Virus vietnamien 16/06
cloel
Messages postés
18
Statut
Membre
-
afideg Messages postés 10970 Statut Contributeur sécurité -
afideg Messages postés 10970 Statut Contributeur sécurité -
Bonjour,
Je suis au Vietnam (Pays du virus). Aujourd'hui vers 13 heures, toutes mes fenetres ont pris pour nom :
16/06 Chuc Em Luon Vui Ve & Hanh Phuc
Pour info, moi non plus je ne parle pas vietnamien...
Toujours est-il que mon malheureux Antivir (a jour) ne detecte rien.
Quelqu'un a une idee ????
Je suis au Vietnam (Pays du virus). Aujourd'hui vers 13 heures, toutes mes fenetres ont pris pour nom :
16/06 Chuc Em Luon Vui Ve & Hanh Phuc
Pour info, moi non plus je ne parle pas vietnamien...
Toujours est-il que mon malheureux Antivir (a jour) ne detecte rien.
Quelqu'un a une idee ????
A voir également:
- Virus vietnamien 16/06
- Virus mcafee - Accueil - Piratage
- Android 16 - Guide
- Hp envy 16 - Accueil - Guide ordinateurs
- Virus facebook demande d'amis - Accueil - Facebook
- Softonic virus ✓ - Forum Virus
28 réponses
Bonjour cloel,
Et comment va l'accès à ton Disque Local ( C:\ ) à partir du Poste de Travail ?
Peux-tu faire ceci, SVP?
1°- Télécharge et installe AVG Anti-Spyware - ici: < http://www.grisoft.com/doc/downloads-results/lng/fr/tpl/tpl01?prd=triasw >
Si tu as besoin d'aide AVG-antispyware regarde ces tutoriels:
--> < http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html >
-- > < http://www.malekal.com/tutorial_AVG_AntiSpyware.html >
Tu enregistres le fichier dans Bureau.
A la fin du téléchargement, tu vois l’icône « avgas-setup… » sur le bureau.
Ensuite tu te déconnectes du Net, et tu fermes les sessions en cours.
Tu ouvres le fichier en faisant double-clic l’icône "avgas-setup-7.5.1.43.exe".
Une page s’ouvre ; tu clic sur « Exécuter » Tu suis les instructions.
Tu notes au passage que l’installation va se faire en :
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5
Tu peux choisir le raccourci dans le menu « Démarrage »
Si on te demande de redémarrer ton ordinateur, tu le fais.
Pour lancer AVG anti spyware tu doubles click sur l'icone qui s'est créé sur le bureau.
La première fois que tu l'utilises, tu configures le logiciel.
Sur la page "état", tu choisis inactif pour le bouclier résident ( clic sur « Modifier l’état » ).
Sur la page "mise à jour", tu coches les cases au § « mise à jour automatique »
et tu fais une mise à jour manuelle (clic sur « Commencer la mise à jour »).
Tu redémarres l'ordinateur si nécessaire.
-
Sur la page "Analyse", tu choisis d'abord l'onglet "Paramètres" > « Comment réagir »
- clic sur « Action recommandées » et dans le menu déroulant, choisir « Supprimer »
-< http://bp3.blogger.com/... >
Tu coches à droite "générer un rapport après chaque analyse" et "uniquement en cas de menaces".
Tu choisis ensuite l'onglet analyser, analyse complète du système.
A la fin de l'analyse, tu cliques sur "Action", "Appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous".
Tu suis les instructions dans la fenêtre qui s'ouvre.
Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse.
-
PS Pour les autres fois, pour lancer AVG, tu double-clic sur la deuxième icône bureau créée.
Tu dois le garder, il est gratuit après sa période d'essai; mais il garde toutes ses fonctionnalités, SAUF la mise à jour ( que tu feras manuellement à chaque utilisation = 1 fois par mois ) et le bouclier résident ( qui lance le programme au démarrage, mais donc ralenti le PC ).
2°- Télécharge Combofix.exe (par sUBs) sur ton Bureau
Télécharger la Beta (http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe)
Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis.
3°- Pour HijackThis
- Avec connexion au Net en service,
- télécharge la version original de HijackThis < http://www.merijn.org/files/hijackthis.zip >, ou là :
https://www.pcastuces.com/logitheque/hijackthis.htm
- et un Tutorial de BipBip avec copies d'écran ici < http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm >
- Déconnecte-toi du Net pour installer le programme.
- Ensuite, installe HJT ( = HijackThis ) dans C:\Program Files par exemple.
Pour cela : [Enregistrer] > « Poste de Travail » > « C:\ » > « Program Files » > [Enregistrer]
( s'il n'y est pas, crée un raccourci sur vers le bureau )
-Redémarre ton PC impérativement.
- Lance HJT en cliquant l'icône bureau, puis sur « Do a system scan and save a logfile »
•Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
•NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran.
•Ouvre le rapport HijackThis précédemment sauvegardé et copie-colle le dans ta prochaine réponse
- à la fin du scan le bloc-notes va s'ouvrir sur le bureau
- tu fais un copier/coller de tout son contenu.
- Et tu le postes sur le forum
POURQUOI l'installer là ?
Le problème consiste à avoir un dossier dédié à HijackThis;
car lors de l'utilisation il créera un dossier backup permettant de revenir en arrière en cas d'erreur.
L'emplacement de ce dossier importe peu à l'exclusion des dossiers temporaires qui sont vidés pratiquement systématiquement lors d'une procédure de nettoyage.
Ce nettoyage effacerait donc les backups; ce qui empêcherait tout retour en arrière.
Un "log" c'est la trace écrite de ce que un programme a fait et du résultat de son action.
Bon courage
Al.
Et comment va l'accès à ton Disque Local ( C:\ ) à partir du Poste de Travail ?
Peux-tu faire ceci, SVP?
1°- Télécharge et installe AVG Anti-Spyware - ici: < http://www.grisoft.com/doc/downloads-results/lng/fr/tpl/tpl01?prd=triasw >
Si tu as besoin d'aide AVG-antispyware regarde ces tutoriels:
--> < http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html >
-- > < http://www.malekal.com/tutorial_AVG_AntiSpyware.html >
Tu enregistres le fichier dans Bureau.
A la fin du téléchargement, tu vois l’icône « avgas-setup… » sur le bureau.
Ensuite tu te déconnectes du Net, et tu fermes les sessions en cours.
Tu ouvres le fichier en faisant double-clic l’icône "avgas-setup-7.5.1.43.exe".
Une page s’ouvre ; tu clic sur « Exécuter » Tu suis les instructions.
Tu notes au passage que l’installation va se faire en :
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5
Tu peux choisir le raccourci dans le menu « Démarrage »
Si on te demande de redémarrer ton ordinateur, tu le fais.
Pour lancer AVG anti spyware tu doubles click sur l'icone qui s'est créé sur le bureau.
La première fois que tu l'utilises, tu configures le logiciel.
Sur la page "état", tu choisis inactif pour le bouclier résident ( clic sur « Modifier l’état » ).
Sur la page "mise à jour", tu coches les cases au § « mise à jour automatique »
et tu fais une mise à jour manuelle (clic sur « Commencer la mise à jour »).
Tu redémarres l'ordinateur si nécessaire.
-
Sur la page "Analyse", tu choisis d'abord l'onglet "Paramètres" > « Comment réagir »
- clic sur « Action recommandées » et dans le menu déroulant, choisir « Supprimer »
-< http://bp3.blogger.com/... >
Tu coches à droite "générer un rapport après chaque analyse" et "uniquement en cas de menaces".
Tu choisis ensuite l'onglet analyser, analyse complète du système.
A la fin de l'analyse, tu cliques sur "Action", "Appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous".
Tu suis les instructions dans la fenêtre qui s'ouvre.
Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse.
-
PS Pour les autres fois, pour lancer AVG, tu double-clic sur la deuxième icône bureau créée.
Tu dois le garder, il est gratuit après sa période d'essai; mais il garde toutes ses fonctionnalités, SAUF la mise à jour ( que tu feras manuellement à chaque utilisation = 1 fois par mois ) et le bouclier résident ( qui lance le programme au démarrage, mais donc ralenti le PC ).
2°- Télécharge Combofix.exe (par sUBs) sur ton Bureau
Télécharger la Beta (http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe)
Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis.
3°- Pour HijackThis
- Avec connexion au Net en service,
- télécharge la version original de HijackThis < http://www.merijn.org/files/hijackthis.zip >, ou là :
https://www.pcastuces.com/logitheque/hijackthis.htm
- et un Tutorial de BipBip avec copies d'écran ici < http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm >
- Déconnecte-toi du Net pour installer le programme.
- Ensuite, installe HJT ( = HijackThis ) dans C:\Program Files par exemple.
Pour cela : [Enregistrer] > « Poste de Travail » > « C:\ » > « Program Files » > [Enregistrer]
( s'il n'y est pas, crée un raccourci sur vers le bureau )
-Redémarre ton PC impérativement.
- Lance HJT en cliquant l'icône bureau, puis sur « Do a system scan and save a logfile »
•Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
•NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran.
•Ouvre le rapport HijackThis précédemment sauvegardé et copie-colle le dans ta prochaine réponse
- à la fin du scan le bloc-notes va s'ouvrir sur le bureau
- tu fais un copier/coller de tout son contenu.
- Et tu le postes sur le forum
POURQUOI l'installer là ?
Le problème consiste à avoir un dossier dédié à HijackThis;
car lors de l'utilisation il créera un dossier backup permettant de revenir en arrière en cas d'erreur.
L'emplacement de ce dossier importe peu à l'exclusion des dossiers temporaires qui sont vidés pratiquement systématiquement lors d'une procédure de nettoyage.
