HELP ! virus impossible a eliminer

Question

Bonjour, 

plusieurs virus ce sont installés sur mon pc j'ai fais un scan avec malwares qui en a trouvé 140 et une trentaines impossible a éliminer, la barre démarrer est bloquée (se débloque quand je termine explorer et que je le ré exécute), google chrome tourne dans le vide avec msg d'erreur, bloc de mémoire inaccessible et je n'arrive pas a supprimer les virus manuellement meme en terminant l'arborescence du processus (ils s'efface mais reviennent au démarrage) enfin bref le gros bugg 


<config>Windows XP familial 32 sp3
 
merci par avance de votre aide

Lyonnais92 · Accepted Answer

Re,

très bonne initiative : si un seul fichier reste infecté, Virut redémarre;

Quels sont les dossiers non traités ? (des exemples, pas la liste)

Lyonnais92 · Answer

Bonsoir,

poste le rapport de Malwarebytes.

Lyonnais92 · Answer

Re,

ensuite, essaye ceci (qu'on voit ce qui se passe) :

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

mysticat · Answer

dslé si sa prend un peu de temps je suis obliger de télécharger sur l'ordi de ma femme et de le mettre sur clé usb je peux plus télécharger ni uploader avec mon pc

mysticat · Answer

voici le lien 

http://www.cijoint.fr/cjlink.php?file=cj201103/cijCUw91l1.txt

tu veux que je fasse pareil pour malwares  ?

mysticat · Answer

voici le premier scan de malwares

http://www.cijoint.fr/cjlink.php?file=cj201103/cijrTyIJeT.txt

et la le dernier scan 

http://www.cijoint.fr/cjlink.php?file=cj201103/cijLxWj8bT.txt

j'ai fais 5 scan en tout aujourd'hui malwares est a jour

Lyonnais92 · Answer

Re,

tu es sévèrement infecté.

La sécurité de ton ordi a été compromise. Je ne suis pas sûr de pouvoir la restaurer totalement.

J'espère que tu n'avais pas de données sensibles.

Il me faut du temps pour fabriquer un script de désinfection.

A demain.

mysticat · Answer

ok merci beaucoup dès que le dernier scan est terminer je te le post 
le soucis c'est que je suis beatmaker et j'ai tous mes sons dans le pc donc niveau données sensibles ben je pense que c'est le cas :( j'espere que tu trouveras une soluce merci encore a demain

mysticat · Answer

voici le tout dernier c est de pire en pire

http://www.cijoint.fr/cjlink.php?file=cj201103/cijwcjKQ8p.txt

Lyonnais92 · Answer

Bonjour,

les données sensibles, c'est plus des données type "coordonnés bancaires", mots de passe , etc que les "données personnelles".

Pour ces dernières, avoir une copie sur un autre support (DD externe par exemple) doit être systématique.

===

Inutile de multiplier les scans de MBAM, l'infection revient au redémarrage.

Ne redémarrer que en cas de nécessité (ou de demande, ou si un outil le fait faire).

Evite d'utiliser l'ordi (et Internet en particulier) en dehors de la désinfection (si possible).

Déconnecte toi le plus possible d'Internet (pas seulement ne pas ouvrir le navigateur).

===

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Windows\Explorer.exe 

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

Si tu ne le trouves pas

->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok] 

===
Double clique sur l'icône de ZHPFix sur ton Bureau.

Clique sur HostFix puis sur OK.

Tu posteras le rapport dans ta réponse.

Ferme ZHPFix.

===

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] CheckedValue: Modified
[MD5.4F30BEC115A01B8FA7BF1ACCF11C0675] - (...) -- C:\WINDOWS\system32\drivers\svdmoos.exe   [240128]
[MD5.11CC813C386E8A2448D56E76094C8162] - (...) -- C:\DOCUME~1\JBBEAT~1\LOCALS~1\Temp\r1tsjvy.exe   [67584]
[MD5.E202681A21706A4AE5C4C4D1DC1A5898] - (...) -- C:\DOCUME~1\JBBEAT~1\LOCALS~1\Temp\a71z9s.exe   [67584]
[MD5.DE0ADF9DAA8D159BCDB633BE7E495AAF] - (...) -- C:\WINDOWS\TEMP\d2u5q5h.exe   [68608]
[MD5.E4088CBC3F77435CE2EE7D25431F0838] - (...) -- C:\WINDOWS\fonts\services.exe   [64512]
[MD5.4271E5E7416EED795C9D5463987FF6A8] - (...) -- C:\Program Files\Windows NT\Accessories\svchost.exe   [232448]
[MD5.77BD0CE28A2E9D474AAEA65D150E1D95] - (...) -- C:\DOCUME~1\JBBEAT~1\LOCALS~1\Temp\kf4rt7ru.exe   [134152]
M0 - MFSP: prefs.js [JB BEATMAKER - abptvgv4.default] http://search.conduit.com/?SearchSource=10&ctid=CT2851639
G0 - GCSP: Preference [User Data\Default][HomePage] http://search.conduit.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com
O4 - HKLM\..\Run: [otxjisuk] . (.Four-F - Qernel Mode Driver Manager.) -- C:\WINDOWS\System32\otxjisuk.exe
O4 - HKLM\..\Run: [guyik45hbh] . (...) -- C:\WINDOWS\system32\guyik45hbh.exe
O4 - HKLM\..\Run: [guyik45hbhx] . (...) -- C:\WINDOWS\system32\guyik45hbhx.exe
O4 - HKCU\..\Run: [NetLog2] . (...) -- C:\WINDOWS\svc2.exe
O4 - HKLM\..\policies\Explorer\Run: [24syw] . (...) -- C:\DOCUME~1\JBBEAT~1\LOCALS~1\Temp\r1tsjvy.exe
O4 - HKLM\..\policies\Explorer\Run: [icvor1] . (...) -- C:\WINDOWS\TEMP\a71z9s.exe
O4 - HKLM\..\policies\Explorer\Run: [app] . (...) -- C:\WINDOWS\Cursors\services.exe
O4 - HKLM\..\policies\Explorer\Run: [fa8gd] . (...) -- C:\WINDOWS\TEMP\d2u5q5h.exe
O4 - HKLM\..\policies\Explorer\Run: [apps] . (...) -- C:\WINDOWS\fonts\services.exe
O4 - HKLM\..\policies\Explorer\Run: [mslivemsn] . (...) -- C:\Program Files\Windows NT\Accessories\svchost.exe
O4 - HKUS\S-1-5-18\..\Run: [NetLog2] . (...) -- C:\WINDOWS\svc2.exe 
O4 - HKUS\S-1-5-18\..\Run: [otxjisuk] . (.Four-F - Qernel Mode Driver Manager.) -- C:\Documents and Settings\JB BEATMAKER\otxjisuk.exe
O4 - HKUS\S-1-5-18\..\Run: [NetLog2] . (...) -- C:\WINDOWS\svc2.exe 
O4 - HKUS\S-1-5-18\..\Run: [otxjisuk] . (.Four-F - Qernel Mode Driver Manager.) -- C:\Documents and Settings\JB BEATMAKER\otxjisuk.exe
O4 - HKUS\S-1-5-21-1960408961-838170752-725345543-1004\..\Run: [NetLog2] . (...) -- C:\WINDOWS\svc2.exe
O23 - Service:  (AppleChargerSrv) - Clé orpheline
O23 - Service:  (LIVESRV) - Clé orpheline
O23 - Service:  (MA_CMIDI_InstallerService) - Clé orpheline
O23 - Service:  (svdmoos) . (.Pas de propriétaire - Pas de description.) - C:\WINDOWS\system32\drivers\svdmoos.exe
O42 - Logiciel: DAEMON Tools Toolbar - (.DT Soft Ltd.) [HKLM] -- DAEMON Tools Toolbar
[HKCU\Software\OfferBox]
[HKCU\Software\PriceGong]
[HKLM\Software\Alexa Internet]
[HKLM\Software\Conduit]
[HKLM\Software\OfferBox]
O43 - CFD: 06/03/2011 - 14:53:00 - [135000] ----D- C:\Program Files\OfferBox
O44 - LFC:[MD5.B1CE69548EF88924A488F4C713BEBB28] - 07/03/2011 - 22:59:47 ---A- . (...) -- C:\WINDOWS\System32\guyik45hbh.txt   [2603]
O44 - LFC:[MD5.103211BF71B9A2A64EF0C7036B5B290B] - 07/03/2011 - 22:57:00 ---A- . (...) -- C:\WINDOWS\System32\updata.exe   [46080]
O44 - LFC:[MD5.DBDCB0E693AEF66357A1322857A54A9B] - 07/03/2011 - 22:55:54 ---A- . (...) -- C:\WINDOWS\System32\service.sys   [40]
O44 - LFC:[MD5.F98B9BF70F51AE145BC0CCBE9D33B54E] - 07/03/2011 - 22:55:44 ---A- . (...) -- C:\WINDOWS\System32\guyik45hbh.exe   [163840]
O44 - LFC:[MD5.77BD0CE28A2E9D474AAEA65D150E1D95] - 07/03/2011 - 22:55:34 ---A- . (...) -- C:\WINDOWS\System32\guyik45hbhx.exe   [134152]
O44 - LFC:[MD5.FC2C166511CB6E9419529D1269FEC2BB] - 07/03/2011 - 22:52:33 ---A- . (...) -- C:\WINDOWS\svc2.exe   [269824]
O44 - LFC:[MD5.BF776B52AD67785EEDFB22A31623A376] - 07/03/2011 - 22:49:47 ---A- . (.Four-F - Qernel Mode Driver Manager.) -- C:\WINDOWS\System32\otxjisuk.exe   [66048]
O44 - LFC:[MD5.A1027A0C5DA6BF5771EC288ED038D42D] - 07/03/2011 - 14:07:34 ---A- . (...) -- C:\WINDOWS\_delis32.ini   [272]
O44 - LFC:[MD5.4F30BEC115A01B8FA7BF1ACCF11C0675] - 06/03/2011 - 12:05:42 ---A- . (...) -- C:\WINDOWS\System32\drivers\svdmoos.exe   [240128]
O44 - LFC:[MD5.44B8A6B6CDE2554D8093907B48CEB30A] - 06/03/2011 - 12:05:42 ---A- . (...) -- C:\WINDOWS\keys.ini   [17]
O44 - LFC:[MD5.AF7C08B402312F2D88513D0B6D4669DA] - 06/03/2011 - 12:04:37 ---A- . (...) -- C:\WINDOWS\System32\load.exe   [50688]
O44 - LFC:[MD5.B223E4B8F0AB005DC8A10B76674E74E3] - 21/02/2011 - 11:05:26 ---A- . (...) -- C:\WINDOWS\System32\zrpyyopzhoztvrlft.exe   [50168]
O47 - AAKE:Key Export SP - "C:\WINDOWS\Cursors\services.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\Cursors\services.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\fonts\services.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\fonts\services.exe
O51 - MPSK:{06a9c9c5-298e-11e0-87b4-1c6f658fd929}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\12gn6id2.exe (.not file.)
O51 - MPSK:{3d359641-2ef2-11e0-b5e4-005056c00008}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\12gn6id2.exe (.not file.)
O51 - MPSK:{439e94c2-336e-11e0-9d7d-005056c00008}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\12gn6id2.exe (.not file.)
O51 - MPSK:{e59a4f6d-2602-11e0-8416-1c6f658fd929}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\12gn6id2.exe (.not file.)
O53 - SMSR:HKLM\...\startupreg\guyik45hbh  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\guyik45hbh.exe
O53 - SMSR:HKLM\...\startupreg\guyik45hbhx  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\guyik45hbhx.exe
O58 - SDL:[MD5.391D075614145D8C2666413E95F2FDF5] - 02/03/2006 - 13:00:00 ---A- . (...) -- C:\WINDOWS\system32\comsats.sys   [9]
O58 - SDL:[MD5.DBDCB0E693AEF66357A1322857A54A9B] - 07/03/2011 - 22:55:54 ---A- . (...) -- C:\WINDOWS\system32\service.sys   [40]
O64 - Services: CurCS - C:\WINDOWS\system32\drivers\svdmoos.exe - svdmoos (svdmoos)  .(...) - LEGACY_SVDMOOS
O64 - Services: CurCS - (.not file.) - znmniluqmtd1 (znmniluqmtd1)  .(...) - LEGACY_ZNMNILUQMTD1
O69 - SBI: prefs.js [JB BEATMAKER - abptvgv4.default] user_pref("browser.startup.homepage", "http://search.conduit.com/?SearchSource=10&ctid=CT2851639");
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} [DefaultScope] - (uTorrentBar_FR Customized Web Search) - http://search.conduit.com
SR - | Auto 06/03/2011 240128 |  (svdmoos) . (.Pas de propriétaire.) - C:\WINDOWS\system32\drivers\svdmoos.exe




Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

mysticat · Answer

bonjour 

le soucis aujourd'hui est que le pc redémarre en boucle 
peut tu m'indiquer comment passer en mode sans echec ou les manip que je dois faire stp ? 

il ma demander la premiere de faire un déboggade dexplorer ce que jai fait mais il est rester figer et jai redémarrer... depuis il redémarre en boucle

Lyonnais92 · Answer

Re,

essaye de le démarrer en mode sans échec :

* Redémarre ton ordinateur
* Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
* A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
* Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
* Choisis ton compte.

mysticat · Answer

le virus qui m emerdait le plus cest d2u5q5h.exe

mysticat · Answer

oui mais je n'aurai pas acces a internet en mode sans echec nan ? et je ne pourrai pas aller sur https://www.virustotal.com/gui/  et suivre tes instructions précédentes 
après si tu me dis que c'est possible c'est good

Lyonnais92 · Answer

Re,

choisis "Mode sans échec avec prise en charge réseau". tu auras accès à Internet.

mysticat · Answer

j'ai essayer le démarrage en mode sans echec avec prise en charge reseau mais il redémarre tout seul 
je vais essayer un démarrage avec la derniere bonne configuration connue mais sans conviction :( sa craint

Lyonnais92 · Answer

Re,

tu peux essayer en mode sans échec et ne faire que ce qui ne nécessite pas Internet.

Lyonnais92 · Answer

Re,

tu peux le mettre en externe sur un autre ordi.

mais tu ne peux pas tout faire.

Tu peux faire analyser le fichier sur VT (mais il ne sera pas sur C:mais sur la lettre du DD externe qui dépend de l'ordi auquel tu vas le connecter).

Tu pourras aussi supprimer les fichiers :

 C:\WINDOWS\system32\drivers\svdmoos.exe  
 C:\DOCUME~1\JBBEAT~1\LOCALS~1\Temp\r1tsjvy.exe 
 C:\DOCUME~1\JBBEAT~1\LOCALS~1\Temp\a71z9s.exe 
 C:\WINDOWS\TEMP\d2u5q5h.exe
C:\WINDOWS\fonts\services.exe 
C:\Program Files\Windows NT\Accessories\svchost.exe 
 C:\DOCUME~1\JBBEAT~1\LOCALS~1\Temp\kf4rt7ru.exe 
 C:\WINDOWS\System32\otxjisuk.exe
 C:\WINDOWS\system32\guyik45hbh.exe
 C:\WINDOWS\system32\guyik45hbhx.exe
 C:\WINDOWS\svc2.exe
 C:\WINDOWS\TEMP\a71z9s.exe
 C:\WINDOWS\Cursors\services.exe
 C:\Documents and Settings\JB BEATMAKER\otxjisuk.exe

Eux non plus ne seront pas sous C:

Ensuite, tu le remets dans l'ordi et tu essayes de redémarrer.

Si il ne redémarre pas, on gravera un CD sur l'ordi sain pour continuer la désinfection.

Lyonnais92 · Answer

Re,

le VT est une très mauvaise nouvelle.

explorer a été victime d'un file infector.

Il y a de gros risques que d'autres fichiers soient atteints aussi.

Fais ceci (sur l'ordi sain et ne lance aucun fichier .exe du DD de ton PC)

 Télécharge Dr.Web CureIt tsur ton Bureau:
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

Installe-le.
==> branche les USB et Disque dur externes .

Déconnecte toi physiquement d'Internet.

Double clique sur drweb-cureit.exe et autorise l'exécution du scan rapide. Cette étape scanne les fichiers résidants en mémoire. Si l'outil trouve quelque chose, clique sur le bouton Yes quand il  demande si tu veux réparer (cure it). Ce scan est rapide.

   * Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
* Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique sur "Ok"
* De retour à la fenêtre principale : clique sur le bouton radio "Analyse complète".
* Clique sur la flèche verte sur la droite, et le scan débutera.
* Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique sur "Désinfecter".
* Lorsque le scan sera complété, regarde si tu peux cliquer sur cette icône, adjacente aux fichiers détectés : http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif
* Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable sauf pour les fichiers de C:\Windows et c:\Windows\System32
* Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
* Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
* Ferme Dr.Web Cureit
*
* Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
* Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.

