virus dr guard Résolu/Fermé

Question

Bonjour,
aujourd'hui je travaillais sur le pc windows xp d'une amie
et j'ai chopé dr guard...
je dois absolument faire un montage pour demain
et je ne dois perdre aucune donnée! ahi ahi ahi ahi...
Je n'ai pas l'habitude de windows.
au débout j'ai essayé de désinstaller,
j'ai supprimer le fichier drguard.exe....rien!
J'ai lu le tutoriel, je suis en mode sans échec
autrement l'ordi se bloque en me bombardant de fenêtres au démarrage.
j'ai installé malaware et déjà effectué une recherche rapide,
je joins après le rapport.
je suis en train d'effectuer une recherche complète.
La question est:
est-ce que je supprime le fichiers en quarantaine?

Merci beaucoup,
vous faites un boulot énorme!

PREMIER RAPPORT:


Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3510
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 6.0.2900.5512

01/03/2010 22:05:02
mbam-log-2010-03-01 (22-05-02).txt

Type de recherche: Examen rapide
Eléments examinés: 105089
Temps écoulé: 3 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 14

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
D:\WINDOWS\system32\q62oodsy.dll (Trojan.Vundo.H) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a3ba40a2-74f0-42bd-f434-00b15a2c8953} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a3ba40a2-74f0-42bd-f434-00b15a2c8953} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{a3ba40a2-74f0-42bd-f434-00b15a2c8953} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon	askman (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runegedit32 (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
D:\Documents and Settings\All Users\Application Data\81890430 (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
D:\WINDOWS\system32\q62oodsy.dll (Trojan.Vundo.H) -> Delete on reboot.
D:\RECYCLER\S-1-5-21-8305405887-3471156058-896259140-4692
issan.exe (Worm.Autorun.B) -> Delete on reboot.
D:\WINDOWS\system32\q9na7pqc.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
D:\WINDOWS\system32\yx8ufbbj.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
D:\Documents and Settings\Administrateur\Bureau\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Bureau\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Menu Démarrer\Programmes\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
D:\Documents and Settings\Administrateur\Application Data\wiaservg.log (Malware.Trace) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Application Data\wiaservg.log (Malware.Trace) -> Quarantined and deleted successfully.
D:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\ihaupd32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Menu Démarrer\Programmes\Démarrage\ihaupd32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Local Settings\Temp\dhdhtrdhdrtr5y (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\Documents and Settings\Administrateur\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

sKe69 · Answer

Hello,


La question est: 
est-ce que je supprime le fichiers en quarantaine?


> OUI ! fait toi plaisir ! .... supprime tout ...


puis redémarre le PC en mode normal , tu devrais avoir accès au bureau ....



Puis fait ceci pour voir ce qui reste de la bestiole :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !! 

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) . 

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

frati · Answer

Merci beaucoup!
quelle rapidité...
j'ai suivi les consignes,
juste je suis un peu hésitant à mettre en ligne les résultats,
j'ai l'impression qu'ils donnent pas mal d'infos
et d'autant plus que ce n'est pas mon ordi....
y-t-il des risques?!
en tout cas j'ai essayé à démarrer en normal,
mais l'ordi ne marche plus comme avant.
il n'y a plus de fenêtres dr guard,
mais pas exemple la barre des applications est bloqué.

je ne suis pas sur que la bestiole soit définitivement ejecté....

sKe69 · Answer

Re,


j'ai l'impression qu'ils donnent pas mal d'infos 
et d'autant plus que ce n'est pas mon ordi.... 
y-t-il des risques?! 

> aucun risque ... t'as qu'à regarder les autres sujets en cours ... des rapports de diag sont nécessaires pour que l'on puisse vous aidez ...


Tu es bien sûr encore infecté ... cette saleté de rogue qui c'est infiltré dans le PC ne se déloge pas comme ça ! ... de plus il n'est pas seul ... ^^



Donc si tu veux que je t'aide , fait moi parvenir les rapports comme je te l'ai demandé ...


Sinon , bonne chance ... ;)

frati · Answer

Effectivement,
je ne peux que enoyer les rapports...
juste des questions qu'on se pose, 
de toute façons sans vous on n'a aucun contrôle,
seul je ne serai vraiment quoi faire!

voilà le rapport,
je suis en train de refaire un examen complet avec malw,
déja plein de trucs....

merci encore!

frati · Answer

ops,

RAPPORT

http://www.cijoint.fr/cjlink.php?file=cj201003/cijuPUqQm0.txt

sKe69 · Answer

re,


je suis en train de refaire un examen complet avec malw, 
déja plein de trucs.... 


stop tout ! ... je ne t'ai pas demandé de faire ça !!!!

frati · Answer

désolé,
j'ai arrêté sans afficher les résultats
et j'ai fermé le programme

sKe69 · Answer

Très bien ...


en plus MBAM n'est pas à jour donc ... inutil d'insister ... on le ré-utilisera en temps voulu ...



je rappelle qu'on bosse en mode normal ! ...



/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).



Commence par faire ceci :


Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

frati · Answer

ok, j'ai téléchargé usbfix,
comme j'étais encore en mode sans échec 
j'ai rallumé l'ordi, mais en mode normal il rame,
la barre des applications bloque
et je n'arrive pas à désactiver la connexion....
quand je vais sur poste de travail ça bloque.

je peux travailler en mode sans échec?

frati · Answer

l'ordi est totalement bloqué en mode normal.
je l'ai forcé à s'eteindre,
rallumé, mais rien ne bouge....

sKe69 · Answer

bon ...


fait la manipe d'USBfix en mode sans échec "avec prise en charge du réseau" ( afin de pouvoir te connecté ...)


Poste moi le rapport obtenu pour analyse ...


( ne touche plus au PC après cela ... je te donnerai la suite des opérations demain en début d'aprés midi ... Bonne nuit )

frati · Answer

merci,
j'ai lancé usbfix,
bonne nuit,
même si je dois avouer que j'éspérait que tu étais insomniaque...
je suis vraiment mal barré...

