probleme de virus mongolfiere oasis Fermé

Question

Bonjour, 
une mongolfiere oasis sort de mon b ureau et je n'arrive pas a l'enlevé de mon pc si quelq'un peu m'aider a trouver une solution m'eci d'avance.

liguec1 · Answer

salut fais ca et post le rapport stp 
télécharge GenProc de Jean-Chretien1 et Narco4 sur ton bureau 
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip 

lance genproc.bat et mes le rapport qui t'aura ouvert sur ce forum, fais ensuite exactement tous ce qu'il te demande
tuto
http://www.alt-shift-return.org/Info/GenProc-HowTo.html

wakliz · Answer

j'ai le même problème, une mongolfière oasis traverse mon bureau, et la lachine devient lente

le_faucheur · Answer

Bonjour, 
" liguec1" j'ai exactement le meme probleme!! voici le rapport




Rapport GenProc 0.72 [1] effectué le 14/11/2007 à 11:10:37,22 - SystemRoot = C:\WINDOWS 

# Etape 1/ Télécharge :  
  
- CCleaner https://www.ccleaner.com/ccleaner/download
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme. 
 
- Navipromo.zip http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip et décompresse-le sur ton bureau

- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
* Fais un clic droit de souris sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU). 
 
* Fais un clic droit sur ce lien : http://www.alt-shift-return.org/Info/Fichiers/Winsoftware.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger Winsoftware.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (c:\BFU). 
 
* Fais un clic droit de souris sur ce lien : http://perso.orange.fr/Chercheur-perso/scripts/toolbar.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger toolbar.bfu (de Chercheur), Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU) 
 
- SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.exe
* double-clique sur le fichier "smitfraudfix.exe" et choisis l’option 1, il va lister tous les éléments nuisibles dans un rapport : poste le maintenant. 
 
 
***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://docs.microsoft.com/en-us/?mfr=true (choisis ta session courante "gounane.R-E848A14FEE474") ***** 
 
 
# Etape 2/ 
 
* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.

* Sélectionne l'option "Recherche et suppression automatique" en appuyant sur la touche R et en validant par entrée. Patiente.
S'il trouve l'adware Navipromo, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Relance l'outil, Sélectionne l'option "Suppression Heuristique" en appuyant sur la touche H et en validant par entrée ; patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois.

* Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

=> Supprime-les tous 
 
# Etape 3/ 
 
Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois. 
 
# Etape 4/ 
 
* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Toolbar.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Toolbar.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois. 
 
# Etape 5/  
 
Double-clique sur le fichier "SmitfraudFix.exe" et choisis l’option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau. 
 
# Etape 6/ 
 
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout. 
 
# Etape 7/ 

Redémarre normalement et poste : 
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ; 
- Le rapport SmitfraudFix que tu as sauvegardé sur ton bureau ; 
- Le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail  C:\ ; 


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

liguec1 · Answer

salut réalise exactement ce que te demande le rapport (prend le rapport a partir d'ici au moins tu a plus qu'a cliquer sur les liens, pour clique droit du fichier bfu tu fais clique droit a partir du lien ici, pas besoin d'ouvrir le lien)

niro · Answer

Bonjour, 
waw tou ça pr l'enlever !!! et dites moi 
si je l'enleve avec toutes cette procedure je peux etre reinfecté ?

liguec1 · Answer

on vera par la suite comment tu as pu l'attraper. on va deja commencer par le supprimer.
Ces logiciel ne supprime par que ce probleme tu as sans doute d'autre probleme c'est pour ca.

Diablange · Answer

J'ai le même problème, je sais comment je l'ai eu, surement à partir du flash disk infecté d'un collègue de travail ....
Pourtant je l'avais scanné avant de l'ouvrir !

Bref, ce que je veux savoir => est ce que c'est possible d'utiliser le même rapport en haut ? Merci pour votre réponse ...

liguec1 · Answer

Salut, non chaque probleme peut etre différents, télécharge gen proc qui est dans mon premier message. tu le lance et ensuite tu me postera le rapport. Tu réalisera exactement ce qui est demander dans le rapport.

Ps: pas besoin d'ecrire en gras

toufik01 · Answer

voila le rapport cher "  liguec1 " :
-----------------------------------------------------------------------------------------------------------------------------------------------------------------
Rapport GenProc 0.72 [1] effectué le 29/11/2007 à 19:27:17,26 - SystemRoot = C:\WINDOWS 

# Etape 1/ Télécharge :  
  
- CCleaner https://www.ccleaner.com/ccleaner/download
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme. 
 
- lopxpMH2 http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip sur ton bureau.
Dézippe-le (clic droit  -> "Extraire ici") et double clique sur le fichier lopxpMH.bat. 