Lyonnais92 · Answer

Bonjour,

as tu pu supprimer ces fichiers :

f:\DOCUME~1\JBBEAT~1\LOCALS~1\Temp\kf4rt7ru.exe
f:\DOCUME~1\JBBEAT~1\LOCALS~1\Temp\r1tsjvy.exe
f:\DOCUME~1\JBBEAT~1\LOCALS~1\Temp\a71z9s.exe  ?

Refais analyser sur VT : 

f:\Windows\Explorer.exe

et poste le rapport dans ta réponse.

Lyonnais92 · Answer

Re,

quel est l'OS de l'ordi sain ?

Lyonnais92 · Answer

Re,

ouais bon .....

===

1. Télécharge The Avenger par Swandog46 sur le Bureau
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Files to delete:
f:\DOCUME~1\JBBEAT~1\LOCALS~1\Temp\kf4rt7ru.exe
f:\DOCUME~1\JBBEAT~1\LOCALS~1\Temp\r1tsjvy.exe
f:\DOCUME~1\JBBEAT~1\LOCALS~1\Temp\a71z9s.exe
 
IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système./i

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.


Sous "scrïpt file to execute" choisir "Input scrïpt Manually".
Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit scrïpt"
Dans cette fenêtre, colle le texte précedemment copié sur le bureau par les touches (Ctrl+V).
Clique Done
ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du scrïpt
Répondre "Yes" deux fois quand demandé.

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.  
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger.  Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

Lyonnais92 · Answer

Re,

explorer.exe est toujours patché.

Fais ceci :

Cherche le avec l'explorateur Windows (f:\windows\explorer.exe)

Mets le en surbrillance.

Fais Majusc et Suppr.

Accepte la suppression.

Copie C:\Windows\explorer.exe dans F:\windows\explorer.exe  (clic droit copier puis clic droit coller)

Analyse de nouveau le fichier sur VT.

Fais la manip avec The Avenger.

Lyonnais92 · Answer

Re, 

Recommence The Avenger avec ce script 


Begin copying here: 

Files to delete:
f:\Documents and Settings\JB BEATMAKER\Local Settings	emp\kf4rt7ru.exe 
f:\Documents and Settings\JB BEATMAKER\Local Settings	emp1tsjvy.exe 
f:\Documents and Settings\JB BEATMAKER\Local Settings	emp\a71z9s.exe

Poste le rapport. 

=== 

Quand tu as fait tourner DrWeb CureIt, tu as bien mis F dans les emplacements à scanner ? 
@+ 
Science sans conscience n'est que ruine de l'âme. Rabelais

mysticat · Answer

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open file "f:\Documents and Settings\JB BEATMAKER\Local Settings	emp\kf4rt7ru.exe"
Deletion of file "f:\Documents and Settings\JB BEATMAKER\Local Settings	emp\kf4rt7ru.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open file "f:\Documents and Settings\JB BEATMAKER\Local Settings	emp1tsjvy.exe"
Deletion of file "f:\Documents and Settings\JB BEATMAKER\Local Settings	emp1tsjvy.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Error:  could not open file "f:\Documents and Settings\JB BEATMAKER\Local Settings	emp\a71z9s.exe"
Deletion of file "f:\Documents and Settings\JB BEATMAKER\Local Settings	emp\a71z9s.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished!  Terminate.

Lyonnais92 · Answer

Re,

1) jusqu'où tu peux descendre le chemin f:\Documents and Settings\JB BEATMAKER\Local Settings	emp\a71z9s.exe ?

2) avant de remettre le DD (pas sûr que l'ordi redémarre), refais un scan avec DrWebCureit (avec virut, on n'est jamais assez prudent).

Scan aussi le DD de l'ordi sain.

Lyonnais92 · Answer

Re,

quand le scan sera terminé, poste le rapport.

Remets le DD en place et essaye de redémarrer.

Fais le en mode sans échec avec prise en charge réseau.

Lyonnais92 · Answer

Re,

tiens moi au courant.

Même si il ne redémarre pas, maisse le en place.

On passera par un CD externe (reatogo et OTLPE).

mysticat · Answer

Bah justement il démarre pas lol 
je te remercie pour ta patience et ton aide sa fais un moment qu'on est dessus et je suis content que tu me laisse pas tomber

Lyonnais92 · Answer

Re,

il se passe quoi exactement à la tentative de démarrage ?

===

Fais ça :

1) sur l'ordi sain

 Télécharger OTLPEnet.exe depuis ce lien: http://oldtimer.geekstogo.com/OTLPENet.exe

Enregistre le sur ton Bureau et exécute le (double clic sous Xp, clic droit et Exécuter en tant qu'administrateur sous Vista et Xp).

Mets un CD réinscriptible dans ton graveur.

Toujours sur le PC "bien portant", ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Sélectionner toutes les lignes de la zone blanche ci-dessous, puis appuyer simultanément sur les touches Ctrl et C
 
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles


Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
Vérifier dans le menu Format (en haut) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom OTLPE-1.txt
Fermer le Bloc-notes.


Copier ce fichier OTLPE-1.txt sur une clé USB de façon à pouvoir le transférer sur le PC "malade" via REATOGO.

2) sur l'ordi malade

Modifie le BIOS du PC malade afin que le démarrage s'effectue à partir du CD avant le disque dur. Voir: ici http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/PC/tutoriel-modifier-sequence-sujet_27442_1.htm

Fair redémarrer le PC, qui doit démarrer depuis le CD-Rom et afficher un Bureau REATOGO-X-PE

Tu as des outils pour copier tes données (si le DD est lisible) sur un support externe.

Cherche aussi la commande Exécuter et tape 

chkdsk c: /f

puis OK.

Répare les fichiers si nécessaire.

===

Faire un double clic sur l'icône OTLPE
A la demande "Do you wish to load the remote registry", répondre Yes
A la demande "Do you wish to load remote user profile(s) for scanning", répondre Yes
Vérifier que la case "Automatically Load All Remaining Users" est cochée, puis cliquer sur OK

L'écran principal de OTLPE s'affiche:


Vérifier que les paramètres sont identiques à ceux de l'image ci-dessous.

http://assiste.com.free.fr/m/nick/OTLPE-main.png

Sur le PC "malade", ouvrir le fichier OTLPE-1.txt (qui se trouve sur la clé USB) dans le Bloc-notes (notepad).

Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Sélectionner tout.
Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Copier.

Retourner dans la fenêtre de OTLPE, faire un clic droit dans la fenêtre située en bas nommée "Custom Scans/Fixes" http://assiste.com.free.fr/m/nick/OTL-Paste.png et choisir Coller.

Le contenu du fichier OTLPE-1.txt est ainsi inséré dans le panneau "Custom Scans/Fixes".



Puis cliquer sur le bouton Run Scan:


Le fichier rapport est sauvegardé dans C:\OTL.txt

Poste le dans ta réponse (en le transférant via la clé USB si tu n'as pas accès à Internet).

mysticat · Answer

au démarrage il va jusqu'au logo de xp et a la fin du logo il redémarre jai essayer le mode sans echec au cas ou mais sans succes je vais suivre tes nouvelles instructions et je te tiens au courant

mysticat · Answer

voila le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201103/cijy7PCOfq.txt

Lyonnais92 · Answer

Re,

l'infection n'est pas récente (fin janvier)

Pas mal de travail.

Je te dirai quoi faire demain.

Il est trop tard pour faire du bon boulot.

Lyonnais92 · Answer

Bonjour,

tu as accès à Internet via OTLPE ou tu dois passer par l'ordi sain ?