A+

frati · Answer

voilà le rapport



############################## | UsbFix V6.097 |

User : sbettius 2 (Administrateurs) # SBETTIUS
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 00:55:24 | 02/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU         T5200  @ 1.60GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
AV : Dr. Guard 1.0 [ Enabled | (!) Outdated ]
AV : avast! Antivirus 5.0.83886498 [ Enabled | Updated ]

C:\ -> Disque fixe local # 39,06 Go (22,56 Go free) [Vista] # NTFS
D:\ -> Disque fixe local # 16,59 Go (4,78 Go free) [Xp] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 54,66 Go (7,45 Go free) [Data] # NTFS

############################## | Processus actifs |

D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

D:\DOCUME~1\SBETTI~1\LOCALS~1\Temp\087.exe  
D:\DOCUME~1\SBETTI~1\LOCALS~1\Temp\174.exe  
D:\DOCUME~1\SBETTI~1\LOCALS~1\Temp\309.exe  
D:\DOCUME~1\SBETTI~1\LOCALS~1\Temp\ytb.exe  
C:\lsass.exe  
F:\autorun.inf  
G:\autorun.inf -> fichier appelé : "G:\KARINA///debeja.exe" ( Présent ! )  
G:\autorun.inf -> fichier appelé : "G:\KARINA///debeja.exe" ( Présent ! )  
G:\autorun.inf  
G:\KLIZAVI\desktop.ini  
G:\KLIZAVI\sapun.exe  
G:\KLIZAVI  
G:\pozuda\malena.exe  
G:\pozuda  

################## | Registre |

[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\F
Shell\AutoRun\command =F:\setupSNK.exe 

HKCU\..\..\Explorer\MountPoints2\G
Shell\AutoRun\command =G:\KARINA///debeja.exe 
Shell\open\command =G:\KARINA///debeja.exe 

HKCU\..\..\Explorer\MountPoints2\{2bd7badb-8f16-11dd-8f46-99e87d098546}
Shell\AutoRun\command =00hoeav.com 
Shell\explore\Command =00hoeav.com 
Shell\open\Command =00hoeav.com 

HKCU\..\..\Explorer\MountPoints2\{56b27038-cea9-11dd-9540-00a0d1699bec}
Shell\AutoRun\command =G:\InstallSeagateManager.exe 

HKCU\..\..\Explorer\MountPoints2\{5cf49033-416b-11de-95d9-00a0d1699bec}
Shell\Auto\command =H:\launcher.exe 
Shell\AutoRun\command =D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL launcher.exe

HKCU\..\..\Explorer\MountPoints2\{d8c0bea1-355b-11de-95ca-00a0d1699bec}
Shell\AutoRun\command =G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\usb323.exe 
Shell\open\command =G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\usb323.exe 

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.097 ! |

sKe69 · Answer

hello,


la suite dans l'ordre :




1- Depuis le mode sans échec :

! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé,  poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\ 


============================

2- ( toujours tes unités externes branchées aux PC ).

Télécharge SEAF ( de C__XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
ou ici https://www.androidworld.fr/

! Ferme toutes applications en cours !

* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil. 

* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

usb323


* Au niveau des " options des fichiers ", fait les réglages suivant :
> A "Calculer le checksum" , choisis : MD5 
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant  " Afficher les ADS "

* Au niveau  des " options du registre " :
> coche " chercher également dans le registre "

( ne touche à aucun autre réglage ) 

* Clique sur " Lancer la recherche " et laisse travailler l'outil ...
( cela peut-être plus ou moins long suivant les cas ). 

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt ) 

--> Copie/colle le contenu de ce rapport dans ta prochaine réponse. Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/
 

===========================

3- ( en mode normal si possible )

Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

frati · Answer

Merci merci merci.....
cette nuit j'ai rêvé que d'ordi et de rapports....
mon montage attens et moi entre temps:

- j'ai refait usbfix avec option 2.
- l'ordi s'est rallumé en mode normal, il y a eu scan usbfix avec rapport.
- je suis repassé en lode sans échec pour pouvoir l'envoyer, mode normal bloque tj...

VOILA' LE RAPPORT



############################## | UsbFix V6.097 |

User : sbettius 2 (Administrateurs) # SBETTIUS
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 11:28:37 | 02/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU         T5200  @ 1.60GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
AV : Dr. Guard 1.0 [ Enabled | (!) Outdated ]
AV : avast! Antivirus 5.0.83886498 [ Enabled | Updated ]

C:\ -> Disque fixe local # 39,06 Go (22,56 Go free) [Vista] # NTFS
D:\ -> Disque fixe local # 16,59 Go (4,76 Go free) [Xp] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 54,66 Go (7,45 Go free) [Data] # NTFS
G:\ -> Disque fixe local # 931,28 Go (802,22 Go free) [Elements] # FAT32

############################## | Processus actifs |

D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Intel\Wireless\Bin\EvtEng.exe
D:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Alwil Software\Avast5\AvastSvc.exe
D:\WINDOWS\system32\logonui.exe
D:\WINDOWS\system32\userinit.exe
D:\WINDOWS\system32\WgaTray.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\acs.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\crypserv.exe
D:\Program Files\Seagate\SeagateManager\Sync\FreeAgentService.exe
D:\WINDOWS\system32
vsvc32.exe
D:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
D:\WINDOWS\system32	cpsvcs.exe
D:\WINDOWS\System32\snmp.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\wdfmgr.exe
D:\Program Files\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

Supprimé ! D:\DOCUME~1\SBETTI~1\LOCALS~1\Temp\asd8.tmp.exe 
Supprimé ! D:\DOCUME~1\SBETTI~1\LOCALS~1\Temp\087.exe 
Supprimé ! D:\DOCUME~1\SBETTI~1\LOCALS~1\Temp\174.exe 
Supprimé ! D:\DOCUME~1\SBETTI~1\LOCALS~1\Temp\309.exe 
Supprimé ! D:\DOCUME~1\SBETTI~1\LOCALS~1\Temp\ytb.exe 
Supprimé ! C:\lsass.exe 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-1977114147-3677329669-3575530183-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2152478756-3922319563-605102323-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2256296683-2490543695-1737019047-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3950889498-3502377534-3191853766-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-585775164-989529294-36438153-1000 
Supprimé ! C:\Recycler\S-1-5-21-583907252-507921405-725345543-1003 
Supprimé ! D:\Recycler\S-1-5-21-583907252-507921405-725345543-1003 
Supprimé ! D:\Recycler\S-1-5-21-8305405887-3471156058-896259140-4692 
Supprimé ! F:\autorun.inf 
Supprimé ! F:\$Recycle.Bin\S-1-5-21-585775164-989529294-36438153-1000 
Supprimé ! F:\Recycler\S-1-5-21-583907252-507921405-725345543-1003 
G:\autorun.inf -> fichier appelé : "G:\KARINA///debeja.exe" ( Présent ! )  
(!) Non supprimé ! G:\KARINA///debeja.exe 
G:\autorun.inf -> fichier appelé : "G:\KARINA///debeja.exe" ( Présent ! )  
(!) Non supprimé ! G:\KARINA///debeja.exe 
Supprimé ! G:\autorun.inf 
Supprimé ! G:\KLIZAVI\desktop.ini 
Supprimé ! G:\KLIZAVI\sapun.exe 
Supprimé ! G:\KLIZAVI 
Supprimé ! G:\pozuda\malena.exe 
Supprimé ! G:\pozuda 

################## | Registre |

Supprimé ! [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"  