Ce nettoyage effacerait donc les backups; ce qui empêcherait tout retour en arrière.
Un "log" c'est la trace écrite de ce que un programme a fait et du résultat de son action.
Bon courage
Al.
Bonjour,
Je n'ai pas encore pu faire ce que vous m'avez indique (la ligne telephonique ayant flanche). Je suis donc sur un PC a l'exterieur.
Mon probleme d'ouverture de disque semble etre lie a mon virus. Le clic sur le disque cree un "autorun.inf " qui lance un "winlist.exe" et hop renommage des fenetres. Ce virus m'a ete transmis par la cle usb d'un ami et donc ma cle est maintenant egalement infectee !!!
Des que j'ai le moyen de telecharger quelquechose, je vous mets le resultat.
Si quelq'un a une idee pour aussi nettoyer ma cle, je suis preneur...
Je n'ai pas encore pu faire ce que vous m'avez indique (la ligne telephonique ayant flanche). Je suis donc sur un PC a l'exterieur.
Mon probleme d'ouverture de disque semble etre lie a mon virus. Le clic sur le disque cree un "autorun.inf " qui lance un "winlist.exe" et hop renommage des fenetres. Ce virus m'a ete transmis par la cle usb d'un ami et donc ma cle est maintenant egalement infectee !!!
Des que j'ai le moyen de telecharger quelquechose, je vous mets le resultat.
Si quelq'un a une idee pour aussi nettoyer ma cle, je suis preneur...
Bonjour cloel,
OK, c'est plus clair ainsi.
Tu trouveras toutes les explications nécessaires ici : < http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/virus-sujet_29187_1.htm >
•- Essaie donc ceci : Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela :
SURTOUT ne pas double-cliquer sur le disque dans le poste de travail
* Ouvre le poste de travail
* Clic sur le menu "outils" en haut à droite puis "options des dossiers"
* Dans la nouvelle fenêtre, clic sur "l'onglet Affichage" en haut
* Coche dans la liste "Afficher les fichiers cachés"
* Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)"
* Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
* Ouvre le poste de travail
* Pour chaque disque dans le poste de travail : Fais un clic droit sur le disque dur - surtout ne double-clic pas dessus!!!
* Choisis "ouvrir" dans le menu déroulant.
* Cherche un fichier "autorun.inf" et des fichiers : "Adober.exe" ou "RavMonE.exe" ou "MS32DLL.DLL.VBS" ou "autorun.vbs"
* Si présents, supprimez le en faisant un "clic droit" puis "supprimer".
* Répéte l'opération sur tous les disques se trouvant dans le poste de travail.
•- Et fais ceci avant de faire ce que j'ai demandé au post précédent:
- Télécharge « clean.zip »
< http://www.malekal.com/download/clean.zip >
- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
< http://img227.imageshack.us/img227/9384/screenshot149ih1.gif >
- Redémarre en mode sans échec.
Tutos: Comment faire pour... à la lettre D
< https://forum.pcastuces.com/default.asp >
- Ouvre le dossier « clean » qui se trouve sur ton bureau.
- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, suis les consignes
< http://img483.imageshack.us/img483/6285/screenshot210io7.gif >
Choisis l’option 2.
Clean va travailler. Il va produire un rapport qui se trouve ici C:\rapport_clean.txt.
- Arrête, puis Redémarre le PC normalement.
- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. .
Commence par ça, ensuite nous reviendrons au post précédent.
Merci
Bonne journée.
Al.
OK, c'est plus clair ainsi.
Tu trouveras toutes les explications nécessaires ici : < http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/virus-sujet_29187_1.htm >
•- Essaie donc ceci : Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela :
SURTOUT ne pas double-cliquer sur le disque dans le poste de travail
* Ouvre le poste de travail
* Clic sur le menu "outils" en haut à droite puis "options des dossiers"
* Dans la nouvelle fenêtre, clic sur "l'onglet Affichage" en haut
* Coche dans la liste "Afficher les fichiers cachés"
* Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)"
* Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
* Ouvre le poste de travail
* Pour chaque disque dans le poste de travail : Fais un clic droit sur le disque dur - surtout ne double-clic pas dessus!!!
* Choisis "ouvrir" dans le menu déroulant.
* Cherche un fichier "autorun.inf" et des fichiers : "Adober.exe" ou "RavMonE.exe" ou "MS32DLL.DLL.VBS" ou "autorun.vbs"
* Si présents, supprimez le en faisant un "clic droit" puis "supprimer".
* Répéte l'opération sur tous les disques se trouvant dans le poste de travail.
•- Et fais ceci avant de faire ce que j'ai demandé au post précédent:
- Télécharge « clean.zip »
< http://www.malekal.com/download/clean.zip >
- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
< http://img227.imageshack.us/img227/9384/screenshot149ih1.gif >
- Redémarre en mode sans échec.
Tutos: Comment faire pour... à la lettre D
< https://forum.pcastuces.com/default.asp >
- Ouvre le dossier « clean » qui se trouve sur ton bureau.
- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, suis les consignes
< http://img483.imageshack.us/img483/6285/screenshot210io7.gif >
Choisis l’option 2.
Clean va travailler. Il va produire un rapport qui se trouve ici C:\rapport_clean.txt.
- Arrête, puis Redémarre le PC normalement.
- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. .
Commence par ça, ensuite nous reviendrons au post précédent.
Merci
Bonne journée.
Al.
Bonjour,
Voici les logs. Combofix a eu l'air de faire de l'effet,mais je ne pense pas que ce soit encore nickel ....
Merci de me donner ton avis....
Rapport Clean
Script executed in Safe Mode
Rapport clean par Malekal_morte - http://www.malekal.com
Script executed in Safe Mode Tue 06/19/2007 a 10:22:01.57
Microsoft Windows XP [Version 5.1.2600]
*** Suppression C:
*** Suppression C:\WINDOWS\
*** Suppression C:\WINDOWS\system32
*** Suppression C:\Program Files
*** Deletion of the registry keys successful..
*** End of the report !
Rapport AVG :
Pas de rapport
Rapport Combofix :
ComboFix 07-06-18.5 - C:\Documents and Settings\GIGABYTE\Desktop\ComboFix.exe
"GIGABYTE" - 2007-06-20 10:21:59 - Service Pack 2 NTFS
((((((((((((((((((((((((( Files Created from 2007-05-20 to 2007-06-20 )))))))))))))))))))))))))))))))
2007-06-20 10:21 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-19 16:07 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-06-16 15:23 231,469 -rahs---- C:\WINDOWS\winlist.exe
2007-06-15 15:16 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2007-06-14 14:17 <DIR> d-------- C:\DOCUME~1\GIGABYTE\APPLIC~1\Help
2007-06-12 13:11 <DIR> d-------- C:\WINDOWS\pss
2007-05-24 10:25 <DIR> d-------- C:\Program Files\DVD Shrink
2007-05-24 10:25 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\DVD Shrink
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-06-13 02:35:18 -------- d-----w C:\DOCUME~1\GIGABYTE\APPLIC~1\AdobeUM
2007-04-24 21:57:02 -------- d-----w C:\Program Files\Messenger
2007-04-24 09:27:22 -------- d-----w C:\Program Files\MSXML 4.0
2007-04-18 16:12:23 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll [2003-05-15 00:47]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll [2006-10-12 18:25]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vietkey"="C:\Vietkey2000\VKNT.EXE" [2000-10-04 16:25]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 18:10]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 17:28]
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 08:38]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-26 03:45]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 16:25]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mtd2002Svr"="C:\Program Files\mtd2002\mtdserver.exe" [2002-10-06 03:05]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 23:24]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 19:00]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"Task Manager"=C:\WINDOWS\winlist.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" [2007-05-30 19:29]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Driver]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Guard]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^New Text Document.txt]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\New Text Document.txt
backup=C:\WINDOWS\pss\New Text Document.txtCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Task Manager]
C:\WINDOWS\winlist.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
AutoRun\command- winlist.exe
open\command- winlist.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
AutoRun\command- winlist.exe
open\command- winlist.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1d59c72a-4c46-11db-861b-0012f066c94c}]
Auto\command- RavMonE.exe e
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe e
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b382bcb4-130a-11dc-8745-00c09fb630c9}]
AutoRun\command- F:\winlist.exe
open\command- F:\winlist.exe
*Newly Created Service* - AVG_ANTI-SPYWARE_DRIVER
*Newly Created Service* - AVG_ANTI-SPYWARE_GUARD
**************************************************************************
catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-20 10:22:54
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-06-20 10:23:33
--- E O F ---
Rapport HJT
Logfile of HijackThis v1.99.1
Scan saved at 10:32, on 6/20/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Vietkey2000\VKNT.EXE
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\winlist.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [Vietkey] C:\Vietkey2000\VKNT.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Task Manager] C:\WINDOWS\winlist.exe
O4 - HKCU\..\Run: [mtd2002Svr] "C:\Program Files\mtd2002"\mtdserver.exe -f
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC121C8A-29CB-4B77-9E9E-7F2523BDD85C}: NameServer = 192.168.1.1,192.182.10.100
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Httlinai - Conexant Systems, Inc. - (no file)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
Voici les logs. Combofix a eu l'air de faire de l'effet,mais je ne pense pas que ce soit encore nickel ....
Merci de me donner ton avis....
