Fichier systeme32 infecté de virus, quel pied

Résolu

sebzag Messages postés 36 Date d'inscription Statut Membre Dernière intervention -
Lyonnais92 Messages postés 25159 Date d'inscription Statut Contributeur sécurité Dernière intervention - 18 févr. 2010 à 19:02

Bonjour à tous,
Récemment j'ai eu la joie de découvrir que mon pc était infecté de cheval de Troie, (je me suis dit cool un défis à relever) j'ai vite tiré la grimace.
Actuellement je suis obliger de démarrer en mode sans échec avec réseau sinon Windows bloque des le début, pc lent par ailleurs avec plusieurs bug du à ces cheval de Troie.

J'avais Avast qui n'a rien détecté et maintenant je suis incapable de supprimer cet antivirus même avec ccleaner.
Je l'ai juste désactiver. j'ai installé Avira qui détecte plusieurs cheval de Troie dont:
- TR/Crypt.XPACK.Gen
- TR/Crypt.FKM.Gen
- GEN/PwdZIP

VOICI LE RAPPORT DE HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:21:18, on 12/02/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
D:\SEB_Mes documents\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe,
O2 - BHO: (no name) - {06FA474B-3DED-45A3-A6A6-5D414789C226} - C:\WINDOWS\system32\moytkfpp.dll
O2 - BHO: (no name) - {09E4A3D0-0568-498A-94E0-7C393883D62F} - c:\windows\system32\wqazfme.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.3.7.16.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ShowLOMControl]
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Télécharger toutes les vidéos avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.3.7.16.dll/206 (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O20 - Winlogon Notify: bqtpfmiz - C:\WINDOWS\SYSTEM32\wqazfme.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

Afficher la suite

A voir également:

Fichier systeme32 infecté de virus, quel pied
Fichier bin - Guide
Fichier epub - Guide
Fichier rar - Guide
Comment réduire la taille d'un fichier - Guide
Fichier .dat - Guide

65 réponses

Réponse 21 / 65

Lyonnais92 Messages postés 25159 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 537

Bonjour,

tenace, avec des fichiers système patchés.

===
Ouvre l'Explorateur Windows et cherche : c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys

Fais un clic droit et Copier.

Mets toi dans le répertoire C:\

Clic droit et Coller.

Clic droit sur le fichier créé et Renommer.

Appelle truc.bak.

===

1. Télécharge The Avenger par Swandog46 sur le Bureau

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Drivers to delete:
rbfrqd
besolgvg
jbfwglpm
oqehkgsu
xuaxeyrk

Files to move:
C:\truc.bak | c:\windows\system32\drivers\tcpip.sys
C:\truc.bak \ c:\windows\system32\dllcache\tcpip.sys

Files to delete:
c:\windows\system32\drivers\wezvrlvclkcq.sys
c:\windows\System32\Drivers\besolgvg.sys
c:\windows\System32\Drivers\jbfwglpm.sys
c:\windows\System32\Drivers\oqehkgsu.sys
c:\windows\System32\Drivers\xuaxeyrk.sys

IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.

Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:

Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

Réponse 22 / 65

sebzag Messages postés 36 Date d'inscription Statut Membre Dernière intervention

Bonjour,
est ce que je peux supprimer ComboFix ? le pc n'a plus acces à internet depuis ce matin hors il y à peine 3h il fonctionnait, lorsque je vais sur intel proet/wireless il m'indique le message suivant:
"Le logiciel intel(r) proset wireless n'a détecté aucune carte sans fil prise en charge. Veuillez installer une carte prise en charge".
De plus windows en mode normal ne fonctionne pas, seul le mode sans echec fonctionne.
Le tcpip je dois le renomer "truc.bak." ou seulement "truc" ?

Merci

Réponse 23 / 65

sebzag Messages postés 36 Date d'inscription Statut Membre Dernière intervention

bon au bout de plusieurs essais windows a démarré normalement et j'ai retrouvé l'acces a internet (avant j'étais en mode sans echec avec prise en charge réseau).