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\F\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{2bd7badb-8f16-11dd-8f46-99e87d098546}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{56b27038-cea9-11dd-9540-00a0d1699bec}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{5cf49033-416b-11de-95d9-00a0d1699bec}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{d8c0bea1-355b-11de-95ca-00a0d1699bec}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[18/09/2006 22:43|--a------|24] C:\autoexec.bat 
[01/10/2008 15:03|--ahs----|294] C:\boot.ini 
[28/08/2001 13:00|-rahs----|4952] C:\Bootfont.bin 
[02/11/2006 10:53|-rahs----|438840] C:\bootmgr 
[18/12/2006 08:01|-ra-s----|8192] C:\BOOTSECT.BAK 
[01/10/2008 12:33|--a------|384] C:\CKINFO.TXT 
[18/09/2006 22:43|--a------|10] C:\config.sys 
[29/09/2008 19:21|--ahs----|1071702016] C:\hiberfil.sys 
[23/05/2008 17:50|-rahs----|0] C:\IO.SYS 
[20/05/2007 10:46|--a------|512] C:\mbrbm.bin 
[17/04/2007 12:32|--a------|149095] C:\MBRTOOL.EXE 
[23/05/2008 17:50|-rahs----|0] C:\MSDOS.SYS 
[03/08/2004 21:38|-rahs----|47564] C:\NTDETECT.COM 
[28/12/2008 11:37|-rahs----|252240] C:
tldr 
[21/12/2006 11:31|--ah-----|176] C:\SWSTAMP.TXT 
[18/12/2006 10:30|--a------|475536] C:\vcredist_x86.log 
[21/12/2006 11:20|--a----t-|23588] C:\_wdsuef.dmp 
[?|?|?] D:\pagefile.sys 
[02/03/2010 00:59|--a------|3036] D:\RAPPORTUsbFix.txt 
[02/03/2010 11:33|--a------|5296] D:\UsbFix.txt 
[04/01/2007 11:13|--a------|11] F:\H07064FR.tag 
[15/12/2007 14:02|--a------|218] F:\Lecteur CD - Raccourci.lnk 
[17/04/2007 12:32|--a------|149095] F:\MBRTOOL.EXE 
[04/07/2006 12:26|--a------|729239451] F:\SANS TOIT NI LOI (Agnes Varda 1985 1h41).avi 
[13/04/2008 19:34|--a------|28672] F:\setupSNK.exe 
[12/06/2009 11:26|--ah-----|4096] G:\._.Trashes 
[12/06/2009 13:54|--ah-----|82] G:\._TheVolumeSettingsFolder 
[12/06/2009 15:24|--ah-----|15364] G:\.DS_Store 
[16/02/2010 19:34|--a------|11008] G:\memo part.html 
[17/02/2010 19:06|--a------|150968072] G:\OOo_3.2.0_Win32Intel_install_wJRE_fr.exe 
[28/02/2010 19:13|--a------|133493] G:\adh‚sion NEF.doc.zip 
[17/02/2010 19:22|-rahs----|0] G:\MSDOS.SYS 
[17/02/2010 19:22|-rahs----|0] G:\IO.SYS 
[17/02/2010 18:00|--a------|446] G:\PROJET JUHA.lnk 
[18/02/2010 14:14|--a------|963584] G:\all'hammam.doc 
[18/02/2010 14:11|--a------|1957376] G:\juha e la sua giarra.doc 
[18/02/2010 00:30|--a------|1826816] G:\storielle.doc 
[18/02/2010 15:02|--a------|1516032] G:\crisi degli alloggi.doc 
[18/02/2010 14:59|--a------|1491392] G:\genio.jpg 
[17/02/2010 20:03|--a------|836647] G:\… paris1.jpg 
[17/02/2010 22:31|--a------|177269] G:\jarre.jpg 
[17/02/2010 22:43|--a------|122250] G:\crise.jpg 
[17/02/2010 22:28|--a------|1749159] G:	iktonik_0004.jpg 
[17/02/2010 22:23|--a------|431594] G:\saut_0002.jpg 
[17/02/2010 22:21|--a------|309377] G:	elefono.jpg 
[18/02/2010 00:23|--a------|735099] G:\mani.jpg 
[18/02/2010 00:12|--a------|325044] G:\dottore.jpg 
[17/02/2010 22:26|--a------|795201] G:\mains_0003.jpg 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : D:\UsbFix_Upload_Me_SBETTIUS.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.097 ! |

sKe69 · Answer

re,



! toujours en mode sans échec avec prise en charge du réseau !



Dans l'ordre :


1- Rends sur cette page :
> https://www.ionos.fr/?affiliate_id=77097 

* clique sur "parcourir" et va jusqu'au fichier D:\UsbFix_Upload_Me_SBETTIUS.zip

* En dessous de "Sélectionnez l'outil que vous venez d'utiliser" , choisis UsbFix . 

 
* puis clique sur "envoyer le fichier" ... patiente le temps du transfère ...

* Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_SBETTIUS.zip 


merci d'avoir fait cette remonté qui permettra aux auteurs de l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant ... ^^


==========================


2- On va utiliser Malwarebytes ainsi :

mets le à jour !  > important ! ... si tu n'y arrive pas , fait moi le savoir avant de poursuivre ... 


! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebytes .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


========================

3- Normalement , Malwarebytes a du te demandé de re-booter le PC et tu doit être en mode normal .

Reste dans ce mode, refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

( si il ne t'ai pas possible de le faire en mode normal , fait moi le savoir )

frati · Answer

OK, alors, pendant que tu écrivais
j'étais en train d'utiliser SEAF.
En mode sans échec j'ai suivi les consignes,
je t'envoie le rapport.

- j'ai uploadé sur usbfix.
- je t'envoie le rapport SEAF.
- Peut tu me spécifier exactement la prochaine étape? (malaware, zhpdiag?....)

RAPPORT SEAF:

http://www.cijoint.fr/cjlink.php?file=cj201003/cijqLKpUSY.txt

frati · Answer

j'ai commencé par mettre à jour malaware.
J'obtiens:
"vous possedez déjà la dernière version".
Version 3811
Signatures....198954

je continue? 
merci encore

frati · Answer

J'ai suivi tes dernières indications.
Une fois utilisé malaware l'ordi s'est rallumé en mode normal,
j'ai alors lancé zhpdialogue et fait l'analyse.
Pour écrire et envoyer les rapports j'ai du revenir au mode sans échec,
le mode normal bloque tj....
HELP
Je dois absolument travailler mon montage....
pense-tu qu'on va y arriver?

