HIJACK sur virus msn. merci ! Résolu

Question

Bonjour,

Win32.banker.fs apparemment récupéré via MSN... 
Merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:01:29, on 01/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\NOM~1\LOCALS~1\Temp\services.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WindowsUpdate Class - {B3B010A1-A877-4CD7-BAB5-9EE8F9965E20} - C:\DOCUME~1\NOM~1\LOCALS~1\Temp\ieobj.dll (file missing)
O2 - BHO: e404 helper - {C03FD59D-9104-44B7-929A-9EAA0BA05211} - C:\Program Files\Helper\1204201592.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Flash Media] C:\DOCUME~1\NOM~1\LOCALS~1\Temp\services.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [MSNCleaner] C:\Documents and Settings\NOM\Bureau\TROJAN\NETTOYAGE MSN\1\MSNCleaner.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://abonnement.aliceadsl.fr/configurateur/AccountHelper.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{358FADE1-B96B-4295-8B24-6F1418B0C7E1}: NameServer = 85.255.114.197,85.255.112.72
O17 - HKLM\System\CCS\Services\Tcpip\..\{4988C32C-B3EA-4F5C-877A-205959C7CEC8}: NameServer = 85.255.114.197,85.255.112.72
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.197 85.255.112.72
O17 - HKLM\System\CS1\Services\Tcpip\..\{358FADE1-B96B-4295-8B24-6F1418B0C7E1}: NameServer = 85.255.114.197,85.255.112.72
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.197 85.255.112.72
O17 - HKLM\System\CS2\Services\Tcpip\..\{358FADE1-B96B-4295-8B24-6F1418B0C7E1}: NameServer = 85.255.114.197,85.255.112.72
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.197 85.255.112.72
O22 - SharedTaskScheduler: Windows Installer Class - {24E31EA9-FCE2-404F-BD80-20543565D946} - C:\DOCUME~1\NOM~1\LOCALS~1\Temp\~~install.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

DeNisCoOl · Answer

salut sourine,

Bienvenue dans la communauté CCM.

Quel programme a détecté Win32.banker.fs ?

Ce que je vois vous n'avez ni anti virus ni parefeu, ce n'est vraiment pas raisonnable surtout quand on utilise msn.


Pour commencer
-------------------
I- Télécharger MSNFix à partir de ce lien : 
http://sosvirus.changelog.fr/MSNFix.zip
voir tutoriel ICI (merci Malekal)
•	Enregistrez le fichier sur votre bureau.
•	Ne pas double-cliquer sur le fichier
•	Faites un clic droit sur le fichier puis Extraire tout, le but étant de récupérer un dossier MSNFix
•	Double-cliquez sur le dossier MSNFix afin de l'ouvrir
•	Vous trouverez dedans un nouveau dossier ainsi qu'un fichier MSNFix.bat (le .bat peut ne pas apparaître chez vous).
•	Double-cliquez sur MSNFix.bat
•	Une fenêtre sur fond bleu va s'ouvrir avec un menu.
•	Tapez sur la touche R de votre clavier puis la touche entrée pour valider
•	Si une infection est détectée, le message Infection Présente s'affichera.
•	Pour lancer le nettoyage, il suffit d'appuyer sur n'importe quelle lettre du clavier puis valider par Entrée.
Une fois le nettoyage terminé, le rapport de nettoyage s'ouve sur le Bloc-Note.
Copier/coller ce rapport dans le prochain rapport.


-------------------
II- Télécharger le FixWareout d'un de ces deux sites sur le bureau: 
http://downloads.subratam.org/Fixwareout.exe 
http://swandog46.geekstogo.com/Fixwareout.exe 

Lancer le fix: cliquer sur Next, puis Install, puis s'assurer que "Run fixit" est activé puis cliquer sur Finish. 
Le fix va commencer, suivre les messages à l'écran. Il sera demandé de redémarrer votre ordinateur. 
Le système mettra un peu plus de temps au démarrage, c'est normal. 

Quand le système aura redémarré, suivre les invites des messages.

Ensuite lancer HijackThis. Clique sur Do a scan only et cocher les lignes suivantes: 


O17 - HKLM\System\CCS\Services\Tcpip\..\{358FADE1-B96B-4295-8B24-6F1418B0C7E1}: NameServer = 85.255.114.197,85.255.112.72
O17 - HKLM\System\CCS\Services\Tcpip\..\{4988C32C-B3EA-4F5C-877A-205959C7CEC8}: NameServer = 85.255.114.197,85.255.112.72
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.197 85.255.112.72
O17 - HKLM\System\CS1\Services\Tcpip\..\{358FADE1-B96B-4295-8B24-6F1418B0C7E1}: NameServer = 85.255.114.197,85.255.112.72
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.197 85.255.112.72
O17 - HKLM\System\CS2\Services\Tcpip\..\{358FADE1-B96B-4295-8B24-6F1418B0C7E1}: NameServer = 85.255.114.197,85.255.112.72
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.197 85.255.112.72


Comment fixer une ligne: (Merci a Balltrap34 pour cette réalisation vidéo) 
-> http://pageperso.aol.fr/balltrap34/demohijack.htm  

Fermer toutes les applications et le navigateur. 
Cliquer sur Fix Checked. Fermer HijackThis et cliquer sur OK pour continuer la procédure. 

