Fichier systeme32 infecté de virus, quel piedRésolu/Fermé

Question

Bonjour à tous,
Récemment j'ai eu la joie de découvrir que mon pc était infecté de cheval de Troie, (je me suis dit cool un défis à relever) j'ai vite tiré la grimace.
Actuellement je suis obliger de démarrer en mode sans échec avec réseau sinon Windows bloque des le début, pc lent par ailleurs avec plusieurs bug du à ces cheval de Troie.

J'avais Avast qui n'a rien détecté et maintenant je suis incapable de supprimer cet antivirus même avec ccleaner.
Je l'ai juste désactiver. j'ai installé Avira qui détecte plusieurs cheval de Troie dont:
- TR/Crypt.XPACK.Gen
- TR/Crypt.FKM.Gen
- GEN/PwdZIP

VOICI LE RAPPORT DE HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:21:18, on 12/02/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
D:\SEB_Mes documents\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe,
O2 - BHO: (no name) - {06FA474B-3DED-45A3-A6A6-5D414789C226} - C:\WINDOWS\system32\moytkfpp.dll
O2 - BHO: (no name) - {09E4A3D0-0568-498A-94E0-7C393883D62F} - c:\windows\system32\wqazfme.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.3.7.16.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ShowLOMControl] 
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Télécharger toutes les vidéos avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet	ools\BitCometBHO_1.3.7.16.dll/206 (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O20 - Winlogon Notify: bqtpfmiz - C:\WINDOWS\SYSTEM32\wqazfme.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

Lyonnais92 · Answer

Bonjour,

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.

hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse
 ===

Ensuite, pour que l'on voit ce qui reste :

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

sebzag · Answer

Tres bien je fais ça à la lettre.
Je mettrais le résultat demain dans l'après midi.

Merci d'avoir répondu aussi vite

sebzag · Answer

Bonjour,
j'ai suivi les instructions (je rappelle jute qu'actuellement mon pc fonctionne en mode sans échec avec prise en charge réseau).
_________________________________________________________

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3728
Windows 5.1.2600 Service Pack 2 (Safe Mode)
Internet Explorer 6.0.2900.2180

12/02/2010 03:38:16
mbam-log-2010-02-12 (03-38-06).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 168622
Temps écoulé: 2 hour(s), 3 minute(s), 56 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\moytkfpp.dll (Trojan.Vundo.H) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06fa474b-3ded-45a3-a6a6-5d414789c226} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{06fa474b-3ded-45a3-a6a6-5d414789c226} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\.fsharproj (Trojan.BHO) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Fichier(s) infecté(s):
C:\WINDOWS\system32\moytkfpp.dll (Trojan.Vundo.H) -> No action taken.
___________________________________________________________________

En revanche le site Cijoint.fr ne me permet pas de c mettre le résultat de ZHPDiag. Le site rencontre des problèmes. Avez vous un autre site a m'indiquer afin que je puisse vous donnez le résultat. Merci

Lyonnais92 · Answer

Bonjour,

"no action taken", tu as ie rapport trop tôt

 ou tu n'as pas mis en quarantaine ?

Si tu n'as pas mis en quarantaine, recommence (et fais redémarrer l'ordi à la fin).

Si tu as mis en quarantaine, fais redémarrer l'ordi.

===

Pour le site, reessaye.

sebzag · Answer

bonjour, j'ai essayé plusieurs fois et c'est toujours le même problème "no action taken". pourtant j'ai suivi à la lettre les consignes. Aucun autre programme est en cour, et je n'ai pas interrompue l'analyse. En revanche je trouve que l'analyse ne dure pas longtemps. Au bout de 6 min, il analyse en 30s plus de 70.000 éléments. 

__________________________________
Malwarebytes'Anti-Malware 1.44
Version de la base de données: 3737
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

15/02/2010 14:38:58
mbam-log-2010-02-15 (14-38-53).txt

Type de recherche: Examen rapide
Eléments examinés: 119834
Temps écoulé: 6 minute(s), 54 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\.fsharproj (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\icf (Rootkit.ADS) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Trojan.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\disableconfig (Windows.Tool.Disabled) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\Drivers\hdabtuue.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\svchost.exe:exe.exe (Rootkit.ADS) -> No action taken.
C:\Documents and Settings\sebastien\secupdat.dat (Worm.Autorun) -> No action taken.

