Problème virus icpp

Question

Bonsoir,

suite au conseil de dédétraqué j'ouvre un nouveau sujet


Un virus est apparu au démarrage de l'ordinateur, celui de la soi-disant ICPP : une alerte apparaît au démarrage disant qu'il y a eu violation de droits d'auteur et qui bloque le bureau.

Que dois-je faire? Mon frère veut tenter de réinitialiser windows, est-ce possible sans le cd permettant de le faire?

Désolée si j'ai du mal à me faire comprendre :)

Merci (encore)

dédétraqué · Answer

Salut Kahili


Non tu ne peut pas réinstaller Windows sans le CD.

Voir si le mode sans échec est fonctionnel :

Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis ta session habituelle et non la session Administrateur


@++   :)

Kahili · Answer

non je n'ai pas réussi à activer le mode sans échec... :(

Kahili · Answer

en faisant f5 ou f8 j'ai le choix entre continuer le redémarrage ou "effacer les données de restauration et revenir au menu de démarrage du système", mais les deux options semblent revenir au même

Kahili · Answer

Changement! en désactivant son compte d'utilisateur sur xp (icône en bas à gauche), on a réussi à accéder au mode sans échec, mais l'alerte est toujours là sur la session

dédétraqué · Answer

Salut Kahili 


OK, voir dans la même page ou tu peux choisir le Mode sans échec, choisir Invite de commande en mode sans échec, dit moi si cela fonctionne.


@++   :)

Kahili · Answer

Excuse moi mais il y a encore du changement, je n'arrive pas à contrôler mes assistants :/ :]

ils ont supprimé un logiciel appelé p manager ou quelquechose comme ça en utlisant le mode sans échec sur la session administrateur. 
Du coup en redémarrant on a un bureau mais le virus est toujours là ou revient si il disparaît.

Mais on a accès au bureau, est-ce qu'on peut faire quelque chose à partir de là?

dédétraqué · Answer

Salut Kahili 


C'est bien le programme qu'il fallait supprimer, bravo

Télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse

Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Et fais la même chose avec l'autre rapport C:\rsit\info.txt


@++  :)

Kahili · Answer

je n'arrive pas à accéder à internet, ce qui m'en empêche est un truc appelé "xp internet security" et bloque l'accès aux sites

dédétraqué · Answer

Salut Kahili 


Essai en Mode sans échec avec prise en charge réseau, sinon voir a le télécharger via un autre PC et mettre sur clé USB.


@++   :)

gen-hackman · Answer

salut il est caché ici :

%Userprofile%\Application Data\APManager
%Userprofile%\Bureau\AP Manager.lnk

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\APManager

O4 - HKCU\..\Run: [Apmanager.exe]

Kahili · Answer

Salut,

gen-hackman, merci, je crois avoir déjà désinstallé APManager, et sinon comment faire pour enlever tout ça?

dédétraqué, merci pour ta patience, comme je n'arrive toujours pas à avoir internet je ne peux pas utiliser Cjoint, est-ce que je peux poster le rapport autrement?

Merci encore (et si je ne suis pas là tout à l'heure, on reprend tout ça plus tard! ++)

dédétraqué · Answer

Salut Kahili 


Utilise ta clé Usb pour mettre les rapports sur l'autre PC.

La désinstallation de APManager a supprimer tous ce qui a été nommé par gen, n'en tiens pas compte.


@++   :)

Kahili · Answer

Salut, 

voici les deux rapports :

https://www.cjoint.com/?eAklaF4yKs

https://www.cjoint.com/?eAklYSIdIt


Merci!

gen-hackman · Answer

salut kahili (desolé c'est trop grave)

tu es infectée par ViruT , le virus le plus tenace actuellement , si j'ai un conseil à te donner , ne te sers pas de ton pc....le temps est compté...

fais ceci , suis bien les instructions , ne surfe plus , ne lance plus de programmes , ne fais plus rien avec chaque programme que tu lanceras , se retrouvera injecté par le code malicieux et donc , infecté

▶ Sauver les Docs sans les fichichiers cible.

il faut sauvegarder uniquement tes photos , tes musiques , tes video ,sur un support externe,de preference gravé.

toute autre sauvegarde serait fortuite à la bonne marche de la désinfection (ni programmes,cracks ou keygens,aucun executable).