Dans ta prochaine réponse, poste :
- le contenu du rapport qui va s'ouvrir ;
- un nouveau rapport GenProc.
------------------------------------------------------------------------------------------------------------------------------------------------------------------
aider moi SVP 
merci

liguec1 · Answer

réalise ce qui t'es demander et post moi les rapports

Diablange · Answer

[1] Aucune infection caractéristique trouvée ! 

 C'est ce qui est ecrit sur le fichier Bloc Note qui s'ouvre après le rapport ...
C'est grave docteur ?? Lol ....
Pour le gras je n'y  peux rien ! ...Sorry (j'aurais même aimé qu'il y est un peu de couleur ! ^^ )

liguec1 · Answer

ah excuse j'avais pa vu que ce n'etais pas toi avec le rapport d'avant.

Etonnant, tu as tjrs cet mongol fiere

Diablange · Answer

Oui je l'ai toujours .... je ne comprends vraiment rien LOL ! Pourquoi il ne le détecte pas ! Bizarre non ?

liguec1 · Answer

oui bizard, essaye de faire un scan en ligne avec https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

Technora · Answer

Bonjour Liguec1, bonjour tt le monde!!

J'ai le même probleme. J'ai tout fait, suivie toutes les étapes et ça n'a rien changé au fête que de temps à autre cette Montgolfière Verte avec "Oasis" inscrit dessus de cesse de monter sur la droite de mon ecran.

On m'a dit que ce n'est pas grave, mais n'empeche qu'à son passage tout le systeme est ralenti.

Help SVP!!! (é.è)

sekelli · Answer

salam alikoum alors voila j'ai le mm blem apres la procedure.

INFODPEC · Answer

Bonjour,

jai le même problème , je lai eu via un flash disk , le problème c 'est que quand je lance le genproc il me dis que votre machine n'est pas infecté , pourtant chaque heure j'ai le mongolfiere qui défile sur l'écran. merci pour votre aide

toufik01 · Answer

mes freres . je croi que c'est le viruse du ciécle 
on ma dit que petit a petit ; sa ondomager le processeur

SwampHell · Answer

Bjr j'ai lu un peu vos propositions et celui ki ma fé le plus rigoler c celui du faucheur ^^ ...

Bon voila moi j'ai le meme blem ou plutot j'avais le meme blem ^^ ... j l'ai supprimé cet aprem avec kaspersky tt simplement.

1ère étape: Lancez la recherche de sys32dll sur votre machine et normalement il trouvera un petit executable ".EXE" de 12ko que vous allez supprimer en premier.

2ème étape: Lancez le scan du PC avec le kaspersky 7 mis à jour biensure...à la fin du scan ou pendant "tt dépend de vos fichiers" il trouvera le fameux SYS32DLL.exe ..... vous cliquez sur réparer .... il vous indiquera que le virus sera supprimé au redémarrage de votre machine alor que la réparation est en cour ... ensuite vous n'aurez plus accés a tte les fonctions de votre machine "elles seront ttes bloquées" due à l'incapacité de réparation .... fo redémarrez la machine par le bouton de l'UC .... aprés réouverture de windows yaura plu la fameuse montgolfière X) (elle est décédé XD).

Mon système d'exploitataion est un peu endomagé + son et video ... j'ai fé une petite réparation windows et réinstaller la carte son et c clean.

j'espère vous avoir aidé ... en tt cas moi ca fé 12 heures q'ya plu aucun ballon sur mon ecran .... @+

toufik01 · Answer

j'ai pas trouver le fichier " SYS32DLL 
que doi-je fair

INFODPEC · Answer

Jai trouvé le fichier SYS32DLL, j'aimerai bien savoir si ce nest pas un fichier system propre a windows?? , et en plus je ne sais pas ou je peut trouvé kasperski version 7 .....merci pour votre aide.

SwampHell · Answer

Re Bjr All ..... 

à INFODPEC: Meme si c un fichier propre à windows supprimes le du fait qu'il est un éxécutable du virus (ptet qu'il a remplacé celui du windows) et tu peux le récupérer en réparant ton système d'exploitation avec le CD Windows :-) ... et pour le Kaspersky vous feriez mieu de vous en procurer un puisque c le meilleur anti-virus et hier j l'ai confirmé puisque j'ai éssayé un tas d'anti spy et anti-virus avan sans résultat . 

à Toufik: Pour ton cas kho j sé pa comment fo procéder parcq moi on m'a orienté sur ce fichier sys32dll c pa moi qi l'a découvert ... on m'a di que probablement c lui l'éxécutable du virus et éffectivement c'était le cas....tu ne l'as pa trouvé?!! configures ta recherche "cache : recherche dans les fichiers systèmes et fichiers cachés" !!

