désinfecter un pc qui ne démarre plus?

Question

Bonjour,Il y a 2 jours un message sur mon pc me disait que celui -ci était infecté...apres ceci j'ai tenter une analyse en ligne qui a pris plusieurs heures et qui au final est resté bloquer ainsi que tout le reste.J'ai tout tenter un rédémarrage, mais en vain...mon pc rédémarrait sans cesse apres chargement de Windows, et maintenant il charge windows mais j'ai uniquement mon fond d'écran, pas d'icones, pas de menu, plus rien quoi...(même en mode sans échec) et quand je tente le gestionnaire des tâches, j'ai un message du type : le gestionnaire des tâches a été désactivé par votre administrateur   alors que je suis moi même administrateur...Je voulais donc savoir s'il était possible via un autre pc de tenter de le désinfecter, où bien via un cd de windows où d'antivirus....j'ai éssayé ce dernier sans succes puisque c'est norton antivrus 2006 et que je suis bien évidement infecté par un tout nouveau virus...J'esperes biensur que quelqu'un d'entre vous pourra m'aider, car je n'envisage pas du tout un formatage puisque j'ai des tonnes de fichiers précieux...Un grand merci d'avance.Je possede windows xp familliale sp2

green day · Answer

Salut si plus rien ne fonctionne, ça va être difficile de le déinfecté ! mais rien n'est perdu !tu as deux solutions :-)1/ soit tu passes par la console de recuperation ( mais si c'est bien infecté, comme ça m'en a l'air, ça peut être risquer ! ) tu pourras recupérer toutes tes données ! ( il faut le CD windows )2/ soit tu passes par un live CD de linux ( fichier iso graver sur un CD au préalable ) tu demarres dessus, et avec la distribution Kaella, tu auras accé à ta/tes partitions et tu pourras tous sauvgarder ! ( si tu as une connection en ethernet tu auras même l'accé au net ! ) voilou ! bon courage, tiens nous au courant, @+

beres · Answer

merci beaucoup Greenday, je penses tester la 2ieme solution, juste que je ne sais pas ce qu'est la distribution kaella...Quand au live cd de linux, est-ce bien :LinuxDefender_Live ?Encore un grand merci pour ton aide...Je vous tiens au courant @+

green day · Answer

Salut voici la distrib en question : cf bas de la pagehttps://www.clubic.com/article-23456-3-live-cd-linux-a-emporter.html@+**tout ce que je sais, c'est que je ne sais rien ! et c'est déjà pas mal ...**

beres · Answer

merci, je télécharge actuellement la distib, mais entre temps j'ai démarrer avec linus bitdefender live, il s'est installer mais je n'ai pas trouver mes fichiers et documents pour les sauvegarder...est-ce normal?
Bon il faut dire que c'est tout a fait autre chose que Windows et je m'y retrouve pas du tout....

green day · Answer

re

il s'est installer

oula ! qu'entends tu par installer ???

il ne faut rien installer, juste demarrer dessus !!!!!!!


...
--

tout ce que je sais, c'est que je ne sais rien ! et c'est déjà pas mal ...

beres · Answer

nono non,
juste démarrer dessus, me suis mal exprimé, excuse moi.
Mais a propos de bitdefender, est-ce normal où pas que je n'ai pas trouver mes documents?

beres · Answer

Aïe..... probleme...

Lors du démarrage avec Kaella, apres les scan devices et les init process, il calle apres pcmcia found, starting cardmgr...

Voilà, coincé de chez coincé... snif

SVP aidez moi...
Merci d'avance

green day · Answer

ouff, j'ai eu peur lol

 bitdefender linux ??? ce serait pas plutôt un antivirus ça ??? :)

 pour Kealla, c'est quoi qui bloque ???

 ++

beres · Answer

et bien au chargement,  les derniers textes qui s'affichent sont/

:   PCMCIA found , starting cardmgr


voilà, merci

green day · Answer

je ne m'y connais pas trop ( pour ne pas sire pas du tout ! )

 mais une solution ici :

http://forums.knoppix-fr.org/viewtopic.php?pid=64006

++

gvillare · Answer

Hello, je viens d'avoir exactement le même problème que toi. Impossible de faire quoi que se soi, démarrage sans errure ou autre chose; même fenêtre de désactivation après le lancement et fond d'écran désespérement vide. Je suis intéressé à suivre la suite de ta procédure. Est-ce que tu as des résultats encourageant?
Merci

green day · Answer

Salut

dans la mesure où il n'y a pas eu de reponse, je ne sais pas

 est tu infecté ???

regarde les reponses au poste 1

++

++

green day · Answer

salut

pour le déinfection :

 fais ceci stp :

virus methode preliminaire de desinfection version fr

@+

beres · Answer

re,

Oui je sais ça fais logtemps, mais voilà apres avoir parcouru le forum sur knoppix, je n'ai toujours pas la solution à mon probleme.