Rapport Clean
Script executed in Safe Mode
Rapport clean par Malekal_morte - http://www.malekal.com
Script executed in Safe Mode Tue 06/19/2007 a 10:22:01.57
Microsoft Windows XP [Version 5.1.2600]
*** Suppression C:
*** Suppression C:\WINDOWS\
*** Suppression C:\WINDOWS\system32
*** Suppression C:\Program Files
*** Deletion of the registry keys successful..
*** End of the report !
Rapport AVG :
Pas de rapport
Rapport Combofix :
ComboFix 07-06-18.5 - C:\Documents and Settings\GIGABYTE\Desktop\ComboFix.exe
"GIGABYTE" - 2007-06-20 10:21:59 - Service Pack 2 NTFS
((((((((((((((((((((((((( Files Created from 2007-05-20 to 2007-06-20 )))))))))))))))))))))))))))))))
2007-06-20 10:21 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-19 16:07 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-06-16 15:23 231,469 -rahs---- C:\WINDOWS\winlist.exe
2007-06-15 15:16 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2007-06-14 14:17 <DIR> d-------- C:\DOCUME~1\GIGABYTE\APPLIC~1\Help
2007-06-12 13:11 <DIR> d-------- C:\WINDOWS\pss
2007-05-24 10:25 <DIR> d-------- C:\Program Files\DVD Shrink
2007-05-24 10:25 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\DVD Shrink
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-06-13 02:35:18 -------- d-----w C:\DOCUME~1\GIGABYTE\APPLIC~1\AdobeUM
2007-04-24 21:57:02 -------- d-----w C:\Program Files\Messenger
2007-04-24 09:27:22 -------- d-----w C:\Program Files\MSXML 4.0
2007-04-18 16:12:23 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll [2003-05-15 00:47]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll [2006-10-12 18:25]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vietkey"="C:\Vietkey2000\VKNT.EXE" [2000-10-04 16:25]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 18:10]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 17:28]
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 08:38]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-26 03:45]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 16:25]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mtd2002Svr"="C:\Program Files\mtd2002\mtdserver.exe" [2002-10-06 03:05]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 23:24]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 19:00]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"Task Manager"=C:\WINDOWS\winlist.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" [2007-05-30 19:29]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Driver]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\AVG Anti-Spyware Guard]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^New Text Document.txt]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\New Text Document.txt
backup=C:\WINDOWS\pss\New Text Document.txtCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Task Manager]
C:\WINDOWS\winlist.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
AutoRun\command- winlist.exe
open\command- winlist.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
AutoRun\command- winlist.exe
open\command- winlist.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1d59c72a-4c46-11db-861b-0012f066c94c}]
Auto\command- RavMonE.exe e
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe e
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b382bcb4-130a-11dc-8745-00c09fb630c9}]
AutoRun\command- F:\winlist.exe
open\command- F:\winlist.exe
*Newly Created Service* - AVG_ANTI-SPYWARE_DRIVER
*Newly Created Service* - AVG_ANTI-SPYWARE_GUARD
**************************************************************************
catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-20 10:22:54
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-06-20 10:23:33
--- E O F ---
Rapport HJT
Logfile of HijackThis v1.99.1
Scan saved at 10:32, on 6/20/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Vietkey2000\VKNT.EXE
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\winlist.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [Vietkey] C:\Vietkey2000\VKNT.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Task Manager] C:\WINDOWS\winlist.exe
O4 - HKCU\..\Run: [mtd2002Svr] "C:\Program Files\mtd2002"\mtdserver.exe -f
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC121C8A-29CB-4B77-9E9E-7F2523BDD85C}: NameServer = 192.168.1.1,192.182.10.100
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Httlinai - Conexant Systems, Inc. - (no file)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour cloel,
1°- Je ne sais pas si tu as pu exécuter au Post#4 la procédure indiquée au début ( dont tu as reçu un lien en exemple de traitement ).
Je suppose que OUI, puisque le rapport de "clean" ne donne aucune indication de suppression des fichiers "autorun.inf", "Adober.exe", "RavMonE.exe", "MS32DLL.DLL.VBS" ou "autorun.vbs" .
Mais ce ne sont malheureusement que des suppositions .
>
>
2°- Rapport AVG : Pas de rapport ===> c'est impossible!
As-tu bien exécuter la procédure indiquée ? À savoir : « Tu coches à droite "générer un rapport après chaque analyse"; à la fin de l'analyse, tu cliques sur "Action", "Appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous". Tu suis les instructions dans la fenêtre qui s'ouvre.
Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse. » .
- Recherche par l'explorateur Windows le dossier AVG Antispyware ( en C:\Program Files\ si ma mémoire est bonne ), et là, il devrait y avoir ce rapport .... si tu as bien suivi les consignes de configuration .
J'ai besoin de ce rapport. Merci.
>
>
3°- O23 - Service: Httlinai - Conexant Systems, Inc. - (no file) Connais-tu ce service Httlinai ?
>
>
4°- Assure toi d'avoir accès aux dossiers/fichiers cachés :
Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer fichiers protégés du dossier système
Tu vas recevoir un message qui te dit que cela peut endommager le système,
n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]
Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >
>
Ensuite, peux-tu contrôler ces fichiers à l'aide de VirusTotal ?
Pour cela, vas là :< http://www.virustotal.com/en/virustotalx.html >
•- sur la page qui s'affiche tu cliques sur "parcourir"
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin des fichiers ( que Virustotal va analyser un par un, à ta demande; puisque tu devras recommencer la procédure "parcourir", fichier par fichier ) )
•- c'est-à-dire :
C:\WINDOWS\winlist.exe
C:\WINDOWS\system32\msi.dll
C:\WINDOWS\system32\RunDLL32.EXE
•- quand tu as trouvé le fichier, tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
•- là, tu cliques sur "send" ( au-dessus, à droite de la page de Virustotal )
•- et tu attends le résultat ( sois patiente )
•- que tu postes sur le forum
DONC, tu refais la manipulation fichier par fichier.
>
>
5°- Quand le PC sera désinfecté, il faudra prendre ceci en considération :
Aucun pare-feu actif n'a été trouvé sur votre système
Télécharger ce pare-feu KERIO: ( pare-feu, qui reste gratuit après la période d'essai de 21 jours! ) , ici : < http://www.dsi12.fr/telechargements/vnc/kerio-kpf-4.2.2-911-win.exe >
ou là :< http://www.infos-du-net.com/telecharger/Firewall-Kerio-Personal,0301-390.html >
•- Ensuite lancer l'installation de ce pare-feu. Pour cela:
- tu dois impérativement couper la connexion de ton modem (débranche-le),
- Ça peut être un routeur et tu es relié par un câble, tu débranches le cable.
- Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle).
- ensuite installer ce pare-feu une fois téléchargé ,
- et l'activer ( vérifier à ce moment que celui de Windows soit bien désactivé
- si non, fais-le manuellement, comme ceci : - Démarrer ->panneau de config (en affichage classique) -> pare-feu windows et tu le mets sur "désactiver". )
•- et enfin si tout s'est bien déroulé, rétablir ta connexion à Internet. .
Eventuellement mettre à jour Kério.
•- Avec ces tutoriels pour configurer et comprendre l'utilisation de Kerio
- http://www.chez.com/leppa/scripts/kpfV4.html
- https://www.vulgarisation-informatique.com/kerio.php
- Tuto - https://forums.cnetfrance.fr
- Bloquer des ports avec Kerio - créer une règle de filtrage < https://www.vulgarisation-informatique.com/bloquer-ports.php >
>
>
Merci pour ta collaboration
Al.
1°- Je ne sais pas si tu as pu exécuter au Post#4 la procédure indiquée au début ( dont tu as reçu un lien en exemple de traitement ).
Je suppose que OUI, puisque le rapport de "clean" ne donne aucune indication de suppression des fichiers "autorun.inf", "Adober.exe", "RavMonE.exe", "MS32DLL.DLL.VBS" ou "autorun.vbs" .
Mais ce ne sont malheureusement que des suppositions .
>
>
2°- Rapport AVG : Pas de rapport ===> c'est impossible!
As-tu bien exécuter la procédure indiquée ? À savoir : « Tu coches à droite "générer un rapport après chaque analyse"; à la fin de l'analyse, tu cliques sur "Action", "Appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous". Tu suis les instructions dans la fenêtre qui s'ouvre.
Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse. » .
- Recherche par l'explorateur Windows le dossier AVG Antispyware ( en C:\Program Files\ si ma mémoire est bonne ), et là, il devrait y avoir ce rapport .... si tu as bien suivi les consignes de configuration .
J'ai besoin de ce rapport. Merci.
>
>
3°- O23 - Service: Httlinai - Conexant Systems, Inc. - (no file) Connais-tu ce service Httlinai ?
>
>
4°- Assure toi d'avoir accès aux dossiers/fichiers cachés :
Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer fichiers protégés du dossier système
Tu vas recevoir un message qui te dit que cela peut endommager le système,
n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]
Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >
>
Ensuite, peux-tu contrôler ces fichiers à l'aide de VirusTotal ?
Pour cela, vas là :< http://www.virustotal.com/en/virustotalx.html >
•- sur la page qui s'affiche tu cliques sur "parcourir"
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin des fichiers ( que Virustotal va analyser un par un, à ta demande; puisque tu devras recommencer la procédure "parcourir", fichier par fichier ) )
•- c'est-à-dire :
C:\WINDOWS\winlist.exe
C:\WINDOWS\system32\msi.dll
C:\WINDOWS\system32\RunDLL32.EXE
•- quand tu as trouvé le fichier, tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
•- là, tu cliques sur "send" ( au-dessus, à droite de la page de Virustotal )
•- et tu attends le résultat ( sois patiente )
•- que tu postes sur le forum
DONC, tu refais la manipulation fichier par fichier.