___________________________________________________________________________

Voici le lien que je ne pouvais pas envoyer depuis l'ordi infecté (j'ai essayé plusieurs fois, rien à faire, je l'ai donc envoyé depuis un autre ordinateur)
http://www.cijoint.fr/cjlink.php?file=cj201002/cijrbZr3zO.docx
____________________________________________________________________________

Merci

Lyonnais92 · Answer

Re,

la vitesse d'analyse est normale.

On va essayer comme ça :

Ouvre ce lien : http://www.cijoint.fr/cjlink.php?file=cj201002/cijG483rNw.txt

Ouvre le fichier.

Copie dans le Presse-papier son contenu (sélectionne le avec la souris et fais simultanément Ctrl et C)

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

sebzag · Answer

Alors je vous ai posté 2 liens car j'ai bien recu le message de windows me demandant de redémarrer et en lisant ceci:
"Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement" j'ai copié le rapport après le démarrage de windows (voici le lien: http://www.cijoint.fr/cjlink.php?file=cj201002/cijOZUvZ0o.txt)
 
Mais j'avais remarqué que le rapport n'était pas le meme avant redémarrage, donc j'ai refais la manipulation et avant de redémarrer le pc j'ai enregistré le rapport que voici (http://www.cijoint.fr/cjlink.php?file=cj201002/cijjyundKK.txt)

Lyonnais92 · Answer

Re,

il faut utiliser des moyens plus puissants.

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

* lors du téléchargement, nomme le antitruc.exe. Il faut le faire avant que le fichier soit enregistré sur ton Bureau.

* réactive ta connexion Iternet le temps d'installer la Console de récupération (si on te le demande).

* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

sebzag · Answer

J'ai un probleme lorsque je dois désactivé avast, depuis que j'ai installé la dernière version je suis dans l'incapacité à supprimer ce programme. Lorsque j'essaye de le désintaller dans ccleaner celui ne le trouve pas. Dans ajout/supression programme même problème. Egalement lorsque je vais directement dans le fichier avast je n'ai que son icone, est ce que je lance tout de même combofix ?

Lyonnais92 · Answer

Re,

il ne faut pas le désinstaller mais désactiver la garde résidente.

sebzag · Answer

Ah oui mince, je viens de désactiver avast mais je ne sais pas comment désactiver antivir desktop.

Lyonnais92 · Answer

Re,

antivir :

clique sur le parapluie rouge et clique sur "désactiver" dans Antivir guard.

Mais il ne faut pas avoir 2 antivirus.

sebzag · Answer

Oui je sais; mais antivir guard je l'ai bien désactivé comme tu le dis et combo.fix dit qu'il est toujours activé (c'est sa que je comprends pas).
pour information: mon mode sans echec ne fonctionne plus ?

Est ce que je dois lancer combi.fx meme s'il me dit que antivir guard est actif ?

sebzag · Answer

Au pire je peux supprimer Antivir

Utilisateur anonyme · Answer

non supprime avast qui est pourris

Lyonnais92 · Answer

Re,

pour le moment, tu supprimes Antivir.

On verra en fin de désinfection.

sebzag · Answer

Je suis entrain de lancer Combofix. Une fois qu'il était rendu à l'étape "ComboFix recherche des infections sur l'ordinateur" un message est apparut disant qu'il a détecté un Rootkit, le programme m'a demandé de redémarrer windows, j'ai validé l'opération. Suite au redémarrage la cage de la console est arrivé mais depuis 20min celle ci reste vierge sur fond bleu et le pc n'a pas l'air de travailler.

Est ce normal ?

Lyonnais92 · Answer

Re,

toujours en attente ?

Laisse le faire.

sebzag · Answer

Les étapes viennent de se lancer mais pour cela j'ai du forcer le pc à s'éteindre (je pouvais rien faire d'autre). Lorsqu'il a rédemarré il est resté bloquer sur le message bienvenue (celui juste avant d'arriver sur le bureau, ce bug arrive depuis l'installation de combofix et cela à chaque fois que je modifie quelque chose sur le pc: quand j'enlève les pares feu, avira...) j'ai du forcer une 2eme fois; A la 3eme reprise il est enfin parvenu à l'ancer les différentes étapes.

sebzag · Answer

dsl j'avais pas vu votre post (j'étais entrain de composer le mien)

voici le résultat
 http://www.cijoint.fr/cjlink.php?file=cj201002/cijZCJL26n.txt

Lyonnais92 · Answer

Bonjour,

tenace, avec des fichiers système patchés.