===

Redémarre sous OTLPE (si tu as fermé ton ordi, sinon pas nécessaire)

Dans le cadre custom scans/fixes colle les lignes ci-dessous
 
SRV - File not found [Auto] --  -- (svdmoos)
DRV - [2011/03/06 06:06:21 | 000,078,592 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\zkqikelgo1.sys -- (zkqikelgo1)
DRV - [2008/04/13 13:40:30 | 000,049,664 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\AtapiDrv.sys -- (AtapiDrv)
IE - HKU\JB_BEATMAKER_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2851639
O1 - Hosts: 173.192.170.88 drghwaweg45j4i6u3q32fg2h.com
O4 - HKLM..\Run: [otxjisuk] C:\WINDOWS\system32\otxjisuk.exe (Four-F)
O4 - HKU\.DEFAULT..\Run: [otxjisuk] C:\WINDOWS\system32\config\systemprofile\otxjisuk.exe (Four-F)
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\0jfaa6m.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\1b70iiy.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\1miiduu.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\2bww6ii.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\2xss6ee.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\3wwriid.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\70fbww6.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\70xtoo6.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\c1yuupggbs.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\d0jfaa6mm.exe () 
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\j0plgg6ss.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\k3mmhyytkkf.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\k9g1cyytkk.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\lccxoojaavm.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\lgg6ss6ee.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\lhxxtjjf.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\llhxxtjjfvv.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\Notification de cadeaux MSN.lnk = C:\Documents and Settings\JB BEATMAKER\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe (Microsoft Corporation)    => Microsoft®Notification de cadeaux MSN
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\q3ssneezqql.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\qlccxoojaa.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\rrnddzpplbb.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\s1okkfwwri.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\s3uupggbssn.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\s81epqlbcxn.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\vw70xtoo6a.exe ()
O4 - Startup: C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\yytkkfww.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 24syw = C:\DOCUME~1\JBBEAT~1\LOCALS~1\Temp\r1tsjvy.exe () 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: icvor1 = C:\WINDOWS\TEMP\a71z9s.exe
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: fa8gd = C:\WINDOWS\TEMP\d2u5q5h.exe
O33 - MountPoints2\{06a9c9c5-298e-11e0-87b4-1c6f658fd929}\Shell\AutoRun\command - "" = G:\12gn6id2.exe
O33 - MountPoints2\{06a9c9c5-298e-11e0-87b4-1c6f658fd929}\Shell\open\Command - "" = G:\12gn6id2.exe
O33 - MountPoints2\{3d359641-2ef2-11e0-b5e4-005056c00008}\Shell\AutoRun\command - "" = G:\12gn6id2.exe
O33 - MountPoints2\{3d359641-2ef2-11e0-b5e4-005056c00008}\Shell\open\Command - "" = G:\12gn6id2.exe
O33 - MountPoints2\{439e94c2-336e-11e0-9d7d-005056c00008}\Shell\AutoRun\command - "" = G:\12gn6id2.exe
O33 - MountPoints2\{439e94c2-336e-11e0-9d7d-005056c00008}\Shell\open\Command - "" = G:\12gn6id2.exe
O33 - MountPoints2\{e59a4f6d-2602-11e0-8416-1c6f658fd929}\Shell\AutoRun\command - "" = G:\12gn6id2.exe
O33 - MountPoints2\{e59a4f6d-2602-11e0-8416-1c6f658fd929}\Shell\open\Command - "" = G:\12gn6id2.exe
[2011/03/08 07:22:47 | 000,035,840 | ---- | C] (Four-F) -- C:\WINDOWS\System32\otxjisuk.exe
[2011/03/08 07:22:47 | 000,035,840 | ---- | C] (Four-F) -- C:\WINDOWS\system32\config\systemprofile\otxjisuk.exe
[2011/03/06 06:08:36 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Application Data\OfferBox
[2011/03/06 06:05:16 | 000,000,000 | ---D | C] -- C:\WINDOWS\system32\config\systemprofile\Application Data\OfferBox
[2011/03/06 06:05:16 | 000,000,000 | ---D | C] -- C:\Documents and Settings\JB BEATMAKER\Application Data\OfferBox
[2011/03/06 06:05:15 | 000,000,000 | ---D | C] -- C:\Program Files\OfferBox    => Infection PUP (PUP.OfferBox)
[2011/03/09 13:54:46 | 000,733,184 | ---- | M] (Indigo Rose Corporation) -- C:\WINDOWS\iun6002.exe
[2011/03/07 08:07:34 | 000,000,272 | ---- | M] () -- C:\WINDOWS\_delis32.ini
[2011/03/07 03:44:22 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\1miiduu.exe
[2011/03/07 03:43:53 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\yytkkfww.exe
[2011/03/07 03:43:50 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\d0jfaa6mm.exe
[2011/03/06 09:05:11 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\70fbww6.exe
[2011/03/06 09:05:10 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\q3ssneezqql.exe
[2011/03/06 08:49:31 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\0jfaa6m.exe
[2011/03/06 08:49:29 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\vw70xtoo6a.exe
[2011/03/06 08:40:15 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\k9g1cyytkk.exe
[2011/03/06 08:40:13 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\s3uupggbssn.exe
[2011/03/06 08:27:18 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\2bww6ii.exe
[2011/03/06 08:27:15 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\k3mmhyytkkf.exe
[2011/03/06 08:19:55 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\qlccxoojaa.exe
[2011/03/06 08:10:22 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\c1yuupggbs.exe
[2011/03/06 08:10:20 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\3wwriid.exe
[2011/03/06 06:43:51 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\rrnddzpplbb.exe
[2011/03/06 06:43:49 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\j0plgg6ss.exe
[2011/03/06 06:38:03 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\llhxxtjjfvv.exe
[2011/03/06 06:38:01 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\70xtoo6.exe
[2011/03/06 06:35:33 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\lgg6ss6ee.exe
[2011/03/06 06:34:56 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\lccxoojaavm.exe
[2011/03/06 06:30:52 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\2xss6ee.exe
[2011/03/06 06:30:51 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\lhxxtjjf.exe
[2011/03/06 06:29:09 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\s1okkfwwri.exe
[2011/03/06 06:06:21 | 000,078,592 | ---- | M] () -- C:\WINDOWS\System32\drivers\zkqikelgo1.sys
[2011/03/06 06:05:45 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\s81epqlbcxn.exe
[2011/03/06 06:05:43 | 000,070,656 | RHS- | M] () -- C:\Documents and Settings\JB BEATMAKER\Menu Démarrer\Programmes\Démarrage\1b70iiy.exe
[2011/03/06 06:05:42 | 000,000,017 | ---- | M] () -- C:\WINDOWS\keys.ini
[2011/03/06 06:04:37 | 000,050,688 | ---- | M] () -- C:\WINDOWS\System32\load.exe
[2011/02/21 05:05:26 | 000,050,168 | ---- | M] () -- C:\WINDOWS\System32\zrpyyopzhoztvrlft.exe
[2011/03/06 06:05:17 | 000,078,592 | ---- | C] () -- C:\WINDOWS\System32\drivers\zkqikelgo1.sys
[2006/03/02 07:00:00 | 000,003,584 | ---- | C] () -- C:\WINDOWS\System32\k.dll
[2011/03/06 10:10:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\JB BEATMAKER\Application Data\PriceGong


clique sur RUN FIX

Tu postes le rapport dans ta réponse.

Ne réessaye pas de redémarrer normalement pour le moment.

mysticat · Answer

bonjour,

voila le rapport runfix

http://www.cijoint.fr/cjlink.php?file=cj201103/cijU3fuclv.txt
et quitte a galerer un peu plus j mettrai internet que si c est vraiment necessaire

Lyonnais92 · Answer

Re,

il y a si longtemps que je ne l'avais pas utilisé que j'ai oublié la syntaxe.

Refais OTLPE 

mais ajoute

 :OTL

(les : sont importants) avant la première ligne (SRV - File not found [Auto] --  -- (svdmoos))

(j'ai un souci pour poster, je ne peux pas te redonner le script en entier pour le moment)



Poste le rapport.

mysticat · Answer

j ai des pb pour poster aussi il me dise que cele les membre peuvent mettre ce type de cntenu  alor j me suis inscrit et j peu toujour pas

Lyonnais92 · Answer

Re,

c'est un bug du forum. Il faut le temps de réparer.

===

As tu fait un chkdsk ?

Il a fait des choses ?

===

Refais tourner OTLPE en mode Scan (tu cliques sur Runscan).

Tu postes le rapport dans un lien Cijoint.

Avec le bug, le plus simple est de remplacer http par hxxp dans le lien complet.


===

Si tu as un peu de temps, essaye de te connecter à Internet sous Reatogo.

Ca permettrait de faire passer un antivirus online.

Sinon, on utilisera un Cd avec un antivirus embarqué à jour.

Lyonnais92 · Answer

Re,

ouvre  C:\WINDOWS\system32\drivers\etc\hosts avec le bloc notes (ou un autre éditeur de texte et supprime toutes les lignes en dessous de

O1 - Hosts: 127.0.0.1       localhost

===

Essaye de redémarrer en mode sans échec avec prise en charge réseau.

Si ça veut bien,

tu mets à jour MBAM et tu fais un scan rapide.

mysticat · Answer

il continue a redemarer en boucle ...

mysticat · Answer

c est monstrueux ce virus non???

Lyonnais92 · Answer

Re,

ton infection était particulièrement sévère.