Voici

RAPPORT ZHPdialogue (fait après malaware)

http://www.cijoint.fr/cjlink.php?file=cj201003/cijKjrWyAL.txt

RAPPORT MALAWARE

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3811
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 6.0.2900.5512

02/03/2010 13:09:04
mbam-log-2010-03-02 (13-09-04).txt

Type de recherche: Examen rapide
Eléments examinés: 113428
Temps écoulé: 2 minute(s), 48 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 26

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{a3ba40a2-74f0-42bd-f434-00b15a2c8953} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\dr. guard (Rogue.DrGuard) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\_VOID (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Dr. Guard (Rogue.DrGuard) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
D:\Program Files\Dr. Guard (Rogue.DrGuard) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
D:\WINDOWS\system32\regedit.exe (Trojan.Sasfis) -> Quarantined and deleted successfully.
D:\Documents and Settings\Administrateur\Local Settings\Temp\f5b01.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\Documents and Settings\Administrateur\Local Settings\Temp\lc7yi7.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\Documents and Settings\Administrateur\Local Settings\Temp\SPAM.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\Documents and Settings\Administrateur\Local Settings\Temp\~TM3A.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\Documents and Settings\Administrateur\Local Settings\Temp\~TM4.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Local Settings\Temp\q5ef3i.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Local Settings\Temp\qxzfb1jb.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Local Settings\Temp\SPAM.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Local Settings\Temp\~TM17.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Local Settings\Temp\~TM4.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Local Settings\Temp\~TM5.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Local Settings\Temp\~TM79.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Local Settings\Temp\Temporary Internet Files\Content.IE5\7WQOIKYA\arzuoz[1].htm (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Local Settings\Temp\Temporary Internet Files\Content.IE5\7WQOIKYA\ycpxe[1].htm (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Local Settings\Temp\Temporary Internet Files\Content.IE5\PNZ82ZVU\zqksqlje[2].htm (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Local Settings\Temp\Temporary Internet Files\Content.IE5\Q10UJ1YG\ysautnmg[1].htm (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\K1IBCDQ3\zqksqlje[1].htm (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\WT6NO9UJ\ycpxe[1].htm (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\Program Files\Dr. Guard\drg.db (Rogue.DrGuard) -> Quarantined and deleted successfully.
D:\Program Files\Dr. Guard\drgext.dll (Rogue.DrGuard) -> Quarantined and deleted successfully.
D:\Program Files\Dr. Guard\drghook.dll (Rogue.DrGuard) -> Quarantined and deleted successfully.
D:\Program Files\Dr. Guard\uninstall.exe (Rogue.DrGuard) -> Quarantined and deleted successfully.
D:\Documents and Settings\Administrateur\Local Settings\Temp\asr64_ldm.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Local Settings\Temp\asr64_ldm.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\Documents and Settings\sbettius 2\Application Data\Microsoft\Internet Explorer\Quick Launch\Dr. Guard.lnk (Rogue.DrGuard) -> Quarantined and deleted successfully.

sKe69 · Answer

Re,


Une belle infection TDSS dernière variante en plus ... cela se corce ...


le mode normal bloque tj.... 


CAD ? ... le systeme plante ? ... pas accès internet ? ... précise au maximum stp ...






Puis fait ceci en mode sans échec donc :


1- Poste moi ce rapport stp > D:\SEAFlog.txt       


======================


2- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal ( qui est vierge ),  copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

> http://www.cijoint.fr/cj201003/cijXnNBNU3.txt


Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres comme sur cette page lorsque tu les copies dans ZHPFix.


* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien ! 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
 
 Pense à réactiver tes défenses !... 


===========================

3- en mode normal si possible :

Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

frati · Answer

ahi ahi ahi je me disais que ça a l'air sérieux....
alors,
en mode normal:
- fond d'ecran disparu.
- barre des applications bloquée (pas toute les icones affichées)
- impossible de cliquer et lancer démarrer.
- je peux cliquer les icones sur le bureau, mais une fois ouvertes les fenêtres bloquent.
- pas de connexion.
- pas de task manager.
- obligé à éteindre avec interrupteur.

c'est le ouaïe...

Voila le rapport SEAFlog:

1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. Commencé à: 11:54:42 le 02/03/2010
4. 
5. Valeur(s) recherchée(s):
6. 
7. usb323
8. 
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Affichage des ADS
11. (!) --- Informations supplémentaires
12. (!) --- Recherche registre
13. 
14. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
15. 
16. Aucun fichier trouvé
17. 
18. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
19. 
20. Aucun dossier trouvé
21. 
22. 
23. ====== Entrée(s) du registre ======
24. 
25. Aucune entrée du registre trouvée
26. 
27. =========================
28. 
29. Fin à: 11:58:29 le 02/03/2010 ( E.O.F )


Heureusement que tu existe!jejeje
a toute avec la suite des données....

frati · Answer

Alors,
j'ai bien suivi les consignes pour ZHPFix:
- ouvert H
- copier les lignes.
-vérifié les lignes.
- cochés les 3 lignes
- nettoyer.

Après un très court delais voilà ce qui s'affiche:

ZHPFix v1.12.307  by Nicolas Coolman - Rapport de suppression du 02/03/2010 15:20:40
Fichier d'export Registre : D:\ZHPExportRegistry-02-03-2010-15-20-40.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
D:\WINDOWS\_VOIDfqqmqipjki\_VOIDd.sys  => Fichier absent

Module mémoire :
(Néant)

Clé du Registre :
O41 - Driver:  (_VOIDfqqmqipjki) . (.Pas de propriétaire - Pas de description.) - D:\WINDOWS\_VOIDfqqmqipjki\_VOIDd.sys  => Clé supprimée avec succès

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
d:\windows\system32\fjhdyfhsn.bat  => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 1
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 1
Logiciel : 0
Autre : 0


End of the scan

Pas de demande de redémarrage.
Je continue avec le scan en mode normal?

frati · Answer

voilà encore une fois le rapport trouvé dans program files :

ZHPFix v1.12.307  by Nicolas Coolman - Rapport de suppression du 02/03/2010 15:20:40
Fichier Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
D:\WINDOWS\_VOIDfqqmqipjki\_VOIDd.sys  => Fichier absent

Module mémoire :
(Néant)

Clé du Registre :
O41 - Driver:  (_VOIDfqqmqipjki) . (.Pas de propriétaire - Pas de description.) - D:\WINDOWS\_VOIDfqqmqipjki\_VOIDd.sys  => Clé supprimée avec succès

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
d:\windows\system32\fjhdyfhsn.bat  => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 1
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 1
Logiciel : 0
Autre : 0


End of the scan

Je continue?

sKe69 · Answer

Re,


le driver infectieux n'est pas supprimé ... donc on va faire autrement ...



donc démarrage de la manipe suivante en mode sans échec avec prise en charge du réseau :



1- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !): 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape ske et valide . 

- le renommage au téléchargement est primordial pour contrer l'infection, sinon l'outil sera inutilisable - 


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
•  Ferme tes applications en cours ( ainsi que ton navigateur ) .
•  DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe .  
En effet, activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
•  Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
•  Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------


Ensuite :
> Double-clique sur l'icône "ske.exe" ( = Combofix )  pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour  XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation. 
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png  
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan -- 


Notes importantes : 
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment  : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée ici: C:\Combofix.txt 

Réactive bien tes défenses

 
Poste le rapport Combofix pour analyse ...


========================


2- comme Combo aura surement du redémarrer le PC , fait ce qui suit en mode normal :

Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ... 


Dis moi aussi comment se comporte le PC à ce moment là ...

frati · Answer

OK,
j'ai un rdv à 16.30, je vais faire cette manip à mon retour,
histoire de ne pas être pressée.
Tu sera encore là vers 17.30?
L'ordi est partitionné, avec la manip que je dois faire y-a-t'il des risques pour les données?
Comme c'est les données de mon amie....
Bon, de toute façon ça ne peux pas être pire que maintenant....

