toi on pe avoir des avis different sur la question et des methode differente de resoudre les probleme
0
XxTitxX Messages postés 1176 Date d'inscription samedi 24 mai 2008 Statut Membre Dernière intervention 30 août 2012 247
5 juin 2009 à 16:37
Nous sommes ici pour résoudre des problèmes et non pour nous chamailler...

Arrêtez de déblatérer, toutes propositions d'aides sont bienvenu, alors tenez compte de chacunes des propositions mais ne vous engueulé pas !!
0
helo bienvenue a ce ...... de club des c....... qui invinte des trojan est virus (est-ce possible de soupsonné des programmateurs de concevoir des merdes pareil!!! pour acheter leurs anti virus ? hein reflexion sur la question!!) ok mec pas de panique il m'est arriver la meme chose que toi (a peu pré) la seule solution que j'ai trouvé et qui a marché c'est l'intervention assistance de carrouf (tel) tu paye un forfait de 60 euro pour 1 hre d'assistance valable 1 an pour moi cela a marché pas sans dommages (j'ai perdu tout mse fichiers) mais j'ai tout recommencer.j'espere que ça t'aidera
0
XxTitxX Messages postés 1176 Date d'inscription samedi 24 mai 2008 Statut Membre Dernière intervention 30 août 2012 247
5 juin 2009 à 16:46
Tant qu'a perdre tous les fichiers, autant formater soi-même ....
0
samdu10 Messages postés 268 Date d'inscription lundi 9 février 2009 Statut Membre Dernière intervention 1 mai 2010 16
5 juin 2009 à 16:53
sa c est claire dans c est cas la autant formater mais la au moin si ta des clefs usb tu pe sauvegarder
0
XxTitxX Messages postés 1176 Date d'inscription samedi 24 mai 2008 Statut Membre Dernière intervention 30 août 2012 247
5 juin 2009 à 16:56
Sauvegarder des fichiers peut-être infectés n'est pas une très bonne idée ....
0
samdu10 Messages postés 268 Date d'inscription lundi 9 février 2009 Statut Membre Dernière intervention 1 mai 2010 16
5 juin 2009 à 16:57
juste comme sa un truc me passe par la tete il ne pourrai pas tenter une reparation de windows avec un cd?
0
firehouse002 Messages postés 678 Date d'inscription mercredi 25 février 2009 Statut Membre Dernière intervention 14 juillet 2012 47
5 juin 2009 à 16:57
as tu essayer DE LANCER d'autre logiciel comme TROJAN REMOVER OU AD REMOVER???? ou est ce impossible????
sinon je te conseillerais si t 'es vraiment bloquer de sauvegarder tous les fichiers importants et de reformater
0
samdu10 Messages postés 268 Date d'inscription lundi 9 février 2009 Statut Membre Dernière intervention 1 mai 2010 16
5 juin 2009 à 17:02
ou alor mettre un lecteur dvd en port usb?
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 17:02
Tout d'abord un grand merci à tout ceux qui prennent le temps de s'interresser à "mes petit probleme"...

En effet ma connexion internet est toujours operationnel mais je soupçonne un proxy de s'etre installé, les scans en ligne ètant comme filtrer par cette m.. de trojan "Next Gen" .

Les ports usb fonctionnent tous correctement.

Quand au formattage j'envisage de plus en plus cette option dont l'aplication va mettre forcement compliqué etant doté d'un portable sans cdrom et sans cd XP, l'os étant installé en standard à l'achat du pc...

Au passage je recommande fortement de ne pas télécharger de fichier sur filestube
0
firehouse002 Messages postés 678 Date d'inscription mercredi 25 février 2009 Statut Membre Dernière intervention 14 juillet 2012 47
5 juin 2009 à 17:09
essaye d'autres logiciel encore si ils s'installent
comme NAVILOG
http://www.commentcamarche.net/telecharger/telecharger 34056239 navilog

et le tuto

http://site-naheulbeuk.com/

perdu pour perdu çà coute rien d'essayer
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 17:15
Je vais essayé trojan remover, ad ... , navilog ...
Si d'autre idées je suis preneur ....
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 17:36
En effet sans connexion possible au serveur d'update des log antivirus les scans ne trouveront rien ...
Meme chose avec Trojan remover : "Connexion Serveur database Error, check your.... blablabla"

J'ai uniquement pu lancer le scan Navilog dont voici le log :

encore plus surprenant kapersky apparait comme active dans le centre de securite windows ! alors qu'il à été désinstallé (j'ai checké les processus au passage pas de kapersky, ni exe bizarres? mis à part un spoolsv.exe)




Search Navipromo version 3.7.7 commencé le 05/06/2009 à 17:20:32,40

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 12.05.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.86GHz )
BIOS : Revision: 1.2
USER : FG ( Administrator )
BOOT : Normal boot

Antivirus : Kaspersky Anti-Virus 8.0.0.506 (Activated)


C:\ (Local Disk) - NTFS - Total:27 Go (Free:3 Go)
D:\ (Local Disk) - NTFS - Total:39 Go (Free:1 Go)
E:\ (USB)
F:\ (CD or DVD)
G:\ (CD or DVD)
H:\ (USB) - FAT32 - Total:496 Mo (Free:0 Go)


Recherche executé en mode normal


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\FG\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\FG\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\FG\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Scan Catchme non réalisé.
Droits limités sur la session actuelle.