>
>
5°- Quand le PC sera désinfecté, il faudra prendre ceci en considération :
Aucun pare-feu actif n'a été trouvé sur votre système
Télécharger ce pare-feu KERIO: ( pare-feu, qui reste gratuit après la période d'essai de 21 jours! ) , ici : < http://www.dsi12.fr/telechargements/vnc/kerio-kpf-4.2.2-911-win.exe >
ou là :< http://www.infos-du-net.com/telecharger/Firewall-Kerio-Personal,0301-390.html >
•- Ensuite lancer l'installation de ce pare-feu. Pour cela:
- tu dois impérativement couper la connexion de ton modem (débranche-le),
- Ça peut être un routeur et tu es relié par un câble, tu débranches le cable.
- Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle).
- ensuite installer ce pare-feu une fois téléchargé ,
- et l'activer ( vérifier à ce moment que celui de Windows soit bien désactivé
- si non, fais-le manuellement, comme ceci : - Démarrer ->panneau de config (en affichage classique) -> pare-feu windows et tu le mets sur "désactiver". )
•- et enfin si tout s'est bien déroulé, rétablir ta connexion à Internet. .
Eventuellement mettre à jour Kério.
•- Avec ces tutoriels pour configurer et comprendre l'utilisation de Kerio
- http://www.chez.com/leppa/scripts/kpfV4.html
- https://www.vulgarisation-informatique.com/kerio.php
- Tuto - https://forums.cnetfrance.fr
- Bloquer des ports avec Kerio - créer une règle de filtrage < https://www.vulgarisation-informatique.com/bloquer-ports.php >
>
>
Merci pour ta collaboration
Al.
Re-bonjour,
Alors j'ai reussi enfin a avoir une log AVG, mais je ne sais pas trop si elle te servira...
Donc voici la log + les 3 resultats de virus total. Et pour repondre a ta question, non je ne connais pas httlinai...
Par contre, cette salete d'autorun.inf est revenue, meme quand j'ouvre les disques comme tu l'as indique...
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 10:23 6/22/2007
+ Résultat de l'analyse:
Rien à signaler.
Fin du rapport
**********************************************************************************************************************************************
STATUS: FINISHEDComplete scanning result of "rundll32.exe", received in VirusTotal at 06.23.2007, 04:52:43 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.6.21.1 06.22.2007 no virus found
AntiVir 7.4.0.34 06.22.2007 no virus found
Authentium 4.93.8 06.22.2007 no virus found
Avast 4.7.997.0 06.22.2007 no virus found
AVG 7.5.0.476 06.22.2007 no virus found
BitDefender 7.2 06.23.2007 no virus found
CAT-QuickHeal 9.00 06.22.2007 no virus found
ClamAV devel-20070416 06.23.2007 no virus found
DrWeb 4.33 06.22.2007 no virus found
eSafe 7.0.15.0 06.21.2007 no virus found
eTrust-Vet 30.8.3736 06.22.2007 no virus found
Ewido 4.0 06.22.2007 no virus found
FileAdvisor 1 06.23.2007 Not analyzed yet
Fortinet 2.91.0.0 06.22.2007 no virus found
F-Prot 4.3.2.48 06.22.2007 no virus found
F-Secure 6.70.13030.0 06.22.2007 no virus found
Ikarus T3.1.1.8 06.22.2007 no virus found
Kaspersky 4.0.2.24 06.23.2007 no virus found
McAfee 5059 06.22.2007 no virus found
Microsoft 1.2701 06.23.2007 no virus found
NOD32v2 2346 06.22.2007 no virus found
Norman 5.80.02 06.22.2007 no virus found
Panda 9.0.0.4 06.22.2007 no virus found
Sophos 4.19.0 06.22.2007 no virus found
Sunbelt 2.2.907.0 06.21.2007 no virus found
Symantec 10 06.23.2007 no virus found
TheHacker 6.1.6.137 06.22.2007 no virus found
VBA32 3.12.0.2 06.21.2007 no virus found
VirusBuster 4.3.23:9 06.22.2007 no virus found
Webwasher-Gateway 6.0.1 06.22.2007 no virus found
Aditional Information
File size: 33280 bytes
MD5: da285490bbd8a1d0ce6623577d5ba1ff
SHA1: c466b4f4c2600fd62fbe943d8049afd0f6606f48
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=da285490bbd8a1d0ce6623577d5ba1ff
*************************************************************************************************************************************************
STATUS: FINISHEDComplete scanning result of "msi.dll", received in VirusTotal at 06.23.2007, 05:37:25 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.6.21.1 06.22.2007 no virus found
AntiVir 7.4.0.34 06.22.2007 no virus found
Authentium 4.93.8 06.22.2007 no virus found
Avast 4.7.997.0 06.22.2007 no virus found
AVG 7.5.0.476 06.22.2007 no virus found
BitDefender 7.2 06.23.2007 no virus found
CAT-QuickHeal 9.00 06.22.2007 no virus found
ClamAV devel-20070416 06.23.2007 no virus found
DrWeb 4.33 06.22.2007 no virus found
eSafe 7.0.15.0 06.21.2007 no virus found
eTrust-Vet 30.8.3736 06.22.2007 no virus found
Ewido 4.0 06.22.2007 no virus found
FileAdvisor 1 06.23.2007 Not analyzed yet
Fortinet 2.91.0.0 06.22.2007 no virus found
F-Prot 4.3.2.48 06.22.2007 no virus found
F-Secure 6.70.13030.0 06.22.2007 no virus found
Ikarus T3.1.1.8 06.22.2007 no virus found
Kaspersky 4.0.2.24 06.23.2007 no virus found
McAfee 5059 06.22.2007 no virus found
Microsoft 1.2701 06.23.2007 no virus found
NOD32v2 2346 06.22.2007 no virus found
Norman 5.80.02 06.22.2007 no virus found
Panda 9.0.0.4 06.22.2007 no virus found
Prevx1 V2 06.23.2007 no virus found
Sophos 4.19.0 06.22.2007 no virus found
Sunbelt 2.2.907.0 06.21.2007 no virus found
Symantec 10 06.23.2007 no virus found
TheHacker 6.1.6.137 06.22.2007 no virus found
VBA32 3.12.0.2 06.21.2007 no virus found
VirusBuster 4.3.23:9 06.22.2007 no virus found
Webwasher-Gateway 6.0.1 06.22.2007 no virus found
Aditional Information
File size: 2854400 bytes
MD5: 892f4bc54d486feb4df03e4e2ecb14e0
SHA1: bc995c1d8ff4f0c15a1319c008a623fab34a47ca
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=892f4bc54d486feb4df03e4e2ecb14e0
***************************************************************************************************************************************************
STATUS: FINISHEDComplete scanning result of "winlist.exe", received in VirusTotal at 06.23.2007, 07:06:06 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.6.21.1 06.22.2007 Win32/Silly.worm.231469
AntiVir 7.4.0.34 06.22.2007 no virus found
Authentium 4.93.8 06.22.2007 no virus found
Avast 4.7.997.0 06.22.2007 Win32:Trojan-gen. {UPX!}
AVG 7.5.0.476 06.22.2007 Autoit.AX
BitDefender 7.2 06.23.2007 no virus found
CAT-QuickHeal 9.00 06.22.2007 no virus found
ClamAV devel-20070416 06.23.2007 no virus found
DrWeb 4.33 06.22.2007 no virus found
eSafe 7.0.15.0 06.21.2007 suspicious Trojan/Worm
eTrust-Vet 30.8.3736 06.22.2007 no virus found
Ewido 4.0 06.22.2007 no virus found
FileAdvisor 1 06.23.2007 Not analyzed yet
Fortinet 2.91.0.0 06.22.2007 no virus found
F-Prot 4.3.2.48 06.22.2007 no virus found
F-Secure 6.70.13030.0 06.22.2007 no virus found
Ikarus T3.1.1.8 06.23.2007 IM-Worm.Win32.Sohanad.aa
Kaspersky 4.0.2.24 06.23.2007 no virus found
McAfee 5059 06.22.2007 no virus found
Microsoft 1.2701 06.23.2007 no virus found
NOD32v2 2346 06.22.2007 no virus found
Norman 5.80.02 06.22.2007 no virus found
Panda 9.0.0.4 06.22.2007 no virus found
Prevx1 V2 06.23.2007 Generic.Malware
Sophos 4.19.0 06.22.2007 no virus found
Sunbelt 2.2.907.0 06.21.2007 no virus found
Symantec 10 06.23.2007 W32.SillyFDC
TheHacker 6.1.6.137 06.22.2007 no virus found
VBA32 3.12.0.2 06.21.2007 no virus found
VirusBuster 4.3.23:9 06.22.2007 no virus found
Webwasher-Gateway 6.0.1 06.22.2007 Worm.Win32.ModifiedUPX.gen!90 (suspicious)
Aditional Information
File size: 231469 bytes
MD5: a9cdf40b1e531b3e716c1dd390d54ffa
SHA1: 83bdbaa2a1ff0718f601c036768cac8ce8636eb1
packers: UPX
packers: UPX
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=a9cdf40b1e531b3e716c1dd390d54ffa
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=C1A7A0822D6C8099886C0378864CE500C1AD0819
*******************************************************************************************************************************************
Merci de ton aide...
Alors j'ai reussi enfin a avoir une log AVG, mais je ne sais pas trop si elle te servira...
Donc voici la log + les 3 resultats de virus total. Et pour repondre a ta question, non je ne connais pas httlinai...
Par contre, cette salete d'autorun.inf est revenue, meme quand j'ouvre les disques comme tu l'as indique...
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 10:23 6/22/2007
+ Résultat de l'analyse:
Rien à signaler.