Je voudrais que tu fasses un scan avec OTLPE sur l'ordi sain que je puisse comparer.

mysticat · Answer

hxxp://www.cijoint.fr/cjlink.php?file=cj201103/cijGGkmbvj.txt

voila le rapport de l ordi sain

Lyonnais92 · Answer

Re,

tu peux essayer de lancer MBAM.

Mais je crains qu'il ne faille réparer Windows.

Tu as le CD ?

Ce que j'espère, c'est que DrWeb a éradiqué le file infector. Si ce n'est pas le cas, on va vers un formatage.

Lyonnais92 · Answer

Re,

(2 posts à lire)

tu dis qu'il redémarre en boucle, y compris en mode sans échec ?

Il va au même endroit qu'avant (avant la liste des sessions) ?

Lyonnais92 · Answer

Re,

pour MBAM, il faut que tu le lances depuis son emplacement plutôt que par le raccourci du Bureau.

Il doit être dans C:\Program Files\Malwaresbytes antimalwares (mbam.exe).

mysticat · Answer

deja je repare windows comme tu me l a dit
on va voir ca que ca donne apres si j peu demarer la j envoie les antivirus

mysticat · Answer

pdt la reparation apres avoir dit reparer il me met une invit de comande me demande quelle session ouvrir demande mon mot de passe et apres me met une ligne c:\windows> je fait quoio la ce st pas comme dabitude

Lyonnais92 · Answer

Re,

tu auras besoin de ta clé de produit.

Je te cherche un tuto.

Lyonnais92 · Answer

Re,

ici :

https://www.commentcamarche.net/informatique/windows/25-verifier-et-reparer-des-fichiers-systeme-avec-windows-10/

mysticat · Answer

c bon ca marche merci j v voir a la fin je te tien au courant

Lyonnais92 · Answer

Re,

il y aura des choses à faire pour sécuriser.

MBAM en 1

passer l'antivirus en 2

faire un ZHPDoag en 3

Ensuite, on fera les mises à jour.

Tu peux aussi installer le SP3 directement : https://www.commentcamarche.net/telecharger/systemes-d-exploitation/20759-sp3-windows-xp/

Tu peux le télécharger sur l'ordi sain (sur une clé) et l'exécuter à partir de la clé.

Au passage, sur un support externe, tu as ce fichier : 12gn6id2.exe

Tu le supprimes au plus vite.

mysticat · Answer

okj passerai un coup de malware et dr web sur tout mes disque dure externe et clé usb

mysticat · Answer

i a redemarer je kance malware comme tu me l a dit direct du fichier il le trouve encor infecter j passerer ensuite a dr web

mysticat · Answer

hxxp://www.cijoint.fr/cjlink.php?file=cj201103/cijqqvH6tm.txt
voila mon rapport mbam
je fait qui je supprime la selection??
je suis sur mon pc infecter la

Lyonnais92 · Answer

Re,

oui, tu supprimes tout.

Mais c'est inquiétant.

Tu scannes avec DrWeb au plus vite.

mysticat · Answer

ok j ai debrancher internet j envoie le scan rapid ensuite je decoche analyse heristique et je fait le scann complet tout ca en mode renforcé

Lyonnais92 · Answer

Re,

c'est quoi le virus ?

ce sont des fichiers .exe ?

mysticat · Answer

la j envoie l analyse complete

mysticat · Answer

hxxp://www.cijoint.fr/cjlink.php?file=cj201103/cijCFh7p34.txt

voila le scan zhpdiag

Lyonnais92 · Answer

Re,

DrWeb tourne ?

===

ZHPFix avec :

[HKCU\Software\OfferBox]
[HKCU\Software\PriceGong]
[HKLM\Software\Alexa Internet]
[HKLM\Software\OfferBox]
O43 - CFD: 06/03/2011 - 14:53:00 - [135000] ----D- C:\Program Files\OfferBox
O47 - AAKE:Key Export SP - "C:\WINDOWS\Cursors\services.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\Cursors\services.exe (.not file.
O47 - AAKE:Key Export SP - "C:\WINDOWS\fonts\services.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\fonts\services.exe (.not file.)
O51 - MPSK:{06a9c9c5-298e-11e0-87b4-1c6f658fd929}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\12gn6id2.exe (.not file.)
O51 - MPSK:{3d359641-2ef2-11e0-b5e4-005056c00008}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\12gn6id2.exe (.not file.)
O51 - MPSK:{439e94c2-336e-11e0-9d7d-005056c00008}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\12gn6id2.exe (.not file.)
O51 - MPSK:{e59a4f6d-2602-11e0-8416-1c6f658fd929}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\12gn6id2.exe (.not file.)
O53 - SMSR:HKLM\...\startupreg\guyik45hbh  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\guyik45hbh.exe
O53 - SMSR:HKLM\...\startupreg\guyik45hbhx  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\guyik45hbhx.exe
[HKCU\Software\AppDataLow\Software\{4D3E03FA-081C-CCCD-8B10-5893D0EF5134}]

mysticat · Answer

ca y est dr web a fini et fait redemarer le pc donc je doit entrer cees code dans zhp???

Lyonnais92 · Answer

Re,

poste le rapport de Dr Web

(plus besoin de hxxp, http va fonctionner).

===

Pour ZHPFix,

tu fais comme ça :

Copie dans le Presse-papier les lignes que je t'ai donné ci-dessus.

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

mysticat · Answer

je refait tourner dr web saahnt que j avai acces a aucun rapport ...
des que ce st fini je t envoie les 2 rapport

Lyonnais92 · Answer

Re,

Dr Web avant ZHPFix !

Est ce qu'il trouve encore des choses ?

Est ce qu'il les répare ou les supprime ?

mysticat · Answer

je l avbai fait dr web avant ne t inquiete pas et la il trouve tjr les win32 virut en scan rapid mais beaucoup moin

mysticat · Answer

https://www.softpedia.com/get/Antivirus/Win32-Virut-Remover.shtml tu pense quoi de ce soft pour enlever virut j te demande avt de prendre n impote quoi

Lyonnais92 · Answer

Re,

je crois que DrWeb est meilleur.

En plus, je suis sur que DrWeb "répare". je n'en suis pas sur pour l'outil de AVG.

Par contre, j'aurai probablement du te demander de désactiver la restauration système et de te déconnecter d'internet pendant le scan.

mysticat · Answer

http://www.cijoint.fr/cjlink.php?file=cj201103/cijGdBmMYh.txt rapport zhpfix

http://www.cijoint.fr/cjlink.php?file=cj201103/cijatOZUma.txt dr web

y en a de moin en moin c est cool

mysticat · Answer

j suis pas sur le net pdt le scan vu que tu l avai dit avant la je reparle du pc sain ;)

Lyonnais92 · Answer

Re,

relance encore DrWeb.

Tant que on n'est pas à 0, l'infection se relance.

Profites en pour désactiver la restauration système.

Ne ferme pas l'ordi.

mysticat · Answer

il ne detecte aucun virus ni en rapid ni en complet :) la ca sent la remission 
j ai quoi d autre a fair pour etre sur???

Lyonnais92 · Answer

Re,

tu fais redémarrer l'ordi et tu relances DrWeb.

mysticat · Answer

est ce possible avec virut kon me l inject intentionnelemnt afin de me piquer mon travil en musique??? il peuent uploader mes disque avec ce virus???

Utilisateur anonyme · Answer

tien fait un iso de kaspersky et fait une analysé  
http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/

mysticat · Answer

J AI DEAMON TOOLS C EST BON???

Utilisateur anonyme · Answer

prend sa CDBurner https://www.commentcamarche.net/telecharger/utilitaires/5693-cdburnerxp/

Lyonnais92 · Answer

Re,

Ce n'est pas Virut qui fait courir un risque de piratage.

Mais oui, il y a eu un risque de piratage, il suffit de voir les malwares du premier rapport MBAM (PWS Password stealer).

Mais il est peu probable que l'on ait cherché à copier ta musique (il faudrait faire l'hypothèse que un concurrent a commandité de t'infecter). En général, on cherche les informations bancaires, les listes d'adresse, pas des fichiers musicaux.

Mais il y a un risque.

On en a discuté presque au début https://forums.commentcamarche.net/forum/affich-21112544-help-virus-impossible-a-eliminer#15

Pour sécuriser l'ordi, quand on sera sûr que DrWeb ne trouve plus rien :

SP3

parefeu

changement de tous les mots de passe (totalement déconnecté d'Internet, Wifi désactivé ou cable débranché).

mysticat · Answer

ok je fait tout ca un grand merci j met le truc en iso et met cdburner et hop j envoie la sauce

Lyonnais92 · Answer

Re,

je vais en rester là pour ce soir.

