My computer is infected

Résolu
nelcox Messages postés 33 Statut Membre -  
nelcox Messages postés 33 Statut Membre -
Bonjour à tous,

Je viens crier au secours et cherche quelqu'un pour me dépanner
mon fils est en vacance... aïe!!
il à utiliser mon pc vendredi pour surffer et à malencontreusement désactiver le firewall, il a eteint le pc sans me
dire qu'il avait eu un message d'alerte suite à une attaque vendredi
Donc samedi lorsque j'ai allumé !!!

- ecran noir avec comme message " your computer is infected..bla bla bla " et une fenêtre qui s'ouvre a en bas à droite
avec l'intelligent conseil d'installer " brave sentry " quel piége
enfin j'ai trouvé plusieurs solutions pour le supprimer .

le problème est que actuellement il reste d'enorme problème sur ce pc.

- impossible d'activer le firewall
- il me dit que word n'est pas installé sur ma machine
- et le pompom : le sablier est affiché en permanence ( collé à la souris) et il clignote

j'ai peur d'çetre obligé de formater à moins que vous ayez un dernier conseil

- autre chose à savoir sur ce pc je n'active pas la mise à jour auto de xp car j'e n'ai qu'une licence pour 2 et j'ai peur de me la faire bloquer si je me connecte .

Merci d'avance

un petit nouveau
nelcox
A voir également:

55 réponses

Précédent
Réponse 41 / 55
nelcox
 
il s'ouvre mais ca rame enormement

pour la souris je ne crois pas que cela vient des pilotes

car dans le gestionnaire des taches de windows
il y a un processus qui tourne : internet explorer
creé un doublon qui est syncro avec le clignotement de la souris

j'ai deja vu ce problème sur d'autre forum

j'espere etre assez clair dans mes explications

a+
0
Réponse 42 / 55
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut

il s'ouvre mais ca rame enormement

de mes souvenirs très lointain de Kerio, j'avais eu la même chose, et j'ai juste decocher les options "facultatives" ( celles valide seulement pendant la version d'essai )

pour la souris : as tu essayé d'arreter l'un des processus en double ???

mets à jour windows aussi

++
0
Réponse 43 / 55
nelcox Messages postés 33 Statut Membre
 
le processus en double s'affiche aussi vite qu'il disparait
pas facile de le choper

je peux pas mettre windows a jour
car je n'ai acheté qu'une licence xp pour 2 ordi
et j'ai peur de ne plus avoir de mise a jour possible
s'il le serveur detecte ca, j'ai deja vu sur le net
des forums ou des personnes se sont retrouvé dans ce cas
0
Réponse 44 / 55
nelcox Messages postés 33 Statut Membre
 
dans KERIO
dés que j'active le filtrage web, je ne peux pas me connecter
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 55
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut

dommage pour les mises à jour ...

( si c'est le PC avec la version d'origine : il y a pas de soucis ! )

si c'est une des option de la version d'essai, c'est pas grave ...

++
0
Réponse 46 / 55
nelcox Messages postés 33 Statut Membre
 
j'ai pris le risque, j'ai fait les maj XP ( 49 en tout ) mais
rien y fait
quelle est la solution pour faire stopper ce clignotement de souris ?
pourquoi ne puis je toujours pas activer le par fau windows
meme si j'ai choisi kerio je ne trouve pas ca trés rassurant

a+

nelcox
0
Réponse 47 / 55
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut


la parfeu win ne sert vraiment à rien du tout !!! Kerio par contre est un vrai parfeu : très efficace !!!

de plus la regle d'or est : un seul parfeu et un seul antivirus, donc pas de soucis :)

pour la souris, je ne vois pas trop, la tu essayais sur un autre PC ???

++
0
Réponse 48 / 55
nelcox Messages postés 33 Statut Membre
 
Je comprends trés bien ton point de vue vis à vis du parfeu de XP
et je suis d'accord

mais il est evident que mon système à un problème depuis cette attaque meme si le parfeu est nul je ne vois pas pourquoi je ne peux plus le configurer de meme pour la souris elle fonctionnait trés bien avant cette attaque ( ce pc à 2mois).

il me faut trouver rapidement une solution , dis moi sincerement
ce que tu en pense et au cas ou à qui dois je m'adresser pour régler
définitivement ce problème.

merci pour ton aide

Nelcox
0
Réponse 49 / 55
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut

je comprends ton inquétude :)

ce que j'en pense : soit il y a encore une ptite bébéte bien cacher qui seme la zizanie, soit cette attaque à provoquer un dysfonctionnement au niveau de certains fichiers ...