Fin du rapport
**********************************************************************************************************************************************
STATUS: FINISHEDComplete scanning result of "rundll32.exe", received in VirusTotal at 06.23.2007, 04:52:43 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.6.21.1 06.22.2007 no virus found
AntiVir 7.4.0.34 06.22.2007 no virus found
Authentium 4.93.8 06.22.2007 no virus found
Avast 4.7.997.0 06.22.2007 no virus found
AVG 7.5.0.476 06.22.2007 no virus found
BitDefender 7.2 06.23.2007 no virus found
CAT-QuickHeal 9.00 06.22.2007 no virus found
ClamAV devel-20070416 06.23.2007 no virus found
DrWeb 4.33 06.22.2007 no virus found
eSafe 7.0.15.0 06.21.2007 no virus found
eTrust-Vet 30.8.3736 06.22.2007 no virus found
Ewido 4.0 06.22.2007 no virus found
FileAdvisor 1 06.23.2007 Not analyzed yet
Fortinet 2.91.0.0 06.22.2007 no virus found
F-Prot 4.3.2.48 06.22.2007 no virus found
F-Secure 6.70.13030.0 06.22.2007 no virus found
Ikarus T3.1.1.8 06.22.2007 no virus found
Kaspersky 4.0.2.24 06.23.2007 no virus found
McAfee 5059 06.22.2007 no virus found
Microsoft 1.2701 06.23.2007 no virus found
NOD32v2 2346 06.22.2007 no virus found
Norman 5.80.02 06.22.2007 no virus found
Panda 9.0.0.4 06.22.2007 no virus found
Sophos 4.19.0 06.22.2007 no virus found
Sunbelt 2.2.907.0 06.21.2007 no virus found
Symantec 10 06.23.2007 no virus found
TheHacker 6.1.6.137 06.22.2007 no virus found
VBA32 3.12.0.2 06.21.2007 no virus found
VirusBuster 4.3.23:9 06.22.2007 no virus found
Webwasher-Gateway 6.0.1 06.22.2007 no virus found
Aditional Information
File size: 33280 bytes
MD5: da285490bbd8a1d0ce6623577d5ba1ff
SHA1: c466b4f4c2600fd62fbe943d8049afd0f6606f48
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=da285490bbd8a1d0ce6623577d5ba1ff
*************************************************************************************************************************************************
STATUS: FINISHEDComplete scanning result of "msi.dll", received in VirusTotal at 06.23.2007, 05:37:25 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.6.21.1 06.22.2007 no virus found
AntiVir 7.4.0.34 06.22.2007 no virus found
Authentium 4.93.8 06.22.2007 no virus found
Avast 4.7.997.0 06.22.2007 no virus found
AVG 7.5.0.476 06.22.2007 no virus found
BitDefender 7.2 06.23.2007 no virus found
CAT-QuickHeal 9.00 06.22.2007 no virus found
ClamAV devel-20070416 06.23.2007 no virus found
DrWeb 4.33 06.22.2007 no virus found
eSafe 7.0.15.0 06.21.2007 no virus found
eTrust-Vet 30.8.3736 06.22.2007 no virus found
Ewido 4.0 06.22.2007 no virus found
FileAdvisor 1 06.23.2007 Not analyzed yet
Fortinet 2.91.0.0 06.22.2007 no virus found
F-Prot 4.3.2.48 06.22.2007 no virus found
F-Secure 6.70.13030.0 06.22.2007 no virus found
Ikarus T3.1.1.8 06.22.2007 no virus found
Kaspersky 4.0.2.24 06.23.2007 no virus found
McAfee 5059 06.22.2007 no virus found
Microsoft 1.2701 06.23.2007 no virus found
NOD32v2 2346 06.22.2007 no virus found
Norman 5.80.02 06.22.2007 no virus found
Panda 9.0.0.4 06.22.2007 no virus found
Prevx1 V2 06.23.2007 no virus found
Sophos 4.19.0 06.22.2007 no virus found
Sunbelt 2.2.907.0 06.21.2007 no virus found
Symantec 10 06.23.2007 no virus found
TheHacker 6.1.6.137 06.22.2007 no virus found
VBA32 3.12.0.2 06.21.2007 no virus found
VirusBuster 4.3.23:9 06.22.2007 no virus found
Webwasher-Gateway 6.0.1 06.22.2007 no virus found
Aditional Information
File size: 2854400 bytes
MD5: 892f4bc54d486feb4df03e4e2ecb14e0
SHA1: bc995c1d8ff4f0c15a1319c008a623fab34a47ca
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=892f4bc54d486feb4df03e4e2ecb14e0
***************************************************************************************************************************************************
STATUS: FINISHEDComplete scanning result of "winlist.exe", received in VirusTotal at 06.23.2007, 07:06:06 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.6.21.1 06.22.2007 Win32/Silly.worm.231469
AntiVir 7.4.0.34 06.22.2007 no virus found
Authentium 4.93.8 06.22.2007 no virus found
Avast 4.7.997.0 06.22.2007 Win32:Trojan-gen. {UPX!}
AVG 7.5.0.476 06.22.2007 Autoit.AX
BitDefender 7.2 06.23.2007 no virus found
CAT-QuickHeal 9.00 06.22.2007 no virus found
ClamAV devel-20070416 06.23.2007 no virus found
DrWeb 4.33 06.22.2007 no virus found
eSafe 7.0.15.0 06.21.2007 suspicious Trojan/Worm
eTrust-Vet 30.8.3736 06.22.2007 no virus found
Ewido 4.0 06.22.2007 no virus found
FileAdvisor 1 06.23.2007 Not analyzed yet
Fortinet 2.91.0.0 06.22.2007 no virus found
F-Prot 4.3.2.48 06.22.2007 no virus found
F-Secure 6.70.13030.0 06.22.2007 no virus found
Ikarus T3.1.1.8 06.23.2007 IM-Worm.Win32.Sohanad.aa
Kaspersky 4.0.2.24 06.23.2007 no virus found
McAfee 5059 06.22.2007 no virus found
Microsoft 1.2701 06.23.2007 no virus found
NOD32v2 2346 06.22.2007 no virus found
Norman 5.80.02 06.22.2007 no virus found
Panda 9.0.0.4 06.22.2007 no virus found
Prevx1 V2 06.23.2007 Generic.Malware
Sophos 4.19.0 06.22.2007 no virus found
Sunbelt 2.2.907.0 06.21.2007 no virus found
Symantec 10 06.23.2007 W32.SillyFDC
TheHacker 6.1.6.137 06.22.2007 no virus found
VBA32 3.12.0.2 06.21.2007 no virus found
VirusBuster 4.3.23:9 06.22.2007 no virus found
Webwasher-Gateway 6.0.1 06.22.2007 Worm.Win32.ModifiedUPX.gen!90 (suspicious)
Aditional Information
File size: 231469 bytes
MD5: a9cdf40b1e531b3e716c1dd390d54ffa
SHA1: 83bdbaa2a1ff0718f601c036768cac8ce8636eb1
packers: UPX
packers: UPX
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=a9cdf40b1e531b3e716c1dd390d54ffa
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=C1A7A0822D6C8099886C0378864CE500C1AD0819
*******************************************************************************************************************************************
Merci de ton aide...
Re,
Merci
1°- OK vérifie avec la procédure que je t'ai donné :
« * Pour chaque disque dans le poste de travail : Fais un clic droit sur le disque dur - surtout ne double-clic pas dessus!!!
* Choisis "ouvrir" dans le menu déroulant.
* Cherche un fichier "autorun.inf" et des fichiers : "Adober.exe" ou "RavMonE.exe" ou "MS32DLL.DLL.VBS" ou "autorun.vbs"
* Si présents, supprimez le en faisant un "clic droit" puis "supprimer".
* Répéte l'opération sur tous les disques se trouvant dans le poste de travail. »
... que tu n'as plus de fichiers "autorunf.inf" etc.. sur ton disque dur externe.
Supprime le partout.
2°- Ensuite :
Ouvre internet explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".
Toujours sur Internet explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".
3°- Exécute cet outil, SVP:
Télécharge kill_autorun_vbs.bat sur le bureau
< http://www.monwebperso.info/modules.php?name=Downloads&d_op=getit&lid=16 >
Double-click sur "kill_autorun_vbs.bat" et laisse-le faire le boulot
En fait cet outil détruit les "autorun" vérolés, et aussi il répare une clé du regsitre.
Donne-moi des nouvelles.
Bonne chance
Al.
Merci
1°- OK vérifie avec la procédure que je t'ai donné :
« * Pour chaque disque dans le poste de travail : Fais un clic droit sur le disque dur - surtout ne double-clic pas dessus!!!
* Choisis "ouvrir" dans le menu déroulant.
* Cherche un fichier "autorun.inf" et des fichiers : "Adober.exe" ou "RavMonE.exe" ou "MS32DLL.DLL.VBS" ou "autorun.vbs"
* Si présents, supprimez le en faisant un "clic droit" puis "supprimer".
* Répéte l'opération sur tous les disques se trouvant dans le poste de travail. »
... que tu n'as plus de fichiers "autorunf.inf" etc.. sur ton disque dur externe.
Supprime le partout.
2°- Ensuite :
Ouvre internet explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".
Toujours sur Internet explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".
3°- Exécute cet outil, SVP:
Télécharge kill_autorun_vbs.bat sur le bureau
< http://www.monwebperso.info/modules.php?name=Downloads&d_op=getit&lid=16 >
Double-click sur "kill_autorun_vbs.bat" et laisse-le faire le boulot
En fait cet outil détruit les "autorun" vérolés, et aussi il répare une clé du regsitre.
