Virus sur Explorer.exe et winlogon.exe

Question

Bonjour, 



Alors en fait il y a un virus sur mon explorer.exe et winlogon.exe mais je ne sais pas comment m'en débarrasser. Mon anti-virus (antivir) ne peux pas les supprimer. Même en faisant un scan en mode sans échec. J'ai été obligé de désactiver la protection de antivir car il fait apparaître sans cesse une fenêtre me disant que je suis infecté.  

Il ne m'est pas possible de faire des recherches google car le site est automatiquement redirigé vers de la pub. Un des effets du virus je présume. 

Je suis sur XP. 

Help :s

merci

moment de grace · Answer

bonjour Attention, avant de commencer, lit attentivement la procédure, et imprime la Aide à l'utilisation https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Télécharge ComboFix de sUBs sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ ---> Double-clique sur ComboFix.exe Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter SURTOUT INSTALLES LA CONSOLE DE RECUPERATION (si il te propose de l'installer remets internet) ---> Mets-le en langue française F Tape sur la touche 1 (Yes) pour démarrer le scan. Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. Une fois le scan achevé, un rapport va s'afficher : Poste son contenu /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ Note : Le rapport se trouve également là : C:\ComboFix.txt

Shika20 · Answer

Merci pour ta réponse. Ca m'a l'air extrême ce truc ^^

la il est tard et je vais devoir quitter mais je serai la demain en début de soirée pour tester ça


merci

moment de grace · Answer

ok

peux tu me poster le rapport de combofix

moment de grace · Answer

deux infections graves en même temps, ca fait beaucoup 

1) 

sauvegarde tes données importantes  

2) 
à partir d'un autre pc si possible télécharges et graves ceci sur un cd 
(gravure d'un iso ou d'une image) 

https://free.drweb.com/aid_admin/ 



redemarrer le pc en mettant le cd DRWEB dans le lecteur 
puis 
redémarrer le pc en bootant sur le cd Dr.Web 
(si ton pc est bien configuré, tu devrais avoir un message dés le début du lancement « appuyer sur une touche pour démarrer du cd ») 


suivre ensuite les indications de l'outil 

aide toi de ce lien 

http://jal.cyber-nux.fr/?p=123




CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

moment de grace · Answer

Télécharge BurnAtOnce (bao0995.exe) sur ton bureau. 
http://dl.commentcamarche.net/www.commentcamarche.net/download/files/bao0995.exe 

- Installe le sans modifier les paramètres proposés lors du processus d'installation. 
- A la fin de l'installation, clique sue "Finish" pour lancer BurnAtOnce, une fenêtre de "License agreement" s'ouvre, coche la case "I am a non commercial user and accept the license agreement" et clique sur "Next". 
- BurnAtOnce est maintenant en fonctionnement. 

Fais un "glisser/déposer"du fichier "DRWEB.iso" sur le raccourci de "BurnAtOnce" comme sur cette capture : 
https://www.sfr.fr/fermeture-des-pages-perso.html 

- Clique sur Simulation 
- La gravure du CD va alors démarrer 
- Tu peux regarder cette vidéo (merci à jeanmimigab) en cas de problème : 
https://www.youtube.com/watch?v=EG3lOgt3ugE

moment de grace · Answer

ok

on utilise le bouton vert pour répondre

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Shika20 · Answer

salut, je suis en trains faire ce tu dis. Quand tu parles de lancer en mode admin, c'est juste pour vista ? Car je suis sur XP

Shika20 · Answer

le scan dure t-il un moment ou c'est très rapide ? Car moi il est comme bloqué sur 80% et n'a pas bougé depuis quelque minutes

Shika20 · Answer

Je t'ai fait un screenshot :


http://img245.imageshack.us/img245/7899/55555bz.jpg

moment de grace · Answer

ok lecture de la mbr...ca peut être long

si ca dure encore

fais le en mode sans echec

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

et si ca coince encore

alors en normal en décochant (icone touernevis) l'option 080

Shika20 · Answer

Ok mais comme je t'avais écris précédemment. Je suis toujours en mode sans échec. En fait je n'arrive pas a retourner au mode normal.

Shika20 · Answer

voila :


http://www.cijoint.fr/cjlink.php?file=cj201011/cijcR3txgM.txt

moment de grace · Answer

ok

encore beaucoup de travail

j'espère qu'en mode sans echec tu as internet

............

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 

-- C:\Windows\Explorer.exe 
-- C:\Windows\System32\Winlogon.exe 


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK


tuto pour t'aider

http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

Shika20 · Answer

voila pour explorer : 

http://www.virustotal.com/file-scan/report.html?id=66957a54fefa2a9c2139661e041c2c069ecdec6148ed55db0ccf78f9dcd11593-1289776699 


winlogon : 

http://www.virustotal.com/file-scan/report.html?id=4d0a13ae8211a6a1c2432dbaa8878d5d78f9b8c62d52998a221d01cb40aea330-1289777237

aussi, tu dois savoir que j'ai 2 disque dure et donc 2 explorer et winlogon et ceux-ci affichent un résultats différent, Tu veux les voir aussi ?

moment de grace · Answer

ok

il faut les changer...as tu le  cd de windows ?