Je te remercie infiniment

frati · Answer

me revoilà,
alors, les partitions sont trois.
une avec vista (pas utilisé)
une avec xp (utilisé)
une avec des données (à leur sauver la vie)...

Bon je vais faire ce que tu m'a dis7

merci

sKe69 · Answer

Re,


une avec vista (pas utilisé)

On la contrôlera une fois celle avec XP propre ... et je suppose que l'on peut avoir accès à la partition des données perso depuis Vista ....




j'attends donc les rapports demandés ...

frati · Answer

PROBLEME

J'ai désactivé les défenses,
lancé ske,
mais j'ai eu le message
"avast antivirus actif".
J'ai ouvert avast pour vérifier
"NON SECURISE.....service avast arrêté"
???
je ne comprend pas, que faire de plus?

En ce moment:
- Combofix ouvert avec disclaimer "Attention! Avast antivirus.....à vos risques et péril"
- Connexion activé pour pouvoir poster.

Que faire?

sKe69 · Answer

re,

tu désactives Avast ! .... même si il te marque qu'il n'est pas actif ( car tu es en mode sans échec ), il faut le désactiver malgré tout pour qu'au reboot il ne nous emmerde pas ...


Pour désactiver Avast clique droit su l'icone présent dan la barre des tâches / désactiver la protection résidente .

frati · Answer

Apparemment Avast est desactivé:

- dans PROTECTION RESIDENTE pas d'icone <ital>désactiver la protection...
 Affiché:
- ETAT "inconnu"
- PARAMETRES " ce service ne peux pas être parametré"
- ACTIVITE DE L'AGENT: module n'est pas activé".

Barre des tâches avec icone Avast avec X rouge.
- clic droit:
- J'ai manuellement désactivé définitivement tous les agents d'avast.
- pas de possibilité de /fermer ou /sortir, que /ouvrir

J'ai essayé de décocher tous les paramètres qui génèrent activité
(mise à jour, ....dépannage), mais impossible.
clic ok
mais à la réouverture pas de changement.

Je ferme et continue la procedure ComboFix?
Comment arrêter Combofix?


merci

sKe69 · Answer

re,


Je ferme et continue la procedure ComboFix?


> oui ... (c'est l'infection qui doit empécher tout accès à l'anti-virus ...)

frati · Answer

PROBLEME

J'ai suivi la consigne,
Au moment d'installer la console de récupération,
j'ai voulu activer la connexion,
impossible.

Fenêtre:
" windows n'a pas pu réparer le problème....désactivation réseau sans fil....vérifier carte réseau"

Quand je veux desactiver:
"pas possible d'effectuer la deconnexion manuellement"

Je peux éteindre l'ordi et récommencer la procédure?

sKe69 · Answer

re,


J'ai suivi la consigne, 
Au moment d'installer la console de récupération, 
j'ai voulu activer la connexion, 
impossible. 


est-ce que tu es bien en mode sans échec avec "prise en charge du réseau" ? ...

si tu n'es pas dans ce mode , normal que tu n'es pas de connection ...

frati · Answer

je suis avec prise en charge,

j'ai désactivé la connexion pour lancer ComboFix
et réactivé pour poster la question sur Avast!
J'ai désactivé à nouveau au moment de
relancer ComboFix et essayé de réactiver pour la console....

Le pc a un peu changé, les fenêtre s'affichent bizarrement...

Je peux éteindre et recommencer?
j'ai l'impression que je ne peux rien faire d'autre.

frati · Answer

je recommence

frati · Answer

Enfin,
j'ai installé la console et laissé travailler ComboFix.

L'ordinateur n'a pas redémarré,
j'ai eu le rapport;
J'ai voulu le poster,
mais impossible d'activer la connexion.
Impossible d'éteindre correctement, forcé avec interrupteur.

Rallumé en sans échec réseau,
pour poster le rapport:

ComboFix 10-03-02.02 - sbettius 2 02/03/2010  21:01:48.1.2 - x86 NETWORK
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.1022.829 [GMT 1:00]
Lancé depuis: d:\documents and settings\sbettius 2\Bureau\ske.exe
AV: avast! Antivirus *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-02-02 au 2010-03-02  ))))))))))))))))))))))))))))))))))))
.

2010-03-02 10:53 . 2010-03-02 10:58	--------	d-----w-	d:\program files\SEAF
2010-03-01 23:54 . 2010-03-02 10:33	--------	d-----w-	D:\UsbFix
2010-03-01 22:00 . 2010-03-02 14:20	--------	d-----w-	d:\program files\ZHPDiag
2010-03-01 21:54 . 2010-03-01 21:54	--------	d-----w-	d:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-03-01 20:09 . 2010-03-01 20:09	--------	d-----w-	d:\documents and settings\sbettius 2\Application Data\Malwarebytes
2010-03-01 20:08 . 2010-01-07 15:07	38224	----a-w-	d:\windows\system32\drivers\mbamswissarmy.sys
2010-03-01 20:08 . 2010-03-01 20:08	--------	d-----w-	d:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-01 20:08 . 2010-03-01 20:17	--------	d-----w-	d:\program files\Malwarebytes' Anti-Malware
2010-03-01 20:08 . 2010-01-07 15:07	19160	----a-w-	d:\windows\system32\drivers\mbam.sys
2010-03-01 19:21 . 2010-03-01 19:21	--------	d-----w-	d:\program files\Trend Micro
2010-03-01 18:48 . 2010-03-01 18:48	--------	d--h--w-	d:\windows\system32\GroupPolicy
2010-03-01 18:47 . 2010-03-01 18:47	18448	----a-w-	d:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-03-01 18:14 . 2010-03-01 18:14	--------	d-----w-	d:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2010-03-01 16:47 . 2010-03-01 16:47	524	----a-w-	d:\documents and settings\All Users\Application Data\fiosejgfse.dll
2010-03-01 16:05 . 2010-03-01 16:05	--------	d-----w-	d:\windows\_VOIDfqqmqipjki
2010-03-01 15:54 . 2008-04-13 18:40	34688	-c--a-w-	d:\windows\system32\dllcache\lbrtfdc.sys
2010-03-01 15:54 . 2008-04-13 18:40	34688	----a-w-	d:\windows\system32\drivers\lbrtfdc.sys
2010-03-01 15:54 . 2008-04-13 18:41	8576	-c--a-w-	d:\windows\system32\dllcache\i2omgmt.sys
2010-03-01 15:54 . 2008-04-13 18:41	8576	----a-w-	d:\windows\system32\drivers\i2omgmt.sys
2010-03-01 15:52 . 2008-04-13 18:40	8192	-c--a-w-	d:\windows\system32\dllcache\changer.sys
2010-03-01 15:52 . 2008-04-13 18:40	8192	----a-w-	d:\windows\system32\drivers\Changer.sys
2010-02-23 06:44 . 2010-02-23 06:44	--------	d-----w-	d:\documents and settings\All Users\Application Data\Alwil Software
2010-02-10 23:48 . 2010-02-10 23:48	--------	d-----w-	d:\windows\system32\LogFiles
2010-02-08 16:41 . 2009-11-21 15:58	471552	-c----w-	d:\windows\system32\dllcache\aclayers.dll
2010-02-08 16:41 . 2009-06-21 21:47	153088	-c----w-	d:\windows\system32\dllcache	riedit.dll
2010-02-08 09:28 . 2009-09-11 14:18	136192	-c----w-	d:\windows\system32\dllcache\msv1_0.dll
2010-02-08 09:28 . 2009-06-25 08:26	54272	-c----w-	d:\windows\system32\dllcache\wdigest.dll
2010-02-08 09:28 . 2009-06-25 08:26	301568	-c----w-	d:\windows\system32\dllcache\kerberos.dll
2010-02-08 09:28 . 2009-06-24 11:18	92928	-c----w-	d:\windows\system32\dllcache\ksecdd.sys