Donc j'avais réussi à démarrer sur kaella mais jamais je n'ai pu acceder à mes documents fichiers, etc

Donc j'en suis au point de réinstaller mon windowsxppro dont je suis le propriétaire, sur mon portable qui lui contient la version home édition sp2,avec lequel ne m'a bien entendu j'amais été fourni avec, évidement un message me prévient du risque encouru de la perte probable de tout mes fichiers, et même mes documents.
Ce qui est hors de questions.
J'en viens au fait, lorsque je veux installer, on doit choisir la partition... et la je découvre une partition2 (hp-recovery) (fat32), 
Comment puis utiliser où démarrer sur cette partition, car je suppose qu'elle est là pour nous sauver non? d'où le non.

Précision, je n'ai pas reçu de cd de restauration de systeme de hp, donc ce serait bien avec ça que je pourrais peut-être m'en sortir?

Merci d'avancr pour vos réponses...

ps: je suivrai et aiderai dans la mesure du possible également le probl de mr GVilare...

green day · Answer

Salut

 Donc j'avais réussi à démarrer sur kaella mais jamais je n'ai pu acceder à mes documents fichiers, etc 

 étonnant ! pourtant le/les partitions doivent apparaitre sur le bureau, et tu dois pouvoir retrouver tes docs sans problème normalement ...

J'en viens au fait, lorsque je veux installer, on doit choisir la partition... et la je découvre une partition2 (hp-recovery) (fat32),
Comment puis utiliser où démarrer sur cette partition, car je suppose qu'elle est là pour nous sauver non? d'où le non. 


quand tu l'as acheté : windows était déjà installer ???

demarrer sur cette partition, je ne pense pas que ça soit possible ... 
normalement, les partitions sont visibles dans "poste de travail", mais  
si tout était déjà pré-installer, je ne sais pas trop ...

 sinon, puisque tu as le CD, tu peux tenter une reparation, réinstaller,  passer par la console de recupération, mais vu que tu es vérolé par je ne sais quoi ... le tout est de tout façon : sauver les meubles !

 reverifie avec Kaella stp ! et dis moi ce que tu souhaite tenter, et je te donnerai la marche à suivre

 bon courage, @+

beres · Answer

Re,

avec kaella, pas possible, aucune trace de mon disque dur...
Maintenant j'ai démarré en mode sans échec avec prise en charge du réseau, et comme d'hab, fond d'écran et rien d'autres sur mon bureau, mais lorsque je fais  ctrl+alt+delete pour accéder au gestionnaire des tâches, j'arrive à executer explorer et d'autres programmes.
En plus quand je démarre en mode sans échec, j'ai une session administrateur en plus, chose que je n'ai pas en mode normal et je n'ai jamais créé cette cession.
Aussi en mode normale quand je tente ctrl+alt+delete, j'ai un message:gestinnaire des tâches bloqué par l'administrateur...
Visiblement ce virus crée une cession administrateur invisible en mode normale mais présent en mode sans échec...
J'ai également essayé de scanner online avec bitdefender et là il ne détecte aucun virus, j'ai voulu essayer avec norton mais la pas moyen à cause de active x qui ne veux pas fonctionner malgré des tonnes de réglages possible ds mes options internet...soit chaque fois que je tente d'avancer et de résoudre , de nouveaux probl apparaissent, j'ai l'impression de tourner en rond...
S V P, dite moi qu'on y arrivera...

Qu'est-il possible de réaliser en mode sans échec?

Merci d'avance

beres · Answer

oui encore une précision, mon portable était deja préinstaller sans aucun cd fourni, ni cd de restauration de hp, ni windows bien entendu, je commence à haïr microsoft, rrrrrrrrrr

beres · Answer

Re,re,re

Ok, j'ai enfin réussi à scanner proprement online avec Karersky, j'ai commencé par analyser les zones critiques de windows mais je scanne actuellement le reste de la machine.
Voici mon 1er rapport:

Nom de l'objet infecté Nom du virus Dernière action 
C:\WINDOWS\comdlj32.dll  Infecté : Trojan-Proxy.Win32.Agent.ji  ignoré  
 
