Format c:\ vs Tentative de désinfection Résolu

Question

Bonjour,
Mon pc ayant quelques soucis de sécurité, j'ai du chopé quelques virus. Souhaitant à présent partir sur de meilleures bases et faire le nécessaire pour la sécurité de mon ordinateur, je souhaitais faire le ménage par moi même en lisant les divers forums sur le sujet. 
Le soucis premier est qu'il m'est impossible d'installer quoi que se soit sous peine de voir apparaitre un message me disant que : "..., n'est pas une application Win32 valide.".
Après de brève recherche, je me suis penché sur le soucis en pensant que cela pouvait être lié à 
https://www.commentcamarche.net/faq/9889-comment-supprimer-le-virus-beagle-bagle
Mais rien n'y fais, même après avoir suivis les instructions a la lettre des divers options, impossible d'installer un logiciel... même en renommant bien l'application que l'on va télécharger.
Donc mise à part si quelqu'un ayant veut tenter une désinfection totale de mon ordinateur, je pense sauvegarder mes fichiers importants sur un clé USB ou un DD, formater tout mon ordi 2 ou 3 fois xD et tout reinstaller avec un bon systeme de défense et désinfecter tous mes fichiers importants un par un.
Est ce une bonne solution ou bien y a t il des volontaires pour tenter le coup. 
Je précise que c'est un défi de taille !!! et que je pourrais suivre vaut ordre via ce forum ou msn en direct depuis mon ordi portable. Je suis dispo de 17h00 environ, jusqu'a pas d'heure à partir de demain.
bonne chance à celui ou celle voulant relevé ce défi.
Virussement vôtre... ou pas, Hesgrall =)

jfkpresident · Accepted Answer

Oupss.....c'est moi qui ai gaffé ...SdFix n'est pas compatible vista :(

Particularitées si vous avez Windows Vista :

1) Désactivez l'UAC durant toute l'utilisation de Navilog1
2) Toujours lancer Navilog1 via clic-droit "exécuter en tant qu'administrateur"
******

Télécharge Navilog1 (par IL-MAFIOSO) sur ton bureau

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau.

Laisse-toi guider. Appuie sur une touche quand on te le demande.
Au menu principal, choisis 1 et valide.

< Ne fais pas le choix 2  >

Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.
Laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande.

Patiente jusqu'au message "Scan terminé le......"
Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes.

PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt

jfkpresident · Answer

Hello ; Tu va faire ceci dans l'ordre : · Télécharge ToolsCleaner de A.Roshtein sur ton Bureau. http://pc-system.fr/ · Clique sur Recherche et laisse le scan se terminer. · Clique, sur Suppression pour finaliser. · Tu peux, si tu le souhaites, te servir des Options facultatives. · Clique sur Quitter, pour que le rapport puisse se créer. · Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\). ============= Ensuite : Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. ==>Double-clique sur RSIT.exe afin de lancer RSIT. ==>Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). ==>Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. ==>Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront : log.txt (<Rend toi sur ce site: https://www.cjoint.com/ ==>Clique sur "parcourir" et sélectionne ces fichiers ,un lien va etre créer . ==>Copie/colle ce lien dans ta prochaine réponse . Aide en images si besoin

olivier114 · Answer

bonjour,
bon deja on va faire une analyse de votre pc via windows.
demarrer/executer puis taper mrt puis suivez les instruction puis poster le rapport.

ensuite faite une analyse en ligne via ceci:
www.bitdefender.fr/scan_fr/scan8/ie.html 
puis poster le rapport

jacques.gache · Answer

bonjour, on peut essayer , tu vas lancer l'outil de nettoyage de logiciel malveillant de microsoft  MRT pour cela tu appuis en même temps sur la touche windows " celle avec le drapeau" et la touche R tans la fenêtre exécuté tu saisis MRT tu valides avec ok tu suis les explication et tu choisi un examen complet plus long mais plus profond , cela supprimeras des choses ppas les plus résente car il est mis à jour 1 fois par mois avec les mise à jour windows , tu fais cela et pendant ce temps je vais te poster un lien pour findykill que j'aurais renommé