Ces extensions sont à proscrire : .exe, .scr, .zip, .rar, html, htm, cracks, keygens,Key_générators,serial,patchs,Install , etc......(ces derniers contenant le ver Bagle en prime)
_______________________________________________

▶ Désactive la restauration système, pour cela , suis les instructions des liens:

Lien XP

Lien Vista
_________________________________________________

▶ Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer(clic droit en tant qu'admmin sous Vista).
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
_________________________________________________

▶ essaies de telecharger les logiciels d'un autre PC et de les graver (les cles usb s'infectant trop facilement)
___________________________________________________

▶ Télécharge Dr Web CureIt sur ton Bureau :

▶ redemarre en mode sans échec

▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv

▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

dédétraqué · Answer

Salut Kahili 


Fais ce qui est recommandé par gen, pas jolie comme rapport.


@++   :)

laladef · Answer

je crois que j'ai le meme probleme...

est ce que je dois suivre la meme procedure?

gen-hackman · Answer

non par contre je crois que tu devrais ouvrir un nouveau sujet...

laladef · Answer

désolée

kahili · Answer

Merci à tous les deux,

Par contre un message d'erreur apparaît quand je clique droit sur le poste de travail.

gen-hackman · Answer

tant pis passe à drWeb

kahili · Answer

Voilà le message qui apparaît : 

"Erreur dans C:WINDOWS/SYSTEM32/SHELL32.DDL
Entrée manquante : CONTROL_RUNDLL"

gen-hackman · Answer

au lancement ?

kahili · Answer

Merci, je te poste le rapport demain :)

++

gen-hackman · Answer

?

kahili · Answer

Voici le lien :  

http://www.cijoint.fr/cjlink.php?file=cj201004/cijQkvohnC.zip


(excuse moi, je suis directement passé à DrWeb, je n'arrivais vraiment pas à désactiver la restauration)

gen-hackman · Answer

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

kahili · Answer

Je t'ai envoyé les liens par mp! 

++ :)

gen-hackman · Answer

non c est ici qu il me les faut

kahili · Answer

Ok, je croyais qu'il fallait pas les poster là, j'étais pas sûre. ça change quelque chose?

voila le lien pour le fichier OTL:
http://www.cijoint.fr/cjlink.php?file=cj201004/cijpIazTof.txt

et le fichier extras:
http://www.cijoint.fr/cjlink.php?file=cj201004/cijWLlWKnh.txt

gen-hackman · Answer

non c'est juste que sur le forum , c'est trop long......

kahili · Answer

ok compris

kahili · Answer

personne?

gen-hackman · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge List_Kill'em et enregistre le sur ton bureau 

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer Shortcut
&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

kahili · Answer

https://www.cjoint.com/?eEtaGU2mg8

je n'arrive pas désactiver le parefeu : je n'y ai pas accès.

gen-hackman · Answer

&#9654 Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

kahili · Answer

https://www.cjoint.com/?eEuDpPgkmx

gen-hackman · Answer

ok refais 
OTL stp

kahili · Answer

Impossible de télécharger OTL pour l'instant, je vais continuer d'essayer, mais tu ne saurais pas ce que je pourrais faire?
Le plugin marche très bien sur les autres pc, mais sur celui qui est infecté, on ne peut pas l'exécuter.