C:\WINDOWS\Debug\PASSWD.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\desktop.html  Infecté : not-virus:Hoax.Win32.Renos.cy  ignoré  
 
C:\WINDOWS\system32\CatRoot2\edb.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\CatRoot2	mp.edb  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\AppEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SecEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SysEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\dlh9jkdq2.exe  Infecté : Trojan-Clicker.Win32.Spywad.o  ignoré  
 
C:\WINDOWS\system32\kernels8.exe  Infecté : Trojan-Downloader.Win32.Tibs.if  ignoré  
 
C:\WINDOWS\system32pcc.exe  Infecté : Trojan-Proxy.Win32.Dlena.y  ignoré  
 
C:\WINDOWS\system32	askdir.dll  Infecté : Trojan-Proxy.Win32.Lager.aq  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\WindowsUpdate.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\xpupdate.exe  Infecté : Trojan-Clicker.Win32.Spywad.o  ignoré  
 
Analyse terminée. 

Le probleme c'est qu'il ne élimine ni les répares, donc comment puis-je procéder?

green day · Answer

Salut

 ok,

Télécharge ceci :

Lien :  hijackthis

Démo : http://pageperso.aol.fr/balltrap34/demohijack.htm 
 
Choisir l'option "do a scan and a logfile", et faire un copier/coller du rapport ainsi générer sur le forum.

@+

beres · Answer

salut, 

Voilà le rapport:

Logfile of HijackThis v1.99.1
Scan saved at 15:52:53, on 1/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32	askmgr.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\MI3AA1~1apimgr.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Famille\Mes documents\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ie.redirect.hp.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ie.redirect.hp.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ie.redirect.hp.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell="C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\
O2 - BHO: Acrobat IE Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE083} - C:\WINDOWS\system\ctldlg32.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32	esttestt.exe
O4 - HKLM\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe
O4 - HKLM\..\Run: [rpcc] rpcc.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
O4 - HKLM\..\RunServices: [stonedrv] c:\windows\system32\stonedrv.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\system32	esttestt.exe
O4 - HKLM\..\RunOnce: [*Restore] C:\WINDOWS\system32estorestrui.exe -i
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\RunOnce: [EISU] C:\Program Files\Hewlett-Packard\SDP\ISPSignup.exe OOBE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\Hp\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=ie.redirect.hp.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

green day · Answer

ok, 

télécharge ceci :

#Ewido (gratuit) :

ewido


tuto : (merci à Moe) http://perso.wanadoo.fr/entraide-hijackthis/Ewido/

poste le rapport ici

# CleanUp40 (qui élimine les fichiers temporaires + cookies : gratuit )
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe

tuto : (merci à Balltrap) http://pageperso.aol.fr/balltrap34/democleanup.htm 


mets tout à jour,lance les scans en mode sans echec : pour cela redemarre en appuillant sur le touche F8 ou F5

beres · Answer

Salut, voici le rapport,


---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

 + Created at:	18:33:16 1/10/2006

 + Scan result:	