Shika20 · Answer

Non je ne crois pas l'avoir malheureusement.

moment de grace · Answer

ok

tu vas mettre le SP3 (mise à jour XP) et je t'en passerai pour remplacer les tiens infectés
dis moi quand c'est fait

https://www.commentcamarche.net/telecharger/systemes-d-exploitation/20759-sp3-windows-xp/

Shika20 · Answer

voila il a terminé je vais redemarrarer le pc avant

moment de grace · Answer

ok

télécharge ce deux fichiers et copie sur sur C (poste de travail \C) 

http://sd-2.archive-host.com/membres/up/135518691112296573/winlogon.exe 

http://sd-2.archive-host.com/membres/up/135518691112296573/explorer.exe 

puis

Grave ce OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=  
Tu boots dessus, le but étant d'arriver sur un système d'exploitation alternatif qui permet d'accéder aux fichiers de ton Windows.  

Copie C:\winlogon.exe à la place de C:\WINDOWS\system32\winlogon.exe  

et copie C:\explorer.exe à la place de 
  C:\WINDOWS\explorer.exe  

Redémarre sur ton Windows normalement.  

Scanne les fichiers suivant sur https://www.virustotal.com/gui/ et donne les liens de scan ici  
C:\WINDOWS\system32\winlogon.exe  
C:\WINDOWS\explorer.exe

Shika20 · Answer

dac mais je prend lequel ? il y a 2 lien standard et 2 liens network

Shika20 · Answer

voila pour explorer :

http://www.virustotal.com/file-scan/report.html?id=1ab74a4ae472156a5d2c6714e2e1a60e3b32ceb4996f923887a12b6a27315d13-1289781896

winlogon :

http://www.virustotal.com/file-scan/report.html?id=ecef5a07dbc72e99adcb82af4dab143f5a2bad3812ccbfa87ea5e82e29e133fa-1289782035

moment de grace · Answer

ok

1)

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ 

 Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « NETTOYER » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

......................

2)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

......................

3)

Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Shika20 · Answer

lorsque je veux enregistrer dans le bureau (clic droit), ca me dit qu'il y a un copyright  

ca ne fait rien si je l'enregistre ailleur et que je le coupe et colle sur le bureau ?

Shika20 · Answer

voila le rapport de ad-remover



============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.10 (fr)] **

-- C:\Documents and Settings\abdel\Application Data\Mozilla\FireFox\Profiles\311d2pv7.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\abdel\Mes documents\Mes images
browser.startup.homepage_override.mstone, rv:1.9.2.10

========================================

** Internet Explorer Version [6.0.2900.5512] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 118 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 14/11/2010 (2455 Octet(s)) 

Fin à: 20:21:36, 14/11/2010 
 
============== E.O.F ============== 




Je débute le scan de malwarebyte's

Shika20 · Answer

Il a terminé


voila le rapport :


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 5117

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 6.0.2900.5512

14/11/2010 21:17:23
mbam-log-2010-11-14 (21-17-23).txt

Type d'examen: Examen complet (C:\|D:\|E:\|G:\|)
Elément(s) analysé(s): 283253
Temps écoulé: 47 minute(s), 10 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{52a91bf8-da96-82f7-34ea-4f55dcad3e16} (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
onep (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\program files\microsoft\watermark.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (c:\windows\system32\userinit.exe,c:\program files\microsoft\watermark.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\abdel\Application Data\Caibuiyn.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
C:\Documents and Settings\abdel\Mes documents\Téléchargements\SetupPlaySushi.exe (Adware.Dropper) -> Quarantined and deleted successfully.
C:\Program Files	mp\x999.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7216DE06-883E-4AB6-A7B0-280009C76AC4}\RP0\A0000005.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7216DE06-883E-4AB6-A7B0-280009C76AC4}\RP0\A0002740.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7216DE06-883E-4AB6-A7B0-280009C76AC4}\RP0\A0005997.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
C:\Program Files\Microsoft\watermark.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Documents\Server\admin.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\abdel\Local Settings	emp	mp37df5676_KillEXE.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\abdel\Mes documents\downloads\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Documents and Settings\abdel\Mes documents\downloads\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

moment de grace · Answer

ok

vide la quarantaine de MBAM

puis

fais un nouveau rapport ZHPdiag

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Shika20 · Answer

voila le lien :


