Problème d'infection

Question

Bonjour, 

Je viens de changer d'antivirus j'ai remis AVAST car j'avais quelques doutes sur antivir. 
Lors du scan, avast me trouve deux fichiers suspects : win32.vanti-cb[rtk] et win32.spyware-gen[spy] . Je les ai supprimé. 

Par ailleurs j'ai des alertes : dcom exploit. Je suis allé voir les sujets liés à ce message mais je n'ai pas compris d'autant que les réponses sont parfois contradictoires. Il semblerait que je doive intervenir pour fermer des ports, mais je ne sais pas faire. 

Enfin lorsque avast est activé je ne peux me connecter à internet. Lorsque je lance mozilla, une page apparait me signalant que la connexion a été réinitialisée. Je ne peux me connecter que si je désactive le bouclier web. Ce qui me semble assez paradoxale les infections arrivant tout de même majoritairement par là non?

Merci de m'aider dans la résolution de ce soucis.
Cordialement

Configuration: Windows XP / Firefox 3.6.3

gen-hackman · Answer

salut ▶ Télécharge Dr Web CureIt sur ton Bureau : ▶ redemarre en mode sans échec ▶- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ▶- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ▶- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ▶- De retour à la fenêtre principale : clique pour activer ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ▶- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite : tu m'envoies l'archive comme ceci : clique sur ce lien : http://www.cijoint.fr/ ▶ Clique sur Parcourir et cherche le fichier ci-dessus. ▶ Clique sur Ouvrir. ▶ Clique sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt est ajouté dans la page. ▶ Copie ce lien dans ta réponse. ▶- Ferme Dr.Web Cureit ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

MONKIZ-COMBATANT · Answer

Rebonjour,

premier passage sans problème, il a trouvé un truc qui semble être un faux positif selon les termes des diférents forum : tool.prockil. je l'ai mais en quarantaine.

Par contre il a planté au deuxième scan et ne peux pas le relancer, il me dit qu'il y a des fichiers corrompus et que je dois recharger une nouvelle version. (enfin c'est ce que je comprends des messages en anglais).

Comment dois je procéder ? desinstallation complète de drweb, puis rechargement ?  ou je charge de nouveau et je relance ?

MONKIZ-COMBATANT · Answer

Voilà ça a tourné toute la nuit, et finalement c'est fait, un fichier infecté et supprimé.

Le lien pour le rapport est :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijvdpV9l3.zip

Je ne note par contre pas de changement sur le comportement de mon ordi. Je ne peux toujours pas naviguer sans interrompre avast. Du moins le bouclier web.

à bientot pour l'analyse du rapport.
Et merci pour votre aide.
Stéphane

gen-hackman · Answer

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

MONKIZ-COMBATANT · Answer

Bonsoir,
Voila odt.txt

http://www.cijoint.fr/cjlink.php?file=cj201005/cij6wWT7cZ.txt

et ici pour extra :

http://www.cijoint.fr/cjlink.php?file=cj201005/cij9X27QHf.txt

Merci d'avance.

gen-hackman · Answer

dis m'en plus la dessus stp :

Par ailleurs j'ai des alertes : dcom exploit

gen-hackman · Answer

https://forums.commentcamarche.net/forum/affich-17671781-probleme-d-infection#8

MONKIZ-COMBATANT · Answer

Par moment, avast me prévient qu'il vient de bloquer une attaque dcom exploit  juste avant l'entrée. Cela faisait la même chose avec antivir et il note une adresse ip

gen-hackman · Answer

ok je peux l'avoir ? 

clique sur mon pseudo et donne moi-la en message prive
?G3?-?@¢??@?(TM)©®?

MONKIZ-COMBATANT · Answer

Non je suis désolé, je n'ai pas copié ces messages, je l'avais fait mais le papier avec mes notes a disparu du bureau et bien évidemment cela ne l'a pas fait aujourd'hui...;
Je suis donc dans l'incapacité de te fournir le message dans son intégralité désolé.