C:\Program Files\BitComet\Downloads\Microsoft.Office.2007.Office.12.Suite-[BTC].rar/Microsoft.Office.2007.Office.12.Suite-[BTC]\key+patch.exe -> Adware.180Solutions : No action taken.
C:\Documents and Settings\Famille\Local Settings\Temp\kmd12A.tmp/TopSearch.dll -> Adware.Altnet : No action taken.
C:\Program Files\Kazaa Lite\TopSearch.dll -> Adware.Altnet : No action taken.
C:\Program Files\BraveSentry -> Adware.Bravesentry : No action taken.
C:\Program Files\BraveSentry\BraveSentry.exe -> Adware.Bravesentry : No action taken.
C:\Program Files\BraveSentry\BraveSentry.lic -> Adware.Bravesentry : No action taken.
C:\Program Files\BraveSentry\Uninstall.exe -> Adware.Bravesentry : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004139.dll -> Adware.SearchAssistant : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004140.dll -> Adware.SearchAssistant : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0003996.exe -> Backdoor.Rbot.bei : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0003997.exe -> Backdoor.Rbot.bei : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0003998.exe -> Backdoor.Rbot.bei : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0003999.exe -> Downloader.Small : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004013.exe -> Downloader.Small : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004000.exe -> Downloader.Small.cwj : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004008.exe -> Downloader.Small.cyb : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004016.exe -> Downloader.Small.cyb : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004014.exe -> Downloader.Small.dht : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004015.exe -> Downloader.Small.dkt : No action taken.
C:\Documents and Settings\Famille\Local Settings\Temp\metasploit.exe -> Downloader.Small.dkv : No action taken.
C:\Documents and Settings\Famille\Local Settings\Temp\win32.exe -> Downloader.Small.dkv : No action taken.
C:\Documents and Settings\Famille\Temporary Internet Files\Content.IE5\DO431H8X\win32[1].exe -> Downloader.Small.dkv : No action taken.
C:\WINDOWS\system32\kernels8.exe -> Downloader.Small.dkv : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004012.exe -> Downloader.Small.dmk : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004002.exe -> Downloader.Small.dnk : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004001.exe -> Downloader.Tibs.dr : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004007.exe -> Downloader.Tibs.ic : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004010.exe -> Dropper.Agent.apb : No action taken.
C:\WINDOWS\system32:lzx32.sys -> Hijacker.Costrat.l : No action taken.
C:\Documents and Settings\Famille\Local Settings\Temp\2.dlb -> Hijacker.Spywad.o : No action taken.
C:\WINDOWS\system32\dlh9jkdq2.exe -> Hijacker.Spywad.o : No action taken.
C:\WINDOWS\xpupdate.exe -> Hijacker.Spywad.o : No action taken.
HKLM\SOFTWARE\Classes\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE083} -> Logger.Agent.io : No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE083} -> Logger.Agent.io : No action taken.
C:\Documents and Settings\Famille\Temporary Internet Files\Content.IE5\ZQD0A923
ew3[1].htm -> Not-A-Virus.Constructor.Perl.Msdds.b : No action taken.
C:\WINDOWS\desktop.html -> Not-A-Virus.Hoax.Win32.Renos.cy : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004034.dll -> Proxy.Agent.ji : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004137.dll -> Proxy.Agent.ji : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP45\A0005139.dll -> Proxy.Agent.ji : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP45\A0006136.dll -> Proxy.Agent.ji : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP45\A0007136.dll -> Proxy.Agent.ji : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP45\A0007144.dll -> Proxy.Agent.ji : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP45\A0008145.dll -> Proxy.Agent.ji : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP45\A0009146.dll -> Proxy.Agent.ji : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP46\A0010151.dll -> Proxy.Agent.ji : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP47\A0010426.dll -> Proxy.Agent.ji : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP48\A0010702.dll -> Proxy.Agent.ji : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP48\A0010978.dll -> Proxy.Agent.ji : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP48\A0011978.dll -> Proxy.Agent.ji : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP50\A0033071.dll -> Proxy.Agent.ji : No action taken.
C:\WINDOWS\comdlj32.dll -> Proxy.Agent.ji : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004006.dll -> Proxy.Lager.aq : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP46\A0010418.dll -> Proxy.Lager.aq : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP47\A0010694.dll -> Proxy.Lager.aq : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP48\A0010970.dll -> Proxy.Lager.aq : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP50\A0033338.dll -> Proxy.Lager.aq : No action taken.
C:\WINDOWS\system32	askdir.dll -> Proxy.Lager.aq : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004005.exe -> Proxy.Small.bo : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004009.exe -> Proxy.Small.bo : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@247realmedia[1].txt -> TrackingCookie.247realmedia : No action taken.
C:\RECYCLER\S-1-5-21-1504080440-2729027840-259606095-500\Dc4.txt -> TrackingCookie.247realmedia : No action taken.
C:\Documents and Settings\Invité\Cookies\invité@2o7[2].txt -> TrackingCookie.2o7 : No action taken.
C:\RECYCLER\S-1-5-21-1504080440-2729027840-259606095-500\Dc6.txt -> TrackingCookie.Adbrite : No action taken.
C:\Documents and Settings\Invité\Cookies\invité@atdmt[2].txt -> TrackingCookie.Atdmt : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@com[1].txt -> TrackingCookie.Com : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@www.etracker[1].txt -> TrackingCookie.Etracker : No action taken.
C:\Documents and Settings\Invité\Cookies\invité@cs.sexcounter[2].txt -> TrackingCookie.Sexcounter : No action taken.
C:\Documents and Settings\Invité\Cookies\invité@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : No action taken.
C:\RECYCLER\S-1-5-21-1504080440-2729027840-259606095-500\Dc27.txt -> TrackingCookie.Tradedoubler : No action taken.
C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt -> TrackingCookie.Weborama : No action taken.
C:\RECYCLER\S-1-5-21-1504080440-2729027840-259606095-500\Dc5.txt -> TrackingCookie.Yieldmanager : No action taken.
[800] C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll -> Trojan.Agent.oh : No action taken.
C:\Documents and Settings\Famille\Temporary Internet Files\Content.IE5\25J494JQ\winudu[1].exe -> Trojan.Agent.xd : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004003.exe -> Trojan.Dialer.ay : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004004.exe -> Trojan.Small : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004011.exe -> Trojan.Small : No action taken.
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP43\A0004017.exe -> Trojan.Small : No action taken.