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-01 18:14 . 2010-03-01 18:14	16	----a-w-	d:\documents and settings\sbettius 2\Application Data\pdytbs.dat
2010-03-01 15:52 . 2008-10-01 12:52	--------	d-----w-	d:\program files\AIDA32 - Personal System Information

J'essaye de passer en mode normal pour le scan ZHPDialog?

frati · Answer

RAPPORT

ComboFix 10-03-02.02 - sbettius 2 02/03/2010  21:01:48.1.2 - x86 NETWORK
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.1022.829 [GMT 1:00]
Lancé depuis: d:\documents and settings\sbettius 2\Bureau\ske.exe
AV: avast! Antivirus *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-02-02 au 2010-03-02  ))))))))))))))))))))))))))))))))))))
.

2010-03-02 10:53 . 2010-03-02 10:58	--------	d-----w-	d:\program files\SEAF
2010-03-01 23:54 . 2010-03-02 10:33	--------	d-----w-	D:\UsbFix
2010-03-01 22:00 . 2010-03-02 14:20	--------	d-----w-	d:\program files\ZHPDiag
2010-03-01 21:54 . 2010-03-01 21:54	--------	d-----w-	d:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-03-01 20:09 . 2010-03-01 20:09	--------	d-----w-	d:\documents and settings\sbettius 2\Application Data\Malwarebytes
2010-03-01 20:08 . 2010-01-07 15:07	38224	----a-w-	d:\windows\system32\drivers\mbamswissarmy.sys
2010-03-01 20:08 . 2010-03-01 20:08	--------	d-----w-	d:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-01 20:08 . 2010-03-01 20:17	--------	d-----w-	d:\program files\Malwarebytes' Anti-Malware
2010-03-01 20:08 . 2010-01-07 15:07	19160	----a-w-	d:\windows\system32\drivers\mbam.sys
2010-03-01 19:21 . 2010-03-01 19:21	--------	d-----w-	d:\program files\Trend Micro
2010-03-01 18:48 . 2010-03-01 18:48	--------	d--h--w-	d:\windows\system32\GroupPolicy
2010-03-01 18:47 . 2010-03-01 18:47	18448	----a-w-	d:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-03-01 18:14 . 2010-03-01 18:14	--------	d-----w-	d:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2010-03-01 16:47 . 2010-03-01 16:47	524	----a-w-	d:\documents and settings\All Users\Application Data\fiosejgfse.dll
2010-03-01 16:05 . 2010-03-01 16:05	--------	d-----w-	d:\windows\_VOIDfqqmqipjki
2010-03-01 15:54 . 2008-04-13 18:40	34688	-c--a-w-	d:\windows\system32\dllcache\lbrtfdc.sys
2010-03-01 15:54 . 2008-04-13 18:40	34688	----a-w-	d:\windows\system32\drivers\lbrtfdc.sys
2010-03-01 15:54 . 2008-04-13 18:41	8576	-c--a-w-	d:\windows\system32\dllcache\i2omgmt.sys
2010-03-01 15:54 . 2008-04-13 18:41	8576	----a-w-	d:\windows\system32\drivers\i2omgmt.sys
2010-03-01 15:52 . 2008-04-13 18:40	8192	-c--a-w-	d:\windows\system32\dllcache\changer.sys
2010-03-01 15:52 . 2008-04-13 18:40	8192	----a-w-	d:\windows\system32\drivers\Changer.sys
2010-02-23 06:44 . 2010-02-23 06:44	--------	d-----w-	d:\documents and settings\All Users\Application Data\Alwil Software
2010-02-10 23:48 . 2010-02-10 23:48	--------	d-----w-	d:\windows\system32\LogFiles
2010-02-08 16:41 . 2009-11-21 15:58	471552	-c----w-	d:\windows\system32\dllcache\aclayers.dll
2010-02-08 16:41 . 2009-06-21 21:47	153088	-c----w-	d:\windows\system32\dllcache	riedit.dll
2010-02-08 09:28 . 2009-09-11 14:18	136192	-c----w-	d:\windows\system32\dllcache\msv1_0.dll
2010-02-08 09:28 . 2009-06-25 08:26	54272	-c----w-	d:\windows\system32\dllcache\wdigest.dll
2010-02-08 09:28 . 2009-06-25 08:26	301568	-c----w-	d:\windows\system32\dllcache\kerberos.dll
2010-02-08 09:28 . 2009-06-24 11:18	92928	-c----w-	d:\windows\system32\dllcache\ksecdd.sys

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-01 18:14 . 2010-03-01 18:14	16	----a-w-	d:\documents and settings\sbettius 2\Application Data\pdytbs.dat
2010-03-01 15:52 . 2008-10-01 12:52	--------	d-----w-	d:\program files\AIDA32 - Personal System Information


Je passe en mode normal pour le scan ZHPDialog?

sKe69 · Answer

re,

ne fait rein d'autre pour le moment !

ce rapport n'est pas complet ! ... erreur de copier coller ? ...


reposte le stp ... 




edit:
tu n'aurais pas fait ComboFix 2 fois par hazard ? ....

frati · Answer

J'ai oublié un détail important
Au démarrage Combofix
a demandé pour faire une mise à jour, j'ai dit oui.

Voilà le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201003/cijMT7kb6z.txt

merci encore, je garde espoir!

frati · Answer

c'est grave?
c'est de ma faute?
J'espère toujours pouvoir faire mon montage....

frati · Answer

Que faire?

sKe69 · Answer

Re,


maintenant , on bosse en mode normal ! ... cela derviat fonctionner ...



dans l'ordre :


1- Créer un doc texte sur ton bureau: 
* Pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" . 

* Copie/colle tout le texte qui se trouve ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 


File:: 
d:\documents and settings\All Users\Application Data\fiosejgfse.dll       
d:\documents and settings\sbettius 2\Application Data\pdytbs.dat       

Folder:: 
d:\windows\_VOIDfqqmqipjki



* Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valide ... ( sauvegarde le bien sur le bureau )
 

2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après )  !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


==========================


3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

frati · Answer

en mode normal l'ordi est toujours bloqué

- fond d'écran bleu
- souris qui bouge, mais ce qui est ouvert reste figé.
- je ne peux pas ni me déconnecter, ni bloquer toutes les défenses.