===
Ouvre l'Explorateur Windows et cherche : c:\windows\$hf_mig$\KB951748\SP2QFE	cpip.sys

Fais un clic droit et Copier.

Mets toi dans le répertoire C:\

Clic droit et Coller.

Clic droit sur le fichier créé et Renommer.

Appelle truc.bak.

===

1. Télécharge The Avenger par Swandog46 sur le Bureau
 
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras  ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Drivers to delete:
rbfrqd
besolgvg
jbfwglpm
oqehkgsu
xuaxeyrk

Files to move:
C:	ruc.bak | c:\windows\system32\drivers	cpip.sys
C:	ruc.bak \ c:\windows\system32\dllcache	cpip.sys

Files to delete:
c:\windows\system32\drivers\wezvrlvclkcq.sys
c:\windows\System32\Drivers\besolgvg.sys
c:\windows\System32\Drivers\jbfwglpm.sys
c:\windows\System32\Drivers\oqehkgsu.sys
c:\windows\System32\Drivers\xuaxeyrk.sys
 
IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.  
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger.  Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

sebzag · Answer

Bonjour,
est ce que je peux supprimer ComboFix ? le pc n'a plus acces à internet depuis ce matin hors il y à peine 3h il fonctionnait, lorsque je vais sur intel proet/wireless il m'indique le message suivant: 
"Le logiciel intel(r) proset wireless n'a détecté aucune carte sans fil prise en charge. Veuillez installer une carte prise en charge". 
De plus windows en mode normal ne fonctionne pas, seul le mode sans echec fonctionne.
Le tcpip je dois le renomer "truc.bak." ou seulement "truc" ?

Merci

sebzag · Answer

bon au bout de plusieurs essais windows a démarré normalement et j'ai retrouvé l'acces a internet (avant j'étais en mode sans echec avec prise en charge réseau).

Avant de pouvoir poursuivre il m faut juste cette info: Le tcpip je dois le renomer "truc.bak." ou "truc.bak" ou "truc" ?

Je dois également copié ça: "Begin copying here: " ou je copie juste après ?

Lyonnais92 · Answer

Re,

tu as une infection qui me semble coriace.

Il est possible qu'il y ait un mécanisme régénérateur que je n'ai pas trouvé.

===

Tu le renommes truc.bak  (un nom et une extension) (l'important est que le nom que tu lui donnes et le nom dans le script de The Avenger soit strictement identiques)..

Tu copies Begin copying here:

C'est "inutile" sauf à éviter que la première ligne utile soit mal prise en compte.

sebzag · Answer

Lorsque je clique sur "execute" un message d'erreur apparait de suite:
error: invalid syntax in command:
"C:	ruc.bak \ c:\windows\system32\dllcache	cpip.sys"
Spipping line. (file move mode)

Je clique sur "ok" car je n'ai pas d'autre choix:
"le message suivant apparait Press ok to continue script execution or cancel to abort."

que dois je faire ?
J'ai pourtant bien copié le fichier tcpip dans le lecteur C.

Puis dans le programme the avenger j'ai copié :
"Begin copying here: 

Drivers to delete: 
rbfrqd 
besolgvg 
jbfwglpm 
oqehkgsu 
xuaxeyrk 

Files to move: 
C:	ruc.bak | c:\windows\system32\drivers	cpip.sys 
C:	ruc.bak \ c:\windows\system32\dllcache	cpip.sys 

Files to delete: 
c:\windows\system32\drivers\wezvrlvclkcq.sys 
c:\windows\System32\Drivers\besolgvg.sys 
c:\windows\System32\Drivers\jbfwglpm.sys 
c:\windows\System32\Drivers\oqehkgsu.sys 
c:\windows\System32\Drivers\xuaxeyrk.sys "

Lyonnais92 · Answer

Re,

c'est moi qui ai fait une erreur.

la bonne ligne c'est 

C:	ruc.bak | c:\windows\system32\dllcache	cpip.sys 

clci sur abort et recommence avec la bonne ligne dans le script.

désolé.

sebzag · Answer

Si je comprends bien dans ces 2 lignes:

{
Files to move:
C:	ruc.bak | c:\windows\system32\drivers	cpip.sys
C:	ruc.bak \ c:\windows\system32\dllcache	cpip.sys
}

je supprime: "C:	ruc.bak \ c:\windows\system32\dllcache	cpip.sys"; cela devient: 

{
"Begin copying here:

Drivers to delete:
rbfrqd
besolgvg
jbfwglpm
oqehkgsu
xuaxeyrk

Files to move:
C:	ruc.bak | c:\windows\system32\drivers	cpip.sys

Files to delete:
c:\windows\system32\drivers\wezvrlvclkcq.sys
c:\windows\System32\Drivers\besolgvg.sys
c:\windows\System32\Drivers\jbfwglpm.sys
c:\windows\System32\Drivers\oqehkgsu.sys
c:\windows\System32\Drivers\xuaxeyrk.sys "
}

C'est bien ça ?