J'espère que l'on pourra tout de même avancer ?

gen-hackman · Answer

ca doit se retrouver dans un journal de l'antivirus quelque part

MONKIZ-COMBATANT · Answer

Cela vient de se produire, j'ai copié les éléments que je viens de t'envoyer par mail.

gen-hackman · Answer

envoie-les ici via cijoint.fr que les developpeurs en profitent !

MONKIZ-COMBATANT · Answer

Voili voila, c'est fait à l'adresse suivante :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijZFIOlx0.pdf

ça te parle à toi ? Tu vois de quoi il retourne ?

gen-hackman · Answer

tu te trouves à Epinay à Paris ?

MONKIZ-COMBATANT · Answer

non, je suis en charente, près d'angoulême

gen-hackman · Answer

regarde ou ca mene cette IP :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijRVDJZ7X.jpg

MONKIZ-COMBATANT · Answer

à oui en effet ! Crois tu que ce soit l'adresse d'où provient l'attaque ou une adresse au hasard ?

gen-hackman · Answer

non c'est un redirecteur.....

apparemment  tu n' as pas de parefeu d'installé

MONKIZ-COMBATANT · Answer

Oui c'est vrai. il semble qu'il ne soit pas installé sur cet ordi. Sur le mien j'utilise pctools (celui duquel j'écris en ce moment), tu me recommandes quoi?

gen-hackman · Answer

pour l ordi qui deconne ? online armor , je m en sers et il m avertit des qu il y a une intrusion qui cherche a rentrer 

il suffit de lire le nom du programme qui execute et d 'accepter si legitime

MONKIZ-COMBATANT · Answer

Bon j'installe cela. C'est un élément de sécurité supplémentaire,mais cela ne règlera pas mon problème si ?

gen-hackman · Answer

deja si tu as un bon parefeu , normalement y a plus rien qui rentre sans ton consentement

MONKIZ-COMBATANT · Answer

Ok, là je suis en train de l'installer, dois "tout approuver sur cet ordi" ? Est on sur qu'il n'y a plus rien de malveillant ?

Bon après plusieurs personnes utilisent cet ordi, et j'ai peur que certains (les enfants notament) soit parfois assez consentants !!!! Mais on va faire de la pédagogie lorsque tout sera rentré dans l'ordre.

gen-hackman · Answer

ok et ne fais pas confiance au premier venu qui te dira "vas-y ca c'est bien !!!"

sur ce forum les seul a qui tu peux demander conseil sont sur cette page :

http://www.commentcamarche.net/forum/stats.php3

MONKIZ-COMBATANT · Answer

Ok

Bon ceci dit Je vais devoir abandonner pour ce soir, faut que je sois "sur le pont " demain matin à 8h30. on peut poursuivre demain soir ou en fin d'am ? Je sens que ça va être long cette histoire :-(

Online armor est en cours d'installation il me dit de porter mon attention sur toutes les lignes quasiment, donc je vais aller me reposer et je vois ça demain.

MONKIZ-COMBATANT · Answer

J'ai finalement terminé l'installation, ça va finir par m'obséder ! 

Bon il reste ce mystère pourquoi je ne peux pas me connecter lorsque le bouclier web d'avast est activé ?

Par ailleurs penses tu que mon ordi soit clean maintenant?

gen-hackman · Answer

je ne sais pas je n ai pas eu assez de renseignements pour te dire ca

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge List_Kill'em

 et enregistre le sur ton bureau 

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer Shortcut
&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

MONKIZ-COMBATANT · Answer

C'est toi qui a développé ce programme ?

MONKIZ-COMBATANT · Answer

bon ce coup ci, je tombe donc je vais me coucher pendant que ça tourne. Bonne nuit et à demain j'espère.

gen-hackman · Answer

oui c est moi qui ai developpé ce programme avec l'aide  et conseils du createur d'USBFix/Findykill et AD-Remover

bonne nuit

MONKIZ-COMBATANT · Answer

Ok, ben merci pour nous tous du temps passé.