Hesgrall · Answer

jfkpresident : Après avoir télécharger ToolCleaner2 via le lien sur mon bureau,  il m'est impossible de le lancer pour l'installer, j'ai le même message "ToolsCleaner2.exe n'est pas une application Win32 valide."
Et devant suivre dans l'ordre tes instructions ,j'ai du m'arrêter à ce stade.

olivier114 et jacques.gache : Pour le moment j'ai lancé le MRT que j'avais même si il n'est pas à jour (juin 2008) (ne sachant pas si j'allais réussir a le mettre a jour en devant lancer un .exe qui ne fonctionnera peut être pas).
Je posterai le lien du rapport en utilisant la méthode de jfkpresident dans ma prochaine réponse.

Merci d'avance et bonne chance à vous trois pour vous penchez sur le défi.
3 cerveaux valent mieux qu'un c'est bien connu =)

jfkpresident · Answer

On va tenter autre chose :

Télécharge RSIT sur ton bureau ,ensuite tu va essayer de lancer comme suit :

• Télécharge DDO (de Anthony5151) sur ton Bureau
• Lance DDO
• Lis les informations données et appuie sur une touche pour continuer
• Quand DDO te le demandera, tape RSIT.exe et appuie sur la touche Entrée

Hesgrall · Answer

jfkpresident : j'ai téléchargé RSIT sur mon bureau, j'ai téléchargé DDO.bat sur mon bureau, je lance DDO.bat, et là j'ai toujours le même message me disant : "DDO.bat n'est pas une application Win32 valide."

P.S : je ne sais pas si c'est important mais j'ai toujours une fenêtre d'avertissement sécurité qui s'ouvre avant, me disant : L'éditeur n'a pas pu être vérifié, Voulez-vous exécuter ce logiciel ? suivi de la description de l'élément et du choix d'exécuter ou bien d'annuler.

Sinon l'analyse du MRT est en cours depuis 21h33 et ça risque de prendre pas mal de temps avant la fin si je me fis à la barre de progression. (peut être 1/12 de fait poour le moment et 0 fichiers infecter)

jacques.gache · Answer

Pour le moment j'ai lancé le MRT que j'avais même si il n'est pas à jour (juin 2008)

tu veux dire que tu n'as pas fais de mise à jour windows depuis juin 2008 et pourquoi ???

Hesgrall · Answer

Si si j'ai fait les MAJ windows vu que l'ordi me le signale et qu'une fois que je veux l'éteindre il fait un redémarrage et fait les étapes de maj avant de se remettre à nouveau opérationnel. Ensuite je reviens pour l'éteindre pour de bon une fois qu'il a fini. Sachant que je fais cela généralement avant d'aller me coucher ^^.

Trying2 · Answer

Hello,

En passant, une suggestion : DDS de Subs...

jfkpresident · Answer

Je pense que le systeme doit etre tres infecté depuis un bon moment et il se peut que les fichiers systeme soit patchés ....:(

Tu va essayer ceci : 

"éxécuter" >>>Tape "cmd">>>puis "sfc /scannow"

jacques.gache · Answer

bonjour, je vais te laisser avec jfkpresident que je salut au passage à toutes fin utile j'ai télécharger findykill et renommé en jacfind, si tu veux essayer de le passer , tu vires celui de sur ton bureau et tu télécharges et puis tu suis la procédure normale  

Télécharge FindyKill de Chiquitine29 sur ton bureau : ou plustôt jacfind

http://sd-1.archive-host.com/membres/up/89820622056365782/jacfind.exe

! Déconnecte toi et ferme toutes applications en cours ! 

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

• Double clique sur "jacfind.exe" pour le lancer 
 
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

 Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html

pour info:http://pagesperso-orange.fr/NosTools/info_bagle.html

Hesgrall · Answer

jfkpresident : J'ai tapé la ligne de commande sus-cité, et après avoir fait la vérification à 100%, le programme de protection des ressources Windows n'a trouvé aucune violation d'intégrité.