Donne-moi des nouvelles.
Bonne chance
Al.
Allo ?
Cloel, où en es-tu ?
Ajoute ceci éventuellement :
Supprimer :
C:\WINDOWS\RavMonE.exe
C:\WINDOWS\winlist.exe
E:\winlist.exe
Lance une recherche dans la BdR ( exécuter regedit > édition > recherche , sur pied de :
winlist
RavMonE
Copie les clés en rapport avec, et poste-les.
N'oublie pas F3 pour compléter la recherche.
Merci
Al.
Cloel, où en es-tu ?
Ajoute ceci éventuellement :
Supprimer :
C:\WINDOWS\RavMonE.exe
C:\WINDOWS\winlist.exe
E:\winlist.exe
Lance une recherche dans la BdR ( exécuter regedit > édition > recherche , sur pied de :
winlist
RavMonE
Copie les clés en rapport avec, et poste-les.
N'oublie pas F3 pour compléter la recherche.
Merci
Al.
(suite)
Allo?
Pour cette ligne O23 - Service: Httlinai - Conexant Systems, Inc. - (no file),
il y a lieu de faire ceci:
A)- "Démarrer" > "Exécuter" > taper services.msc et rechercher dans la liste Httlinai ou Conexant Systems, Inc, et m'en donner la dénomination exacte par un copier/coller ( sur exporter la liste ), ou par une capture écran .
B)- En attendant, tu peux tester ceci:
1)- « Démarrer » > « Executer » > taper cmd > dans la fenetre d'invite de commande, copier/coller et valide par [enter] à chaque fois !:
sc stop Httlinai
sc config Httlinai start= disabled
Terminer par [exit]
2)- Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.
3)- « Démarrer » > « Executer » > taper cmd > dans la fenetre d'invite de commande, copier/coller et valide par [enter]:
sc delete Httlinai
Arrête, puis redémarre le PC normalement.
Merci
Al.
Allo?
Pour cette ligne O23 - Service: Httlinai - Conexant Systems, Inc. - (no file),
il y a lieu de faire ceci:
A)- "Démarrer" > "Exécuter" > taper services.msc et rechercher dans la liste Httlinai ou Conexant Systems, Inc, et m'en donner la dénomination exacte par un copier/coller ( sur exporter la liste ), ou par une capture écran .
B)- En attendant, tu peux tester ceci:
1)- « Démarrer » > « Executer » > taper cmd > dans la fenetre d'invite de commande, copier/coller et valide par [enter] à chaque fois !:
sc stop Httlinai
sc config Httlinai start= disabled
Terminer par [exit]
2)- Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.
3)- « Démarrer » > « Executer » > taper cmd > dans la fenetre d'invite de commande, copier/coller et valide par [enter]:
sc delete Httlinai
Arrête, puis redémarre le PC normalement.
Merci
Al.
Bonjour, ME revoila.
Maintenant, voici tous les endroits de la base de registre concerne (heureusement j'ai trouve le moyen de copier coller, sinon je devenais cinglee !) :
Pour winlist dans la base de registre :
My Computer/ HKey_Local_Machine \ software \ microsoft \ windows \ current version \ run \
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53e287de-5365-11db-8627-00c09fb630c9}\Shell\AutoRun\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53e287de-5365-11db-8627-00c09fb630c9}\Shell\open\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b382bcb4-130a-11dc-8745-00c09fb630c9}\Shell\AutoRun\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b382bcb4-130a-11dc-8745-00c09fb630c9}\Shell\open\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ea53607a-82f0-11db-8648-00c09fb630c9}\Shell\AutoRun\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ea53607a-82f0-11db-8648-00c09fb630c9}\Shell\open\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\AutoRun\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\open\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\Shell\AutoRun\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\Shell\open\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Task Manager (command et item)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Task Manager
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ Task Manager
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53e287de-5365-11db-8627-00c09fb630c9}\Shell\AutoRun\command \ default
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53e287de-5365-11db-8627-00c09fb630c9}\Shell\open\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b382bcb4-130a-11dc-8745-00c09fb630c9}\Shell\AutoRun\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b382bcb4-130a-11dc-8745-00c09fb630c9}\Shell\open\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ea53607a-82f0-11db-8648-00c09fb630c9}\Shell\AutoRun\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ea53607a-82f0-11db-8648-00c09fb630c9}\Shell\open\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\AutoRun\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\open\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\Shell\AutoRun\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\Shell\open\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache
Pour RavMonE :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1d59c72a-4c46-11db-861b-0012f066c94c}\Shell\Auto\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1d59c72a-4c46-11db-861b-0012f066c94c}\Shell\AutoRun\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1d59c72a-4c46-11db-861b-0012f066c94c}\Shell\Auto\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1d59c72a-4c46-11db-861b-0012f066c94c}\Shell\AutoRun\command
J'espere que ca te parle plus qu'a moi....
Merci d'avance.
Maintenant, voici tous les endroits de la base de registre concerne (heureusement j'ai trouve le moyen de copier coller, sinon je devenais cinglee !) :
Pour winlist dans la base de registre :
My Computer/ HKey_Local_Machine \ software \ microsoft \ windows \ current version \ run \
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53e287de-5365-11db-8627-00c09fb630c9}\Shell\AutoRun\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53e287de-5365-11db-8627-00c09fb630c9}\Shell\open\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b382bcb4-130a-11dc-8745-00c09fb630c9}\Shell\AutoRun\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b382bcb4-130a-11dc-8745-00c09fb630c9}\Shell\open\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ea53607a-82f0-11db-8648-00c09fb630c9}\Shell\AutoRun\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ea53607a-82f0-11db-8648-00c09fb630c9}\Shell\open\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\AutoRun\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\open\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\Shell\AutoRun\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\Shell\open\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Task Manager (command et item)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Task Manager
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ Task Manager
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53e287de-5365-11db-8627-00c09fb630c9}\Shell\AutoRun\command \ default
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{53e287de-5365-11db-8627-00c09fb630c9}\Shell\open\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b382bcb4-130a-11dc-8745-00c09fb630c9}\Shell\AutoRun\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b382bcb4-130a-11dc-8745-00c09fb630c9}\Shell\open\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ea53607a-82f0-11db-8648-00c09fb630c9}\Shell\AutoRun\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ea53607a-82f0-11db-8648-00c09fb630c9}\Shell\open\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\AutoRun\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\open\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\Shell\AutoRun\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\Shell\open\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache
Pour RavMonE :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1d59c72a-4c46-11db-861b-0012f066c94c}\Shell\Auto\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1d59c72a-4c46-11db-861b-0012f066c94c}\Shell\AutoRun\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1d59c72a-4c46-11db-861b-0012f066c94c}\Shell\Auto\command
HKEY_USERS\S-1-5-21-220523388-861567501-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1d59c72a-4c46-11db-861b-0012f066c94c}\Shell\AutoRun\command
J'espere que ca te parle plus qu'a moi....
Merci d'avance.
Bonjour et merci cloel,
Ces clés, sont-elles celles trouvées avant ou après la réalisation complète du post # 8 ?
Il faut que tu exécutes tout ce qui y est spécifié.
Dis-moi comment fonctionne le PC ensuite.
Ensuite, rechercher et supprimer
C:\WINDOWS\RavMonE.exe
C:\WINDOWS\winlist.exe
E:\winlist.exe
Ensuite, exécuter le post # 10 §A, et poursuivre tout si Httlinai est bien la dénomination exacte de ce service. Sinon, il faudra que je modifie les écritures.
Courage
Al.
Ces clés, sont-elles celles trouvées avant ou après la réalisation complète du post # 8 ?
Il faut que tu exécutes tout ce qui y est spécifié.
Dis-moi comment fonctionne le PC ensuite.
Ensuite, rechercher et supprimer
C:\WINDOWS\RavMonE.exe
C:\WINDOWS\winlist.exe
E:\winlist.exe
Ensuite, exécuter le post # 10 §A, et poursuivre tout si Httlinai est bien la dénomination exacte de ce service. Sinon, il faudra que je modifie les écritures.
Courage
Al.
salut
a quoi correspont le lecteur E
il faut que tu fasse se qui est mis au post 8 avec tous les lecteurs ou clef usb contaminer brancher
sinon la desinfection revient des que tu rebranche un de ces lecteur ou clef usb
a++
a quoi correspont le lecteur E
il faut que tu fasse se qui est mis au post 8 avec tous les lecteurs ou clef usb contaminer brancher
sinon la desinfection revient des que tu rebranche un de ces lecteur ou clef usb
a++
J'ai fait le 8 et apres le 9.
Pour le 10, j'ai pas encore eu le temps.
Le E c'est mon deuxieme disque local. Et oui, je fais tout avec tous mes disques veroles branches....
Ca a l'air d'aller mieux. Je refais une verif demain.
Pour le 10, j'ai pas encore eu le temps.
Le E c'est mon deuxieme disque local. Et oui, je fais tout avec tous mes disques veroles branches....
Ca a l'air d'aller mieux. Je refais une verif demain.
Re,
Merci Balltrap, j'avais oublié de le rappeler ( USB branchée durant l'exécution des postes#8 -kill_autorun_vbs.bat - et # 9 - suppression des fichiers -).
Cloel, la recherche dans la BdR avait-elle été réalisée avant ou après la réalisation complète du post # 8 ?
Merci de m'apporter une réponse.
Al.
Merci Balltrap, j'avais oublié de le rappeler ( USB branchée durant l'exécution des postes#8 -kill_autorun_vbs.bat - et # 9 - suppression des fichiers -).