Bon et cette fois c'est mon dernier soubressaut :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijQqYlNf9.txt

Bonne nuit

gen-hackman · Answer

ok des restes de l infection Navipromo , la personne qui t'a aidé la derniere fois que tu as ete infecté n'a pas fait le travail correctement

on va traiter ca en profondeur :

Télécharge Navilog1 depuis-ce lien

&#9654 Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
&#9654 Ensuite double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, le fix s'exécutera automatiquement.

&#9654 Au menu principal, Fais le choix 1 >>  Recherche / suppression automatique 

Patiente jusqu'au message :
*** Analyse Termine le ..... *** 

>>>>> Le fix peut durer une dizaine de minutes ;)

&#9654 Appuie sur une touche le bloc note va s'ouvrir.

&#9654 Copie-colle le rapport ici.

MONKIZ-COMBATANT · Answer

Bonjour,

Je viens de passer navilog, par contre je n'obtiens aucun rapport. Il a nettoyé puis relancé l'ordi mais à aucun moment le bloc note ne s'est ouvert.

Puis je le retrouver quelque part? Y a t il quelque chose que je n'ai pas fait correctement ?

Merci d'avance et à ce soir je dois m'absenter.

gen-hackman · Answer

ok tu dois trouver ca ii :

c:
avi........txt je sais plus le nom je l ai jamais utilisé ^^

MONKIZ-COMBATANT · Answer

Bonsoir,

J'ai enfin compris mon erreur je passais navilog en mode normal. Du coup il ne se terminai pas et le log ne donnai rien, il n'y avait aucune info.

J'ai donc redémarrer en mode sans echec et refait la manip et là, ça a bougé.

Voici donc le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijuDK887L.txt

Pour info, la navigation n'est toujours pas redevenue normale, pour écrire je suis toujours obligé de désactiver avast.

Merci à tous en tout cas

Je continuerai demain car ce soir je paie un peu ma veillée d'hier soir!
Bonne nuit.

gen-hackman · Answer

ok bonsoir :

&#9654 Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

MONKIZ-COMBATANT · Answer

Bonjour,

ça tourne, il reste depuis 5 bonnes minutes sur deleting c:\programfiles\windowsupdate
Je ne sais si c'est normal, je n'entend rien tourner
Je laisse fonctionner, on verra bien mais à partir cela n'est plus normal ?

cordialement

MONKIZ-COMBATANT · Answer

Bon ça ne bouge pas ! Cela reste bloqué sur l'annonce précédente que dois-je faire ?

MONKIZ-COMBATANT · Answer

Je ne sais pas ce que ça va donner, j'ai du stopper et relancer avec le mode clean pour obtenir le rapport suivant.

Entre temps pensant qu'il y avait un blocage avec mon pare feu ou autre j'ai tout stoper au démarage, car comme list'em redémarre l'ordi même si je stoppe avast et le pare feu avant ils se reconnectent au redémarrage et je me suis dis que c'est peut être ce qui avit posé problème.

Voici donc le rapport obtenu/

http://www.cijoint.fr/cjlink.php?file=cj201005/cijQGPDvb2.txt

à bientôt.

gen-hackman · Answer

hello installe le service pack 3

MONKIZ-COMBATANT · Answer

bonjour,

C'est un peu décousu, mais je ne suis pas tous les jours là où se trouve cet ordi, donc ça s'étale un peu dans le temps, je m'en excuse.

J'ai téléchargé sp3, mais je n'arrive pas à l'installer. Voilà ce qui m'est innotifié : 

Windows ne parvient pas à accéder au préiphérique, au chemin d'accés ou fichier spécifié;
Vous ne disposez peut être pas des autorisations appropriées pour avoir accés à l'élément.

Dois je télécharger ailleurs? J'ai téléchargé via 01.net ?