Le MRT suit son court et est 1h30de temps écoulé avec un peu plus de la moitié de la barre de progression rempli. Et toujours 0 fichiers infectés.

Edit: J'ai téléchargé Jacfind de jacques au cas ou vous souhaiteriez que je l'utilise après que l'analyse du MRT soit fini. (étant donné que je ne peux pas le lancer maintenant alors que MRT est en cours.)
Merci jacques pour ton aide et repasses à l'occasion pour suivre l'évolution et donner des idées au passage =)

Ah oui, j'ai aussi téléchargé dds.scr sur mon bureau au cas où pour la suite. ^^;

Hesgrall · Answer

Fin du MRT de juin 2008 après 3h de scan et 0 fichiers infecté trouver. (à savoir que bagel etait dans la liste des malware recherché et pourtant non trouvé...)
J'ai réussi à installer la MAJ de MRT pour septembre 2009 via l'exécution et non l'enregistrement de celui ci via le site microsoft. J'ai relancé le MRT version longue pour la nuit et je vous donnerai le résultat demain matin.
Bonne nuit et à demain.

jfkpresident · Answer

Essaie de lancer Jacfind(findykill) comme le préconise Jacques Gache ,mais je doute sur le fait qu'il va se lancer et le soucis c'est qu'on travaille a l'aveuglette ....Sans aucuns rapport ,impossible de déterminer de quelles infections il s'agit :(

jacques.gache · Answer

jfkpresident bonjour, oui entièrement d'accord avec toi sans rapport difficile de savoir à qui nous avons à faire, RSIT ne passes pa sdes fois zhpdiad lui il passe .


Hesgrall bonjour si tu peux essayer de faire un zhpdiag ?


Ouvre ce lien et télécharge ZHPDiag : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
hxxp://telechargement.zebulon.fr/telecharger-zhpdiag.html 

Enregistres le sur ton Bureau. 

Une fois le téléchargement achevé,fais un double cliques sur ZHPDiag.exe et suis les instructions. 

N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 

Double cliques sur le raccourci ZHPDiag sur ton Bureau. 

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix. 

Clique sur le Tournevis puis sur Tous pour cocher toutes les cases des options. 

Décoches les cases O45 et O61. 

Cliques sur la loupe pour lancer l'analyse. 

Laisses l'outil travailler, il peut être assez long. 

Fermes ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/ 

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien bleu de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Hesgrall · Answer

Bonjour, 
Le MRT mis a jour a septembre 2009 a tourné cette nuit et ce matin et n'a rien trouvé de malveillant.
J'ai telechargé l'appli préconiser par jacques et rien n'y fait, l'exe provoque l'apparition du message "blabla pas une application win32 valide." idem pour le jafind et tout autre chose télécharger via le net.
J'ai donc testé quelque chose qui s'est avéré payant, j'ai téléchargé toolscleaner vi mon autre pc, puis transferer l'appli sur l'ordi concerné. Et par ce moyen j'arrive à lancer le toolscleaner2.exe
Celui ci est en cours de recherche actuellement. (enfin je suppose vu que j'ai cliquer recherche et j'ai l'icone de mon curseur qui m'indique que l'appli est en cours de fonctionnement.
Je vous tiens au courant sous peu, mais si vous avez deja une idee du pourquoi j'arrive a lancer une appli venant de usb et pas celle venant du net, ça fera avancé le schimilllii.. le chimili.. bref l'affaire =)
merci et dsl du retard y'avait un peu de monde sur la route.

jacques.gache · Answer

bonjour , tu sais ce qu'est toolscleaner2 ?? il supprimes les outils installé et utiliser pour la désinfection , et cela serais surprenant qu'il te désinfecte ton pc, mais le fais de télécharger depuis un autre pc puis de le transfèrer sur l'autre peut être une  solution essais de le faire  avec ZHPdiag

Hesgrall · Answer

Rapport de Toolscleaner2:

[ Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Users\Garshell\Desktop\Rsit.exe: trouvé !
C:\Users\Garshell\Desktop\dds.scr: trouvé !
C:\Users\Garshell\Downloads\HijackThis.exe: trouvé !
C:\Users\Garshell\Downloads\dds.scr: trouvé !