Merci.

gen-hackman · Answer

otl est deja dans ton ordi

kahili · Answer

Il a été désinstallé...

gen-hackman · Answer

??????

tu es sure ?

le losange jaune et noir sur ton bureau.....

kahili · Answer

c'est bon j'ai réussi! le scan est parti.

kahili · Answer

Bon... maintenant j'ai un autre problème, à la fin du scan deux messages d'erreur apparaîssent : "impossible de trouver le fichier otl.txt." et "extras.txt."

les scans sont complets mais je peux pas y avoir accès! :(

gen-hackman · Answer

reessaie en desactivant les protections

kahili · Answer

ça y est, voici les rapports : 

https://www.cjoint.com/?fbxfN0w3fS

https://www.cjoint.com/?fbxgyB7NBu

Merci pour ta patience et bon courage!

gen-hackman · Answer

t'est-t-il possible de desinstaller "Favorit" ?

kahili · Answer

Oui, je l'ai désinstallé en mode sans échec, enfin normalement. + quelques autres programmes qui ne me disaient rien.

Est-ce que je dois supprimer hp photosmart? parce qu'à chaque démarrage, une fenêtre de ce programme apparaît.

Merci.

gen-hackman · Answer

si tu n'as plus d'imprimante HP tu peux

une fois fait refais OTL nous allons proceder a des suppressions

kahili · Answer

ok merci voici les rapports : 

https://www.cjoint.com/?fctZJmlZYP

https://www.cjoint.com/?fct0iw2w8l

gen-hackman · Answer

bon y a un truc qui relance les infections : /!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\ ________________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur ▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil: https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Avant d'utiliser ComboFix : ______________________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

kahili · Answer

Est-ce que tu peux me donner plus de précisions stp, car je pense que j'aurai des difficultés : 
des programmes (si ç'en est vraiment) s'ouvrent sonstamment sans que je puisse les contrôler, est-ce que ça risque de perturber cette manoeuvre?

comment faire pour désactiver la protection en temps de l'antivirus et des antispywares?

merci.

kahili · Answer

Et aussi, quand tu dis de renommer le dossier, est-ce que le prénom doit être celui de la session ou cela n'a pas d'importance?

(je précise aussi qu'il m'est impossible de me connecter à internet à partir de l'ordinateur infecté, je reviens sur le forum à l'aide d'un autre pc)

gen-hackman · Answer

ok laisse tomber on va essayer sans combofix : 

? clic droit "executer en tant qu'administrateur" sur OTL.exe pour le lancer. 


?Copie la liste qui se trouve en gras ci-dessous, 

? colle-la dans la zone sous Customs Scans/Fixes : 

 
:processes 
explorer.exe 
iexplore.exe 
firefox.exe 
msnmsgr.exe 
Teatimer.exe 
ave.exe 

:Services 
darkness 
jrkzhffh 
zcuben 

:OTL 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13 
O2 - BHO: (no name) - {38316EC2-4616-43FA-8B77-15424D20661b} - C:\WINDOWS\system32\jwagaqla.dll () 
O2 - BHO: () - {5A1481EE-F1B7-41A5-8820-6C1E0C118E5F} - C:\WINDOWS\system32	wadmeg.dll () 
O4 - HKLM..\Run: [10731] C:\DOCUME~1\GENCGJ~1\LOCALS~1\TEMP\JANFW.EXE File not found 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: userini = C:\WINDOWS\explorer.exe:userini.exe (Microsoft Corporation) 
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: userini = C:\WINDOWS\explorer.exe:userini.exe (Microsoft Corporation) 
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: userini = C:\WINDOWS\explorer.exe:userini.exe (Microsoft Corporation) 
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.) 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) 
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab (Java Plug-in 1.5.0_10) 
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01) 
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) 
O20 - HKU\S-1-5-21-4022727550-2037156572-1229129504-1006 Winlogon: Shell - (C:\Documents and Settings\GENC GJOKA\Application Data\APManager\apmanager.exe) - C:\Documents and Settings\GENC GJOKA\Application Data\APManager\apmanager.exe File not found 
O20 - Winlogon\Notify\youja_: DllName - youja_.dll -  File not found 
@Alternate Data Stream - 112 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:C39E55C5 