Lyonnais92 · Answer

Re,

tu copies 

Begin copying here:

Drivers to delete:
rbfrqd
besolgvg
jbfwglpm
oqehkgsu
xuaxeyrk

Files to move:
C:	ruc.bak | c:\windows\system32\drivers	cpip.sys
C:	ruc.bak | c:\windows\system32\dllcache	cpip.sys

Files to delete:
c:\windows\system32\drivers\wezvrlvclkcq.sys
c:\windows\System32\Drivers\besolgvg.sys
c:\windows\System32\Drivers\jbfwglpm.sys
c:\windows\System32\Drivers\oqehkgsu.sys
c:\windows\System32\Drivers\xuaxeyrk.sys

sebzag · Answer

Voila le rapport, mais vu les messages d'erreur... 

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Tue Feb 16 11:19:09 2010

11:19:03: Error: Invalid syntax in command:
"C:	ruc.bak \ c:\windows\system32\dllcache	cpip.sys"
Skipping line.  (File move mode)  
11:19:09: Error: Execution aborted by user!


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Tue Feb 16 11:27:24 2010

11:25:04: Error: Invalid syntax in command:
"C:	ruc.bak \ c:\windows\system32\dllcache	cpip.sys"
Skipping line.  (File move mode)  
11:27:24: Error: Execution aborted by user!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "rbfrqd" found!
DisplayName:  rbfrqd 
ImagePath:  \??\C:\WINDOWS\system32\drivers\wezvrlvclkcq.sys 
Start Type:  4 (Disabled)

Rootkit scan completed.

Driver "rbfrqd" deleted successfully.
Driver "besolgvg" deleted successfully.
Driver "jbfwglpm" deleted successfully.
Driver "oqehkgsu" deleted successfully.
Driver "xuaxeyrk" deleted successfully.

Error:  file "C:	ruc.bak" not found!
File move operation "C:	ruc.bak|c:\windows\system32\drivers	cpip.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:	ruc.bak" not found!
File move operation "C:	ruc.bak|c:\windows\system32\dllcache	cpip.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "c:\windows\system32\drivers\wezvrlvclkcq.sys" deleted successfully.

Error:  file "c:\windows\System32\Drivers\besolgvg.sys" not found!
Deletion of file "c:\windows\System32\Drivers\besolgvg.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\System32\Drivers\jbfwglpm.sys" not found!
Deletion of file "c:\windows\System32\Drivers\jbfwglpm.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\System32\Drivers\oqehkgsu.sys" not found!
Deletion of file "c:\windows\System32\Drivers\oqehkgsu.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\System32\Drivers\xuaxeyrk.sys" not found!
Deletion of file "c:\windows\System32\Drivers\xuaxeyrk.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

Lyonnais92 · Answer

Re,

tu peux vérifier si truc.bak existe ou pas sur l'ordi.

sebzag · Answer

oui il existe bien j'ai copié le fichier tcpips.sys dont le chemin était c:\windows\$hf_mig$\KB951748\SP2QFE	cpip.sys  sur C: que  j'ai renommé truc.bak

C'est bien le fichier tcpip.sys et non tcpip6.sys. Et c'est bien le dossier SP2QFE et non SP3QFE ?

Lyonnais92 · Answer

Re,

oui, c'est bien celui-ci :

c:\windows\$hf_mig$\KB951748\SP2QFE	cpip.sys

et c'est bien truc.bak, pas truc.back .

Relance The Avenger avec 

Begin copying here:

Files to move:
C:	ruc.bak | c:\windows\system32\drivers	cpip.sys

sebzag · Answer

juste ces 3 lignes que je colle dans le programme ?