Cloel, la recherche dans la BdR avait-elle été réalisée avant ou après la réalisation complète du post # 8 ?
Merci de m'apporter une réponse.
Al.
Bonjour,
La recherche dans la base de registre a ete faite apres la realisation complete du post 8. Et de plus, j'effectue toutes les operations en branchant tous les peripheriques infectes.
Pour l'instant le fichier autorun.inf ne revient plus, mais comme j'ai encore tout ca dans la BDR, je me dis que ce n'est pas encore nickel... Du coup je n'ose pas redemarrer (j'ai peur que des trucs se remettent en place au redemarrage....)
Merci pour votre avis...
A bientot.
La recherche dans la base de registre a ete faite apres la realisation complete du post 8. Et de plus, j'effectue toutes les operations en branchant tous les peripheriques infectes.
Pour l'instant le fichier autorun.inf ne revient plus, mais comme j'ai encore tout ca dans la BDR, je me dis que ce n'est pas encore nickel... Du coup je n'ose pas redemarrer (j'ai peur que des trucs se remettent en place au redemarrage....)
Merci pour votre avis...
A bientot.
Bonjour cloel,
Content que ce PC soit mieux.
Il faut terminer comme ceci:
1°- Sauvegarde de toute la base de registre
• Cliquez sur Démarrer / Exécuter
• Dans le champ « Ouvrir » tapez : « regedit » et cliquez sur « OK ».
• Ne sélectionnez ( = mettre en surbrillance ) rien d'autre que le « Poste de travail ».
( Ici, dans la suite logique, le Poste de travail , est celui en tête de la liste des clés du registre ; puisqu’à cette étape, on est dans l’éditeur de registres )
• Dans le menu « Fichier » cliquez sur « Exporter.... »
• Dans « Enregistrer dans », choisissez le dossier de sauvegarde. C’est-à-dire : BUREAU.
• Dans le champ "Nom de fichier" : tapez le nom de votre fichier de sauvegarde. (ex : registre1)
• Dans le champ déroulant Type , choisissez "Fichiers d’enregistrement (*.reg)".
< http://img252.imageshack.us/img252/8522/screenshot258es5.gif >
• Cochez la case ( le bouton ratio ) « Tout ».
• Cliquez sur [Enregistrer]. Puis Quitter le registre.
L'icône du fichier de sauvegarde du Registre est sur le bureau.
2°- Recherche des traces à éliminer dans la BdR
"Démarrer" > "Exécuter" > là, taper " regedit " dans la fenêtre, puis [OK]
Donc, il nous faut retrouver ces éléments à supprimer :
RavMonE.exe ( avec ou sans l'extension .exe ) et winlist.exe ( idem )
Pour cela, clic sur "edition" puis "rechercher", comme ça:
Dans la fenêtre texte, tu colles winlist.exe
Regarde bien que les trois cases "cles/valeurs/données" soient cochées.
Clic sur "suivant"
S'affiche alors des éléments de clés en surbrillance devant contenir le terme " winlist.exe "
Sur cette clé en surbrillance clic droit puis "supprimer"
Clic sur F3 pour lancer une nouvelle recherche, et supprime ce qui est en subrillance ( dans la colonne de gauche comme de droite )
La fin est signalée par un message .
Fais la même chose avec le mot RavMonE.exe.
3°- Ensuite, exécuter le post # 10 §A, et poursuivre tout si Httlinai est bien la dénomination exacte de ce service. Sinon, il faudra que je modifie les écritures.
4°- Fais un scan en ligne avec< https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr >
Le scan ne marche que sous Internet Explorer.
Sous < https://www.informatruc.com >, on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner : « Exécuter l'analyse en ligne » .
Le scan ne marche que sous Internet Explorer.
Le scan va commencer.
Clic sur l'image « Kaspersky Online Scanner »
Puis sur "démarrer scan online " en bas à droite de la page.
< http://pictures.kaspersky.fr/bouton-scann1.jpg >
Clic sur « J'accepte » ( ou I agree )
On va te demander de télécharger un contrôle active x, accepte .
( on va peut-être demander installer ==> clic sur "installer" )
Tu attends que la mise à jour se termine ( patiente ), une fois terminé, clic sur « Suivant »
Clic sur « Paramètres d'analyse »
Coche la case « Étendue » >> Ok
Dans le menu « Choisissez la cible de l'analyse »
Clic sur Poste de travail pour faire un scan complet
Une fois le scan fini à 100%, clic sur "Enregistrer rapport sous..."
Enregistrer le rapport au format .txt (en nom tu mets «KAS» , et en « Type » tu choisis « fichier texte » (*.txt), puis [Enregistrer]
Tu ouvres le fichier que tu viens de sauvegarder,
Copier/coller le rapport généré, et poste-le
AIDE :
-Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
-Si il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien=> http://www.inoculer.com/activex.php3
NOTES :
- En cas de problème vérifier ces quelques points < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId898809 >
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566 >
Ça peut durer plus d’1 heure.
Patiente
Bonne journée
Albert
Content que ce PC soit mieux.
Il faut terminer comme ceci:
1°- Sauvegarde de toute la base de registre
• Cliquez sur Démarrer / Exécuter
• Dans le champ « Ouvrir » tapez : « regedit » et cliquez sur « OK ».
• Ne sélectionnez ( = mettre en surbrillance ) rien d'autre que le « Poste de travail ».
( Ici, dans la suite logique, le Poste de travail , est celui en tête de la liste des clés du registre ; puisqu’à cette étape, on est dans l’éditeur de registres )
• Dans le menu « Fichier » cliquez sur « Exporter.... »
• Dans « Enregistrer dans », choisissez le dossier de sauvegarde. C’est-à-dire : BUREAU.
• Dans le champ "Nom de fichier" : tapez le nom de votre fichier de sauvegarde. (ex : registre1)
• Dans le champ déroulant Type , choisissez "Fichiers d’enregistrement (*.reg)".
< http://img252.imageshack.us/img252/8522/screenshot258es5.gif >
• Cochez la case ( le bouton ratio ) « Tout ».
• Cliquez sur [Enregistrer]. Puis Quitter le registre.
L'icône du fichier de sauvegarde du Registre est sur le bureau.
2°- Recherche des traces à éliminer dans la BdR
"Démarrer" > "Exécuter" > là, taper " regedit " dans la fenêtre, puis [OK]
Donc, il nous faut retrouver ces éléments à supprimer :
RavMonE.exe ( avec ou sans l'extension .exe ) et winlist.exe ( idem )
Pour cela, clic sur "edition" puis "rechercher", comme ça:
Dans la fenêtre texte, tu colles winlist.exe
Regarde bien que les trois cases "cles/valeurs/données" soient cochées.
Clic sur "suivant"
S'affiche alors des éléments de clés en surbrillance devant contenir le terme " winlist.exe "
Sur cette clé en surbrillance clic droit puis "supprimer"
Clic sur F3 pour lancer une nouvelle recherche, et supprime ce qui est en subrillance ( dans la colonne de gauche comme de droite )
La fin est signalée par un message .
Fais la même chose avec le mot RavMonE.exe.
3°- Ensuite, exécuter le post # 10 §A, et poursuivre tout si Httlinai est bien la dénomination exacte de ce service. Sinon, il faudra que je modifie les écritures.
4°- Fais un scan en ligne avec< https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr >
Le scan ne marche que sous Internet Explorer.
Sous < https://www.informatruc.com >, on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner : « Exécuter l'analyse en ligne » .
Le scan ne marche que sous Internet Explorer.
Le scan va commencer.
Clic sur l'image « Kaspersky Online Scanner »
Puis sur "démarrer scan online " en bas à droite de la page.
< http://pictures.kaspersky.fr/bouton-scann1.jpg >
Clic sur « J'accepte » ( ou I agree )
On va te demander de télécharger un contrôle active x, accepte .
( on va peut-être demander installer ==> clic sur "installer" )
Tu attends que la mise à jour se termine ( patiente ), une fois terminé, clic sur « Suivant »
Clic sur « Paramètres d'analyse »
Coche la case « Étendue » >> Ok
Dans le menu « Choisissez la cible de l'analyse »
Clic sur Poste de travail pour faire un scan complet
Une fois le scan fini à 100%, clic sur "Enregistrer rapport sous..."
Enregistrer le rapport au format .txt (en nom tu mets «KAS» , et en « Type » tu choisis « fichier texte » (*.txt), puis [Enregistrer]
Tu ouvres le fichier que tu viens de sauvegarder,
Copier/coller le rapport généré, et poste-le
AIDE :
-Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
-Si il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien=> http://www.inoculer.com/activex.php3
NOTES :
- En cas de problème vérifier ces quelques points < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId898809 >
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566 >
Ça peut durer plus d’1 heure.
Patiente
Bonne journée
Albert
Bonsoir Moe,
J'en suis ravi et honoré.
Par MP, j'ai demandé à l'internaute d'Uploader le fichier winlist.exe chez MAD.
Bien que sur de nombreux forums ce fichier soit supprimé,
et que l'analyse Virustotal montre des infections diverses,
et que l'internaute ait spécifié que ce winlist.exe était initié par "autorun",
il reste des zônes d'ombre.
Tout dépendrait de sa localisation exacte C:\WINDOWS\winlist.exe.
Pareil pour C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe e mais la formulation de la demande me paraît un peu plus complexe.
Bonne soirée.
Al.
J'en suis ravi et honoré.
Par MP, j'ai demandé à l'internaute d'Uploader le fichier winlist.exe chez MAD.