::Report end



Et maintenant je continue avec cleanup40...

green day · Answer

re

No action taken.

 il faut refaire ewido et le reegler sur "deleted" pour qu'il te vire tout ce qu'il trouve !

 bon courage, @+

beres · Answer

Re, 

Apres avoir nettoyé avec cleanup40, il m'a demandé de redémarrer, ce que j'ai évidement fait...

Et comme expliqué plus haut, je pouvais travailler avec le pc uniquement en passant par la session administrateur que je n'avais jamais créer et ce en executant le gestionnaire des tâches...
Mais seulement voilà, maintenant carrément plus possible d'executer le gestionnaire des tâches...donc suis au point mort, c pire que bien... je sens que je vais tout casser...rrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrr

Y-a-t-il réellement une solution à mon probleme?
Au secououououououououors

beres · Answer

salut,

Serait-il pas mieux que je réinstalle xp par dessus et que j'essaye de récupérer mes données en utilisant easy recory?

merci d'avance

green day · Answer

Re salut

 ah! oui, pour ce qui est de la session "administrateur" visible qu'en mode sans echec : c'est normal, elle est crée par defaut lors de l'instalation ! donc pas de soucis

 tant que tu ne reformate pas, tes données ne sont pas perdues !

 si  tu veux réinstaller, il y des chances pour que tu gardes tes données, mais il faut le CD de win ! donc comment vu tu faire si tu ne l'as pas ? à moin d'en avoir un d'un autre PC ( = autre licence ) !
-

...


**tout ce que je sais, c'est que je ne sais rien ! et c'est déjà pas mal ...**

beres · Answer

Salut,

Oui j'ai une autre version légale à dispo, mais c la pro, alors que sur mon portable était préinstallé le home édition...
J'ai voulu le réinstaller par dessus, mais il me dit de créer un nouveau repertoire, ayant essayé plusieurs noms de repertoire, il n'en accepte aucun, que dois-je introduire comme nom de repertoire?

green day · Answer

Salut

ok, dans ce cas, je te propose de passer par la console de recupération :

 voici la marche à suivre :

http://www.d2i.ch/pn/az/symb.html

si tu as des questions, ne pas hesiter !!!

 @+

beres · Answer

ben je penses pas que je vais continuer, car deja  un proble, puique je ne sais procéder au point 3, je passe directement du point 2 au 4, donc je préfere ne plus continuer, j'ai été voir ds un magasin d'informatique, et il me demande 60€ pour regler mon probleme, je ne veux plus prendre de risque, donc, j'opte pour cette solution.


Mais je voudrais en tout les cas te remercier d'avoir consacré autant de temps à mon problème...

Si un jour je peux te renvoyer la balle, ce sera avec plaisir...

Merci et  à bientôt

green day · Answer

minute Papillon !

voici la même manip en plus soft  traduite :

# Avec le cd d'xp, lorsque l'écran de bienvenue du programme d'installation s'affiche, appuie sur la touche R pour démarrer la console de récupération.

# Ensuite tapes 1 et valide avec entrée. ( ensuite, ils te demanderont le mot de passe de la session administrateur créer par defaut, si tu en as mis un )

tapes ces lignes en validant avec entrée à chaque fois ( bien respecter les espaces)

à chaque fois que tu valideras la ligne de commande, ils te demanderont :

remplacer systeme ( Oui/Non/Tous ) : => tapes "O"

copy c:\windows\repair\system c:\windows\system32\config\system
copy c:\windows\repair\software c:\windows\system32\config\software
copy c:\windows\repair\sam c:\windows\system32\config\sam
copy c:\windows\repair\security c:\windows\system32\config\security
copy c:\windows\repair\default c:\windows\system32\config\default

#ensuite tapes exit et retire le cd d'xp pour ne pas rebooter dessus.

 tu devrais en théorie pouvoir redemarrer ton windows avec la configuration initiale, et retrouver tous tes documents !

si, même après cette manip, ça ne marche pas !  dans ce cas tu pourras m'envoyer  60€ ! ... euh ! le faire reparer à  60€ :-)

tiens moi au courante !!!

 bon courage, @+

 ;-)

Désinfecter un pc qui ne démarre plus? - Page 2

Newsletters