http://www.cijoint.fr/cjlink.php?file=cj201011/cijCyLCmq0.txt

moment de grace · Answer

Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

[MD5.A4EE1200F915817C00DCFD7F78EF1200] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Microsoft\WaterMark.exe   [75181]   
O44 - LFC:[MD5.B717FCE3F4EF120B390319077A073A9A] - 14/11/2010 - 21:19:31 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\dmlconf.dat   [16]    
O47 - AAKE:Key Export SP - "C:\DOCUME~1\abdel\LOCALS~1\Temp\e.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\abdel\LOCALS~1\Temp\e.exe    
O47 - AAKE:Key Export SP - "C:\Documents and Settings\abdel\Application Data\download2\svcnost.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Documents and Settings\abdel\Application Data\download2\svcnost.exe 
O44 - LFC:[MD5.9DF5F7FB921486C04781CAD71D7DB727] - 14/11/2010 - 19:00:07 ---A- . (.Sysinternals - DebugView.) -- C:\WINDOWS\System32\shmgratemgr.exe   [75181]
O44 - LFC:[MD5.9DF5F7FB921486C04781CAD71D7DB727] - 14/11/2010 - 19:00:07 ---A- . (.Sysinternals - DebugView.) -- C:\WINDOWS\System32\verclsidmgr.exe   [75181]
O44 - LFC:[MD5.8737F6F4C8EC1E2A9EA5516F1B3AE1AD] - 14/11/2010 - 18:57:11 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\002822_.tmp   [19569]
O44 - LFC:[MD5.9DF5F7FB921486C04781CAD71D7DB727] - 14/11/2010 - 17:48:32 ---A- . (.Sysinternals - DebugView.) -- C:\WINDOWS\System32\mspaintmgr.exe   [75181]
O44 - LFC:[MD5.9DF5F7FB921486C04781CAD71D7DB727] - 14/11/2010 - 17:18:56 ---A- . (.Sysinternals - DebugView.) -- C:\WINDOWS\Explorermgr.exe   [75181]

Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message 

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

Shika20 · Answer

voila :


Rapport de ZHPFix 1.12.3217 par Nicolas Coolman, Update du 12/11/2010
Fichier d'export Registre : C:\ZHPExportRegistry-14-11-2010-21-53-29.txt
Run by abdel at 14/11/2010 21:53:29
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\DOCUME~1\abdel\LOCALS~1\Temp\e.exe" [Enabled] .(.) (.not file.) -- C:\DOCUME~1\abdel\LOCALS~1\Temp\e.exe  => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Documents and Settings\abdel\Application Data\download2\svcnost.exe" [Enabled] .(.) (.not file.) -- C:\Documents and Settings\abdel\Application Data\download2\svcnost.exe  => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\windows\system32\dmlconf.dat  => Supprimé et mis en quarantaine
c:\windows\system32\shmgratemgr.exe  => Supprimé et mis en quarantaine
c:\windows\system32\verclsidmgr.exe  => Supprimé et mis en quarantaine
c:\windows\002822_.tmp  => Supprimé et mis en quarantaine
c:\windows\system32\mspaintmgr.exe  => Supprimé et mis en quarantaine
c:\windows\explorermgr.exe  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
2 : Valeur(s) du Registre
6 : Fichier(s)


End of the scan

moment de grace · Answer

ok

on fait le point

de mon côté :

deux infections tres sales, une semble éradiquée, l'autre est en apparence supprimée mais elle est tenace

de ton côté

1)

constate tu une amélioration

2)

le mode normal est il toujour hors service

Shika20 · Answer

alors si il y a une amélioration, ça je ne sais pas trop.  

Le seul effet visible de mon infection était l'impossibilité de faire des recherches sur les moteurs de recherches comme Google car le site était automatiquement redirigé vers de la pub.  

Ce problème n'existe plus de puis le scan de DR.WEB il me semble. Mais sinon, à part Antivir qui hurlait sans arret je dirais que je n'ai pas vu d'autre conséquences de mon infection.  Étant donné que je suis en mode sans echec, je ne peux pas voir comment antivir réagit avec ces nouveau changements. 


Pour le mode normal, non je sais toujours comme le faire revenir. Voila à quoi ressemble le BOOT.INI dans MSCONFIG :  

http://img28.imageshack.us/img28/8472/2222ho.jpg

moment de grace · Answer

ok

1)

pour ton boot ini, je vais me faire assister d'un ami pour le réparer (je te tiendrai au courant

2)

on refait un coup de Dr Web mais en logiciel

&#8658; Téléchargez Dr.Web CureIt! sur ton Bureau : 
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

&#8658; Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan. 
&#8658; Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite. 
&#8658; Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration. 
&#8658; Choisissez l'onglet Scanner, et décochez Analyse heuristique. 
&#8658; De retour à la fenêtre principale : choisissez Analyse complète. 
&#8658; Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la. 
&#8658; Cliquez Oui pour Tout si un fichier est détecté. 
&#8658; A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine. 
&#8658; Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport. 
&#8658; Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv. 
&#8658; Fermez Dr.Web CureIt! 
&#8658; Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage. 
&#8658; Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note 

Ensuite : 

&#8658; Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/ 
&#8658; Cliquez sur parcourir, chercher rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier 
&#8658; Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

Shika20 · Answer

ok

Shika20 · Answer

Il me propose le mode renforcé ou standard. Je prend lequel ? Le mode renforcé ne doit pas être utilisé avec d'autre applications ouvertes.