Fichiers temporaires nettoyés !
Corbeille vidée!

J'ai lancé RSIT via la même technique, le rapport arrive sous peu.

jfkpresident · Answer

Jacques Gache : Regarde ici ,un topique similaire ou rien ne se lance .....:(

Croisons les doigts ...

Hesgrall · Answer

Rapport log du RSIT : https://www.cjoint.com/?jEtjNA6jqJ

Et sur le topique que tu pointes, la personne n'arrivais pas à télécharger, moi je peux, mais toutes application télécharger ne se lancera pas. 
On a quand même trouvé que le transfère via clé usb des programmes, vers l'ordi concerner permet le fonctionnement de ceux ci.
Est ce que quelque chose sur le pc rends tous les exécutables inutilisable lorsque ceux ci proviennent du net ?
I l y a bien une raison a cela et si on la trouve, ça permettra de trouver des solutions pour les prochains topiques du genre.

jfkpresident · Answer

Est ce que quelque chose sur le pc rends tous les exécutables inutilisable lorsque ceux ci proviennent du net ?
I l y a bien une raison a cela et si on la trouve, ça permettra de trouver des solutions pour les prochains topiques du genre.

C'est souvent du a une infection ....

Bon ,on est parti :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

Hesgrall · Answer

je suis actuellement en mode sans échec sur l'ordi concerné, je lance le runthis.bat, une fenetre bleu apparait puis disparait presque directment et le curseur  montre l'icone d'activité en cours pendant 1 ou 2s et puis rien.
Je tente la touche "y" et toujours rien.
A noter que je n'ai pas eu a choisir  mon compte, et je n'ai d'ailleur j'amais eu a le faire avant non plus.
Et que j'avais dans les manip précedente desactiver l'UAC sans le remettre pour le moment. (je ne sais pas si cela joue un role dans l'histoire.)

Hesgrall · Answer

Dois je revenir en mode normal avant cette manipulation ou bien dois je rester en mode sans echec pour faire tout cela ? ou peu importe ?

jfkpresident · Answer

Dois je revenir en mode normal avant cette manipulation ou bien dois je rester en mode sans echec pour faire tout cela ? ou peu importe ?

Mode Normal si c'est possible .

Hesgrall · Answer

Utilisateurs de Windows Vista :

* A chaque fois que vous êtes amené à exécuter Navilog1.bat ou Navilog1.exe pour l'installation, ne double-cliquez pas sur le fichier ou raccourci mais faites un clic droit dessus et dans le menu contextuel choisssez "Exécuter en tant qu'administrateur".

je viens de lire cela aussi sur le descriptif de navilog1

bon je redémarre en mode normal et je fais ce que tu as indiqué en utilisant l'exécution en tant qu'administrateur au cas où ^^.

Désinfection automatique en cours...

Hesgrall · Answer

Rapport de Navilog1 : https://www.cjoint.com/?jEu17RkNPe
visiblement il a supprimé le game attack que j'avais installer et qui correspondait a des petits jeux pour faire travailler les méninges =)
Une chose est sur j'aurais appris beaucoup de choses en lisant les divers informations sur les forums que j'ai pu découvrir ici au cours du nettoyage. Et on ne m'y reprendra plus a installé des petits jeux a la con comme celui ci !
Mais tout ne semble pas fini car après avoir tester de télécharger quelque chose sur télécharger.com, l'exe provoque toujours le même message.
humm cela dit je n'ai pas redémarré le PC encore une fois, donc je le redémarre.
redémarrage effectué et toujours le même message suite a une tentative de lancement d'une appli télécharger via le net.

jfkpresident · Answer

Une infection de moins :)

Ouvre ce lien et télécharge ZHPDiag :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

    Double-clique sur l'icône pour lancer le programme.

