Gros soucis avec DeepScan:Generic.Ranky.2987A Résolu/Fermé

Question

Bonsoir à tous et d'avance merci de l'aide que vous voudrez bien m'accorder car je suis sur mes problèmes de virus depuis le début de l'après-midi et je vais craquer... :((

J'ai utilisé BitDefender pour faire un scan on line et voici le rapport:

Résultats
 
Virus identifiés  1
 
Fichiers infectés  5
 
Fichiers suspects  0
 
Avertissements  0
 
Désinfectés  0
 
Fichiers effacés  4
 
Info sur les moteurs
 
Définition virus  504954
 
Version des moteurs
 AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)
 
Analyse des plugins  14
 
Archive des plugins  38
 
Unpack des plugins  6
 
E-mail plugins  6
 
Système plugins  1
   
 
Paramètres d'analyse
 
Première action  Désinfecté
 
Seconde Action  Supprimé
 
Heuristique  Oui
 
Acceptez les avertissements  Oui
 
Extensions analysées  *;
 
Excludez les extensions
  
 
Analyse d'emails  Oui
 
Analyse des Archives  Oui
 
Analyser paquets programmes  Oui
 
Analyse des fichiers  Oui
 
Analyse de boot  Oui
 
Fichier analysé   Statut
 
C:\WINDOWS\system32\ibpmhfgm.exe
 Infecté par: DeepScan:Generic.Ranky.2987A5D0
 
C:\WINDOWS\system32\ibpmhfgm.exe
 Echec de la désinfection
 
C:\WINDOWS\system32\ibpmhfgm.exe
 Echec de la suppression
 
C:\WINDOWS\system32\swia.exe
 Infecté par: DeepScan:Generic.Ranky.2987A5D0
 
C:\WINDOWS\system32\swia.exe
 Echec de la désinfection
 
C:\WINDOWS\system32\swia.exe
 Supprimé
 
C:\WINDOWS\system32\xjsdy.exe
 Infecté par: DeepScan:Generic.Ranky.2987A5D0
 
C:\WINDOWS\system32\xjsdy.exe
 Echec de la désinfection
 
C:\WINDOWS\system32\xjsdy.exe
 Supprimé
 
C:\WINDOWS\system32\yokmu.exe
 Infecté par: DeepScan:Generic.Ranky.2987A5D0
 
C:\WINDOWS\system32\yokmu.exe
 Echec de la désinfection
 
C:\WINDOWS\system32\yokmu.exe
 Supprimé
 
C:\WINDOWS\system32\ziyjep.exe
 Infecté par: DeepScan:Generic.Ranky.2987A5D0
 
C:\WINDOWS\system32\ziyjep.exe
 Echec de la désinfection
 
C:\WINDOWS\system32\ziyjep.exe
 Supprimé
 

Donc comment faire pour finir le ménage? Etait-ce une bonne chose que les fichiers infectés aient été supprimés et pourquoi ibpmhfgm.exe résiste? 

Comme vous demandez toujours un rapport HiJackThis, je viens d'en faire un et je vous le soumets:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:49:57, on 08/05/2007
Platform: Windows XP  (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast Edition Professionnelle\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast Edition Professionnelle\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ibpmhfgm.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\ALWILS~1\AVASTE~1\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32esetservice.exe
C:\Program Files\Alwil Software\Avast Edition Professionnelle\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast Edition Professionnelle\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Isabelle\Bureau\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezobho.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\ibpmhfgm.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\AVASTE~1\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32eset5.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast Edition Professionnelle\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast Edition Professionnelle\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast Edition Professionnelle\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast Edition Professionnelle\ashWebSv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Integrated Windows Authentication - Unknown owner - C:\Program Files\Fichiers communs\System\MSIWA32.exe (file missing)
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: NTFS File Location Service (NTFSFLS) - Unknown owner - C:\WINDOWS\system32
tfsloc.exe (file missing)
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32	lntsvr.exe
O23 - Service: Universal Printer NT Service - Unknown owner - C:\WINDOWS\System32\dllcache\upnt.exe (file missing)
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

rudyrital · Answer

Tout d'abord Bonjour et bienvenue sur le forum d'entraide COMMENT CA MARCHE 

* télécharge AVG Anti-Spyware (ewido) 

avg antispyware
http://www.infos-du-net.com/telecharger/Ewido-Security-Suite,0301-734.html

* tu l'installes 

Démarrer AVG antispyware. Cliquer sur "mise à jour", cliquer sur le bouton "Commencer la mise à jour" et attendre la fin de cette mise à jour puis, fermer le programme. 