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\FG\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\FG\locals~1\applic~1" :


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 05/06/2009 à 17:21:21,09 ***


"A vous charlie"
0
Utilisateur anonyme
5 juin 2009 à 17:37
;)
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 17:47
G3и-н@¢км@и™©®

T'as pas une idée de ce à quoi j'ai affaire ? Trojan proxy ???
Au moment de l'attaque kapersky m'as signalé un trojan dont je n'est pas eu le temps de noter le nom avant redemarrage..
Si je pouvais la nommer cela me permetrait d'élaborer un processus d'éradication via les bases de données virales...

STP
0
Utilisateur anonyme
5 juin 2009 à 17:50
ok je veux bien t'aider mais dans ces conditions :

*tu ne fais que ce que je te dis , tu ignores les autres propositions

*si je ne te demande pas d'utiliser un logiciel de desinfection , tu ne l'utilises pas

*si je te demande un rapport , tu me le donnes

*et tu n'utilises rien d'autre que ce que je te demande

*tu ne prends pas d'initiatives sans mon accord car ca chamboulerait la procedure

0
asseforlife Messages postés 655 Date d'inscription jeudi 28 février 2008 Statut Membre Dernière intervention 23 décembre 2019 24
5 juin 2009 à 17:52
Slt all et tout d'abord, merci aux helpers qui aident ;), bref, je ne suis pas très doué dans les cas de virus comme le tien mais tu peux tenter ceci :

Telecharges Genproc ici ( y'a un tutoriel) : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

Ce logiciel va répertorier des manips' a faire pour désinfecter ton pc
et postes le rapport que tu obtiendras ici ...

Dis nous si ca marche .

Amicalement
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 17:53
Pas de probleme !!!
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 17:55
Je te suis gen hackmann !!! Rigueur, concentration, la totale !!!
0
asseforlife Messages postés 655 Date d'inscription jeudi 28 février 2008 Statut Membre Dernière intervention 23 décembre 2019 24
5 juin 2009 à 17:57
Ah désolé beufaboy, je n'avais pas vu le post de gen- hackman :/
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 17:59
pas de probleme je te remerci pour la proposition !
0
Utilisateur anonyme
5 juin 2009 à 17:58
on va deja voir l'etendue des degats :

si le lien ne fonctionne pas , ne fais rien , dis moi le et je t en donne un qui fonctionne ne telecharge nulle part d'autre que sur mes liens

Télécharge OTL de OLDTimer

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant "scan all users"

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)


Pour me le transmettre clique sur ce lien

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 18:06
Le scan est en route désolé le pour delay mais j'me suis connecter à partir de la machine vérolé pour etre plu reactif (j'etais sur un autre poste par mesure de sécurité au préalable...)
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 18:09
Voila :

http://www.cijoint.fr/cjlink.php?file=cj200906/cijlWwgXeO.txt


Un grand merci au passage quelqu'en soit l'issu...
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 18:39
...???? j'ai pas fait de conneries j'espère...?
0
Utilisateur anonyme
5 juin 2009 à 18:54
Double clic sur OTL.exe pour le lancer.


Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans la zone sous Customs Scans/Fixes


:OTL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - Reg Error: Key error. File not found
O4 - HKLM..\Run: [Alcmtr] ALCMTR.EXE (Realtek Semiconductor Corp.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [Protocole de transport compatible NWLink IPX/SPX/NetBIOS] - C:\WINDOWS\System32\nwprovau.dll (Microsoft Corporation)


:services
Planificateur LiveUpdate automatique

:reg

:files
C:\WINDOWS\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
C:\Documents and Settings\All Users\Application Data\TEMP:2A81F9CE
C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
C:\Documents and Settings\All Users\Application Data\TEMP:2C595FF3

:commands
[emptytemp]


Clique sur RunFix pour lancer la suppression.