    Clique sur "options"(icone petit tournevis) puis cocher "tous" (toutes les cases doivent etre cochés).

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

    Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.
    
    Postes le en deux fois s'il le faut (le log est assez long).

Hesgrall · Answer

Rapport ZHPDiag : https://www.cjoint.com/?jEw5fgKSrp

jfkpresident · Answer

Il reste quelques saloperies ...

Télécharge Superantispyware (SAS) en cliquant sur ce lien :

https://www.superantispyware.com/superantispywarefreevspro.html

Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche   C:\Fixed Drive.

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.

Hesgrall · Answer

le scan est en route depuis 2h30 déjà, il a déja trouvé quelques articles mais j'ai l'impression qu'il scan en boucle ce qui se trouve sur le bureau... est-ce normal qu'il repasse plusieurs fois sur la même série de fichier sans arrêt?
bientot 300000 fichiers scannés...

Hesgrall · Answer

bon du coup j'ai relancer le scan et ça semble ne plus faire de boucle pour le moment.
je posterai les 2 scanlog apres ce scan

Hesgrall · Answer

k, 3e lancement du scan car une nouvelle boucle avait fait surface et a chaque fois il en retire un peu.
1er scan 22 trouvés
2e scan 4 trouvés
3e scan en cours et deja 1 trouvé

Hesgrall · Answer

OK re,
1er scan : https://www.cjoint.com/?kbtLrzCisw
2e scan : https://www.cjoint.com/?kbtMpKryXE
3e sacn : https://www.cjoint.com/?kbtNcq74TC
4e scan : https://www.cjoint.com/?kbtNv0Aflp

Et apparemment, même si il ne voit plus rien, le message continue de faire son apparition ^^,

jfkpresident · Answer

Maintenant j'ai un peu plus d'idée sur le coupable ..

On va sortir l'artillerie lourde :)

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Hesgrall · Answer

Combofix repère que le scanner temps réel de AVG anti-Spyware est actif, pourtant il me semblait l'avoir supprimer il y a un moment... et je ne sais pas comment le désactiver maintenant =/
Bon j'ai lancé malgrès tout et les étapes se suivent bien pour le moment

jfkpresident · Answer

Bon j'ai lancé malgrès tout et les étapes se suivent bien pour le moment

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. 

Tu veux faire planter le pc ?!  Grrrrr........:(

jacques.gache · Answer

oui si tu utilise le pc pendant combifix ne serait ce que la souris il peut y avoir des résultat désastreux  le pc peut purement et simplement planté , donc si combofix est en marche ne répond plus sur la discution j'usqua ce qu'il est fini !!!!

Hesgrall · Answer

pas de panique je suis sur l'autre ordi quand je vous parle en ce moment.
le rapport vient d'arrivé apres le reboot, je le poste dans 1s le temps de l'upload

jfkpresident · Answer

Pas de panique je suis sur l'autre ordi quand je vous parle en ce moment. 

D'accord -;)

Hesgrall · Answer

Log combofix : https://www.cjoint.com/?kbv23lfppm

j'ai remarqué toutefois que mon clavier G15 a un soucis avec une clee de registre depuis le combofix, et j'ai tenter de lancer firefox, pour avoir l'adresse de cjoint.com, après que combofix ait fini son activité et j'ai un message presque identique que pour le G15 : 
"C:/Program Files\mozilla Firefox\firefox.exe
Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression."

J'ai pas tenter de lancer d'autre appli pour le moment ni même le brancher au net, ni installer Antivir ou réactiver les antispymalware

jfkpresident · Answer

Télécharge SF.exe de C_XX .

*Double clique sur SF.exe ("éxécuter en tant qu'administrateur pour vista) .

*Une fenetre Cmd va s'ouvrir .

*Tape asmonitor dans cette fenetre et "entrée" .

*Patiente pendant la recherche .

*Une fenetre avec un log .txt va s'afficher .

*Copie/colle ce rapport dans ta prochaine réponse .

