Cmd.exe furtif

cliff974 Messages postés 9 Statut Membre -  
cliff974 Messages postés 9 Statut Membre -
Bonjour,
j'ai choppé et supprimé le virus foza orana.vbe il y a quelques temps.
Toutes mes icones bureau et d'autre fonctions de windows avait disparu. Ce problème a été résolu avec trojan remover.
J'ai avast pro à jour, j'ai aussi fais une analyse en ligne avec un autre anti virus et installer malwarebytes.
plus de virus apparement dans ma machine.
Par contre l'invite de commande s'ouvre et ce referme directement ( même pas 1 seconde)
A partir de exécuter/ cmd.exe c'est pareil.

Je parcour la toile à la recherche d'info depuis des jours mais sans succes.
Quelqu'un pourai m'aider SVP ???

Merci.
Configuration: Windows XP Internet Explorer 7.0

34 réponses

  • 1
  • 2
Résumé de la discussion

Suite à la suppression du virus foza orana.vbe, des icônes de bureau ont disparu et des éléments Windows restent affectés, malgré des analyses Avast Pro à jour et Malwarebytes réalisées. Le souci actuel est que l'invite de commandes s'ouvre puis se referme en une seconde, et les tentatives de lancer sfc/scannow ou cmd.exe échouent obstinément. Plusieurs propositions privilégient CCleaner pour nettoyer le registre et corriger les erreurs, évoquent un éventuel outil anti‑foza orana, et suggèrent de vérifier les variables système, notamment ComSpec ou les paramètres de gpedit.msc. Des échanges indiquent aussi l'utilisation possible de commandes alternatives comme cmd /k ou la vérification de l'effet sur les environnements, sans conclure à une solution immédiate.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. rainure
     
    bonjour
    telecharge ccleaner puis analyse nettoyer
    toujours dans ccleaner aller au registre puis chercher les erreurs et sauvegarder puis corriger les erreurs
    0
    1. cliff974
       
      Bonjour rainure,

      J'ai fait ce que tu m'a dit et redémarrer le PC mais c'est toujours pareil.

      merci.
      0
  2. cliff974 Messages postés 9 Statut Membre
     
    voici un rapport hijackthis, si ça peut aider

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:53:36, on 06/01/2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Google\Update\GoogleUpdate.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\crypserv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
    0
  3. cliff974 Messages postés 9 Statut Membre
     
    HELP !!!
    0
  4. cliff974
     
    Bonjour,

    Toujours pas de solution à mon problème???
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. hisaeh Messages postés 2745 Statut Membre 572
     
    Salut,

    Et en saisissant :
    cmd /k

    cela fonctionne ?
    0
    1. cliff974
       
      Bonjour Hisaeh,

      La commande cmd /k ne fonctionne pas non plu ( ça s'ouvre une fraction de seconde et se referme tout seul)
      Par contre commande.com fonctionne.
      0
  7. hisaeh Messages postés 2745 Statut Membre 572
     
    Ok, fais un clic droit sur Poste de Travail puis Propriétés.
    Cela va ouvrir les propriétés systèmes.
    Va à l'onglet Avancé, puis en bas, choisis Variables d'environnement.
    Dans Variables Systemes, verifie que tu aies une ligne :
    ComSpec avec comme valeur attribuée : c:\windows\system32\cmd.exe

    Sinon, crée la.

    0
    1. cliff974
       
      j'ai bien cette ligne: comspec c:\windows\system32\cmd.exe dans variables systemes.
      0
  8. hisaeh Messages postés 2745 Statut Membre 572
     
    au même endroit, dans la variable WINDIR, as tu bien c:\windows ?
    Et quelle valeur as tu dans Path ?
    0
  9. cliff974
     
    j'ai bien c:\windows dans windir

    à Path, j'ai:

    %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Samsung\Samsung PC Studio 3\

    %SystemRoot% = c:\windows
    0
  10. hisaeh Messages postés 2745 Statut Membre 572
     
    ça semble ok.

    As tu déjà essayé de faire ces verifications :
    1) voir si cmd.exe est bien à son emplacement :
    c:\wndows\system32

    2) faire un clic droit sur cmd.exe et verifier dans les propriétés si le fichier n'est pas en lecture seule.

    3) essayer de saisir c:\wndows\system32\cmd.exe dans la commade Executer du menu demarrer pour voir si cela demarre normalement

    4) verifier et/ou remplacer cmd.exe en faisant un sfc/scannow avec le cd de windows

    0
  11. cliff974
     
    cmd.exe est bien à sa place et il n'est pas en lecture seul.

    La commande: c:\windows\system32\cmd.exe ne foncionne pas non plu ( tjs furif)

    Comment je fais pour lancer sfc/scannow sans pouvoir lancer CMD.exe??

    J'ai aussi essayé de lancer sfc.exe directement à partir de system32 mais ça se referme aussitôt.

    Merci pour l'attention que tu portes à mon problème.
    0
  12. jdut Messages postés 383 Statut Membre 57
     
    salut

    demarrer --> msconfig --> demarrage

    peux tu nous lister l ensemble des proc au demarrage de la bete stp ?

    cdlt , jérôme
    0
  13. cliff974
     
    je n'en ai que 3 d'activé

    ashdisp (avast) ashdisp.exe
    cftmon
    wcescomm (activsync) wcescomm.exe
    0
  14. GMax. Messages postés 518 Date d'inscription   Statut Membre 124
     
    Peut-être qu'une saloperie empêche l'exécution de cmd pour éviter des manipulations avancées pour s'en défaire.

    Sinon peut-être dans gpedit.msc une valeure a étée modifiée sous:
    Configuration utilisateur > Modèles d'administration > Système > Désactiver l'accès à l'invite de commandes

    ou autre ...
    0
  15. cliff974
     
    je vais devoir m'absenter, je reviens demain matin.
    Bonne fin de journée

    Cédric.
    0
  16. jojomisterjo Messages postés 646 Statut Membre 39
     
    Bonjour,

    Si j'étais toi, je créerais un batch avec ces quelques lignes :

    @echo off
    cmd.exe
    pause >nul

    Lance le et dis moi ce qu'il se passe.
    0
    1. cliff974
       
      BONJOUR jojomisterjo,

      j'ai créé un fichier texte renomé en .bat avec ces 3 lignes, mais quand je le lance, c'est tjs pareil( fenêtre furtive)
      0
  17. cliff974
     
    Bonjour GMAX,

    Je suis sous xp home donc pas de gpedit.msc
    Je l'ai installé mais tout est indiqué non configuré.
    0
  18. GMax. Messages postés 518 Date d'inscription   Statut Membre 124
     
    Renommes le cmd.exe dans le system32, et tentes de l'executer.
    0
  19. cliff974
     
    apres l'avoir renommé, c'est tjs pareil
    0
  20. jojomisterjo Messages postés 646 Statut Membre 39
     
    Bonjour,

    Es-tu admin ?
    0
  • 1
  • 2