Shika20 · Answer

ok ;)

Shika20 · Answer

Rebonsoir 


voila le rapport de Drweb : 

http://www.cijoint.fr/cjlink.php?file=cj201011/cij9RHHdZV.txt

moment de grace · Answer

toujours la même saleté qui innonde le pc !!! ca devient chaud... supprimes combofix que tu as déjà puis Attention, avant de commencer, lit attentivement la procédure, et imprime la Aide à l'utilisation https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Télécharge ComboFix de sUBs sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ ---> Double-clique sur ComboFix.exe Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter SURTOUT INSTALLES LA CONSOLE DE RECUPERATION (si il te propose de l'installer remets internet) ---> Mets-le en langue française F Tape sur la touche 1 (Yes) pour démarrer le scan. Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. Une fois le scan achevé, un rapport va s'afficher : Poste son contenu /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ Note : Le rapport se trouve également là : C:\ComboFix.txt

Shika20 · Answer

salut, content de te revoir.



Voici le rapport :



ComboFix 10-11-15.05 - abdel 16/11/2010   1:55.1.2 - x86 NETWORK
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.767.412 [GMT -5:00]
Lancé depuis: c:\documents and settings\abdel\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
[i] ADS - explorer.exe: deleted 24 bytes in 1 streams. /i

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\microsoft\watermark.exe
c:\windows\system32\dmlconf.dat

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-10-16 au 2010-11-16  ))))))))))))))))))))))))))))))))))))
.