                                  ======================
Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence. 

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ces fichiers : c:\windows\system32\C341601421.sys        
                                                                 c:\users\Garshell\AppData\Local\ggekgcu.bat       

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Hesgrall · Answer

Petit soucis, je télécharge SF, je le transfert sur l'ordi concerné, j'exécute en tant qu'admin et là j'ai le même message de "tentative d'opération non autorisée sur une clef registre marqué pour suppression." =/
Je ne peux plus lancer quoi que se soit visiblement, même pas ouvrir le combofixlog.txt
Je tente un redémarrage pour lui remettre les idees au claire et voir si cela continue.
...
Edit: le rebot du pc à marcher et je peux maintenant lancer SF !!!
A tout de suite pour la suite

Hesgrall · Answer

SFlog : https://www.cjoint.com/?kbwZFImQxH
(après avoir fait le log, la fenêtre de commande est toujours ouverte avec :
Appuyez sur une touche pour continuer... dois je le faire?)


Virustotal sur C3411601421.sys : https://www.cjoint.com/?kbxg10M2QF
Virustotal sur ggekgcu.bat : https://www.cjoint.com/?kbxn465kpd

Hesgrall · Answer

ci dessus les liens demandés =)

jfkpresident · Answer

Votre fichier a expiré ou n'existe pas.

Tu va essayer de le passer avec ViruscanJotti :

Rends toi sur Virusscan. Jotti
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : c:\users\Garshell\AppData\Local\ggekgcu.bat  
- Clic sur submit toujours en haut à droite
- Le scan va se lancer, ça va prendre un petit instant
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici - ATTENTION de bien prendre le résultat du scan de ton fichier (le nom du fichier apparaît en haut) et non le scan fait avant le tiens!
 Tutoriel

Je te donne la suite ce soir -;)

Hesgrall · Answer

Voici le liens permanent du résultat du scan effectué : 
http://virusscan.jotti.org/fr/scanresult/db7cab9799a1ef572d535b9215f2403e6c6a8639

Rien trouvé partout ! ^^,
Ai-je fait une erreur sur les liens précédents, pour que tu me passes le tutoriel pour utiliser une scan online ?

jfkpresident · Answer

Ai-je fait une erreur sur les liens précédents, pour que tu me passes le tutoriel pour utiliser une scan online ?

Pas du tout .

> Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
- Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :

File::
c:\users\Garshell\AppData\Local\gnc.exe       
c:\program files\ACSPMonitor\ASMonitor.exe
Reg::
[-HKEY_CLASSES_ROOT\VirtualStore\MACHINE\SOFTWARE\ACSPMonitor\Main]
"path_app2"="C:\Program Files\ACSPMonitor\ASMonitor.exe"

[-HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\ACSPMonitor\Main]
"path_app2"="C:\Program Files\ACSPMonitor\ASMonitor.exe"

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{10EA2075-0190-481B-BA5B-CBC81C7418D3}"="v2.0|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\Program Files\ACSPMonitor\ASMonitor.exe|Name=System|Edge=FALSE|"

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{60BCEF14-349F-4261-B47C-F241C7FEE489}"="v2.0|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|App=C:\Program Files\ACSPMonitor\ASMonitor.exe|Name=System|Edge=FALSE|"

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{10EA2075-0190-481B-BA5B-CBC81C7418D3}"="v2.0|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\Program Files\ACSPMonitor\ASMonitor.exe|Name=System|Edge=FALSE|"

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{60BCEF14-349F-4261-B47C-F241C7FEE489}"="v2.0|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|App=C:\Program Files\ACSPMonitor\ASMonitor.exe|Name=System|Edge=FALSE|"

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{10EA2075-0190-481B-BA5B-CBC81C7418D3}"="v2.0|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\Program Files\ACSPMonitor\ASMonitor.exe|Name=System|Edge=FALSE|"

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{60BCEF14-349F-4261-B47C-F241C7FEE489}"="v2.0|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|App=C:\Program Files\ACSPMonitor\ASMonitor.exe|Name=System|Edge=FALSE|"