Poste le rapport.

ensuite :


Télécharger Smitfraudfix par S!RI :



Décompresser l'archive
Exécuter le en double cliquant sur Smitfraudfix.cmd
Appuyer sur une touche pour continuer
Arriver à l'invite de commande, saisir la lettre L afin de basculer le fix en langue française
Au menu, choisir l’option Recherche
Poster le rapport ainsi généré
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 19:20
Alors, j'ai suivi la procedure au pied de la lettre, apres le fix otl m'a demandé de rebooté ce que j'ai fait :
Apres reboot otl me sort le logue que voici :

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Alcmtr deleted successfully.
C:\WINDOWS\ALCMTR.EXE moved successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005\ deleted successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\System32\nwprovau.dll
C:\WINDOWS\System32\nwprovau.dll NOT unregistered.
C:\WINDOWS\System32\nwprovau.dll moved successfully.
========== SERVICES/DRIVERS ==========

Service\Driver Planificateur LiveUpdate automatique deleted successfully.
========== REGISTRY ==========
========== FILES ==========
C:\WINDOWS\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job moved successfully.
File\Folder C:\Documents and Settings\All Users\Application Data\TEMP:2A81F9CE not found.
File\Folder C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2 not found.
File\Folder C:\Documents and Settings\All Users\Application Data\TEMP:2C595FF3 not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_54c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.

OTL by OldTimer - Version 2.1.1.0 log created on 06052009_190437

Files moved on Reboot...
File C:\WINDOWS\temp\Perflib_Perfdata_54c.dat not found!

Registry entries deleted on Reboot...

Files moved on Reboot...
File C:\WINDOWS\temp\Perflib_Perfdata_54c.dat not found!

Registry entries deleted on Reboot...


Seulement le systeme reste bloque ici, avec seulement la possibilité d'editer le log meme apres reboot... ????
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 19:24
Scusimi en faite avec un peu de patience windows à fini par demaré (ouff...) le theme de windows a juste été modifié ???...
Je fait la suite de la procedure...
0
Utilisateur anonyme
5 juin 2009 à 19:27
je comprends pa bien

tu n'as plus aucune possibilité ?
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 20:40
Bon Apetit...
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 20:42
Non c bon windows a fini par booté correctement j'ai seulement la connexion internet qui à sauté...
Mais j'ai un poste de secours pour internet pas de probleme, j'essaye juste de te fournir un maximum d' infos de manière à ne pas te faire perdre d'avantage de temps !... Merci au grand génie de la lampe... lol

Le second rapport :

http://www.cijoint.fr/cjlink.php?file=cj200906/cij5RMT5Wv.tx­t
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 19:38
Juste pour info la connexion internet de mon poste vérolé est HS depuis le fix ???.. (Cela ne m'inquiete outre mesure) Je fais les transfert fichier en passant par l'usb.

Le second rapport :

http://www.cijoint.fr/cjlink.php?file=cj200906/cij5RMT5Wv.txt
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 19:51
Non c bon windows a fini par booté correctement j'ai seulement la connexion internet qui à sauté...
Mais j'ai un poste de secours pour internet pas de probleme, j'essaye juste de te fournir un maximum d' infos de manière à ne pas te faire perdre d'avantage de temps !... Merci au grand génie de la lampe... lol
0
Utilisateur anonyme
5 juin 2009 à 21:02
ok

Nettoyage :
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

------------------------------------------------------------­----------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport,
Redémarre en mode normal,
copie/colle le rapport sauvegardé sur le forum

process.exe
est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


ensuite :

en mode normal :

double clique sur Smitfraudfix.cmd
Appuyer sur une touche pour continuer
Arriver à l'invite de commande, saisir la lettre L afin de basculer le fix en langue française
Au menu, choisir l’option 5 (DNS)
Poster le rapport ainsi généré
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 21:13
Premier Rapport :

SmitFraudFix v2.419

Rapport fait à 21:08:31,76, 05/06/2009
Executé à partir de C:\Documents and Settings\FG\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts




»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\autorun.inf supprimé
C:\Program Files\Google\googletoolbar1.dll supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{056DF11E-0180-422E-B207-2A4EC0819B64}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\..\{056DF11E-0180-422E-B207-2A4EC0819B64}: NameServer=85.255.112.233,85.255.112.19
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FDD6AA43-DE8D-4CA3-8299-57D94ADB903D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\..\{056DF11E-0180-422E-B207-2A4EC0819B64}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\..\{15355965-D7A6-4D30-978B-E53CF5C68870}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.233,85.255.112.19
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Suite de la procedure....
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 21:27
Rapport DNS :

SmitFraudFix v2.419

Rapport fait à 21:20:48,60, 05/06/2009
Executé à partir de C:\Documents and Settings\FG\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

HKLM\SYSTEM\CCS\Services\Tcpip\..\{056DF11E-0180-422E-B207-2A4EC0819B64}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\..\{056DF11E-0180-422E-B207-2A4EC0819B64}: NameServer=85.255.112.233,85.255.112.19
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FDD6AA43-DE8D-4CA3-8299-57D94ADB903D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\..\{056DF11E-0180-422E-B207-2A4EC0819B64}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\..\{15355965-D7A6-4D30-978B-E53CF5C68870}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.233,85.255.112.19
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

