HELP VIRUS

ROMAIN75 -  
moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

j'ai eu des problémes avec THINKPOINK avant hier je pensai que cela était résolu

aujourd'hui j'ai eu un soucis > redirection vers Gomeo etc.. j'ai passé ADR

et là j'ai des soucis avec explorer.exe et winlogue.exe

mais aussi Security Windows

JE NE SAIT PLUS QUOI FAIRE .... J'AI L'IMPRESSION QUE PLUS J'EN RETIRE PLUS IL Y EN A !! AIDEZ MOI ... merci

mon antivirus c'est Avira Antivir
et j'ai installé Malwarebytes' Anti-Malware

12 réponses

  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


    (outil de diagnostic)


    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


    CONTRIBUTEUR SECURITE

    Désinfection = diagnostic + traitement + finalisation
    "Restez" jusqu'au bout...merci
    0
    1. ROMAIN75
       
      MERCI.... Tien :

      http://www.cijoint.fr/cjlink.php?file=cj201011/cijVwx0I8E.txt
      0
  2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    1)

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier :

    C:\Windows\Explorer.exe
    C:\Windows\System32\Winlogon.exe

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.


    Copie le lien de Virus Total dans ta réponse.


    Si tu ne trouves pas le fichier alors

    Affiche tous les fichiers et dossiers :

    Pour cela :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cachés

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu

    Puis fais «appliquer» pour valider les changements.

    Et OK


    tuto pour t'aider


    http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

    ............................

    2)

    Télécharge SEAF ( de C__XX ) sur ton bureau :

    ici https://www.androidworld.fr/

    * Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.

    * Dans l'encadré blanc " Entrez ci dessous...." copie/colle ceci :

    Explorer.exe

    * Au niveau des " options des fichiers ", fait les réglages suivant :
    > A "Calculer le checksum" , choisis : MD5
    > Coche la case devant " Info. supplémentaire ".
    > Coche la case devant " Afficher les ADS "

    * Au niveau des " options du registre " :
    > coche " chercher également dans le registre "

    ( ne touche à aucun autre réglage )

    * Clique sur " Lancer la recherche " et laisse travailler l'outil ...
    ( cela peut-être plus ou moins long suivant les cas ).

    --> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

    Même opération avec Winlogon.exe
    0
    1. ROMAIN75
       
      VIRUS TOTAL terminé

      pour explorer.exe :

      http://www.virustotal.com/file-scan/report.html?id=8ce6a5966442e982fee1da47cd0f009baf23ecf9d4b548dff228abc0153bf334-1288967832

      pour winlogone.exe

      http://www.virustotal.com/file-scan/report.html?id=3bacf3696a93c72b71c2673b37d89760d85f492fc25942111329cfb09ebb7b73-1288968109

      c'est bien ça ??

      là je fait faire la manip. avec SEAF
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      oui c'est bien ca

      => SEAF
      0
    3. ROMAIN75
       
      Voici le Premier Rapport pour
      explorer.exe

      http://www.cijoint.fr/cjlink.php?file=cj201011/cijkzhjLS9.txt
      0
    4. ROMAIN75
       
      Voici le Second Rapport pour
      winlogon.exe

      http://www.cijoint.fr/cjlink.php?file=cj201011/cijND4GRyk.txt
      0
  3. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    tu as utiliser combofix ?

    poste moi le rapport stp
    0
    1. ROMAIN75
       
      la dernier fois que je lé utilisé cela fesai planter mon pc donc je n'ai jamais eu de rapport...

      donc pourquoi pas réssayer non ? tu peux me donner le lien stp
      0
  4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    non, c'est bon

    bon tu as une sale infection nommée batimal, avec deux fichiers vitaux infectés

    dans ton pc, il n'y a de quoi n'en remplacer qu'un

    l'autre je peux te le donner mais mon pc est à jour pas le tien !

    donc

    installe le sp3 et fais moi ensuite un nouveau rapport zhp et un SEAF avec winlogon.exe

    SP3 => https://www.commentcamarche.net/telecharger/systemes-d-exploitation/20759-sp3-windows-xp/
    0
    1. ROMAIN75
       
      re, j'ai lancer SP3.... mais il semble que cela soit bloqué au niveau de
      "nettoyage en cours" ... je doit attendre ?

      de plus, un message d'avertissement me signale que Explorer.exe doit fermer
      je n'est donc [encore une fois] plus d'interface....

      c'est normale ??
      0
    2. ROMAIN75
       
      Bon j'ai du relancer mon pc ... et aprés une petite peur
      (allumage bizar) il c'est rallumer normalement....

      je vien de me conecter a internet et je suis arriver sur le vite via google sans qu'il menvoi sur un autre site...

      mais du coup je sait pas si SP3 c'est installer completement ou pas... je doit le refaire ?