Avant de pouvoir poursuivre il m faut juste cette info: Le tcpip je dois le renomer "truc.bak." ou "truc.bak" ou "truc" ?

Je dois également copié ça: "Begin copying here: " ou je copie juste après ?

Réponse 24 / 65

Lyonnais92 Messages postés 25159 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 537

Re,

tu as une infection qui me semble coriace.

Il est possible qu'il y ait un mécanisme régénérateur que je n'ai pas trouvé.

===

Tu le renommes truc.bak (un nom et une extension) (l'important est que le nom que tu lui donnes et le nom dans le script de The Avenger soit strictement identiques)..

Tu copies Begin copying here:

C'est "inutile" sauf à éviter que la première ligne utile soit mal prise en compte.

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 65

sebzag Messages postés 36 Date d'inscription Statut Membre Dernière intervention

Lorsque je clique sur "execute" un message d'erreur apparait de suite:
error: invalid syntax in command:
"C:\truc.bak \ c:\windows\system32\dllcache\tcpip.sys"
Spipping line. (file move mode)

Je clique sur "ok" car je n'ai pas d'autre choix:
"le message suivant apparait Press ok to continue script execution or cancel to abort."

que dois je faire ?
J'ai pourtant bien copié le fichier tcpip dans le lecteur C.

Puis dans le programme the avenger j'ai copié :
"Begin copying here:

Drivers to delete:
rbfrqd
besolgvg
jbfwglpm
oqehkgsu
xuaxeyrk

Files to move:
C:\truc.bak | c:\windows\system32\drivers\tcpip.sys
C:\truc.bak \ c:\windows\system32\dllcache\tcpip.sys

Files to delete:
c:\windows\system32\drivers\wezvrlvclkcq.sys
c:\windows\System32\Drivers\besolgvg.sys
c:\windows\System32\Drivers\jbfwglpm.sys
c:\windows\System32\Drivers\oqehkgsu.sys
c:\windows\System32\Drivers\xuaxeyrk.sys "

Réponse 26 / 65

Lyonnais92 Messages postés 25159 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 537

Re,

c'est moi qui ai fait une erreur.

la bonne ligne c'est

C:\truc.bak | c:\windows\system32\dllcache\tcpip.sys

clci sur abort et recommence avec la bonne ligne dans le script.

désolé.

Réponse 27 / 65

sebzag Messages postés 36 Date d'inscription Statut Membre Dernière intervention

Si je comprends bien dans ces 2 lignes:

{
Files to move:
C:\truc.bak | c:\windows\system32\drivers\tcpip.sys
C:\truc.bak \ c:\windows\system32\dllcache\tcpip.sys
}

je supprime: "C:\truc.bak \ c:\windows\system32\dllcache\tcpip.sys"; cela devient:

{
"Begin copying here:

Drivers to delete:
rbfrqd
besolgvg
jbfwglpm
oqehkgsu
xuaxeyrk

Files to move:
C:\truc.bak | c:\windows\system32\drivers\tcpip.sys

Files to delete:
c:\windows\system32\drivers\wezvrlvclkcq.sys
c:\windows\System32\Drivers\besolgvg.sys
c:\windows\System32\Drivers\jbfwglpm.sys
c:\windows\System32\Drivers\oqehkgsu.sys
c:\windows\System32\Drivers\xuaxeyrk.sys "
}

C'est bien ça ?

Réponse 28 / 65

Lyonnais92 Messages postés 25159 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 537

Re,

tu copies

Begin copying here:

Drivers to delete:
rbfrqd
besolgvg
jbfwglpm
oqehkgsu
xuaxeyrk

Files to move:
C:\truc.bak | c:\windows\system32\drivers\tcpip.sys
C:\truc.bak | c:\windows\system32\dllcache\tcpip.sys

Files to delete:
c:\windows\system32\drivers\wezvrlvclkcq.sys
c:\windows\System32\Drivers\besolgvg.sys
c:\windows\System32\Drivers\jbfwglpm.sys
c:\windows\System32\Drivers\oqehkgsu.sys
c:\windows\System32\Drivers\xuaxeyrk.sys

Réponse 29 / 65

sebzag Messages postés 36 Date d'inscription Statut Membre Dernière intervention

Voila le rapport, mais vu les messages d'erreur...