2010-11-15 21:50 . 2010-11-15 21:50	75181	----a-w-	c:\windows\Explorermgr.exe
2010-11-15 03:36 . 2010-11-15 03:54	--------	d-----w-	c:\documents and settings\abdel\DoctorWeb
2010-11-15 01:19 . 2010-11-15 01:19	--------	d-----w-	c:\program files\Ad-Remover
2010-11-15 00:02 . 2010-11-15 00:03	--------	d-----w-	c:\windows\LastGood
2010-11-14 23:58 . 2008-04-14 00:34	294912	------w-	c:\program files\Windows Media Player\dlimport.exe
2010-11-14 23:58 . 2008-04-14 00:34	294912	-c----w-	c:\windows\system32\dllcache\dlimport.exe
2010-11-14 23:54 . 2010-11-14 23:54	--------	d-----w-	c:\windows\EHome
2010-11-14 22:18 . 2010-11-15 07:16	--------	d-----w-	c:\program files\ZHPDiag
2010-11-13 23:09 . 2010-11-13 23:21	--------	d-----w-	c:\windows\system32\hdined32.nls.{00021401-0000-0000-C000-000000000046}
2010-11-13 23:08 . 2010-11-13 23:19	--------	d-----w-	c:\program files\burnatonce
2010-11-13 21:17 . 2010-11-13 21:35	--------	d-----w-	C:\shika
2010-11-12 18:54 . 2010-11-15 02:52	--------	d-----w-	c:\program files	mp
2010-11-12 04:40 . 2010-11-15 06:45	--------	d-----w-	c:\program files\TabletPlugins
2010-11-12 04:39 . 2009-11-24 19:25	7892776	------w-	c:\windows\system32\WacomTablet.cpl
2010-11-12 04:39 . 2009-08-27 22:06	16168	----a-w-	c:\windows\system32\drivers\wacmoumonitor.sys
2010-11-12 04:39 . 2009-11-24 19:25	412456	------w-	c:\windows\system32\Wacom_Tablet.dll
2010-11-12 04:39 . 2009-11-24 19:25	4463400	------w-	c:\windows\system32\Wacom_Tablet.exe
2010-11-12 00:53 . 2010-11-12 00:59	--------	d-----w-	c:\documents and settings\abdel\Application Data\Mumble
2010-11-12 00:52 . 2010-11-15 06:26	--------	d-----w-	c:\program files\Mumble
2010-11-07 03:44 . 2010-11-07 03:44	--------	d-----w-	c:\documents and settings\abdel\Local Settings\Application Data\Downloaded Installations
2010-11-07 03:39 . 2010-11-07 03:39	123327	----a-r-	c:\documents and settings\abdel\Application Data\Microsoft\Installer\{42929F0F-CE14-47AF-9FC7-FF297A603021}\NewShortcut1_42929F0FCE1447AF9FC7FF297A603021_1.exe
2010-11-07 03:38 . 2010-11-07 03:38	--------	d-----w-	c:\windows\system32\vmm32
2010-11-07 03:38 . 2010-11-07 03:38	--------	d-----w-	c:\program files\Dell
2010-11-02 19:47 . 2010-11-11 20:10	--------	d-----w-	c:\documents and settings\abdel\Application Data	eamspeak2
2010-11-02 19:47 . 2010-11-02 19:47	34064	----a-w-	c:\windows\system32\lhacm.acm
2010-11-02 19:46 . 2010-11-15 06:45	--------	d-----w-	c:\program files\Teamspeak2_RC2
2010-10-30 16:15 . 2010-10-31 06:03	--------	d-----w-	c:\documents and settings\abdel\Application Data\DriverCure
2010-10-30 16:15 . 2010-11-10 07:03	--------	d-----w-	c:\documents and settings\All Users\Application Data\DriverCure
2010-10-30 16:15 . 2010-10-30 16:15	--------	d-----w-	c:\program files\Fichiers communs\ParetoLogic
2010-10-30 16:15 . 2010-10-30 16:15	--------	d-----w-	c:\documents and settings\All Users\Application Data\ParetoLogic
2010-10-30 14:08 . 2010-10-30 14:08	--------	d-----w-	c:\documents and settings\All Users\Application Data\Dell
2010-10-30 14:08 . 2010-10-30 14:08	--------	d-----w-	C:\dell
2010-10-22 20:31 . 2010-11-12 23:15	--------	d-----w-	c:\program files\ma-config.com
2010-10-22 20:31 . 2010-10-22 20:31	--------	d-----w-	c:\documents and settings\All Users\Application Data\ma-config.com
2010-10-21 19:07 . 2010-10-27 03:19	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-10-21 19:07 . 2010-10-27 03:19	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-15 00:17 . 2006-03-02 12:00	1037824	----a-w-	c:\windows\explorer.exe
2010-11-15 00:16 . 2006-03-02 12:00	512000	----a-w-	c:\windows\system32\winlogon.exe
2010-11-03 18:17 . 2010-02-20 19:24	196608	----a-w-	c:\windows\system32\drivers
Standard.bin
2010-09-05 01:10 . 2010-09-05 01:10	737280	----a-w-	c:\windows\iun6002.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote	bVuz0.dll" [2010-10-01 2734688]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
2010-10-01 06:56	2734688	----a-w-	c:\program files\Vuze_Remote	bVuz0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\program files\Vuze_Remote	bVuz0.dll" [2010-10-01 2734688]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{BA14329E-9550-4989-B3F2-9732E92D17CC}"= "c:\program files\Vuze_Remote	bVuz0.dll" [2010-10-01 2734688]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"Steam"="c:\program files\Steam\Steam.exe" [2010-08-24 1242448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-07-15 33714684]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-02-15 141608]
"hpqSRMon"="" [BU]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-12 39792]
"RoxWatchTray"="c:\program files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2008-03-06 236016]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-08-20 1164584]
"Sweri"="c:\windows\aveqovuzito.dll" [BU]
"Athan"="c:\program files\Athan\Athan.exe" [2010-03-27 1122304]
"nwiz"="c:\program files\NVIDIA Corporation
View
wiz.exe" [2010-07-08 1753192]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-07-09 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\zal.exe" [2010-04-29 1090952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\World of Warcraft\WoW-3.2.0-frFR-downloader.exe"=
"c:\Program Files\World of Warcraft\Launcher.exe"=
"c:\Program Files\Steam\Steam.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqcopy2.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqsudi.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqpsapp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqpse.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqgplgtupl.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqusgm.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqusgh.exe"=
"c:\Program Files\HP\HP Software Update\HPWUCli.exe"=
"c:\Program Files\HP\Digital Imaging\Smart Web Printing\SmartWebPrintExe.exe"=
"c:\Program Files\Vuze\Azureus.exe"=
"c:\Program Files\Steam\SteamApps\common\torchlight\Torchlight.exe"=
"c:\WINDOWS\system32\dpvsetup.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [21/02/2010 20:22 108289]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [08/03/2010 18:49 135664]
S2 NVIDIA Performance Driver Service;NVIDIA Performance Driver Service;c:\program files\NVIDIA Corporation\Performance Drivers
vPDsvc.exe [19/07/2009 23:55 4446752]
S2 TabletServicePen;TabletServicePen;c:\windows\system32\Pen_Tablet.exe [31/03/2010 14:37 1373480]
S2 TabletServiceWacom;TabletServiceWacom;c:\windows\system32\Wacom_Tablet.exe [11/11/2010 23:39 4463400]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [12/09/2010 14:30 251248]
S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [20/02/2010 14:11 1381632]
S3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [11/11/2010 23:39 16168]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - Dwsh00002071

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'

2010-10-30 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 17:34]

2010-11-13 c:\windows\Tasks\DriverCure Startup.job
- c:\documents and settings\abdel\Mes documents\DriverCure\DriverCure.exe [2010-06-17 21:28]