Lyonnais92 · Answer

Re,

oui, seulement ces 3.

sebzag · Answer

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:	ruc.bak" not found!
File move operation "C:	ruc.bak|c:\windows\system32\drivers	cpip.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

Je comprends pas car lorsque je fais une recherche du fichier, l'ordinateur trouve bien son emplacement dans C:
merci du temps que tu accordes à m'aider à résoudre ce problème.

Lyonnais92 · Answer

Re,

on va essayer autrement.

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les 3 lignes suivantes :

Fcopy::
c:\windows\$hf_mig$\KB951748\SP2QFE	cpip.sys | c:\windows\system32\drivers	cpip.sys
c:\windows\$hf_mig$\KB951748\SP2QFE	cpip.sys |  c:\windows\system32\dllcache	cpip.sys




Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Tu auras une invite t'indiquant que ComboFix veut expédier un fichier pour analyse : accepte.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

sebzag · Answer

Je viens de procéder aux étapes, mais elles ne sont pas toutes apparues
ComboFix que j'ai renommé "antitruc" ne m'a pas invité à expédier un fichier pour analyse.

De plus le rapport que j'ai obtenu ne se trouvait pas dans C:\Combofix.txt, mais comme le rapport est apparue au démarrage j'avais copier son contenu. je l'ai mis dans un fichier texte sur le bureau; 
le voici http://www.cijoint.fr/cjlink.php?file=cj201002/cijRo2nObr.txt

Lyonnais92 · Answer

Re,

j'ai compris pourquoi The Avenger n'a pas trouvé le fichier :

C:	ruc.bak.sys ( et non C:	ruc.bak ).

Pas grave, mais je préfère ça.

===

Je voudrais que tu vérifie quelques fichiers.

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : c:\documents and settings\sebastien\Application Data\Facebook\axfbootloader.dll

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant  

Si tu ne le trouve pas, fais ceci :

->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok] 

===

Fais de même avec :

c:\documents and settings\sebastien\Application Data\Facebook
pfbplugin_1_0_1.dll 

c:\program files\mozilla firefox\plugins\libdivx.dll 

c:\program files\mozilla firefox\plugins\ssldivx.dll 

===

=>Télécharge ATF-Cleaner (Attribune) 
    -- Met le sur ton bureau

    => Lance ATF-Cleaner :
    * Sous l'onglet Main, choisis : Select All
    * Clique sur le bouton Empty Selected

    * Sous l'onglet Firefox (si présent) : Clique sur select all
    -- Au message "are you sure you want to delete your firefox saved password" clique sur NON
    -- Clique sur Empty selected

    * Sous l'onglet Opéra (si présent) : Clique sur select all
    -- Au message "are you sure you want to delete your firefox saved password" clique sur NON
    -- Clique sur Empty selected

    * Quitte ATF-Cleaner  

===
Installe un parefeu contrôlant les connexions sortantes :

tutoriel et lien de téléchargement ici :

https://www.malekal.com/tutorial-online-armor-free/ 

===

Comment va l'ordi ?

sebzag · Answer

Voici les liens correspondants aux fichiers à analyser:
http://www.cijoint.fr/cjlink.php?file=cj201002/cijwRstxQK.txt
http://www.cijoint.fr/cjlink.php?file=cj201002/cijX6YEv7i.txt
http://www.cijoint.fr/cjlink.php?file=cj201002/cijmSThho3.txt
http://www.cijoint.fr/cjlink.php?file=cj201002/cij2Wsna4x.txt

Et voici le lien ou  online armor demande si je dois autoriser ces paramètres ou les bloquer (cela je ne sais pas).
http://www.cijoint.fr/cjlink.php?file=cj201002/cijtLMMKLY.txt


Etat du pc: 
Au niveau de l'ordi cela à l'air d'aller mieux, j'ai retrouvé l'aspect windows xp que j'avais perdu, la mise en veille est de nouveau possible, le son fonctionne de nouveau.

A l'allumage il y a un écran noir restant 2s et me demandant si je souhaite démarrer en console ou normalement, cela doit être du a combofix.
Que dois je faire au niveau des programmes installés (quel spyware garder ?, quel antivirus ?)
Est il normal que dans le gestionnaire des taches j'ai le processus svchost.exe plusieur fois ?
En revanche je ne peux toujours pas supprimer avast et internet rame énormément (j'ai du mal à atteindre ce forum)

Merci

Lyonnais92 · Answer

Re,

tu peux autoriser tout.

Le choix de la Console ou du démarrage normal est "normal".

