Help

valerie michat -  
did71 Messages postés 2187 Statut Contributeur sécurité -
AU SECOURS: il semble qu un virus ait transforme mon clavier azerty en clavier qwerty....impossible de telecharger les antivirus tels qu indique dans votre fiche methodo...que faire
Configuration: Windows 2000
Internet Explorer 6.0

4 réponses

  1. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Bonsoir valerie michat,

    télécharge HijackThis:

    http://pchelpbordeaux.free.fr/logiciels.html

    Tutorial
    http://pchelpbordeaux.free.fr/tuto.html

    Démo en image
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    Fais un scan et poste l'analyse.

    a+
    0
    1. valerie michat
       
      merci bcp de ton intervention mais je ne peux RIEN telechargerm a chaque essai reponse impossible de telecharger le site requis n est pas disponible
      qu en deduis tu
      0
  2. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    je ne peux rien en déduire sans rapport!

    télécharge hijackthis sur le pc d'une connaissance, mets le sur un support amovible (clé usb, cd, disquette, etc....) et installe sur ton pc, ensuite passe le scan et poste le rapport!

    a+

    Sinon je te l'envoie par messagerie
    0
    1. valerie michat
       
      ok je vais faire ce que tu dis merci
      0
    2. valerie michat
       
      voila le rapport.

      Logfile of HijackThis v1.99.1
      Scan saved at 22:03:47, on 11/01/2007
      Platform: Windows 2000 SP4 (WinNT 5.00.2195)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINNT\System32\smss.exe
      C:\WINNT\system32\winlogon.exe
      C:\WINNT\system32\services.exe
      C:\WINNT\system32\lsass.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\system32\spoolsv.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
      C:\WINNT\System32\svchost.exe
      C:\WINNT\System32\HPConfig.exe
      C:\WINNT\system32\HPZipm12.exe
      C:\WINNT\system32\regsvc.exe
      C:\WINNT\system32\MSTask.exe
      C:\WINNT\system32\stisvc.exe
      C:\WINNT\System32\WBEM\WinMgmt.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\Explorer.EXE
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\WINNT\system32\wuauclt.exe
      C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      R3 - Default URLSearchHook is missing
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
      O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
      O4 - HKLM\..\Run: [S3TRAYHP] S3trayhp.exe
      O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
      O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
      O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [CP32NOT] C:\PROGRA~1\ONE-TO~1\CP32NBTN.EXE
      O4 - HKLM\..\Run: [ESS Daemon] C:\WINNT\ESSD.exe
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
      O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
      O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
      O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
      O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
      O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
      O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} (Progetto1.int_ver34) - http://advnt01.com/dialer/int_ver34.CAB
      O17 - HKLM\System\CCS\Services\Tcpip\..\{39638628-819C-4F39-B0FA-3921104FAA9D}: NameServer = 192.168.1.1
      O17 - HKLM\System\CS1\Services\Tcpip\..\{39638628-819C-4F39-B0FA-3921104FAA9D}: NameServer = 192.168.1.1
      O17 - HKLM\System\CS2\Services\Tcpip\..\{39638628-819C-4F39-B0FA-3921104FAA9D}: NameServer = 192.168.1.1
      O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
      O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
      O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
      O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
      O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
      O23 - Service: HP Configuration Service (HPConfig) - Hewlett-Packard - C:\WINNT\System32\HPConfig.exe
      O23 - Service: McShield - Network Associates, Inc. - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
      0
  3. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    re,

    effectivement, tu es infecté!

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau:

    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    Redémarre ton ordinateur
    Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
    Appuie sur Y pour commencer le processus de nettoyage.
    Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    Appuie sur une touche pour redémarrer le PC.
    Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

    a+
    0
    1. valerie
       
      merci j ai pu effectuer tes indications jusqu au redemarrage apres SDFIX mais il ne se relance pas et donc pas de rapport
      0
  4. did71 Messages postés 2187 Statut Contributeur sécurité 36
     
    Bonsoir,

    Télécharge clean.zip

    http://www2.malekal.com/download/clean.zip

    Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
    Ouvre le dossier Clean qui se trouve sur ton bureau.
    Double-clic sur clean.cmd.
    Une fenêtre noire va apparaître, choisis l'option 1.

    Poste le rapport qui se trouve ici C:\rapport_clean.txt

    a+
    0