Bien que sur de nombreux forums ce fichier soit supprimé,
et que l'analyse Virustotal montre des infections diverses,
et que l'internaute ait spécifié que ce winlist.exe était initié par "autorun",
il reste des zônes d'ombre.
Tout dépendrait de sa localisation exacte C:\WINDOWS\winlist.exe.
Pareil pour C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe e mais la formulation de la demande me paraît un peu plus complexe.
Bonne soirée.
Al.
Salut afideg,
Je ne connais pas vraiment le payload de winlist.exe précisément et dans quel ordre il execute ce pourquoi il a été codé, mais souvent dans ce genre d'infection le principe de base est le même.
Propagation ultra rapide soit via MSN, P2P, mails, réseau puis se répliquant sur tous les média amovibles connectés, partitions ou second DD interne, pendant la phase d'infection, certaines variantes utilisant simultanément les cinq modes avec en plus un bypass du firewall windows et ouverture d'une backdoor.
Sinon, pour répondre à ta question et comme tu l'auras très surement remarqué au vu des divers rapports postés par cloel, winlist.exe semble bien situé dans C:\Windows et s'assure d'être exécuté à chaque redémarrage via ces deux clés:
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\Run]
"Task Manager" = C:\WINDOWS\winlist.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"Task Manager" = C:\WINDOWS\winlist.exe
Sans parler bien sur des autorun.inf qui forcent l'exécution du fichier winlist.exe copié à la racine des autres médias, à chaque ouvertures par double clic ou par le clic droit > Ouvrir.
Maintenant si cloel l'a supprimé dans C:\windows et sur ses médias externes, ca va être très difficile pour l'upload chez MAD ! :-)
Quant a C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe, en fait il y a une petite subtilité, le fichier sensé être exécuté, est bien RavMonE.exe mais tu remarqueras que le chemin à partir duquel il doit se lancer n'est pas précisé comme pour winlist.exe.
C'est du à cette commande: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL qui fait appel au fichier système RunDLL32.EXE, et qui lui fait appel à une fonction bien précise d'une dll (Shell32.DLL).
Cette fonction en gros permet à un fichier d'être lancé à partir du dernier emplacement ou il a été exécuté pour la dernière fois, quelque soit les multiples endroits ou il existe dans le pc.
Par exemple dans le cas ou C:\WINDOWS\RavMonE.exe se serait lancé pour la dernière fois au démarrage du pc, si l'utilisateur ne fait que supprimer le fichier RavMonE.exe dans sa clé USB sans toucher à l'autorun.inf, grace à cette commande et dès la tentative d'ouverture suivante de la clé il y aura réinfection car se sera C:\WINDOWS\RavMonE.exe qui sera appelé.
Voilà, c'est la seule petite différence avec la manière dont se lance winlist.exe à l'ouverture d'un média infecté.
L'épilogue ne sera pas pour aujourd'hui on dirait... Tant pis pour ma curiosité :-) ...
Bonne continuation et désinfection.
Je ne connais pas vraiment le payload de winlist.exe précisément et dans quel ordre il execute ce pourquoi il a été codé, mais souvent dans ce genre d'infection le principe de base est le même.
Propagation ultra rapide soit via MSN, P2P, mails, réseau puis se répliquant sur tous les média amovibles connectés, partitions ou second DD interne, pendant la phase d'infection, certaines variantes utilisant simultanément les cinq modes avec en plus un bypass du firewall windows et ouverture d'une backdoor.
Sinon, pour répondre à ta question et comme tu l'auras très surement remarqué au vu des divers rapports postés par cloel, winlist.exe semble bien situé dans C:\Windows et s'assure d'être exécuté à chaque redémarrage via ces deux clés:
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\Run]
"Task Manager" = C:\WINDOWS\winlist.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"Task Manager" = C:\WINDOWS\winlist.exe
Sans parler bien sur des autorun.inf qui forcent l'exécution du fichier winlist.exe copié à la racine des autres médias, à chaque ouvertures par double clic ou par le clic droit > Ouvrir.
Maintenant si cloel l'a supprimé dans C:\windows et sur ses médias externes, ca va être très difficile pour l'upload chez MAD ! :-)
Quant a C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe, en fait il y a une petite subtilité, le fichier sensé être exécuté, est bien RavMonE.exe mais tu remarqueras que le chemin à partir duquel il doit se lancer n'est pas précisé comme pour winlist.exe.
C'est du à cette commande: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL qui fait appel au fichier système RunDLL32.EXE, et qui lui fait appel à une fonction bien précise d'une dll (Shell32.DLL).
Cette fonction en gros permet à un fichier d'être lancé à partir du dernier emplacement ou il a été exécuté pour la dernière fois, quelque soit les multiples endroits ou il existe dans le pc.
Par exemple dans le cas ou C:\WINDOWS\RavMonE.exe se serait lancé pour la dernière fois au démarrage du pc, si l'utilisateur ne fait que supprimer le fichier RavMonE.exe dans sa clé USB sans toucher à l'autorun.inf, grace à cette commande et dès la tentative d'ouverture suivante de la clé il y aura réinfection car se sera C:\WINDOWS\RavMonE.exe qui sera appelé.
Voilà, c'est la seule petite différence avec la manière dont se lance winlist.exe à l'ouverture d'un média infecté.
L'épilogue ne sera pas pour aujourd'hui on dirait... Tant pis pour ma curiosité :-) ...
Bonne continuation et désinfection.
Bonsoir Moe,
Un grand merci pour ces commentaires et explications.
Ça me manque énormément.
Je travaille beaucoup par intuition et observation; je n'ai pas d'autre moyen.
J'ai ma pension, et je suis entouré d'hyperactifs qui ne laissent pas trop de place au partage.
Tant pis en effet pour l'absence de l'internaute.
J'ai pourtant insisté par MP ( pas de réponse).
Je ne sais pas en effet ce qui a été réellement supprimé comme fichiers.
Peut-être l'internaute se contente-t-il de ceci : « Pour l'instant le fichier autorun.inf ne revient plus, mais comme j'ai encore tout ca dans la BDR, je me dis que ce n'est pas encore nickel... Du coup je n'ose pas redemarrer (j'ai peur que des trucs se remettent en place au redemarrage....) ; bien que la suite de son message laisse croire qu'elle est consciente des risques encourus si la désinfection n'est pas poursuivie.
Respectueusement.
Al.
Un grand merci pour ces commentaires et explications.
Ça me manque énormément.
Je travaille beaucoup par intuition et observation; je n'ai pas d'autre moyen.
J'ai ma pension, et je suis entouré d'hyperactifs qui ne laissent pas trop de place au partage.
Tant pis en effet pour l'absence de l'internaute.
J'ai pourtant insisté par MP ( pas de réponse).
Je ne sais pas en effet ce qui a été réellement supprimé comme fichiers.
Peut-être l'internaute se contente-t-il de ceci : « Pour l'instant le fichier autorun.inf ne revient plus, mais comme j'ai encore tout ca dans la BDR, je me dis que ce n'est pas encore nickel... Du coup je n'ose pas redemarrer (j'ai peur que des trucs se remettent en place au redemarrage....) ; bien que la suite de son message laisse croire qu'elle est consciente des risques encourus si la désinfection n'est pas poursuivie.
Respectueusement.
Al.
Salut afideg,
Intuition et observation... Ce sont déjà deux très bonnes qualités, voire des qualités essentielles pour un chasseur de gibier virtuel :-)
Demandes donc au tireur de pigeon d'argile du 34 :-) comment il faisait pour lever le lièvre avant hijackthis & co, lol !
Blague à part, aujourd'hui il y a en plus, de très performants outils de diagnostiques, largement de quoi te permettre d'affuter intuition, observations et assez de forums traitant du sujet pour développer et entretenir la connaissance des infections.
Quant aux autres moyens auquel tu fais allusion, chacun fait ce qu'il peut comme il peut avec les moyens dont il dispose, l'essentiel n'étant peut-être pas tellement une question de moyens mais de volonté sincère de partage des connaissances ou des expériences, et ce à tous les niveaux... sans aucunes ambiguïtés...
C'est plus facile aujourd'hui de trouver par exemple le code source d'un virus qu'un Changelog de Combofix accessible à tous, lol cherchez l'erreur !!
Enfin bref, quoi qu'il en soit Cloel doit avoir ses priorités et impératifs, ou peut-être a t'elle déjà résolu son problème grace à d'autres aides en simultané...
Tant mieux pour elle si c'est le cas :-)
Bonne continuation Al.
Intuition et observation... Ce sont déjà deux très bonnes qualités, voire des qualités essentielles pour un chasseur de gibier virtuel :-)
Demandes donc au tireur de pigeon d'argile du 34 :-) comment il faisait pour lever le lièvre avant hijackthis & co, lol !
Blague à part, aujourd'hui il y a en plus, de très performants outils de diagnostiques, largement de quoi te permettre d'affuter intuition, observations et assez de forums traitant du sujet pour développer et entretenir la connaissance des infections.
Quant aux autres moyens auquel tu fais allusion, chacun fait ce qu'il peut comme il peut avec les moyens dont il dispose, l'essentiel n'étant peut-être pas tellement une question de moyens mais de volonté sincère de partage des connaissances ou des expériences, et ce à tous les niveaux... sans aucunes ambiguïtés...
C'est plus facile aujourd'hui de trouver par exemple le code source d'un virus qu'un Changelog de Combofix accessible à tous, lol cherchez l'erreur !!
Enfin bref, quoi qu'il en soit Cloel doit avoir ses priorités et impératifs, ou peut-être a t'elle déjà résolu son problème grace à d'autres aides en simultané...
Tant mieux pour elle si c'est le cas :-)
Bonne continuation Al.