C'est normal d'avoir plusieurs svchost.exe

Pour supprimer Avast, est ce que je t'ai donné ce lien :

https://www.avast.com/fr-fr/uninstall-utility 

Est ce que Firefox rame autant que Internet Explorer ?

sebzag · Answer

oui les 2 rames énormément
Je vais supprimer avast, quel antivirus gratuit je pourrais prendre ?

Lyonnais92 · Answer

Re,

Antivir :

 
 tutoriel et lien pour Antivir :

https://www.malekal.com/avira-free-security-antivirus-gratuit/

qui contient un tutoriel pour la migration :

http://forum.malekal.com/abandonner-...vir-t4192.html

sebzag · Answer

Ok très bien je fais; est ce que je dois garder spybot ? MBAM ?

sebzag · Answer

re,
Suite à l'installation d'avira j'ai fais un test dont voici le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201002/cijbBdQGwt.txt

En attendant tes conseils, je vais suivre le tuto que tu m'a passé pour accordé avira avec ccleaner.
Par ailleurs j'ai vu dans l'onglet démarrage de ccleaner que j'ai un programme nommé ctfmon.exe qui se lance (je ne connais pas ce fichier) mais aussi "ShowLomControl"

ps: J'ai beau désactiver les pare feu, antivirus et spyware, firefox et ie sont toujours aussi lent.

Lyonnais92 · Answer

Bonjour,

on va nettoyer les outils :

 Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage. 

====

Il faut mettre à jour Windows : démarrer, Aide et support, Maintenez votre ordinateur à jour ...

Tu suis les instructions.

Tu installes le SP3 et Internet Explorer 8.

garion28 · Answer

pour ctfmon.exe c'est un fichier de windows, vérifie que le lien qu'il donne pour ce fichier soit bien dans c:\windows\system32
pour ShowLomControl il semblerai que ce soit une tache dans le registre sur certain dell

sebzag · Answer

Bonjour,

Oui ctfmon.exe a bien pour acces c:\windows\system32.

J'ai également nettoyé le bureau avec ZHPFix.exe

Internet est un peu plus lent que d'habitude certainement du au pare feu, mais la connexion est quand même bien meilleur depuis ce matin.

Qu'est ce que je dois faire maintenant ?

Lyonnais92 · Answer

Bonjour,

si tu as nettoyé les outils et mis à jour ce que j'ai demandé, on en a terminé.

Prends un point de restauration propre :

Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.

Nettoie quotidiennement les fichiers avec ATF Cleaner :

 =>Télécharge ATF-Cleaner (Attribune) 
    -- Met le sur ton bureau

    => Lance ATF-Cleaner :
    * Sous l'onglet Main, choisis : Select All
    * Clique sur le bouton Empty Selected

    * Sous l'onglet Firefox (si présent) : Clique sur select all
    -- Au message "are you sure you want to delete your firefox saved password" clique sur NON
    -- Clique sur Empty selected

    * Sous l'onglet Opéra (si présent) : Clique sur select all
    -- Au message "are you sure you want to delete your firefox saved password" clique sur NON
    -- Clique sur Empty selected

    * Quitte ATF-Cleaner  

Conserve MBAM et utilise le "de temps en temps" (scan rapide après mise à jour).

===

Quelques conseils :

Quelques conseils (merci kevlar) :

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P

sebzag · Answer

Voila j'ai crée un point de restauration (je me demande si on peut leur donner des noms).
J'ai également nettoyé les fichiers avec ATF-Cleaner ( est il possible de programmer ce logiciel afin qu'il fonctionne quotidiennement)

J'ai donc comme: 
antivirus: avira
pare-feu: Online Armor
spyware: MBAM et Spybot - Search & Destroy ( est ce que je dois supprimer spybot puisque j'ai MBAM)
nettoyer le pc: ccleaner et ATF-Cleaner
Est ce que je dois installer d'autre programme ?

J'ai regarder les liens que vous m'avez proposé et je me demande s'il va avoir un conflit entre MBAM et  Lop S&D si j'installe ce dernier?

Est ce que je dois garder: avenger, rescuecd, combofix ?

J'ai également une autre question ;)
Lorsqu'un antivirus trouve un fichier suspect mieux vaut il le réparer, le mettre en quarantaine ou le supprimer? Et s'il est en quarantaine, normalement si je refais une analyse ce fichier ne doit pas réapparaitre en tant que fichier suspect ? 