Kader · Answer

Si vous voulez vous débarassez de la mongolfiére vous n'avez qu'à suivre ces etapes:
1-Lancez le Gestionnaire des tâches (en appuiyant sur les touches Ctrl+Alt+Suppr)
2-Supprimez le processus nommé SYS32.EXE
3-Supprimez definitivement le fichier qui se trouve dans le chemin d'acccés suivant:C:\SYS32.EXE (Pour supprimer définitivement le ficher vous n'avez qu'à selectionner le fichier et maintenir les touches suivantes Shift+Suppr

Voila c'est tout, pour autres choses vous n'avez qu'à me contacter sur l'adresse E-Mail suivante:claciq@yahoo.fr

INFODPEC · Answer

Bonjour,

effectivement MR SwampHell vous aviez totalement raison, j'ai pu me débarrasser de ce virus grâce a kasperski V7 mit a jour, et c'étais le fichier que tu as cité qui causé ces dégâts , j'ai constaté aussi que ma machine est devenus bqp moins lente après l'avoir désinfecté . mille merci et a bientot.

SwampHell · Answer

Mais de rien ^^ .... a bientot.

samir · Answer

bonjour tout le monde je suis un expert dans le domene 

dans hijackthis le lien                   http://www.merijn.org/files/hijackthis.zip

enlevez 


C:\_OTMoveIt\MovedFiles\SYS32DLL.exe



et 




O4 - HKCU\..\Run: [Win32] "C:\_OTMoveIt\MovedFiles\SYS32DLL.exe"


apres http://www.malekal.com/download/clean.zip
pour le netoyage

et si vous trouvez dans le rapport de clean ecris found
danc fair la deusieme etape 2
apres 
telecharger 
ccleaner



et le probleme est resolut


je vous dis sa par experiense

et je defi toute personne qui me dit le contrere 
bonne chonse pour tous
votre amis samir de constantine

INFODPEC · Answer

A samir de constantine


salut l'expert , 

tache d'abord d'écrire correctement .................

Technora · Answer

Merci les gars!!

La mongolfière a disparu depuis quelques jours, il a seulement suffit que je supprime le fichier SYS32DLL.EXE

Kader (23e poste) l'a très bien expliqué!

Bonne chance à tous!!

Midnightguest · Answer

salut
voila le raport
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:02:00, on 13/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\LClock\LClock.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Privacy Mantra 2.04\privacymantra.exe
C:\SYS32DLL.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Bilel\LOCALS~1\Temp\Rar$EX10.375\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://elebda3.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O4 - HKLM\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [com.codeode.privacymantra] "C:\Program Files\Privacy Mantra 2.04\privacymantra.exe" -minimized
O4 - HKCU\..\Run: [XPRepairPro2007] C:\Program Files\XP Repair Pro 2007\XPRepairPro.exe /r
O4 - HKCU\..\Run: [Win32] "C:\SYS32DLL.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

cathy · Answer

salut en plus de notre fameux mongolière oasis j'ai plein d'autre virus derivés de Win32 et un trojan que je n'arrive pas à supprimé de mon ordinateur alors que j'ai suivit toutes vos proccedure et j'ai lekaspersky.7 mise à jour. que doit je faire

kossimenad · Answer

J'avais le même problème avec le ballon oasis mais je m'en suis débarrassé avec 2 solutions très simples, la 1ère: vous faîtes une
restauration du système (date antérieures ou mois précédent l'infec tion) la 2ème solution est radicale, de la vraie dynamite comme
son icône l'indique: il s'agit du logiciel HijackThis, merci à Régis59 qui m'a aidé avec ça et à qui de droit pour ce nettoyeur de virus
malfaisants: Il suffit de fixer la clé 04-HKCU WIN SYS32DLL.EXE  et elle est dynamitée. (Il faut par ailleurs, formater vos flash disks, qui
sont responsables de la propagation) Bon courage A+.

liguec1 · Answer

Salut, suis le message 19, c'est la solution.
pour kapersky tu le fais en ligne

alilou · Answer

ce que j'ai fait c'est:

1- recherche du fichier sys32dll.exe, je ne ne le trouve pas, mais je trouve le fichier "sys32dll.exe-fggfgdkh.pf" sous c:\windows\prefetch avec du superflu.
je le supprime et je supprime les fichier qui sont avec car je suppose que le repertoir prefetch n'a pas de raison d'exister.
et puis c'est bon.

Ali

Probleme de virus mongolfiere oasis

33 réponses

Discussions similaires