2010-11-10 c:\windows\Tasks\DriverCure.job
- c:\documents and settings\abdel\Mes documents\DriverCure\DriverCure.exe [2010-06-17 21:28]

2010-11-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-08 23:49]

2010-11-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-08 23:49]

2010-11-11 c:\windows\Tasks\ParetoLogic Registration3.job
- c:\program files\Fichiers communs\ParetoLogic\UUS3\UUS3.dll [2010-04-06 21:30]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\abdel\Application Data\Mozilla\Firefox\Profiles\311d2pv7.default\
FF - plugin: c:\program files\Adobe\Reader 8.0\Reader\browser
ppdf32.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player
pdivx32.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39
pGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin
ew_plugin
pdeployJava1.dll
FF - plugin: c:\program files\ma-config.com
phardwaredetection.dll
FF - plugin: c:\program files\TabletPlugins
pwacom.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169} - c:\progra~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe
AddRemove-Vuze_Remote Toolbar - c:\progra~1\VUZE_R~1\UNWISE.EXE
AddRemove-Windows Media Format Runtime - c:\program files\Windows Media Player\wmsetsdk.exe
AddRemove-WinRAR archiver - c:\program files\WinRAR\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-16 02:02
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1???????????????????????????????????????????????? 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-11-16  02:06:14
ComboFix-quarantined-files.txt  2010-11-16 07:06
ComboFix2.txt  2010-11-13 21:35

Avant-CF: 68 040 003 584 octets libres
Après-CF: 68 352 397 312 octets libres

- - End Of File - - 7E460D116CDEA312F2236C52DCA3A376

moment de grace · Answer

content aussi mais c'est ardu

relance MalwareByte's Anti-Malware 

. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

Shika20 · Answer

Le scan complet de MalwareByte's vient de se terminer et cette fois il n'a rien trouvé.  


Le rapport :  


Malwarebytes' Anti-Malware 1.46  
www.malwarebytes.org  

Version de la base de données: 5124  

Windows 5.1.2600 Service Pack 3 (Safe Mode)  
Internet Explorer 6.0.2900.5512  

16/11/2010 03:09:48  
mbam-log-2010-11-16 (03-09-48).txt  

Type d'examen: Examen complet (C:\|D:\|E:\|G:\|)  
Elément(s) analysé(s): 287370  
Temps écoulé: 52 minute(s), 49 seconde(s)  

Processus mémoire infecté(s): 0  
Module(s) mémoire infecté(s): 0  
Clé(s) du Registre infectée(s): 0  
Valeur(s) du Registre infectée(s): 0  
Elément(s) de données du Registre infecté(s): 0  
Dossier(s) infecté(s): 0  
Fichier(s) infecté(s): 0  

Processus mémoire infecté(s):  
(Aucun élément nuisible détecté)  

Module(s) mémoire infecté(s):  
(Aucun élément nuisible détecté)  

Clé(s) du Registre infectée(s):  
(Aucun élément nuisible détecté)  

Valeur(s) du Registre infectée(s):  
(Aucun élément nuisible détecté)  

Elément(s) de données du Registre infecté(s):  
(Aucun élément nuisible détecté)  

Dossier(s) infecté(s):  
(Aucun élément nuisible détecté)  

Fichier(s) infecté(s):  
(Aucun élément nuisible détecté)



Je vais devoir m'absenter. Je serai de retour se soir peu-être.  A++

Shika20 · Answer

Salut, 


As-tu trouvé un moyen pour que je revienne au mode normal ? C'est vraiment ennuyant ce problème.

Shika20 · Answer

Ok ça marche. Merci ;)

moment de grace · Answer

Vas dans le poste de travail, puis outils/options des dossiers.
Vas sur l'onglet affichage, puis décoche la ligne masquer les fichiers protègés du système d'explotation. 

puis cherche le fichier boot.ini  qui doit se trouver à la racine de C: 

ouvre le et colle son contenu dans ta prochaine réponse

Shika20 · Answer

salut,

le voila :

[boot loader]
timeout=3
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect /safeboot:network

moment de grace · Answer

ok

supprime ce qui est en gras

enregistre et redemarre pour voir


[boot loader]
timeout=3
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect /safeboot:network

Shika20 · Answer

Resalut,

Alors j'ai supprimé ce qui est en gras comme tu me l'as demandé mais au moment de sauvegarder, voila ce qu'il me dit :

http://img833.imageshack.us/img833/8157/booti.jpg

Shika20 · Answer

hey, j'ai p-e trouvé la solution mais je ne l'ai pas testé car je ne suis pas certains si c'est ce qu'il faut faire et si c'est sans danger  ^^ 


Actuellement c'est la 3e ligne qui est sélectionnée en gris ce qui fait que je n'ai pas accès au boot (C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons): 

http://img138.imageshack.us/img138/7924/boottest.jpg 

Or si je sectionne la dernière ligne ( multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect /safeboot:network) : 


http://img541.imageshack.us/img541/4936/boottest2.jpg 

Je peux désélctionner le mode sans échec. 