si tu n'arrives pas à le mettre à jour prends ici les Mise à jour:

http://downloads.ewido.net/avgas-signatures-full-current.exe 



Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 

 relancer AVG AS et cliquer sur l'onglet "scanner" puis sur "Analyse complète du système". 
Une fois le scan terminé, il t'affiche un rapport. Cliquer sur "configurer..." en bas a gauche et choisir "supprimer". Ensuite cliquer sur "Appliquer toutes les actions ", ca va supprimer toutes les infections détectées. 
Ensuite cliquer sur "Enregistrer le rapport d'analyse" -> "enregistrer sous" et enregistrer le rapport où bon te semble, afin de me l'envoyer dans ta prochaine réponse. 


Copie Et colle le rapport ici

Andisa · Answer

Voici le rapport demandé:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	22:27:21 08/05/2007

 + Résultat de l'analyse:	



C:\System Volume Information\_restore{84CE0812-806D-4CED-966C-20A3953BB198}\RP33\A0009665.exe -> Backdoor.Rbot.bqj : Nettoyé.
C:\System Volume Information\_restore{84CE0812-806D-4CED-966C-20A3953BB198}\RP33\A0009664.exe -> Backdoor.VanBot.ad : Nettoyé.
C:\System Volume Information\_restore{84CE0812-806D-4CED-966C-20A3953BB198}\RP33\A0009670.exe -> Backdoor.VanBot.ax : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@microsoftwga.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@advertising[2].txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@adviva[1].txt -> TrackingCookie.Adviva : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\anyuser@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@fastclick[2].txt -> TrackingCookie.Fastclick : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@linksynergy[2].txt -> TrackingCookie.Linksynergy : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@mediaplex[2].txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@toplist[1].txt -> TrackingCookie.Toplist : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@m.webtrends[2].txt -> TrackingCookie.Webtrends : Nettoyé.
C:\Documents and Settings\Isabelle\Cookies\isabelle@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Nettoyé.
C:\System Volume Information\_restore{84CE0812-806D-4CED-966C-20A3953BB198}\RP33\A0009666.exe -> Trojan.Pakes : Nettoyé.


Fin du rapport


Alors??

rudyrital · Answer

Lis bien et exécute cette manip dans l’ordre. 

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers 
mets les à jour, comme indiqué dans les démos ou tutos. 

Ne les utilises pas tout de suite. 


Antispywares et autres : 

*Ad-Aware (gratuit) 
Téléchargement : 
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html 
Le patch en Français pour Ad-Aware (gratuit) : 
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html 
Tuto : 
http://perso.orange.fr/entraide-hijackthis/AdAware/AdAware.htm 

*Spybot (gratuit) : 
Téléchargement : 
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html 
voir demo d utilisation (merci Balltrap) 
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm 

* AVG AS 

AVG anti spyware 
https://www.01net.com/telecharger/ 
Met le a jour avant de lancer le scan. 
Tuto : 
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html 


Nettoyeurs (de fichiers inutiles) et autres : 

*Ccleaner (gratuit) 
Téléchargement : 
https://www.01net.com/ 
Tuto : 
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php 

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo ! 

======================================== 

¤Désactive ta restauration système (uniquement si tu es sous XP): 
Clic droit sur poste de travail puis, 
propriété, tu cliques sur onglet restauration système 
tu coches la case « désactiver la restauration » et applique. 

->Affiches tous les fichiers et dossiers : 
cliques sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage 

[Coche] « afficher les dossiers et fichiers cachés » 

[Décoches] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) » 

[Décoches] « masquer les extensions dont le type est connu » 

Puis fais [appliquer] pour valider les changements. 

Et [Ok] 
======================================== 

->Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec 
puis tape « entrée ». 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 
======================================== 
->Lance CCleaner. 

Suppression des fichiers temporaires 

Va dans la section "Options" situé dans la marge gauche. Décoche "Avancé". 
Retourne ensuite dans la section "Nettoyeur" 
Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé) 
• Clique sur [Analyse] 
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois. 
• Une fois le scan terminé, clique sur [Lancer le Nettoyage] 



======================================== 
->Lance AVG pour un scan complet "Analyse" ->"Paramètres" 

Sous la question "Comment réagir ?" : 

-> clique sur "Actions recommandées" et choisis "Quarantaines" 
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système" 

Si un fichier est infecté en fin d'analyse 

->Clique sur "Appliquer toutes les actions " 

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous". 