Démarche pour une analyse antivirus: Si le problème n'est pas résolu je vais donc sur (https://www.virustotal.com/gui/ je regarde quel antivirus détecte le fichier suspect. Je désactive mon antivirus et j'installe l'antivirus proposé par virustotal et je fais une analyse en mode sans échec. C'est bien ça ?

Merci pour le temps que vous m'avez accordé.

Lyonnais92 · Answer

Bonsoir,

il n'y a pas de conflit entre la version gratuite de MBAM et celle de Spybot S&D.

Tu n'as pas besoin de Lop S&D

Si tu as utilisé ZHPFix comme indiqué au post 45, tu ne devrais plus avoir The Avenger et Combofix.

Si ton antivirus peux réparer un fichier, répare.

Sinon, mise en quarantaine (attention aux faux positifs, en particulier les fichiers qui sont sur ton ordi depuis "longtemps". Une précaution, avant de redémarrer est de vérifier par Google que ce n'est pas un fichier système.

Le fichier ne doit pas réapparaître.

Si tu as un problème, vient demander de l'aide ici.

sebzag · Answer

Si tu as utilisé ZHPFix comme indiqué au post 45, tu ne devrais plus avoir The Avenger et Combofix. 
Lorsque j'ai fait cette procédure cela m'a supprimé ZHPdiag mais cela m'a pas supprimé les autres programmes

Lyonnais92 · Answer

Re,

Démarrer, Exécuter, tape combofix /uninstall dans la zone de saisie puis clique sur OK.

Démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok] 

* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

sebzag · Answer

Voila

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\avenger: trouvé !
C:\Documents and Settings\sebastien\Bureau\avenger.exe: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\sebastien\Bureau\avenger.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\avenger: supprimé !
C:\Program Files\ZHPDiag: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !
Sauvegarde du registre crée !
Point de restauration crée !
________________________________________________________________

En revanche j'ai toujours rescuecd.exe et antitruc (combofix) dans C:

sebzag · Answer

Lorsque j'allume le pc j'ai eu un message d'erreur du fichier winlogon.exe

szAppName : winlogon.exe     szAppVer : 0.0.0.0     szModName : ntdll.dll     
szModVer : 5.1.2600.3520     offset : 000109d8

Lyonnais92 · Answer

Re,

renomme antitruc en combofix et relance Toolscleaner.

poste le nouveau rapport.

===
Télécharge seaf.exe de C__XX

http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

hxxp://sd-1.archive-host.com/membres/up/16506160323759868/SF.exe

*Double clique sur SEAF.exe.

*Tape winlogon.exe dans la fenêtre.

*Coche la case devant "Informations supplémentaires ..."

*Clique sur le V derrière "Calculer le checksum" et choisis MD5.

*Clique sur Lancer la recherche.

*Patiente quelques minutes(tu peux suivre l'avancement du scan).

*Une fenêtre avec un SEAFlog.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

sebzag · Answer

Re, alors voici les 2 rapports

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix: trouvé !

---------------------------------
--> Suppression: 

C:\Combofix: supprimé !
______________________________
"Impeccable"


Rapport seaf.exe :