Alors j'essaye ça ?

moment de grace · Answer

télécharge ceci et applique le

colle le contenu du rapport généré stp

http://sd-2.archive-host.com/membres/up/135518691112296573/boot.bat

Shika20 · Answer

voila


A  SHR     C:\boot.ini

Shika20 · Answer

à propos de ce que j'ai dit précédemment, je ne dois pas faire ça ?

Shika20 · Answer

J'ai compris donc en fait quand j'ai utilisé Combofix pour la 1er fois, il m'avais demandé de créer la console de récupération ce que j'ai fait.    

Le truc c'est qu'à ce moment, j'étais en mode sans échec avec prise réseau. C'est donc normal que je sois toujours en mode sans échec car j'utilise la console de récupération actuellement sans avoir décoché le safeboot. Je ne pense pas qu'il y ait de problème avec mon Boot  non ?

Shika20 · Answer

Bon je suis une tête de mule alors je l'ai fait quand même avec le msconfig.     


Ça s'est bien passé, le pc ne se redémarre pas donc pas de soucis de ce côté là.     


Bon ce que je constate avec le mode normal :     

- Antivir ne détecte plus explorer.exe et winlogon.exe donc ça c'est réglé je crois.     


- Antivir continue de m'alerter que plusieurs fichiers sont infecté donc obligé de désactiver la garde active car il ne s'arrête pas.     


- Plusieurs fenêtres apparaissent pour me dire que certains .DLL sont manquant pour lancer certaines applications.     


- Des trucs liés à l'imprimante sont manquants comme Trayapp ou smartwebprints et je ne sais pas comment régler ça.  

- Quand j'ouvre une page internet j'ai souvent une fenêtre de windows me disant qu'il y a une erreur d'application. Ça ne me bloque rien mais je ne sais pas d'où ça vient.  




Tout ça devient sérieusement embêtant

moment de grace · Answer

ok

1)

poste la rapport d'antivir

2)
Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Shika20 · Answer

Salut,   


Le rapport de ZHPdiag :   


http://www.cijoint.fr/cjlink.php?file=cj201011/cijEYCw1vv.txt  

Et ça c'est le rapport de antivir datant du 12 novembre lorsqu'il a détecté plus de 3000 objets. Je n'ai pas encore refait de scan complet depuis.  

http://www.cijoint.fr/cjlink.php?file=cj201011/cijaEDOwp0.txt

moment de grace · Answer

la saleté est toujours là

faut refaire un deuxième passage du cd DrWeb

redemarrer le pc en mettant le cd DRWEB dans le lecteur
puis
redémarrer le pc en bootant sur le cd Dr.Web
(si ton pc est bien configuré, tu devrais avoir un message dés le début du lancement « appuyer sur une touche pour démarrer du cd »)


suivre ensuite les indications de l'outil

aide toi de ce lien

http://jal.cyber-nux.fr/?p=123

Shika20 · Answer

le scan qui dure toute la journée ? Malheur !


Mais la dernière fois je n'ai pas trouvé le rapport, yen a t-il vraiment un ? dans la /C il n'y avait rien et je sais pas ou se trouve le dossier d'installation

moment de grace · Answer

oui je sais, c'est pas cool...et encore, c'est pas gagné !

l'infection s'est bien installé et dans ce cas là il est tres difficile de la déloger définitivement

Shika20 · Answer

Et pour la rapport ? As-tu une idée exacte d'où il se trouvera ? Car la dernière je ne l'ai pas trouvé.

moment de grace · Answer

pas important...

on refera zhp pour vérifier

Shika20 · Answer

ok alors c'est parti ! 


Espérons qu'une panne de courant ne surviendra pas juste avant la fin du scan (rire).

Shika20 · Answer

Bon alors le scan vient de se terminer et il a détecter pas mal de trucs comme la dernière fois. 


Je l'ai ai tous sélectionné et j'ai fait ''cure''  mais ils sont tous incurable ! J'hésite à Delete car je ne sais pas les conséquences que ça peu entraîner.

Dans leurs statu c'est écris que la majorité sont des Archive HTML,  Archive Binaryres, Archive zip et archive CAB

Shika20 · Answer

Ok c'est fait. 


Ce que je constate : 

Antivir continue de hurler, mais tous les fichier semble provenir du dossier de la quarantaine de Drweb. Apres vérification, celle-ci est effectivement pleine de fichier .dll pour la plupart 


je supprime tout ça ?

Shika20 · Answer

certaines chose ne peuvent être supprimées car en cours d'utilisation

Shika20 · Answer

ca fonctionne.. je suis en train de tout massacrer à la hache.


Je pense que ya pas mal de truc qui vont devoir être réinstaller

moment de grace · Answer

(sourire)

je te laisse pour ce soir

je regarderai le ZHP demain...