->Enregistre ce fichier texte sur ton bureau et [copie/colle le rapport en forum] 
======================================== 
->Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines… 
======================================== 
->Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines… 
======================================== 
->Relance CCleaner. 
Suppression des incohérences du registre 

• Clique sur l'icône [Erreurs] situés dans la marge à gauche 
• Puis clique sur [Analyser les erreurs] 
• Patiente pendant que CCleaner scan ton registre. 
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée. 
• Tu peux cliquer ensuite sur [Corriger les erreurs]. 

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement. 
======================================== 
->Vide ta Corbeille. 
======================================== 
->Redémarre en mode normal, . 

 fait scanner ton pc par un ou plusieurs antivirus en ligne: 

Quelques AV en lignes: 

https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

http://www.bitdefender.fr/scan_fr/scan8/ie.html

https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm 

https://www.trendmicro.com/en_us/forHome/products/housecall.html 


si l'antivirus ne peut pas supprimer: 
- noter le chemin et le nom des fichiers infectés (ou encore mieux, le rapport du scan) et poster le resultat du scan sur le forum.

Poste le rapport AVG et le rapport de l'antivirus. 

Puis, 

¤Réactive ta restauration système (uniquement si tu es sous XP): 
Clic droit sur poste de travail puis, 
propriété, tu cliques sur onglet restauration système 
tu décoches la case « désactiver la restauration » et applique.

Andisa · Answer

J'ai fait scrupuleusement tout ce que tu as préconisé et en faisant un scan final avec BitDefender et toujours le même problème...

Voici le rapport AVG:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	12:43:12 09/05/2007

 + Résultat de l'analyse:	

Rien à signaler.

Fin du rapport



Et voici le rapport BitDefender:

BitDefender Online Scanner
Rapport d'analyse généré à: Wed, May 09, 2007 - 16:29:00
Voie d'analyse: C:\;D:\;
  
Statistiques
 
Temps
 00:34:06
 
Fichiers
 85706
 
Directoires
 1484
 
Secteurs de boot
 2
 
Archives
 709
 
Paquets programmes
 10544
 
Résultats
 
Virus identifiés
 1
 
Fichiers infectés
 1
 
Fichiers suspects
 0
 
Avertissements
 0
 
Désinfectés
 0
 
Fichiers effacés
 0
 
Info sur les moteurs
 
Définition virus
 505119
 
Version des moteurs
 AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)
 
Analyse des plugins
 14
 
Archive des plugins
 38
 
Unpack des plugins
 6
 
E-mail plugins
 6
 
Système plugins
 1
 
 
Paramètres d'analyse
 
Première action
 Désinfecté
 
Seconde Action
 Supprimé
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analysées
 *;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
Fichier analysé
Statut
 
C:\WINDOWS\system32\ibpmhfgm.exe
 Infecté par: DeepScan:Generic.Ranky.2987A5D0
 
C:\WINDOWS\system32\ibpmhfgm.exe
 Echec de la désinfection
 
C:\WINDOWS\system32\ibpmhfgm.exe
 Echec de la suppression
 
  
 
Et bien sûr lorsque je suis le chemin d'accès, impossible de le supprimer manuellement ("en cours d'utilisation")...

Je fais quoi???

Merci de ton aide!

rudyrital · Answer

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau: 

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : 
Redémarre ton ordinateur 
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). 
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. 
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". 
Choisis ton compte. 
Déroule la liste des instructions ci-dessous : 
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script. 
Appuie sur Y pour commencer le processus de nettoyage. 
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
Appuie sur une touche pour redémarrer le PC. 
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Andisa · Answer

J'ai fait ce que tu m'as conseillé et là c'est la catastrophe... Après le passage de SDFix, le système est devenu instable (demandes incessantes du CD d'installation de Win XP car des fichiers ont été remplacés par des fichiers inconnus), fenêtre pop up demandant par quel méthode je veux me connecter (minitel, modem...)!!!

L'éxecutable ibpmhfgm.exe était toujours présent mais en coupant et en le collant dans la corbeille j'ai réussi à l'effacer.

Mais le pire (d'ailleurs j'ai dû me connecter depuis un autre ordinateur) restait à venir, tous les scans des différents logiciels que tu m'as fait installer ne détectaient plus rien. Je me suis que j'ai avait fini mais mon ordinateur était très très lent...
Lorsque je débranche le câble éthernet, cela va à peu prêt mais dès que je me rebranche, tous mon ordinateur est infecter par des chevaux de troie (dans le système 32, doc setting....) je passe mon temps à cliquer sur "mise en quarantaine" d'Avast...