HKLM\SYSTEM\CCS\Services\Tcpip\..\{056DF11E-0180-422E-B207-2A4EC0819B64}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\..\{056DF11E-0180-422E-B207-2A4EC0819B64}: NameServer=85.255.112.233,85.255.112.19
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FDD6AA43-DE8D-4CA3-8299-57D94ADB903D}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\..\{056DF11E-0180-422E-B207-2A4EC0819B64}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\..\{15355965-D7A6-4D30-978B-E53CF5C68870}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.233,85.255.112.19
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


J'ai juste une petite interrogation : Depuis le premier FIX : Arrivé au boot de windows le fond d'ecran s'affiche et windows bloque pendant 5 bonnes minutes avant de se lancer 'd'ou ma petite frayeur de tout à l'heure) est ce normal ???
0
Utilisateur anonyme
5 juin 2009 à 21:42
non mais la procedure n'est pas finie :)


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



Télécharges :

Malwarebytes

ou :

Malwarebytes

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

* Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "Complet" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 22:12
Bon meme probleme qu'au depart avec malware :

J'ai désinstallé mon ancienne version de malware (je connais bien ce soft je l'utilise depuis un bout de temps), reinstaller la tienne (aucune erreur signalé lors de l'install) mais sans succes au moment de lancer l'.exe, sablier pendant un bref instant puis rien.

J'ai tout d'meme essayé en mode sans echec : Meme resultat.

Je precise au passage que je communique via un autre pc ma connexion restant bloqué sur "lecture de l'adresse reseaux" depuis le premier fix (Logs et rapports transferés par clé usb bien entendu).


(J'ai suivi ta procedure à la lettre sans initiative ni meme navigation internet depuis le debut de la procedure et n'ai aucun anti trojan ou antivirus installé actuellement)

Qu'en penses tu ???
0
Utilisateur anonyme
5 juin 2009 à 23:09

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\

_________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================


On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


Avant d'utiliser ComboFix :
______________________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


!!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

>> Reviens sur le forum, et

copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 23:38
Meme chose pour combofix :( .....

Idem en mode sans echec !

J'ai fait une serie de test toute mes aplications multimedias fonctionnent correctement, firewall desactive, plus d'antivirus installé mes kapersky apparait comme actif dans windows security et en ce qui concerne les process actifs dans le gestionnaire des taches, d'apres mes faibles connaissance en la matiere il y a isass.exe qui semblerait parfois impliqué dans des trojan...

Si tu as besoin d'autre infos, n'hésite pas, je t'ai donner tout ce que j-ai trouvé.

Encore merci de ne pas m'abandonner ! J'ai l'impression d'avoir à faire au pire trojan qui est existé !!...
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
5 juin 2009 à 23:40
Rectification le centre de sécurité est desactivé ????
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
6 juin 2009 à 14:44
Toujours la Gen-Hackman ?
0
asseforlife Messages postés 655 Date d'inscription jeudi 28 février 2008 Statut Membre Dernière intervention 23 décembre 2019 24
6 juin 2009 à 15:25
Je pense quz tu vois un bouclier rouge avec une croix car pour la manp' de' combofix, il a fallu que tu desactive tes protections.
0
beufaboy Messages postés 24 Date d'inscription vendredi 5 juin 2009 Statut Membre Dernière intervention 6 juin 2009
6 juin 2009 à 18:42
Gen hackman peut tu m'indique la marche à suivre pour annuler le premier fix otl, suite à cette manip mes peripheriques audio ne fonctionne plus et c'est vitale pour moi !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
STP !!!!!!!!!!!!!!!!!!!!!!!!!!!
0
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
6 juin 2009 à 19:05
Salut

Pour suivre ...

;)
0
^^Marie^^ Messages postés 113926 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 276
6 juin 2009 à 19:57
.
0
^^Marie^^ Messages postés 113926 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 276
6 juin 2009 à 20:13
.


Combofix sans vérification ???
0
kevin05 Messages postés 3636 Date d'inscription samedi 29 novembre 2008 Statut Contributeur sécurité Dernière intervention 13 mai 2010 147
6 juin 2009 à 20:13
renomme le et heberge le sur archive host ...
0
chrno Messages postés 464 Date d'inscription jeudi 17 juillet 2008 Statut Membre Dernière intervention 7 septembre 2017 50
6 juin 2009 à 20:15
la meilleure solution quand tout ne fonctionne plus
formater XP ou VISTA ^^
0
Utilisateur anonyme
6 juin 2009 à 20:26
Marie je ne sais pas , bonsoir d'abord :) , si ce que tu dis ICI m'est destiné sinon je t explique :

apparement vu les circonstances où tout bloque je pensais à un bon gros rootkit .

je ne pourrai repondre de suite j ai du monde et ca commence à gueuler :)

@+ tard
0