      et je te redonner un rapport ZHP et SEAF avec winlogon.exe
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    fais ZHP et je verrai si tu es en SP3

    et SEAF aussi stp
    0
    1. ROMAIN75
       
      voici le ZHP

      http://www.cijoint.fr/cjlink.php?file=cj201011/cijeQkVtgf.txt
      0
    2. ROMAIN75
       
      et voici le rapport SEAF pour winlogon.exe

      http://www.cijoint.fr/cjlink.php?file=cj201011/cijh8n4CGP.txt

      merci
      0
  7. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    tu es bien SP3

    donc

    télécharge ceci et copie le à la racine de C
    (poste de travail/C)

    http://sd-2.archive-host.com/membres/up/135518691112296573/winlogon.exe

    .......

    ensuite

    Grave ce OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=
    Tu boots dessus au redemarrage du pc, le but étant d'arriver sur un système d'exploitation alternatif qui permet d'accéder aux fichiers de ton Windows.

    copie et remplace C:\winlogon.exe à la place de C:\WINDOWS\system32\winlogon.exe

    copie et remplace C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe à la place de C:\WINDOWS\explorer.exe

    Redémarre sur ton Windows normalement.

    Scanne les fichiers suivant sur https://www.virustotal.com/gui/ et donne les liens de scan ici
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\explorer.exe

    0
    1. ROMAIN75
       
      heu le début j'ai compris mais aprés non :(

      " Grave ce OTLPE " ou " boots dessus " je ne sait pas ce que ca veu dire
      0
    2. ROMAIN75
       
      et je n'ai pas de "graveur" si tu parlais de le mettre sur un CD :(
      0
  8. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    tu graves le cd que tu télécharges ici http://oldtimer.geekstogo.com/OTLPEStd.exe

    tu le laisses ensuite dans le lecteur et tu redemarres le pc

    tu devrais avoir un message dès le lancement de ta machine "appuyer sur une touche pour démarrer à partir du cd"
    ce que tu fais

    tu arrives dans un environnement comme celui ci https://forum.malekal.com/viewtopic.php?t=23453&start=

    tu vas pouvoir naviguer dans ton pc ainsi sans lancer Windows et donc les fichiers infectés

    tu les remplaces comme indiqué au dessus

    est ce plus clair ?
    0
    1. ROMAIN75
       
      oui merci .... mais j'ai pas de graveur
      0
  9. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    soucis donc..

    essayons autrement mais sans conviction

    télécharge ceci et copie le à la racine de C
    (poste de travail/C)

    http://sd-2.archive-host.com/membres/up/135518691112296573/winlogon.exe

    puis

    Télécharge ComboFix de sUBs sur ton Bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    ensuite

    /!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !

    crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
    Copies y ce texte dedans et enregistres le

    KillAll::

    FCopy::

    C:\winlogon.exe | c:\windows\explorer.exe

    C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe | c:\windows\system32\winlogon.exe


    * Désactive tes logiciels de protection
    * Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
    http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif

    * Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
    0
    1. ROMAIN75
       
      re, encore une fois ComboFix se lance... et plante mon pc... qui redémarre...

      mais est ce que mon pc est encore infecté ??

      Google ne me redirige plus... et Avira Antivir ne me signal plus explorer.exe ou winlogon.exe ....
      0
  10. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Fais un nouveau rapport ZHPdiag stp

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    0
    1. ROMAIN75
       
      oké voila

      http://www.cijoint.fr/cjlink.php?file=cj201011/cijEDma1tW.txt
      0
  11. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    je me suis planté dans le script !!!

    explorer est quand même passé, l'autre non

    tu as bien téléchargé le fichier que je t'ai donné et copié sur C ?

    /!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !

    crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
    Copies y ce texte dedans et enregistres le

    KillAll::

    FCopy::

    C:\winlogon.exe | c:\windows\system32\winlogon.exe


    * Désactive tes logiciels de protection
    * Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
    http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif

    * Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
    0
    1. ROMAIN75
       
      oui jlé télécharger... ya le ptit truc avec l'icone : une fenetre avec la lune

      je recommence la manip. ComboxFix et jte di
      0
    2. ROMAIN75
       
      re bin toujours la même chose...

      Je créer un "document text" je copie le contenu et le nom

      je le glisse sur l'icone et là ComboFix se lance
      (sans que le texte rentre, on le voit toujours)

      et là mon pc plante (j'avais éssayer ComboFix pour ThinkPoint et il n'avait pas marché aussi)

      l'écran devient bleu avec les écriture et le pc se rallume...

      là il y a l'icone ComboFix mais plus le document text... :((
      0
  12. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Je créer un "document text" je copie le contenu et le nom

    tu le refermes en enregistrant sa modification

    ensuite ce fichier tu le fais glisser sur l'icone de combofix...

    ...........

    la suite demain...
    0
    1. ROMAIN75
       
      oui je l'ai fait... mais Combofix plante toujours ...:((

      bonne soirée si on se reparle pas ce soir...
      0
  13. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    1)
    Fais un nouveau rapport ZHPdiag stp

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    ...............

    2)

    Grave ce OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start= par l'intermédiaire d'un ami

    @+
    0