Je fait la manipulation en mode sans échec avec réseau?


merci, merci, merci

frati · Answer

qu'est-ce que tu en dis si je désinstalle complétement Avast
et je télécharge pour l'installer après Avira?

sKe69 · Answer

re,


1 - On ne touche pas aux AV avec un PC instable !!!


2- fais la manipe en mode sans échec ... on avisera ensuite ...


poste les rapports demandés ...


c'est vraiment le merdier cette affaire ....

frati · Answer

wow.....
je dois me déconnecter et continuer comme tu as dit?

je désinstalle avast?

sKe69 · Answer

re,

je dois me déconnecter et continuer comme tu as dit? 

je désinstalle avast?


?????


tout est dis ici > https://forums.commentcamarche.net/forum/affich-16834145-virus-dr-guard?page=3#47

frati · Answer

on dirait on miracle.
je continue comme tu as indiqué,
mais j'ai envie d'enlever avast....
c'est inutile?

frati · Answer

alors,
l'ordi s'est débloqué comme par magie et l'icône avec comme trois ordis en réseau est apparue.
- retour de la barre des tâches et ses icônes.
- je peux utiliser l'ordi!
- j'ai arrêté avast et toutes les options au démarrage:

ETAT DE PROTECTION Arrêté.
J'ai désactivé le pare-feux.

Prêt à faire ce que tu m'a dis,
c'est cool si tu peux me dire ok!

j'imagine qu'il faut de la patiente pour toi....
merci!....

sKe69 · Answer

Prêt à faire ce que tu m'a dis, 
c'est cool si tu peux me dire ok! 


ouf .... vas-y , envoye la sauce ! ....


Puis poste moi les rapports demandés ...

frati · Answer

Le scan Combo s'est lancé,

l'ordi a coomencé à s'eteindre.

maintenant:

ecran bleu avec:

"DRIVER_IRQL_NOT_LESS_OR_EQUAL
Si vous voyez cet écran d'erreur.......
Contactez votre....

J'éteinds avec interrupteur et rallume?

frati · Answer

la page figé et l'ordi ne bouge pas....
ne s'eteint ni travaille pas 
??????
ach du scheisse

sKe69 · Answer

grrr ... :(


redémarre manuellement ...


poste moi le rapport Combofix si possible ....

frati · Answer

Voilà ce qui affiché en bas de page:

Informations techniques:
***STOP: 0x000000D1 (0xF79572A4, 0x000000FF, 0x00000000, 0xF79572A4)

***           mbr.sys - Address F79572 base at F79572A4, DateStamp 00000000
***           mbr.sys - Address F79572 base at F79572A4, DateStamp 00000000

Début du vidage de la mémoire physique.
Vidage de la mémoire physique terminée.
Contacter votre.....pour plus

Je pensais qu'on y était....

frati · Answer

ok je redemarre et je cherche le rapport

sKe69 · Answer

bon ...


ça pu le prb matériel ...


tu es arrivé sur ton bureau ? ....

frati · Answer

j'ai redémarré,
ça paraissait mieux, une icone de plus (croix rouge protection) sur la barre des tâches.
j'ai ouvert le poste de travail pour chercher le rapport,
et voilà à nouveau une fenêtre bloqué....
ordi qui bloque!
.....
ahi ahi ahi ahi....

que faire?
(a part balancer l'ordi par la fenêtre, me fâcher avec mon amie et ne pas avoir de montage demain?)

sKe69 · Answer

Re,


pour ces histoires de bloquage ... patiente ! ... la fenètre va s'ouvrir ....

( je pense qu'il y a un prb matériel en plus ... )

frati · Answer

ordi débloqué,
pourquoi il se débloque d'un coup? 
je peux travailler tant qu'il marche? 
faire une copie des fichiers sur disque externe?

sKe69 · Answer

re,

faire une copie des fichiers sur disque externe?


le soucis , c'est que tu as une infection à ce niveau là , et je ne suis pas sûr qu'elle soit complètement erradiqué ...



j'aimerai essayer la partition avec Vista pour voir ...

dis moi si tu rencontres les même blocages ... fait moi un scan ZHPdiag depuis là bas et poste moi rapport obtenu ....

frati · Answer

J'ai essayé de lancer Vista.
Ecran:
Windows n'a pas pu démarrer car le fichier suivant est manquant ou endommagé:
<Racine Windows>\system32\hal.dll.
Veuillez réinstaller une copie du fichier ci-dessus.

En sachant que je n'ai aucun disque système windows
.....
Que fais-je?
....

sKe69 · Answer

et beh ...



on est pas sorti de l'auberge ....


on va retourner en mode sans échec avec prise en charge du réseau sous XP ....


essaye de me récupérer le rapport Combo et poste moi le 
( il doit être à la ricine du disque D .... )

frati · Answer

je suis en train de chercher le rapport,
dans D:\ je trouve:
- un dossier ske ou je trouve le premier rapport
- un dossier ske3215s avec une quantité énorme de fichiers.
- un dossier Qoobox que j'ai l'impression n'avoir pas vu auparavant.
?!?!
uh là là....

sKe69 · Answer

pas grave ... 


laisse courrir ... touche pas à ces dossiers et fichiers ...




On va reprendre ceci depuis depuis le mode sans échec :



1- Créer un doc texte sur ton bureau: 
* Pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" . 

* Copie/colle tout le texte qui se trouve ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 


File:: 
d:\WINDOWS\_VOIDfqqmqipjki\_VOIDd.sys 
d:\documents and settings\All Users\Application Data\fiosejgfse.dll 
d:\documents and settings\sbettius 2\Application Data\pdytbs.dat 
d:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\sysfgs32.exe 
d:\documents and settings\Administrateur\Menu Démarrer\Programmes\Démarrage\sysfgs32.exe 

Folder:: 
d:\windows\_VOIDfqqmqipjki 

Driver:: 
_VOIDd.sys  



* Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valide ... ( sauvegarde le bien sur le bureau )
 

2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après )  !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


=========


A demain avec j'espère , un rapport et un résultat positif ....

frati · Answer

Je suis en train de regarder un peu l'ordi, dans le dossier WINDOWS en D:\ - des dossiers bizarres ($MSI31Uninstall..., etc etc). Et si je relancerais ComboFix ?

sKe69 · Answer

bien ...



pour demain en mode sans échec :



1- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 


=========================


2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

frati · Answer

Bonjour bonjour;
alors, j'ai installe CCleaner et fait le nettoyage.
Toute suite après j'ai lancé ZHPDiag,
en mode sans échec,

voilà le rapport

http://www.cijoint.fr/cjlink.php?file=cj201003/cijCJAzoKZ.txt

Je passe en mode normal?
je relance ZHPDiag?

-6 heures ù l'émission....
ça craint....