Tu en es où avec DrWeb  après redémarrage ?

Lyonnais92 · Answer

Bonjour,

tu peux nettoyer avec CCleaner.

===

Tu installes le SP3.

===

Tu vérifies que Bit Defender (c'est bien ton antivirus ?) est à jour et fonctionne.

===

Ta version de Bit Defender avec ou sans parefeu ?

Si c'est sans parefeu, je te conseille OnLineArmor :

tutoriel et lien de téléchargement ici :

https://www.malekal.com/tutorial-online-armor-free/ 

===

A ce stade, redémarrage et ZHPDiag (rapport dans un lien Cijoint, plus besoin de hxxp, le bug a été réglé).

mysticat · Answer

bonjour 
ok je vais faire ça mais jai ma barre démarrer qui est toujours bloquée

Lyonnais92 · Answer

Re,

lance ZHPDiag.

mysticat · Answer

hxxp://www.cijoint.fr/cjlink.php?file=cj201103/cijJwuwceO.txt
et dr web m en a retrouver 8 de virus et trjan 2 virut et 6 trojan

mysticat · Answer

svchost me parle de debogae en fenetre d errzeur et explorer aussi ...

mysticat · Answer

et je vait t envoier un rapport dr web la l i,fection reprend durement c est quoi ce virus de fou il etai a 0 hier la il est a 27 plus des trojan en plus...

Lyonnais92 · Answer

Bonjour,

Virut est une vrai saleté.

Mais il doit y avoir en plus une faille de sécurité qui installe un dropper.

Tu étais connecté à 121h30 et tu faisais quoi ?

Je ne vois pas Firefox dans les processus lancés. Tu as une idée ?

Déconnecte toi d'Internet tant que on n'a pas avancé.

Comment accèdes tu à Internet ? (cable Ethernet, box, ...)

On va passer par l'ordi sain et clé USB. Tu la videras à chaque fois avant de quitter l'ordi malade (sauf avec les rapports des outils).

Si il n'y a pas de parefeu autre que celui de Windows sur l'ordi sain, installe dessus OnLineArmor.

Si l'ordi sain n'est pas sous SP3 (il faudrait que je recherche le rapport OTLPE pour savoir), installe avec le lien de CCM que je t'ai donné.

===

Tu fais tourner DrWeb jusqu'à ce qu'il soit à 0.

Tu fais tourner MBAM 2 fois.

Tu redémarres sous OTLPE et tu relances DrWeb (en scannant toutes les partitions).

Lyonnais92 · Answer

Re,

désinstalle Firefox.

mysticat · Answer

et j ai remarquer que dr web n allais pas dans tous les fichier il en oublie la j y v a la main dossier par dossier c est long mais ca en trouve

mysticat · Answer

j ai tout le demarage de contaminer ca crain la et j ai pu le voir vu que j ai lancer dr web tres vite au demarage avt meme que toutes mes application soient lancee

mysticat · Answer

URGENT ECRAN BLEU PENDANT DR WEB

Lyonnais92 · Answer

Re,

tu as noté les codes ?

Tu redémarres sous OTLPE et tu relances DrWeb à partir de l'exe.

mysticat · Answer

Bon j ai compris 
dr web a un problem de detection je crois lol
faut que je scan dossier par dossier la meme sur otlpe en scan complet de c: (pas de x: je précise) il detectait 0 virus alor je me suis dit je vais voir la ou les .exe sont les plus nombreux c est a dire programme files et la surprise j en suis a 144 win 32 virut 56 donc je comrend pas pourquoi dr web detecte que comme ca mais le pc est encior super infecter donc j v y aller dossier par dossier meme si ca me prend 30 ans mais j lacherais pas l affaire a moin que t est une autre solution en stock lol

Lyonnais92 · Answer

Re,

tu peux faire un rapport OTLPE et le poster, on va déjà nettoyer les malwares en dehors de Virut.

Lyonnais92 · Answer

Re,

OK, on termine Dr Web.

Tant que tu es déconnecté du Net, le reste est inopérant.

Lyonnais92 · Answer

Re,

tu peux accepter pour Bit Defender.

Je ne crois pas qu'il y ait de lien.

Tu fais un scan complet avec BitDefender puis avec MBAM (sur l'ordi sain).

mysticat · Answer

Re 

j'ai supprimer online armor du pc sain 

jai fait un scan avec bitdefender hier sur l'ordi sain

http://www.cijoint.fr/cjlink.php?file=cj201103/cijurfl9dg.txt

j'ai supprimer ces fichiers de l'ordi 

la je vais relancer un scan approfondie de bitdenfender 

MBAM n'avait rien trouvé 

concernant l'ordi contaminé 
je te poste les rapports

mysticat · Answer

j'ai fait de nouveau un scan complet avec bitdefender sur le pc sain

http://www.cijoint.fr/cjlink.php?file=cj201103/cijlOgC5s5.txt

un autre scan avec MBAM qui n'a rien donner

un autre avec Dr web qui n'a rien donner non plus 

j'ai télécharger spyware terminator et fais un scan complet

http://www.cijoint.fr/cjlink.php?file=cj201103/cijQHzojh6.txt

j'attend de tes news et dès que je peux je te post les rapport du pc infecté

Lyonnais92 · Answer

Re,

rien sur le PC sain.

Il est en SP3 ?

mysticat · Answer

re 

(pour le pc sain)

oui il est en sp3

jai fais un nouveau scan avec MBAM rien, autre scan avec spyware terminator rien, mais birdefender lui me trouve toujours la meme chose a savoir :

Backdoor.Generic.427104
Trojan.Agent.AQBM
Trojan.Agent.AQBM

ils se trouve dans le dossier suivant : C:\System Volume Information
et quand j'essaie d'ouvrir le dossier une fenetre m'indique que le dossier est inaccessible, accès refusé....... 

je comprend plus trop là qu'est ce que je fais ?

Lyonnais92 · Answer

Re,

C:\System Volume Information , c'est la restauration système de Xp.

Les fichiers sont donc inactifs.

Aucun souci tant que tu ne fais pas une restauration.

Je préfère avoir une restauration "douteuse" que pas de restauration.

mysticat · Answer

re 

donc les fichiers sont inactifs mais que va t'il se passer si un jour je dois faire une restauration system ? si les fichiers sont bien infectés sa craint un peu non ? 
il n'y aucun moyen de désinfecter ces fichiers ? 


pour le pc infecté a la base 

un débogage d'explorer a été demandé donc il l'ai fait, svchost débogage aussi 
nettoyage approfondi avec ccleaner et la il fait un reparation du system pour emplacer les fichiers endommagés.

Lyonnais92 · Answer

Re,

quand je serai sûr que l'ordi sain l'est bien, on purgera la Restauration système pour supprimer ces fichiers.

===

Pour l'autre, 

sous OTLPE, cherche tous les .exe de Documents and Settings et supprime les (ils n'ont rien à y faire).

Quand DrWeb aura tout éradiqué, refais un scan OTLPE et poste le résultat (on va nettoyer les trojans et autres).

mysticat · Answer

ok pour le pc sain 

pour l'autre la réparation suit sont court et quand elle sera terminée il fera ce que tu as indiqué

dès qu'on a le rapport OTLPE on te le post 

merci

Lyonnais92 · Answer

Re,

OK,

je risque de ne pas être disponible demain avant la soirée.

Donc, faire tourner Dr Web jusqu"à ce qu'il ne trouve plus rien nulle part.

mysticat · Answer

ok sa marche 

alors a demain soir surement 

bonne soirée merci

mysticat · Answer

pc infecter voici le dr web

http://www.cijoint.fr/cjlink.php?file=cj201103/cijgQi8W7J.txt

Lyonnais92 · Answer

Bonjour,

c'est le rapport de OTL.

Après DrWeb ?