Merci d'avance

gen-hackman · Answer

hello passe par windows update dans ton menu demarrrer/programmes

MONKIZ-COMBATANT · Answer

Bonjour,

Windows update ne fonctionne plus. lorsque je le lance, rien ne se passe. Si je lance le fichier téléchargé du nom de : windowsxp-kb936923-sp3-x86-FRA. une fenêtre apparait me notifiant que windows ne peut accéder au périphérique ...

Par ailleurs depuis cette tentative de mise à jour, plusieurs logiciels dysfonctionnent : avec outlook, impossible d'envoyer un message, impossible d'ouvrir les photos en pièces jointes des mails. Et sur mozilla, parfois ça rame et nous n'arrivons pas à ouvrir certaines pages.
????? 
Merci de ton aide car là il commence à me ... cet ordi!

gen-hackman · Answer

ok hello refais OTL stp

MONKIZ-COMBATANT · Answer

Ok Bonjour,  voilà qui est fait;

OTL :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijxMcSlLc.txt

Extra :

http://www.cijoint.fr/cjlink.php?file=cj201005/cij6KCvkvl.txt

à bientot

gen-hackman · Answer

Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



&#9654 Télécharge :

Malwarebytes  

ou  :

Malwarebytes

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

MONKIZ-COMBATANT · Answer

Bonjour,

Me revoici après quelques jours d'absences : ci joint le rp de mam :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijVoAE0SV.txt

à bientôt pour la suite j'espère.

gen-hackman · Answer

&#9654 Télécharge Zeb-Restoreet enregistre ce fichier sur le bureau. 

&#9654-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.
 
&#9654-Ouvre le dossier ZR_1.0.0.37 ==> double clic (pour vista / 7 = clic droit "executer en tant qu'.........") sur Zeb-Restore.exe 

&#9654- Coche la case devant : Windows update

&#9654- Ne coche aucune autre case 

&#9654-Clique sur Restaurer 

&#9654-Redémarre ton PC pour la prise en compte de cette action

MONKIZ-COMBATANT · Answer

Bonsoir, me revoici, j'ai toujours les m^mes soucis voir plus je n'ai plus de connexion internet.
Ceci dit, j'ai réussi à télécharger zeb restore mais impossible de l'installer.

Du coup je suis bloqué et un peu dépité j'avoue. J'avais un peu laissé tombé mais il faut absolument que je le récupère.
A bientot

MONKIZ-COMBATANT · Answer

Oups,

ça y est j'ai réussi, encore une fois je devais mettre en mode sans echec et je ne l'avais pas fait. C'est fait, il m'a mis que c'était restauré. Et maintenant que dois je faire pour récupéré ce fou......... ordinateur dans un état de fonctionnement convenable ?

Merci de ton aide en tout cas
à bientot

MONKIZ-COMBATANT · Answer

hum,

J'ai réinstallé windows sp3. Et ..... ça ne démarre plus. J'ai un mesage me siganlant que je suis certainement victime d'un windows piraté et que je dois en obtenir un légal, chose que j'accepte mais ça plante ensuite, je suis donc bloqué sur la page d'accueil d'xp, et je ne vais plus après !!!!! Au secours.

gen-hackman · Answer

bonsoir semaine sabbatique pour ccm ...désolé...

où en est-on ?

MONKIZ-COMBATANT · Answer

Bonsoir,

Je comprends bien il faut décrocher de temps en temps :-)

Je pense réinstaller un nouveau système car je ne vois pas de sortie à ce problème. Qu'en penses tu ?

MONKIZ-COMBATANT · Answer

Bon finalement j'ai opté pour cette solution, j'ai réinstallé un windows et suis en train de réinstaller le reste des logiciels. Bon j'ai un peu oublié de faire une sauvegarde des favoris et du carnet d'adresse mais c'est trop tard tout est écrasé, sauf si tu as une idée mais après un formatage je pense que rien n'a résisté ???

à bientot

gen-hackman · Answer

salut non à part retourner sur tes sites et les remettre en favoris...

MONKIZ-COMBATANT · Answer

Merci en tout cas

Problème d'infection

57 réponses

Votre réponse

Discussions similaires

Newsletters