Merci!

sKe69 · Answer

bien ....



le rapport est propre ....



on va rester en mode sans échec pour le moment :



1- Réutilise Malwarebytes ainsi :

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


============================

2- Télécharge mbr.exe de Gmer : 
> http://www2.gmer.net/mbr/mbr.exe 
et enregistre le fichier sur le Bureau ( et pas ailleur ! c'est important ). 

! Désactive tes protections (Antivirus et antispywares, HIPS et autre résident) !

* Double clique sur mbr.exe 
> Un rapport sera généré : mbr.log -> poste le de suite ...
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre. 

Si c'est le cas, continue comme ça : 

* Dans le menu Démarrer- Exécuter tape ( ou copie/colle ) : 

%userprofile%\Bureau\mbr -f puis tapes sur [Entrée]


Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !" 

Réactive tes protections 
Poste ce rapport et supprime-le ensuite.

frati · Answer

Très bien,
malaware n'a rien détecté

voilà le rapport

http://www.cijoint.fr/cjlink.php?file=cj201003/cij1KEeket.txt

je continue....

frati · Answer

J'ai lancé mbr.exe

voilà le rapport


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 


C'est bon signe?

En ce qui concerne les protections; j'aimerais enlever avast pour Avira,
quand je peux le faire?
Qu'en-pense-tu?

Je commence à y croire!!!!
merci

frati · Answer

je suis très impatient de passer en mode normal....
mais désormais je ne bouge plus si tu ne me donne pas l'ok!
....

sKe69 · Answer

bien ...


je ne sais pas si le mode normal sera stable ou pas ...



j'aimerai que tu fasse ceci encore en mode sans échec pour un dernier contrôl :


Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici) : 

http://www2.gmer.net/gmer.zip
 
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( navigateurs compris )!!


* Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète pas et ignore l'alerte. 
* Clique sur l'onglet "rootkit", puis clique sur scan. 
* A la fin du scan, clique sur le bouton copy. 
* Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note. 

> poste le rapport stp ...

frati · Answer

Jai suivi la consigne et lancé gmer.exe
la fenêtre s'est ouverte et puis l'ordinateur s'est arrêté brusquement.

Je rallume et essaye à nouveau?

frati · Answer

ahi ahi ahi,
probablement problème d'alimentation

sKe69 · Answer

Oui ...

mais avant de lancer GMER > clique droit dessus , choisis "renommer" et renomme le en G-ske et valide la modif ...


ensuite tu retentes la manipe ...

frati · Answer

jj'ai faie le scan qui a duréé un moment:
sur la fenêtre rien ne s'affiché.
A la fin fenêtre disant que le scan n'a rien détecté:

Je n'ai rien à copier,
la manip bloc notes ne donne rien

frati · Answer

Question:

y a moyen de travailler en mode sans échec?

Je suis perdu, toujours la fenêtre GMER ouverte....

Que faire

merci encore pour la disponibilité!

frati · Answer

Au secours....

frati · Answer

J'ai voulu eteindre l'ordinateur,
mail il étais bloqué.
Il est éteint maintenant.

j'essaye de le rallumer en mode normal?

Je reviens en mode sans échec et relance le dernier scan?

j'espère pouvoir faire quelque chose?

sKe69 · Answer

Re,


laisse tomber GMER ...


ralume le en mode normal et dis moi si c'est OK ... Si le PC est stable , fait ce que tu as à faire et préviens moi dès que tu as finit pour pouvoir finaliser ...



Si le PC n'est toujours pas stable en mode normal , essaye de faire ton job en mode sans échec ... dis moi une fois que tu es dispo qu'on essaye d'en finir avec ce merdier ... ;)


A tout'

frati · Answer

Merci!
j'essaye et te tiens au courant

frati · Answer

Pas possible d'utiliser l'ordi en mode normal,
comme quoi il doit y avoir encore bien des soucis....
je vais essayer en mode sans échec,
mais je doute pouvoir faire un montage son....

du coup,
peut-tu me guider pour la prochaine étape,
pour éradiquer cette orreur?!

Je vais continuer seulement un fois que j'ai vérifié la possibilité de travailler

frati · Answer

comme j'attendais,
cool edit pro ne marche pas....
pas possible de bosser
Tant qu'à faire,
autant continuer
a le traquer...

sKe69 · Answer

re,


1- désinstalle Avast depuis le mode snas échec en utilisant l'utilitaire de désinstalle comme expliqué ici : https://www.avast.com/fr-fr/uninstall-utility 



2- une fois fait , refait un coup de CCleaner ( registre compris ) 


( Ne réinstalle aucun AV pour le moment ) 


3- essaye le mode normal et dis moi ...

frati · Answer

Alors,
j'ai désinstallé avast comme indiqué,
fait le coup de ccleaner,
mais....
le mode normal bloque toujours
.....
Sur la barre des tâches s'affiche une icone d'abord désactivé, puis active (noir); on dirait des lettres grabouillées une sur l'autre (on devine une R en noir)....

soudainement: 
Après un moment on entend les sons de démarrage windows et l'ordi paraît marcher à nouveau....
je fais ce que j'ai à faire!
j'ai désactivé la connexion, comme je n'ai pas de défenses.

si ça continue comme ça, je peux proposer à ma copine de faire les copies des fichiers et je lui conseille de formater l'ordi!

Moi je suis super heureux d'être sur ubuntu, je n'y comprends pas forcement plus, mais pendant une année je n'ai jamais eu de dysfonctionnements!
Windows reste indispensable pour cool edit pro, très bon logiciel de montage.....

Bon, si je m'en sors sans perdre rien je te donne des nouvelles,

autrement ça serait bien de continuer à s'acharner sur la bestiole....

Je te remercie infiniment,
pour la patience,
la compétence
et la disponibilité

je te tiens au courant et si jamais je note 'résolu',
si on arrive à récupérer toutes les données importantes,
c'est une réussite même s'il faut reformatter l'ordi.....

A+

frati · Answer

Avant tout je te remercie encore énormément pour la disponibilité et la compétence.
J'ai pu travailler en mode normal,
faire une copie des fichiers les plus importants.
Finir mon montage à temps pour l'émission....
la totale!
Depuis je n'ai plus allumé l'ordi en question, je vais le restituer à la proprio et qu'elle se débrouille avec ça...
Du coup pour moi c'est vraiment une réussite.
Sans toutes les manips, je pense que la seule solution aurait été de payer quelqu'un pour récupérer les données et formatter l'ordi, chose qui aurait pris du temps et je n'aurais pas récupérer les données pour le montage en question....


Bonne continuation

Encore merci!!

Caroline · Answer

Bonsoir, 
Dr Guard vient de s'installer sur mon pc portable, et franchement en informatique je comprend vraiment rien, et j'ai vraiment mais vraiment besoin d'aide.
De plus étant en Angleterre c'est un de mes seuls moyens de communication. 
J'aimerai vraiment que l'on m'aide. Et forcèment c'est vraiment très urgent !
Merci d'avance.

Virus dr guard

87 réponses

Discussions similaires