:reg 
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"userini"=- 
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"userini"=- 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 
"DisableNotifications"=0 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 
"DisableNotifications"=0 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] 
"139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004" 
"445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005" 
"137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001" 
"138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002" 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] 
"C:\Program Files\AOL 9.0b\waol.exe"=- 
"C:\Program Files\AOL 9.0c\waol.exe"=- 
"C:\Program Files\MSN Messenger\livecall.exe"=- 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] 
"C:\Program Files\AOL 9.0\waol.exe"=- 
"C:\Program Files\Messenger\msmsgs.exe"=- 
"C:\Program Files\AOL 9.0c\waol.exe"=- 
"C:\Program Files\AOL 9.0b\waol.exe"=- 
"C:\Program Files\Fichiers communs\AOL\1173819308\ee\aolsoftware.exe"=- 
"C:\Documents and Settings\GENC GJOKA\Mes documents\Era\Eni\eMule\emule.exe"=- 
"C:\Documents and Settings\GENC GJOKA\Mes documents\Era\Eni\aMule\amule.exe"=- 
"C:\Program Files\aMule\amule.exe"=- 
"C:\Program Files\eMule\emule.exe"=- 
"C:\Program Files\AOL 9.0 VR\waol.exe"=- 
"C:\Program Files\Fichiers communs\AOL\TopSpeed\3.0\aoltpsd3.exe"=- 
"C:\Program Files\Fichiers communs\AOL\Loader\aolload.exe"=-
"C:\Program Files\MSN Messenger\livecall.exe"=- 
"C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe"=- 

:Files 
C:\WINDOWS\system32	wadmeg.dll 
C:\WINDOWS\System32\cooper.mine 
C:\WINDOWS\System32\drivers\zcuben.sys 
C:\Documents and Settings\GENC GJOKA\Local Settings\Application Data\UJ0QRjYY 
C:\Documents and Settings\All Users\Application Data\UJ0QRjYY 
C:\Documents and Settings\GENC GJOKA\Local Settings\Application Data\3973764749 
C:\Documents and Settings\All Users\Application Data\3973764749 
C:\WINDOWS\System32\drivers\515.exe 
C:\Documents and Settings\GENC GJOKA\Local Settings\Application Data\uckryg.dat 
C:\Documents and Settings\GENC GJOKA\Local Settings\Application Data\ave.exe 
C:\WINDOWS\System32\q95hgo.dll 
C:\WINDOWS\System32\lyyj 
C:\WINDOWS\System32\vwtb 
C:\WINDOWS\System32\wcfnihak 
C:\WINDOWS\System32\liqax6.dll 
C:\WINDOWS\Bwofya.exe 
C:\Documents and Settings\LocalService\Local Settings\Application Data\5A1481EE-F1B7-41A5-8820-6C1E0C118E5F.txt 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\5A1481EE-F1B7-41A5-8820-6C1E0C118E5F.txt 
C:\WINDOWS\lsrslt.ini 
C:\WINDOWS\System32\jwagaqla.dll 
C:\Documents and Settings\Genc\Application Data\lpdr 
C:\WINDOWS\TEMP\wkij.tmp 
C:\WINDOWS\system\lsm.exe 

:commands 
[emptytemp] 
[start explorer] 
[reboot] 
 

? Clique sur "Correction" pour lancer la suppression. 


? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage. 

?G3?-?@¢??@?(TM)©®?

kahili · Answer

Alors : j'ai collé tout ce qui était en gras dans la zone "personnalisation" et j'ai cliqué sur correction  (je ne trouvais pas customs/fixes mais comme c'était le seul endroit où on pouvait coller j'ai supposé que c'était ça!)

au redémarrage une fenêtre est apparue mais quand je l'ai ouverte avec bloc notes il y avait des signes indéchiffrables, alors j'ai fermé pour essayer de l'ouvrir avec autre chose, mais je ne pouvais pas retrouver le document.