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Tue Feb 16 11:19:09 2010

11:19:03: Error: Invalid syntax in command:
"C:\truc.bak \ c:\windows\system32\dllcache\tcpip.sys"
Skipping line. (File move mode)
11:19:09: Error: Execution aborted by user!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Tue Feb 16 11:27:24 2010

11:25:04: Error: Invalid syntax in command:
"C:\truc.bak \ c:\windows\system32\dllcache\tcpip.sys"
Skipping line. (File move mode)
11:27:24: Error: Execution aborted by user!

//////////////////////////////////////////

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "rbfrqd" found!
DisplayName: rbfrqd
ImagePath: \??\C:\WINDOWS\system32\drivers\wezvrlvclkcq.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "rbfrqd" deleted successfully.
Driver "besolgvg" deleted successfully.
Driver "jbfwglpm" deleted successfully.
Driver "oqehkgsu" deleted successfully.
Driver "xuaxeyrk" deleted successfully.

Error: file "C:\truc.bak" not found!
File move operation "C:\truc.bak|c:\windows\system32\drivers\tcpip.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\truc.bak" not found!
File move operation "C:\truc.bak|c:\windows\system32\dllcache\tcpip.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "c:\windows\system32\drivers\wezvrlvclkcq.sys" deleted successfully.

Error: file "c:\windows\System32\Drivers\besolgvg.sys" not found!
Deletion of file "c:\windows\System32\Drivers\besolgvg.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\System32\Drivers\jbfwglpm.sys" not found!
Deletion of file "c:\windows\System32\Drivers\jbfwglpm.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\System32\Drivers\oqehkgsu.sys" not found!
Deletion of file "c:\windows\System32\Drivers\oqehkgsu.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "c:\windows\System32\Drivers\xuaxeyrk.sys" not found!
Deletion of file "c:\windows\System32\Drivers\xuaxeyrk.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Réponse 30 / 65

Lyonnais92 Messages postés 25159 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 537

Re,

tu peux vérifier si truc.bak existe ou pas sur l'ordi.

Réponse 31 / 65

sebzag Messages postés 36 Date d'inscription Statut Membre Dernière intervention

oui il existe bien j'ai copié le fichier tcpips.sys dont le chemin était c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys sur C: que j'ai renommé truc.bak

C'est bien le fichier tcpip.sys et non tcpip6.sys. Et c'est bien le dossier SP2QFE et non SP3QFE ?

Réponse 32 / 65

Lyonnais92 Messages postés 25159 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 537

Re,

oui, c'est bien celui-ci :

c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys

et c'est bien truc.bak, pas truc.back .

Relance The Avenger avec

Begin copying here:

Files to move:
C:\truc.bak | c:\windows\system32\drivers\tcpip.sys

Réponse 33 / 65

sebzag Messages postés 36 Date d'inscription Statut Membre Dernière intervention

juste ces 3 lignes que je colle dans le programme ?

Réponse 34 / 65

Lyonnais92 Messages postés 25159 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 537

Re,

oui, seulement ces 3.

Réponse 35 / 65

sebzag Messages postés 36 Date d'inscription Statut Membre Dernière intervention

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\truc.bak" not found!
File move operation "C:\truc.bak|c:\windows\system32\drivers\tcpip.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Je comprends pas car lorsque je fais une recherche du fichier, l'ordinateur trouve bien son emplacement dans C:
merci du temps que tu accordes à m'aider à résoudre ce problème.

Réponse 36 / 65

Lyonnais92 Messages postés 25159 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 537

Re,

on va essayer autrement.