Shika20 · Answer

Ok 


voila le rapport : 

http://www.cijoint.fr/cjlink.php?file=cj201011/cij0s2DCME.txt


Je pense que toute cette histoire m'a donné envie de tout reformater et de passer à Windows 7. Enfin pour l'instant essayons de régler ce problème du mieux que l'on peut ;)

moment de grace · Answer

1)

Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,c:\program files\microsoft\watermark.exe
O44 - LFC:[MD5.E7941A15D8803E9043AF952424B59EFD] - 20/11/2010 - 01:53:23 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\dmlconf.dat   [16]    
O44 - LFC:[MD5.9DF5F7FB921486C04781CAD71D7DB727] - 15/11/2010 - 16:50:29 ---A- . (.Sysinternals - DebugView.) -- C:\WINDOWS\Explorermgr.exe   [75181]   
O4 - HKLM\..\Run: [Sweri] C:\WINDOWS\aveqovuzito.dll (.not file.)
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Windows Movie Maker.lnk . (.Pas de propriétaire.)  -- C:\Program Files\Movie Maker\moviemk.exe (.not file.)
O43 - CFD:Common File Directory ----D- C:\Program Files	mp
O44 - LFC:[MD5.84A4973CC71F3AD52AD4AD9C51F5A32B] - 14/11/2010 - 21:52:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\complete.dat   [36]
[MD5.08CA29F4EB028C3A511C69C75EA091CF] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\abdel\Application Data\abpzlw.dat   [20]
[MD5.D0D4EA17F645E115FD5B1F98E86A334F] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\abdel\Application Data\vfzwln.dat   [8]

Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message 

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport 

.........................

2)

Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Shika20 · Answer

ZHPFix.exe a été supprimé suite aux multiples nettoyages. Il était aussi infecté apparemment.


Je dois en télécharger un autre.

Shika20 · Answer

Pourrais tu me repasser un lien pour ZHPFix.exe s'il te plait je ne le trouve pas dans les messages précédents.

Shika20 · Answer

Merci. Le rapport de zhpfix :


Rapport de ZHPFix 1.12.3217 par Nicolas Coolman, Update du 12/11/2010
Fichier d'export Registre : C:\ZHPExportRegistry-21-11-2010-14-31-20.txt
Run by abdel at 21/11/2010 14:31:20
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [Sweri] C:\WINDOWS\aveqovuzito.dll (.not file.)  => Valeur absente

========== Elément(s) de donnée du Registre ==========
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,c:\program files\microsoft\watermark.exe  => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files	mp  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\windows\system32\dmlconf.dat ()   => Fichier absent
c:\windows\explorermgr.exe ()   => Fichier absent
c:\windows\aveqovuzito.dll ()   => Fichier absent
c:\documents and settings\all users\menu démarrer\programmes\windows movie maker.lnk ()   => Fichier absent
c:\program files\movie maker\moviemk.exe ()   => Fichier absent
c:\windows\system32\complete.dat  => Supprimé et mis en quarantaine
C:\Documents and Settings\abdel\Application Data\abpzlw.dat [20]  => Supprimé et mis en quarantaine
C:\Documents and Settings\abdel\Application Data\vfzwln.dat [8]  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
1 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
8 : Fichier(s)


End of the scan





Le nouveau rapport de zhpdiag :

http://www.cijoint.fr/cjlink.php?file=cj201011/cijEkrp2p2.txt

Shika20 · Answer

J'ai l'impression que ce virus se multiplie et s'incruste dans tous les programmes que j'utilise. C'est vraiment embêtant.

moment de grace · Answer

le rapport est propre à l'heure du scan

fais un scan en ligne ici 

copie colle le rapport final 

http://www.kaspersky.com/kos/eng/partner/default/pages/default/check.html?n=1263916919335

tuto pout t'aider 

https://www.commentcamarche.net/faq/17751-scanner-en-ligne-avec-kaspersky#analyse-de-l-ordinateur

Shika20 · Answer

Salut moment de grace je suis de retour. 

Alors tout d'abord j'ai refais 3 scan complet avec antivir. 

Au 1er scan, il a détecté environ 600 virus et je l'ai ai tous supprimé. 

Au 2e scan il en a détecté environ 300 que j'ai aussi supprimé (ils étaient tous dans le systeme volume information) 

au 3e scan il en détecté qu'un seul et je l'ai supprimé. 

Antivir s'est calmé après ces 3 scan



Pour le scan de Kaspersky, ça ne fonctionne pas. J'ai ce message qui apparaît : 

http://img21.imageshack.us/img21/6865/wattan.jpg 

J'ai pris soin de désactiver la garde de antivir ainsi que le pare-feu de windows Xp. Je ne vois pas ce que je peux faire d'autre.

Virus sur Explorer.exe et winlogon.exe

73 réponses

Votre réponse

Discussions similaires

Newsletters