Lyonnais92 · Answer

Bonsoir,

relance OTLPE,


Dans le cadre custom scans/fixes colle les lignes ci-dessous

 :OTL
DRV - [2011/03/11 08:17:17 | 000,078,592 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\zuhrwige5.sys -- (zuhrwige5)
DRV - [2011/03/11 06:32:55 | 000,078,592 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\zjskubahnusf7.sys -- (zjskubahnusf7)
O1 - Hosts: 173.192.170.88 drghwaweg45j4i6u3q32fg2h.com
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.
O3 - HKU\JB_BEATMAKER_ON_C\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: v4vqi = C:\DOCUME~1\JBBEAT~1\LOCALS~1\Temp\x926g.exe
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: apps = C:\WINDOWS\Cursors\services.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: app = C:\WINDOWS\Cursors\services.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: mslivemsn = C:\Program Files\Windows NT\Accessories\svchost.exe ()
[2011/03/11 08:49:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Application Data\OfferBox
[2011/03/11 06:32:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\system32\config\systemprofile\Application Data\OfferBox
[2011/03/11 06:32:12 | 000,000,000 | ---D | C] -- C:\Documents and Settings\JB BEATMAKER\Application Data\OfferBox
[2011/03/11 06:32:14 | 000,000,000 | ---D | M] -- C:\WINDOWS\system32\config\systemprofile\Application Data\OfferBox
[2011/03/12 05:45:45 | 000,016,384 | ---- | M] () -- C:\WINDOWS\System32\updata.exe
[2011/03/12 05:44:48 | 000,000,040 | ---- | M] () -- C:\WINDOWS\System32\service.sys
[2011/03/11 08:17:17 | 000,078,592 | ---- | M] () -- C:\WINDOWS\System32\drivers\zuhrwige5.sys
[2011/03/11 06:32:55 | 000,078,592 | ---- | M] () -- C:\WINDOWS\System32\drivers\zjskubahnusf7.sys
[2006/03/02 07:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2006/03/02 07:00:00 | 000,034,816 | -H-- | C] () -- C:\WINDOWS\Fonts\services.exe
[2006/03/02 07:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32
oise.dat
[2006/03/02 07:00:00 | 000,000,009 | ---- | C] () -- C:\WINDOWS\System32\comsats.sys



clique sur RUN FIX

Tu postes le rapport dans ta réponse.

Ne réessaye pas de redémarrer normalement pour le moment.

mysticat · Answer

re

j'ai lancer un dernier scan avec MBAM et spyware terminator et qu'il n'indiques plus aucun virus 

je vais suivre tes instructions et je te post le rapport

mysticat · Answer

http://www.cijoint.fr/cjlink.php?file=cj201103/cijATxR9Fe.txt

par contre la barre de démarrage est toujours bloquée

Lyonnais92 · Answer

Re,

le scan avec OTLPE n'a pas fonctionné.

Réessaye avec

:OTL
DRV - [2011/03/11 08:17:17 | 000,078,592 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\zuhrwige5.sys -- (zuhrwige5)
DRV - [2011/03/11 06:32:55 | 000,078,592 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\zjskubahnusf7.sys -- (zjskubahnusf7)
O1 - Hosts: 173.192.170.88 drghwaweg45j4i6u3q32fg2h.com
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.
O3 - HKU\JB_BEATMAKER_ON_C\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: v4vqi = C:\DOCUME~1\JBBEAT~1\LOCALS~1\Temp\x926g.exe
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: apps = C:\WINDOWS\Cursors\services.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: app = C:\WINDOWS\Cursors\services.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: mslivemsn = C:\Program Files\Windows NT\Accessories\svchost.exe ()
[2011/03/11 08:49:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Application Data\OfferBox
[2011/03/11 06:32:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\system32\config\systemprofile\Application Data\OfferBox
[2011/03/11 06:32:12 | 000,000,000 | ---D | C] -- C:\Documents and Settings\JB BEATMAKER\Application Data\OfferBox
[2011/03/11 06:32:14 | 000,000,000 | ---D | M] -- C:\WINDOWS\system32\config\systemprofile\Application Data\OfferBox
[2011/03/12 05:45:45 | 000,016,384 | ---- | M] () -- C:\WINDOWS\System32\updata.exe
[2011/03/12 05:44:48 | 000,000,040 | ---- | M] () -- C:\WINDOWS\System32\service.sys
[2011/03/11 08:17:17 | 000,078,592 | ---- | M] () -- C:\WINDOWS\System32\drivers\zuhrwige5.sys
[2011/03/11 06:32:55 | 000,078,592 | ---- | M] () -- C:\WINDOWS\System32\drivers\zjskubahnusf7.sys
[2006/03/02 07:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2006/03/02 07:00:00 | 000,034,816 | -H-- | C] () -- C:\WINDOWS\Fonts\services.exe
[2006/03/02 07:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32
oise.dat
[2006/03/02 07:00:00 | 000,000,009 | ---- | C] () -- C:\WINDOWS\System32\comsats.sys 

Inutile de mettre le résultat dans un lien Cijoint.

Poste le contenu dans ta réponse.

Lyonnais92 · Answer

Bonjour,

des soucis ou autre chose à faire ?

mysticat · Answer

bonsoir,

pour le pc qui été infecté il n'y a plus aucun virus juste la barre démarrer qui est bloquée 

pour le pc sain je m'inquiete un peu des virus trouvés dans le dossier de system volume information (impossible a ouvrir) si un jour j'en ai besoin quel est le risque ?

et dernière question j'ai des fenêtres publicitaires qui apparaissent sans arrêt dès que j'ouvre un page internet ou que je clique sur un lien comment faire en sorte de les bloquer ? 

merci pour ton aide

Lyonnais92 · Answer

Bonsoir,

tu as pu refaire tourner le script OTLPE sur l'ordi malade ?

Sur l'ordi sain, refais tourner ZHPDiag (après l'avoir mis à jour avec la flèche verte). Poste le rapport dans un lien Cijoint.

mysticat · Answer

Re

voici le rapport ZHPDiag pour le pc sain

http://www.cijoint.fr/cjlink.php?file=cj201103/cijpp3in2E.txt

pour le pc malade voicile rapport OTLPE

http://www.cijoint.fr/cjlink.php?file=cj201103/cijsdE98lA.txt

merci

Lyonnais92 · Answer

Bonjour,

sur l'ordi sain,

fais tourner ZHPFix avec ce script :

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
G2 - GCE: Preference [User Data\Default] [bjeikeheijdjdfjbmknpefojickbkmom] Offerbox v.2.1.3441.119 (Activé)
O2 - BHO: &Crawler Toolbar Helper - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} . (.Crawler.com - Crawler Toolbar Browser Object.) -- C:\PROGRA~1\Crawler\ctbr.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} . (.Crawler.com - Crawler Toolbar Browser Object.) -- C:\PROGRA~1\Crawler\ctbr.dll
O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline
O8 - Extra context menu item: Crawler Search - (.not file.) -
O18 - Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} . (.Crawler.com - Crawler Toolbar Browser Object.) -- C:\PROGRA~1\Crawler\ctbr.dll
O42 - Logiciel: Crawler Toolbar with Web Security Guard - (.Crawler, LLC.) [HKLM] -- CToolbar_UNINSTALL
[HKCU\Software\CToolbar]
[HKCU\Software\FissaSearch]
[HKCU\Software\OfferBox]
[HKLM\Software\CToolbar]
[HKLM\Software\OfferBox]
O43 - CFD: 14/03/2011 - 12:52:46 - [30509675] ----D- C:\Program Files\Crawler
O43 - CFD: 06/02/2011 - 11:09:46 - [240886] ----D- C:\Documents and Settings\Mystic\Application Data\OfferBox
O51 - MPSK:{b2557396-3690-11e0-9300-00142ae992bc}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\12gn6id2.exe (.not file.)
O64 - Services: CurCS - (.not file.) - 0b681d4a (0b681d4a)  .(...) - LEGACY_0B681D4A
O64 - Services: CurCS - (.not file.) - 1be178da (1be178da)  .(...) - LEGACY_1BE178DA
O64 - Services: CurCS - (.not file.) - 21584151 (21584151)  .(...) - LEGACY_21584151
O64 - Services: CurCS - (.not file.) - 22be03b1 (22be03b1)  .(...) - LEGACY_22BE03B1
O64 - Services: CurCS - (.not file.) - 26acbe03 (26acbe03)  .(...) - LEGACY_26ACBE03
O64 - Services: CurCS - (.not file.) - 32b902e1 (32b902e1)  .(...) - LEGACY_32B902E1
O64 - Services: CurCS - (.not file.) - 32c321e7 (32c321e7)  .(...) - LEGACY_32C321E7
O64 - Services: CurCS - (.not file.) - 333f2357 (333f2357)  .(...) - LEGACY_333F2357
O64 - Services: CurCS - (.not file.) - 3ac22cfa (3ac22cfa)  .(...) - LEGACY_3AC22CFA
O64 - Services: CurCS - (.not file.) - 424a21b9 (424a21b9)  .(...) - LEGACY_424A21B9
O64 - Services: CurCS - (.not file.) - 4f1c781d (4f1c781d)  .(...) - LEGACY_4F1C781D
O64 - Services: CurCS - (.not file.) - 5ab36dee (5ab36dee)  .(...) - LEGACY_5AB36DEE
O64 - Services: CurCS - (.not file.) - 5ac53096 (5ac53096)  .(...) - LEGACY_5AC53096
O64 - Services: CurCS - (.not file.) - 5fc951d0 (5fc951d0)  .(...) - LEGACY_5FC951D0
O64 - Services: CurCS - (.not file.) - 6538e71e (6538e71e)  .(...) - LEGACY_6538E71E
O64 - Services: CurCS - (.not file.) - 6dac4146 (6dac4146)  .(...) - LEGACY_6DAC4146
O64 - Services: CurCS - (.not file.) - 913617ad (913617ad)  .(...) - LEGACY_913617AD
O64 - Services: CurCS - (.not file.) - 9d0922ad (9d0922ad)  .(...) - LEGACY_9D0922AD
O64 - Services: CurCS - (.not file.) - b11b38e0 (b11b38e0)  .(...) - LEGACY_B11B38E0
O64 - Services: CurCS - (.not file.) - d6a6059c (d6a6059c)  .(...) - LEGACY_D6A6059C
O64 - Services: CurCS - (.not file.) - de5fdae2 (de5fdae2)  .(...) - LEGACY_DE5FDAE2