Donc pour résumer, windows est instable, si j'insère mon CD je ne peux finir les réparations car les canassons viennent tout bousculer!!!

Là vraiment, j'en peux plus........................

rudyrital · Answer

tu as un parefeu ??

essais de lancer un scan AVG en mode sans echec si tu peut

colle le rapport

Andisa · Answer

MEGA MEGA PROBLEME

Je ne sais pas comment mais comme je te le disais Windows est devenu instable et semble ne plus retrouver tous ces petits... 
Et pour l'heure, je suis encore complètement bloquée (fenêtres continuelles du style Win ne retrouve le fichier C:/syst/blabla, insérer le CD d'installation ou indiquer un chemin d'accès, enfin en gros Le Petit Windows ne retrouve plus ses cailloux...)

Et en redémarrant hier soir, le fameux écran bleu et le doux message UNMOUNTABLE_BOOT_VOULUME!!!

Alors j'ai booté sur mon CD d'installation, taper "R", puis CHKDSK /R des erreurs ont été réparées. Puis FIXBOOT, la aussi l'amorce a été réparée...
Puis j'ai relancé en enlevant le CD, Windows m'a alors demandé le CD d'installation, pour l'instant, il a l'air de correctement retrouver ses petits...

Question 1: est-ce que le virus détecté par BitDefender pourrait être à l'origine de tout cela et avoir endommagé les fichiers Windows?

Question 2: Vais-je retrouver le contenu de mon DD???


Aïe!!!!!!!!
Alors qu'il restait 18 mn pour la réinstallation de Windows, nouveau message d'erreur (comme hier soir), je te le livre intégralement:

Windows - L'écriture décalée a échoué
Windows n'a pas pu sauvegarder toutes les données pour le fichier C:\WINDOWS\system32. Les données ont été perdues. Cette erreur peut être due à une panne de votre matériel ou de votre connexion réseau. Essayer de sauvegarder ce fichier à un autre emplacement.

Et seulement "OK" comme possibilité de réponse..... Il a fallu que je clique 4 fois sur OK pour voir apparaître un autre message:
Windows - L'écriture décalée a échoué
Windows n'a pas pu sauvegarder toutes les données pour le fichier C:\WINDOWS\security. Les données ont été perdues. Cette erreur peut être due à une panne de votre matériel ou de votre connexion réseau. Essayer de sauvegarder ce fichier à un autre emplacement.

"OK" puis autre fenêtre:
Windows - L'écriture décalée a échoué
Windows n'a pas pu sauvegarder toutes les données pour le fichier C:\WINDOWS\Temp. Les données ont été perdues. Cette erreur peut être due à une panne de votre matériel ou de votre connexion réseau. Essayer de sauvegarder ce fichier à un autre emplacement.

"OK" puis retour sur :Windows - L'écriture décalée a échoué
Windows n'a pas pu sauvegarder toutes les données pour le fichier C:\WINDOWS\system32. Les données ont été perdues. Cette erreur peut être due à une panne de votre matériel ou de votre connexion réseau. Essayer de sauvegarder ce fichier à un autre emplacement.

"OK" puis autre fenêtre:
Windows - L'écriture décalée a échoué
Windows n'a pas pu sauvegarder toutes les données pour le fichier C:\WINDOWS. Les données ont été perdues. Cette erreur peut être due à une panne de votre matériel ou de votre connexion réseau. Essayer de sauvegarder ce fichier à un autre emplacement.

A nouveau fenêtre avec problème system32 puis Documents and Settings\All Users\Documents\Ma musique puis ce sont les échantillons d'images, puis à nouveau les échantillons de musique, puis Documents and Settings\Default Users\Menu Démarrer\Programmes puis c'est dans media player\Skins, la config de system32 puis C:\$Mft

Et là même même en cliquant qur OK, je reste bloquée sur cette fenêtre.... De temps en temps C:\WINDOWS revient puis c'est $Mft qui revient...

AU SECOURS!!!!!! Je fais quoi?????????

PS: de mémoire, les emplacements des virus correspondent en partie aux fenêtres d'erreur  citées ci-dessus...

Andisa · Answer

PROBLEME RESOLU 

Manière forte utilisée: démontage du DD pour sauvegarder les données sur un autre ordi (aucun problème mais système HS donc tout était bien lié à ce fichu virus... grrrrrrrrr) et remontage puis reformatage du DD.

A la prochaine attaque ;)

Andisa