1/ reparer les fichiers systeme :

· Allez sur le poste de travail
· Faites un clic droit sur disque C:\ (disque où se trouve votre système d'exploitation)
· Choisissez l’onglet propriété
· Choisissez l’onglet Outils, puis vérifier maintenant



2/ pti verification :

#Télécharge Blacklight (de F-Secure) :

https://www.f-secure.com/en

et sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence ;clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse

#Telecharge ceci
https://www.silentrunners.org/Silent%20Runners.vbs
Execute le,atends quelques minutes, il va creer ensuite un dossier juste a coté de silent runner sous format texte, copie/colle ce qu il te donnera

@+
0
Réponse 50 / 55
nelcox Messages postés 33 Statut Membre
 
J'ai fait la 1 ere etape, il m'a demandé de redemarrer pour l'analyse
et la verif du système.
une fois terminé et au redemarrage: ecran bleu

avec ce message " windows a été arreté afin de prevenir tout dommage sur votre ordinateur "
-session_initialization failed


meme en mode sans echec il ne redemarre pas

au secours !!!!
0
Réponse 51 / 55
nelcox Messages postés 33 Statut Membre
 
Bon j'ai reussi a redemarrer en bidouillant en mode sans echec
avgec reprise avant modification
voici le rapport blacklight

07/13/06 23:16:10 [Info]: BlackLight Engine 1.0.42 initialized
07/13/06 23:16:10 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/13/06 23:16:10 [Note]: 7019 4
07/13/06 23:16:10 [Note]: 7005 0
07/13/06 23:16:17 [Note]: 7006 0
07/13/06 23:16:17 [Note]: 7011 900
07/13/06 23:16:17 [Note]: 7026 0
07/13/06 23:16:17 [Note]: 7026 0
07/13/06 23:16:32 [Note]: FSRAW library version 1.7.1019
07/13/06 23:19:23 [Note]: 7007 0
0
Réponse 52 / 55
nelcox Messages postés 33 Statut Membre
 
"Silent Runners.vbs", revision 46, https://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMAXPnP" = "C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" ["Analog Devices, Inc."]
"SoundMAX" = ""C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray" ["Analog Devices, Inc."]
"EPSON Stylus D68 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"" ["SEIKO EPSON CORPORATION"]
"Club-Internet_McciTrayApp" = "C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe" ["Motive Communications, Inc."]
"avgnt" = ""C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"!ewido" = ""C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized" ["Anti-Malware Development a.s."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]
{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}\(Default) = (no title provided)
-> {HKLM...CLSID} = "EpsonToolBandKicker Class"
\InProcServer32\(Default) = "C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Program Files\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "ewido anti-spyware 4.0"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Program Files\ewido anti-spyware 4.0\shellexecutehook.dll" ["Anti-Malware Development a.s."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! artm_newreg\DLLName = "C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll" [null data]
INFECTION WARNING! WgaLogon\DLLName = "WgaLogon.dll" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\PDFShell.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Program Files\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Program Files\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Program Files\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Program Files\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Startup items in "MORGAND" & "All Users" startup folders:
---------------------------------------------------------

C:\Documents and Settings\MORGAND\Menu Démarrer\Programmes\Démarrage
"Club Internet" -> shortcut to: "C:\Program Files\Club-Internet\Lanceur\lanceur.exe" ["T-ONLINE France"]
INFECTION WARNING! "PowerReg Scheduler.exe" [empty string]

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"Acrobat Assistant" -> shortcut to: "C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe" ["Adobe Systems Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EE5D279F-081B-4404-994D-C6B60AAEBA6D}"
-> {HKLM...CLSID} = "EPSON Web-To-Page"
\InProcServer32\(Default) = "C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{EE5D279F-081B-4404-994D-C6B60AAEBA6D}" = (no title provided)
-> {HKLM...CLSID} = "EPSON Web-To-Page"
\InProcServer32\(Default) = "C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: SAFESITE_VALUE="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2ffr%2f%3f"

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"]
AntiVir PersonalEdition Classic Scheduler, AntiVirScheduler, "C:\Program Files\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Crypkey License, Crypkey License, "crypserv.exe" ["Kenonic Controls Ltd."]
ewido anti-spyware 4.0 guard, ewido anti-spyware 4.0 guard, "C:\Program Files\ewido anti-spyware 4.0\guard.exe" ["Anti-Malware Development a.s."]
SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."]
Sunbelt Kerio Personal Firewall 4, KPF4, ""C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe"" ["Sunbelt Software"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
PDF Port\Driver = "C:\WINDOWS\system32\pdfports.dll" ["Adobe Systems Incorporated."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 31 seconds, including 9 seconds for message boxes)
0
Réponse 53 / 55
nelcox Messages postés 33 Statut Membre
 
j'ai du coup reussi à verifier lle disque
j'avais simplement cocher les 2 casess
avant le lancement de la verif

rien d'anormal à priori


A+ green
0
Réponse 54 / 55
nelcox Messages postés 33 Statut Membre
 
des nouvelles ?
0
Réponse 55 / 55
nelcox Messages postés 33 Statut Membre
 
probleme resolu

il fallait simplement executer ewido
en mode hors connection qui a trouver
un fichier proxy..je sais plus
et aprés redemarrage la souris
est toute calme

merci encore

Nelcox
0

Discussions similaires

Problème de connexion au site my reading manga
Nellajipark -
bazfile -

1 réponse
my.canalbox.africa changer le mot de passe
Thierry973 -
baladur13 -

16 réponses
problème myreadingmanga (message erreur)
Asako -
oblixx -

1 réponse
Mot de passe My eyes only perdu
bgt59 -
Jeff -

6 réponses