par contre j'ai remarqué que les fenêtres qui s'ouvraient automatiquement au démarrage ne le faisaient plus!

ensuite je me suis dit que j'allais refaire un scan pour t'envoyer les rapports et quand j'ai cliqué sur otl un document bloc notes est apparu qui avait l'air d'un rapport, je me suis dit que c'était peut-être celui que j'avais perdu au démarrage alors le voici : 

https://www.cjoint.com/?fdtCDQsy7P

mais j'ai quand même fait une analyse, voici les rapports : 

https://www.cjoint.com/?fdtDeWnnjC

https://www.cjoint.com/?fdtDCB32Tg

merci

gen-hackman · Answer

1. Télécharge The Avenger par Swandog46 sur le Bureau 

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ 

Clique sur Avenger.zip pour ouvrir le fichier 
Extraire avenger.exe sur le bureau 

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C): 

Files to Delete: 
C:\WINDOWS\System32\drivers\zcuben.sys 

IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. 
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système. 

Ferme toutes les applications et ton navigateur 

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau. 

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée. 


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre. 

Clique sur Execute 

4. The Avenger va automatiquement faire ce qui suit: 


Il va Re-démarrer le système. 
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL. 
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt 
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip. 

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse  
?G3?-?@¢??@?(TM)©®?

kahili · Answer

c'est fait, mais comme pour l'étape précédente le document.txt est indéchiffrable, et cette fois je n'ai pas réussi à le retrouver, que dois-je faire?

merci.

gen-hackman · Answer

C:\Avenger.txt

kahili · Answer

voici le seul doc que j'ai trouvé : 

https://www.cjoint.com/?fdu4llBYJ4

gen-hackman · Answer

reessaie en copiant ceci :

Begin copying here:

Files to Delete:
C:\WINDOWS\System32\drivers\zcuben.sys

kahili · Answer

toujours même résultat

gen-hackman · Answer

tu es administrateur de l'ordi ?

kahili · Answer

oui j'ai essayé dans la session administrateur

gen-hackman · Answer

non je te demande si la session infectée est une session administrateur

kahili · Answer

Non, c'est windows xp, et je peux accéder à la session admin qu'en mode sans échec

gen-hackman · Answer

ca na repond pas à ma question

kahili · Answer

non

kahili · Answer

On pourrait avoir un bilan?

kahili · Answer

J'écoute n'importe qui, si quelqu'un est dispo...


Il faut reformater?

gen-hackman · Answer

non je te demande si la session infectée est une session administrateur

kahili · Answer

J'ai dit non








...

gen-hackman · Answer

ok on s'est mal compris lol ^^

tu as le cd de windows ?

kahili · Answer

non :(

gen-hackman · Answer

bien tu as toujours le message control_dLL je suppose ?

kahili · Answer

quel message?
ça ne me dit rien..

gen-hackman · Answer

https://forums.commentcamarche.net/forum/affich-17516217-probleme-virus-icpp?full#22

philippe · Answer

même problème ce matin, impossible à priori d'accéder au bureau :  XP familial.

Solution, réduire la fenêtre,



Ctrl+Alt+Suprim    ouvre le gestionnaire de tâches windows

Sous l'onglet "processus" cliquer sur "nouvelle tâche"
puis "parcourir"  aller dans C:WINDOWS et trouver "explorer.exe" double cliquer dessus, le bureau réapparait.

Déconnecter internet.

Lancer un scan avec l'antivirus (pour moi Avira) les virus sont détecté, les détruire.

Un programme "ATManager" à été installé, il à un racourci sur le bureau, cli gauche, propriétés, rechercher la cible.

Le dossier ATM s'ouvre, lancer "uninstal" , supprimer le dossier et le racourci, 

La fenêtre de communication du virus disparait.

J'ai relancé windows après cela et tout semble fonctionner correctement.


Sinon, il est certain que la fenêtre d'avertissement fout les boules.

Bon courage.

Problème virus icpp

76 réponses

Discussions similaires

Newsletters