Win32 injecté: besoin d'aide svp

re,

le Padawan a montré à son maitre qu'il avait fait une faute dans son script et que par consequent ce dernier ne pouvait pas fonctionner

on va refaire un script combofix mais avec ca dedans


__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

RegLockDel::
[HKEY_USERS\S-1-5-21-432480864-1858704682-312830756-1000\*"!*]
[HKEY_USERS\S-1-5-21-432480864-1858704682-312830756-1000\*"!!*]
[HKEY_USERS\S-1-5-21-432480864-1858704682-312830756-1000\*"!&*]
[HKEY_USERS\S-1-5-21-432480864-1858704682-312830756-1000\*"!'*]
[HKEY_USERS\S-1-5-21-432480864-1858704682-312830756-1000\*"!**]
[HKEY_USERS\S-1-5-21-432480864-1858704682-312830756-1000\*"!"*]
[HKEY_USERS\S-1-5-21-432480864-1858704682-312830756-1000\+*!'*]
[HKEY_USERS\S-1-5-21-432480864-1858704682-312830756-1000\* "*]
[HKEY_USERS\S-1-5-21-432480864-1858704682-312830756-1000\+* '*]


------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt



G3?-?@¢??@?......Concepteur de List_Kill'em...

MILLE MERCI,

Pour la patience que tu as eu à mon égard et Dieu sait s'il en a fallu, ta gentillesse et aussi et surtout pour m'avoir débarrassé de toutes ces infections qui hantaient mon ordi et pourrissaient ma vie.
Je ferai tout ce que tu viens de me poster et suivrai tes conseils.

Je te souhaite pleins de bonnes choses...

Salut gen-hackman

Fier de t'avoir eu comme Maître Jedi

salut

▶ Télécharge Dr Web CureIt sur ton Bureau :

▶ redemarre en mode sans échec


▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>

selectionne tous les disques

▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv


▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

Bonjour et merci pour ton aide, Gen-hackman, qui m'est très précieuse.

Je t'envoie le rapport comme tu me l'as demandé.
Les fichiers n'ont pas pu être désinfectés, ils ont été placés en quarantaine et je n'ai pas pu cliquer sur l'icône adjacente.

http://www.cijoint.fr/cjlink.php?file=cj201103/cijBLoOjRc.zip

J'ai un problème, à la fin de l'analyse, au moment de cliquer sur <Enregistrer le rapport>, l'ordi à bugger et s'est mis en redémarrage.
J'ai quand même trouvé le rapport où Dr Web est installé seulement je pense avoir fait une grave erreur, j'ai ouvert le dossier de la quarantaine.
Peut-être dois-je recommencer l'analyse depuis le début?

▶ Télécharge ici : USBFIX sur ton bureau

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

▶ choisi l option Suppression

▶ UsbFix scannera ton pc , laisse travailler l outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

FireWall a trouvé -1 Trojan.Injecté.AI
-1 Trojan.Generic.KDV
-1 Trojan.Generic.KDV.168062

J'ai lancé une analyse avec FireWall, tout est OK.

Dr Web m'avait trouvé "13" infections je me demande si tout est vraiment parti.

GRAND MERCI POUR TON AIDE

Voilà le rapport d'UsbFix]:

http://www.cijoint.fr/cjlink.php?file=cj201103/cijv0iMSGm.txt

re

c'est quoi Firewall ?

Firewall c'est l'anti-virus de chez Orange.

Ah c'est pour ca que je le connais pas....

et tu le paies ?

oui 5£/mois, mais mal paramétré au depart il n'est pas efficace!!!

Faut dire je ne suis pas en informatique.

Comment voir si toutes les infections sont parties ?

Télécharge ici :OTL

▶ enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant tous les utilisateurs

▶ règle age du fichier sur "60 jours"

▶ dans les 6 onglets de la moitié gauche , mets tout sur "tous"

ne modifie pas ceci :

"fichiers créés" et "fichiers Modifiés"

▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Lors du démarrage de l'ordi pour faire l'analyse que tu m'as demandé,
il s'est arrété 3 fois en suivant en disant "Windows n'a pas été arrêté correctement". J'ai donc lancé une analyse avec l'anti-virus Firewall: IL n'a rien trouvé. Ensuite j'ai tout arrêté car je devais aller travailler.

En rentrant ce soir il a refait la même chose 5 fois. J'ai pu enfin faire l'analyse.

Qu'en penses-tu de tout ce bazard ? "je ne suis pas très rassuré!!!"



http://www.cijoint.fr/cjlink.php?file=cj201103/cij520O4b8.txt

http://www.cijoint.fr/cjlink.php?file=cj201103/cijIC4moPS.txt

▶ Télécharge TDSSKiller

▶ Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant que........... " )

L'outil va télécharger automatiquement la dernière version de TDSSKiller puis lancera une analyse.

Patiente pendant le scan. A la fin de l'analyse, appuies sur une touche. Un rapport va s'ouvrir.

▶ Copie/Colle son contenu dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\tdsskiller.txt.

le bloc-note s'ouvre mais je n'arrive pas a avoir l'analyse.

precise ?

Je lance tdsskiler mais à la fin du scan, j'appuie sur une touche, la fenêtre bloc-note s'ouvre mais le rapport n'apparait pas.
Par contre la fenêtre "System scan completed"-Processed: 253 objets

-Infections: Not found

PS: L'ordi reboot souvent au départ.

Salut Loulouttedu, merci tes encouragements.

regarde dans c:\ si le rapport n'est pas plein ?

Ca y est je l'ai, je ne regardai pas où il fallait "désolé"

http://www.cijoint.fr/cjlink.php?file=cj201103/cijk9kEbV1.txt

Les adresses de "cijoint" apparaissent toujours en noir sur mon blog, est normal ?

oui tu n'es pas inscrit sur le site :)

poste le rapport final de ceci via cijoint.fr

il se trouvera dans C:\Scan\CLRAV.txt

http://dl.dropbox.com/u/21363431/CLRAV.exe

Je le ferait tout à l'heure car je n'ai plus le temps.

a+