[-HKEY_USERS\S-1-5-21-3105248223-2549874124-2997032633-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\ACSPMonitor\Main]
"path_app2"="C:\Program Files\ACSPMonitor\ASMonitor.exe"

[HKEY_USERS\S-1-5-21-3105248223-2549874124-2997032633-1000_Classes\VirtualStore\MACHINE\SOFTWARE\ACSPMonitor\Main]
"path_app2"="C:\Program Files\ACSPMonitor\ASMonitor.exe"

- Enregistre ce fichier sous le nom CFScript
- Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image. (Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer.
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Hesgrall · Answer

Lors de la dépose du fichier sur l'icone de combofix, combofix se lance, m'averti que avg est actif, je fais oki, il me dit qu'il est toujours actif je fais encore oki et il crée un point de "jenesaisplusquoi" systeme et commence le scan sans me demander 1 ou 2. Les étapes sont en cours et bien sure je suis actuellement en train de faire ce message depuis un autre ordi.

Hesgrall · Answer

Rapport ComboFix 2 : https://www.cjoint.com/?kcrTOAUwtB
Il semblerait qu'il soit possible à présent de pouvoir lancer les appli que l'on télécharge via le net.
Reste à savoir si tout est propre maintenant, comment cela est il arrivé, qui était le coupable et comment se protéger a présent pour ne pas revenir dans 3 jours.
Il faudrait peut être virer totalement AVG et mettre antivir si possible et autre chose. Qu'est ce qui est le mieux ?
J'ai pris le réflexe virustotal maintenant pour vérifier.

Utilisateur anonyme · Answer

Bonsoir a tous, si je peu me permettre, je dirais bien "un crack surement" !  Non ??
Pour éviter d'avoir de tels soucis, ne plus télécharger;-)

Hesgrall · Answer

Ya des chances oui ^^
Et faire un virustotal sur tous ce qui entrera.

Utilisateur anonyme · Answer

Et faire un virustotal sur tous ce qui entrera.

pas vraiment, si le virus est dans une des bases de données anti-virale, ca marche, sinon, tu te le prend en pleine tête et tu reviendras sur le fofo pour une nouvelle désinfection, pour l'instant attend que Sir Jfk te donne ces prochaines directives. (Un vrai boss ce John!! ;-)
Cordialement ;-)

Hesgrall · Answer

ouep il gère divinement ! Même Mr propre a coté il en apprend encore avec john =)
Mais bon si il ne passe pas ce soir c'est pas bien grave, il a bien mérité de se reposer ^^
On est vendredi soir !!! Il doit être sur la piste  xD

jfkpresident · Answer

Il doit être sur la piste xD

C'est un peu ça ^^ (avec un taux d'alcool non autorisé sur ce forum:))

Salut Marc -;)

Je te donne les instructions demain ...

Bonne nuit ..

jfkpresident · Answer

On va faire une derniere vérif avant de conclure :

Fais un scan en ligne Kaspersky avec Internet Explorer.
- Clique sur Démarrer Online-Scanner

- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail.
- Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Hesgrall · Answer

"Échec de la mise à jour Impossible de démarrer le programme. Fermez la fenêtre de Kaspersky Online Scanner 7.0 et redémarrez le programme sur le site de Kaspersky Lab.
Pour mettre à jour Kaspersky Online Scanner 7.0 et annalyser votre ordinateur correctement, une connexion Internet permanente est nécessaire. Vérifiez que votre connexion Internet foncitonne. [ERROR:La licence est périmée]"

Hors l'internet fonctionne correctement et je ne vois rien correcpondant à Kaspersky ou Online scanner dans "l'ajout/suppression de programmes". Donc pour le moment je ne peux pas faire ce scan =/.