1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. Commencé à: 02:45:57 le 18/02/2010
4. 
5. Valeur(s) recherchée(s):
6. 
7. winlogon.exe
8. 
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Informations supplémentaires
11. 
12. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
13. 
14. "c:\WINDOWS\system32\winlogon.exe" [ ----N---- | 506368 ]
15. TC: 05/08/2004,13:00:00 | TM: 05/08/2004,13:00:00 | DA: 18/02/2010,02:26:56
16. MD5: d2de785aeab0bb8ca4c14a8a199dbe4e
17. 
18. 
19. CompagnyName: Microsoft Corporation
20. ProductName: Système d'exploitation Microsoft® Windows®
21. InternalName: winlogon
22. OriginalFilename: WINLOGON.EXE
23. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
24. ProductVersion: 5.1.2600.2180
25. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
26. 
27. =========================
28. 
29. "c:\WINDOWS\system32\dllcache\winlogon.exe" [ ----AC---- | 506368 ]
30. TC: 05/08/2004,13:00:00 | TM: 05/08/2004,13:00:00 | DA: 18/02/2010,02:40:19
31. MD5: d2de785aeab0bb8ca4c14a8a199dbe4e
32. 
33. 
34. CompagnyName: Microsoft Corporation
35. ProductName: Système d'exploitation Microsoft® Windows®
36. InternalName: winlogon
37. OriginalFilename: WINLOGON.EXE
38. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
39. ProductVersion: 5.1.2600.2180
40. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
41. 
42. =========================
43. 
44. "c:\WINDOWS\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\winlogon.exe" [ ----A---- | 512000 ]
45. TC: 14/04/2008,03:34:28 | TM: 14/04/2008,03:34:28 | DA: 18/02/2010,02:40:20
46. MD5: dd73d6b9f6b4cb630cf35b438b540174
47. 
48. 
49. CompagnyName: Microsoft Corporation
50. ProductName: Système d'exploitation Microsoft® Windows®
51. InternalName: winlogon
52. OriginalFilename: WINLOGON.EXE
53. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
54. ProductVersion: 5.1.2600.5512
55. FileVersion: 5.1.2600.5512 (xpsp.080413-2113)
56. 
57. =========================
58. 
59. "c:\WINDOWS\ERDNT\cache\winlogon.exe" [ ----A---- | 506368 ]
60. TC: 16/02/2010,01:10:10 | TM: 05/08/2004,13:00:00 | DA: 18/02/2010,02:40:21
61. MD5: d2de785aeab0bb8ca4c14a8a199dbe4e
62. 
63. 
64. CompagnyName: Microsoft Corporation
65. ProductName: Système d'exploitation Microsoft® Windows®
66. InternalName: winlogon
67. OriginalFilename: WINLOGON.EXE
68. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
69. ProductVersion: 5.1.2600.2180
70. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
71. 
72. =========================
73. 
74. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
75. 
76. Aucun dossier trouvé
77. 
78. =========================
79. 
80. Fin à: 02:46:08 le 18/02/2010 ( E.O.F )

sebzag · Answer

Bon ba j'ai redémarré le pc et le message n'apparait plus, bizarre. 
Je fais une analyse en mode sans échec avec MBAM afin de voir si tout va bien

Lyonnais92 · Answer

Bonjour,

tu me tiens au courant.

C'est moi qui t'ai fait installer rescueCD ?

sebzag · Answer

pour rescueCD non ce n'est pas vous; c'est lorsque j'ai pris le lien avira il y avait plusieurs choix j'ai pris cette version: 
[Download French installation kit] Download French installation kit
Avira AntiVir Personal - FREE Antivirus, Version 9
Date: 2010-02-15, Version: 9.0.0.74

Pas de malware trouvé, et le message est définitivement parti :D

Lyonnais92 · Answer

Bonjour,

comme je ne sais pas exactement ce qui a été fait, si tu veux le supprimer, fais ceci :



*Double clique sur SEAF.exe.

*Coche "Chercher également dans le registre".

*Tape rescuecd dans la fenêtre.

*Clique sur Lancer la recherche.

*Patiente quelques minutes(tu peux suivre l'avancement du scan).

*Une fenêtre avec un SEAFlog.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

sebzag · Answer

Re,

1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. Commencé à: 11:43:23 le 18/02/2010
4. 
5. Valeur(s) recherchée(s):
6. 
7. rescuecd
8. 
9. (!) --- Recherche registre
10. 
11. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
12. 
13. "c:\Documents and Settings\sebastien\Bureau\rescuecd.exe" [ ----A---- | 55190856 ]
14. TC: 14/02/2010,21:56:57 | TM: 14/02/2010,21:57:00 | DA: 18/02/2010,11:41:25
15. 
16. =========================
17. 
18. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
19. 
20. Aucun dossier trouvé
21. 
22. 
23. ====== Entrée(s) du registre ======
24. 
25. Aucune entrée du registre trouvée
26. 
27. =========================
28. 
29. Fin à: 11:44:16 le 18/02/2010 ( E.O.F )

sebzag · Answer

J'ai fait un test avec avira tout est bon

Lyonnais92 · Answer

Re,

pour rescuecd, un clic droit et Supprimer devrait suffire.

idem pour SEAF.

sebzag · Answer

Voila c'est fait; bon je crois que tout est bien nettoyé maintenant.

Merci à vous Lyonnais92 pour m'avoir aidé du début à la fin. J'ai appris pas mal de chose en plus.
Bonne continuation

Lyonnais92 · Answer

Re,

de rien pour l'aide, ce fut avec plaisir.

Bon surf.

Fichier systeme32 infecté de virus, quel pied

65 réponses

Discussions similaires

Newsletters