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les 3 lignes suivantes :

Fcopy::
c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys | c:\windows\system32\drivers\tcpip.sys
c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys | c:\windows\system32\dllcache\tcpip.sys

Enregistre ce fichier sous le nom CFscript

Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Tu auras une invite t'indiquant que ComboFix veut expédier un fichier pour analyse : accepte.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

Réponse 37 / 65

sebzag Messages postés 36 Date d'inscription Statut Membre Dernière intervention

Je viens de procéder aux étapes, mais elles ne sont pas toutes apparues
ComboFix que j'ai renommé "antitruc" ne m'a pas invité à expédier un fichier pour analyse.

De plus le rapport que j'ai obtenu ne se trouvait pas dans C:\Combofix.txt, mais comme le rapport est apparue au démarrage j'avais copier son contenu. je l'ai mis dans un fichier texte sur le bureau;
le voici http://www.cijoint.fr/cjlink.php?file=cj201002/cijRo2nObr.txt

Réponse 38 / 65

Lyonnais92 Messages postés 25159 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 537

Re,

j'ai compris pourquoi The Avenger n'a pas trouvé le fichier :

C:\truc.bak.sys ( et non C:\truc.bak ).

Pas grave, mais je préfère ça.

===

Je voudrais que tu vérifie quelques fichiers.

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : c:\documents and settings\sebastien\Application Data\Facebook\axfbootloader.dll

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

Si tu ne le trouve pas, fais ceci :

->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]

===

Fais de même avec :

c:\documents and settings\sebastien\Application Data\Facebook\npfbplugin_1_0_1.dll

c:\program files\mozilla firefox\plugins\libdivx.dll

c:\program files\mozilla firefox\plugins\ssldivx.dll

===

=>Télécharge ATF-Cleaner (Attribune)
-- Met le sur ton bureau

=> Lance ATF-Cleaner :
* Sous l'onglet Main, choisis : Select All
* Clique sur le bouton Empty Selected

* Sous l'onglet Firefox (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected

* Sous l'onglet Opéra (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected

* Quitte ATF-Cleaner

===
Installe un parefeu contrôlant les connexions sortantes :

tutoriel et lien de téléchargement ici :

https://www.malekal.com/tutorial-online-armor-free/

===

Comment va l'ordi ?

Réponse 39 / 65

sebzag Messages postés 36 Date d'inscription Statut Membre Dernière intervention

Voici les liens correspondants aux fichiers à analyser:
http://www.cijoint.fr/cjlink.php?file=cj201002/cijwRstxQK.txt
http://www.cijoint.fr/cjlink.php?file=cj201002/cijX6YEv7i.txt
http://www.cijoint.fr/cjlink.php?file=cj201002/cijmSThho3.txt
http://www.cijoint.fr/cjlink.php?file=cj201002/cij2Wsna4x.txt

Et voici le lien ou online armor demande si je dois autoriser ces paramètres ou les bloquer (cela je ne sais pas).
http://www.cijoint.fr/cjlink.php?file=cj201002/cijtLMMKLY.txt

Etat du pc:
Au niveau de l'ordi cela à l'air d'aller mieux, j'ai retrouvé l'aspect windows xp que j'avais perdu, la mise en veille est de nouveau possible, le son fonctionne de nouveau.

A l'allumage il y a un écran noir restant 2s et me demandant si je souhaite démarrer en console ou normalement, cela doit être du a combofix.
Que dois je faire au niveau des programmes installés (quel spyware garder ?, quel antivirus ?)
Est il normal que dans le gestionnaire des taches j'ai le processus svchost.exe plusieur fois ?
En revanche je ne peux toujours pas supprimer avast et internet rame énormément (j'ai du mal à atteindre ce forum)

Merci

Réponse 40 / 65

Lyonnais92 Messages postés 25159 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 537

Re,

tu peux autoriser tout.

Le choix de la Console ou du démarrage normal est "normal".

C'est normal d'avoir plusieurs svchost.exe

Pour supprimer Avast, est ce que je t'ai donné ce lien :

https://www.avast.com/fr-fr/uninstall-utility

Est ce que Firefox rame autant que Internet Explorer ?

Votre réponse