Hesgrall · Answer

c'est pourtant ce que j'ai fait, j'ai lancé IE en tant qu'admin... =/
J'ai même tester avec FF.

jfkpresident · Answer

Laisse tomber Kaspersky .....Et fait celui ci :

Fais ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; 

la barre anti-popup du SP2 (en haut) va se mettre à clignoter, 
clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus. 
Une fois qu'il a terminé colle le rapport ici stp 
https://www.bitdefender.com/toolbox/ 
Copie/Colle le rapport 

tutoriel

Hesgrall · Answer

le scan est en cours, j'ai mis l'activation de l'active X pour qu'il n'y ait pas de soucis, mais le scan risque de durée pas mal de temps. Je pense que le résultat tombera demain.
Bonne soirée à toi john =)

jfkpresident · Answer

Tu as le temps de faire ça tranquilotte .

Bonne soirée a toi aussi .

Hesgrall · Answer

Résultat du scan Bitdefender en ligne : https://www.cjoint.com/?kekcVgg65P
Heureusement que j'avais mis ma clé USB, sinon il en aurait raté 2...

jfkpresident · Answer

La moitié des fichiers détectés par Bitdefender appartiennent aux Quarantaine des outils utilisés tel que navilog ou combofix .

Comment va le pc ?

Hesgrall · Answer

A priori mieux qu'au départ, mais pour conclure et éviter de revenir par la suite pour ce genre de problèmes, j'aimerai ton avis sur les soft que je devrais installer pour me protéger hors mis le fait de changer certaines habitudes qui ont déjà changer d'ailleurs. 
J'ai l'impression que mon pc est en mode admin tout le temps et j'ai lu que ce n'était pas bon du tout pour se protéger...
Sinon, de tous les soft que tu m'as fait installer, lesquels dois je supprimé maintenant ? car mon pc ressemble à une armoire a pharmacie ^^, mdr. (J'ai toujours ce AVG pseudo installé que je ne vois pas)

En tous cas merci pour ton aide (vous devriez mettre un paypal dans vos signs pour que parfois certaines personnes l'utilise ou pas, histoire de vous remercier pour le travail bénévole que vous faites)
Je t'aurai bien payer un coup à boire ^^

jfkpresident · Answer

(J'ai toujours ce AVG pseudo installé que je ne vois pas)

Utilitaire pour désinstaller AVG:   http://download.avg.com/filedir/util/avg_arm_sup_____.dir/avgremover.exe

Pour ce qui est e la sécurité : Tu garde Nod32 (antivirus) ,SAS(super-antispyware) et vérifie que ton pare-feu vista est bien activé .

                                 =======================
==*Nettoyage des outils*==
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Relance ZHPFix sur ton Bureau.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.   
                             =======================
Ensuite ta console java n'est pas a jour :

mettre à jour java
https://www.java.com/fr/download/manual.jsp

                             =======================
Désactive ta restauration systeme puis recréé un point de sauvegarde sain comme suit : https://wiki.securite-academie.fr/index.php/Tutoriaux_Les_points_de_restauration

                            =====================
--Essaye le navigateur Firefox plus sur/sécurisé qu IE 

-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/ 
-Tutorial pour le sécuriser: https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ 

garde explorer pour les mise a jour et les scan en ligne.
                            =====================
tu peux installer cette petite extension tres utile afin de ne pas tomber dans les pieges de la toile :WOT

Tu utilise Bitcomet (P2P) ,je te conseille de lire ceci :

danger du P2P et des cracks

également un exemple concret ici ou l'internaute ne pouvait plus rien faire de sa machine ...


Voila ,je crois que j'ai fait le tour ....:)

Tu peux mettre en résolu .

Bon surf !

PS : Je t'aurai bien payer un coup à boire ^^

ça me suffit amplement comme remerciements (pas besoin de paypal) .

Hesgrall · Answer

Désactive ta restauration systeme puis recréé un point de sauvegarde sain comme suit : https://wiki.securite-academie.fr/index.php/Tutoriaux_Les_po­ints_de_restauration 

Ce lien ne fonctionne plus.

jfkpresident · Answer

Le lien est momentanément indispo ,utilise celui ci a défaut ...

Format c:\ vs Tentative de désinfection

67 réponses

Newsletters