mysticat · Answer

Re 

voici le rapport 

http://www.cijoint.fr/cjlink.php?file=cj201103/cijjDAV5y1.txt

Lyonnais92 · Answer

Re,

redémarrage et scan ZHPDiag de contrôle pour l'ordi sain.

Scan OTLPE pour l'ordi malade.

ff9 · Answer

superantispywares

mysticat · Answer

Re,

voici le rapport pour le pc sain 

http://www.cijoint.fr/cjlink.php?file=cj201103/cij7aiBG9O.txt

le scan OTLPE sera fait dans la soirée 

PS : 

Message à ff9.... 

je suis tout à fait d accord avec Lyonnais92 la moindre des politesse aurait été de dire bonsoir avant quoi que ce soit...

de plus, 
si tu avais lu les pages précédentes tu aurais remarquer que nous arrivons au bout du problème

Lyonnais92 m'aide déjà très bien

Mais merci quand même...

Lyonnais92 · Answer

Re,

sur l'ordi sain, mets à jour Internet Explorer (les versions non à jour sont toujours une faille de sécurité).

===

Sur l'ordi malade, sous OTLPE, je voudrais que tu recherches et que tu supprimes tous les .exe que tu peux trouver dans Documents and Settings (de C:)

mysticat · Answer

comment met ont à jour internet explorer (je ne l'ai jamais fait...) ? et je navigue avec google chrome
tout a l'heure quand j'ai redémarrer le pc il a fait des mises a jours mais je ne sais pas lesquelles 

pour le pc malade tout les .exe de c: dans document and setting ont été supprimés quand tu l'avais demandé 
la barre démarrer bloque et lorsque j'essaie de télécharger un fichier un message me dit que les paramètres de sécurité ne me le permettent pas

Lyonnais92 · Answer

Re,

pour Internet Explorer :

https://support.microsoft.com/en-us/office/internet-explorer-help-23360e49-9cd3-4dda-ba52-705336cc0de2?ui=en-US&rs=en-001&ad=US

===


Si tu veux vérifier avant que IE9 ne faisait pas partie des mises à jour, tu relances ZHPDiag (tu cliques sur le tournevis puis sur Aucun pour aller plus vite).

Dans le rapport, au début, dans Web browser, tu as les navigateurs installés et leur version.

===

Pour l'ordi malade, j'attends le scan OTLPE.

mysticat · Answer

bonsoir, 

ouah ! j'ai la version IE7.0

je vais faire la mise a jour 
par contre depuis que nos deux pc sont connectés a internet (par câble ethernet tout les 2) la connexion rame a fond d'ou sa peut venir ? 
parce que j'ai appeler plusieurs fois l'opérateur mais ils disent que tout est bon de leur coté mais c'est super pénible

Lyonnais92 · Answer

Bonsoir,

ça rame aussi si un seul est connecté sur Internet ?

Pour les 2 ?

mysticat · Answer

nan jusqu'à maintenant sa allait parce que le pc malade n'était pas connecter et maintenant qu'il l'est les 2 rame pour les téléchargements
ex : un fichier de 518mo d'habitude sa prend 20min quand 1 pc est connecté mais dès qu'ils le sont tout les 2 ça prend 1h a 2h

Lyonnais92 · Answer

re,

je voudrais le rapport de OTLPE, je pense qu'il y a encore des problèmes.

Ca peut expliquer.

mysticat · Answer

ok je vais lui dire

Lyonnais92 · Answer

Re,

le rapport OTLPE c'est sur l'ordi malade.

mysticat · Answer

oui il fait ça ce soir et je te le posterai demain 
merci a demain bonne soirée

mysticat · Answer

Bonsoir désolé petit contretemps il fera le scan demain 

bonne soirée

Lyonnais92 · Answer

Bonsoir,

merci d'avoir prévenu. C'est sympa.

CorseInfo · Answer

Bonsoir, 

LE PC sain est-il infecter ? Si il ne l'est pas je vous conseille de ne pas brancher les 2 pc ensemble sur le réseau en même temps à moins de vouloir voir l'infection passer de l'un a l'autre (si ce n'est pas déjà fait, ce qui me semble être le cas.) 

En tout cas bravo à la personne qui vous aide, mais de part ce que je vois, le virus réside en mémoire (entre autre) donc il serait bien de purger la-dite mémoire avant d'essayer de désinfecter.  

De nombreux fichiers présent dans la partie "Démarrer" et autres ressources Système de votre Ordinateur se multiplient preuve que malgré tout les efforts mis en place l'infection se propage. 

Il y a un moment ou il va falloir envisager le formatage pur et dur de votre machine et la purge de la mémoire. Depuis le moi de Janvier 2011 le Virus a dû avoir le temps de se propager et de s'infiltrer grandement dans votre système. 

Règle N° 1 de la désinfection Anti-Virus : La rapidité. 

La on est quand même sur un virus présent depuis plus de 3 mois apparement et qui après 13 Jours de tentative de suppression est toujours présent dans le système et à peut-être même infecter les machines voisines (et donc pourra se ré-injecter sur votre machine formater dès qu'elle sera sur le réseau). 

Il va être très dur voir impossible de récupérer un système sain a 100% et surtout 100% fonctionnel. Personnellement j'aurais isolé du réseau local et formaté le PC infecter depuis bien longtemps afin d'éviter la propagation des machines voisines. 

Si tout vos PC sont infecter, couper votre routeur ADSL, débranché électriquement vos PC pendant 5mn, re-branchez les et formaté tous vos PC infectés me semble la seule chose a faire pour stopper la propagation du Virus et des Trojans présent sur vos systèmes.

Bonne chance en tout cas...

mysticat · Answer

Bonjour,

Dslé de revenir que maintenant mais gros probleme familiaux qui ne sont toujours pas réglés mais bon.... 

je ne sais plus trop comment faire pour le pc "sain" il bug a chaque fois l'écran se fige et fait plein de trait de différentes couleurs comme si l'image était hachurée... 
j'ai penser a la carte graphique mais bon elle est quasi neuve (achetée il y a 7 mois) je flip un peu et j'aimerai savoir comment faire ??? 

je formate ? je formate pas ? je purge la mémoire ? ou pas ? 
y a t'il vraiment une possibilité que mon pc soit infecté juste pars qu'il est connecté a la même Bbox que l'autre pc ? 

merci par avance

Lyonnais92 · Answer

Bonsoir,

comment cet ordi se comporte en mode sans échec (avec prise en charge réseau) ?

Tu peux purger la mémoire (éteindre l'ordi, enlever la prise, enlever la batterie si c'est un portable).

Je voudrais un rapport ZHPDiag si possible.

====

et pour l'autre ordi ?

mysticat · Answer

Re 

ce n'est pas un portable, en fait l'ordi va bien pendant un moment (en mode normal) sauf connexion internet lente mais je ne sais pas pourquoi au bout d'un moment gros bug..... je vais faire tourner l'ordi en mode sans échec pour voir si au niveau de la connexion sa rame toujours et si j'ai de nouveau un bug niveau affichage et je te tiens au courant. 

 
je m'occuperai des manip demain en ce qui concerne l'autre ordi il tourne bien tout a l'air ok

Utilisateur anonyme · Answer

prend hitman pro https://download.cnet.com/HitmanPro-3-32-bit/3000-2239_4-10895604.html

HELP ! virus impossible a eliminer

138 réponses

Votre réponse

Discussions similaires

Newsletters