A la fin du fix, il faudra peut-être encore redémarrer le PC. 

Au final, poster le contenu du fichier C:\fixwareout\report.txt
---------- 
Si et seulement si il y a des difficultés de connexion après cette manip: 
Démarrer---->Paramètres---->Panneau de configuration---->Connexions réseau 
Faire un clic droit sur la connexion par défaut, nommée en général "Connexion au réseau local" ou "Accès à distance" si tu utilises un modem téléphonique, et choisir Propriétés. 
Faire un double clic sur l'élément Protocole Internet (TCP/IP) et choisir le bouton-radio Obtenir les adresses des serveurs DNS automatiquement. 
Clique deux fois sur OK, et redémarre l'ordinateur.


-------------------
III- Télécharge BTFix 1.017 (de bibi26) dans un de ces 2 liens :
http://cluster1.easy-hebergement.net/ 
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/40698.html


* Décompresser l'archive sur le Bureau (Clique-Droit/Extraire tout). 
* Ouvrir le dossier BTFix 
* Double cliquer sur BTFix.exe 
* Cliquer sur Rechercher 
* Un rapport va apparaître, copier/coller le dans la prochaine réponse.

1 Télécharger CCleaner. 
http://www.filehippo.com/download_ccleaner.html 
Installez le dans un répertoire dédié. 
Pendant l'installation si vous avez déjà une barre de recherche décocher l'ajout de la barre yahoo.
Son tutoriel ici

2 Redémarrer en mode sans échec. Attention, il n’y a pas accès à Internet dans ce mode, copier et coller cette procédure dans un fichier texte (Pour ça un clic droit de la souris sur le bureau, puis choisir > Nouveau > Document Texte), et la sauver dans le bureau.
Démarrer l'ordinateur. 
Après le bip, une fois le chargement du BIOS terminé, il y a un écran noir. Appuyer sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows. 
En utilisant les touches du curseur, sélectionner Mode sans échec et appuyer sur Entrée. 

3 Lancer le nettoyage des fichiers temporaires à l´aide de CCleaner : 
Dans Options/Avancés, décocher : effacer uniquement les fichiers du répertoires temp de windows de plus vieux que 48h.

Nettoyeur
->Coches toutes les cases dans les propriétés du nettoyeur de l´onglet "windows" et "applications"
 décoche la dernière case (Avancée si elle est cochée) puis click sur Analyse quand il aura terminé le scan clic en bas a droite sur Lancer le nettoyage et acceptes par oui. 

4 Ouvrir BTFix. 
Cliquer sur Nettoyer. 
Un rapport va apparaître (le copier et le coller dans un nouveau document texte, le sauvegarder dans le bureau). 

5 Relance CCleaner pour nettoyer les erreurs de la base de registre : Registre 
Coche intégrité du registre
Puis click en bas sur Chercher des erreurs une fois terminé, clic sur réparer les erreurs.
Tu auras un message pour sauvegarder ta base de registre, tu click "oui" puis tu recommences jusqu'à ce qu'il ne trouve plus rien. 

p.s. : les sauvegardes faites, pourront être supprimées ultérieurement si tout va bien. 


6 Redémarrer normalement 

7 Poste le rapport de BTFix.txt (situé dans dossier BTFix ou dans la racine system C:\ ).


-------------------
IV- Comme anti virus gratuit je vous conseillerais Antivir de Avira.

Un comparatif complet pour vous faire une idée: https://www.av-comparatives.org/

télécharger Antivir de Avira ICI: le sauvegarder dans votre bureau

voir tutoriel de Antivir ICI : 
Il est en anglais mais cela ne change rien car les AV en français utilisent tous des mots anglais également.

Ensuite installer Antivir, puis lancer la mise à jour.

- Sur la page principale, cliquez en haut à droite sur "Configuration"
- Dans la nouvelle fenêtre, en haut à gauche, cliquez sur "Expert Mode"
- Déroulez le menu "Scan" à gauche dans la liste, en cliquant sur le + devant.
- Dans la partie de droite, cochez l'option "Rootkit Search on Search start"

Après qu'il vous ait été demandé de redémarrer, lancer une  Analyse complète.


------------------------
V- De nombreuses infections utilisent les ordinateurs infectés comme serveurs distant ou autre gentillesse du genre, usurpation d'identité. Pour contrer ce genre d'attaque il faut un parefeu.
Comme pare feu je conseillerais Sunbelt (ex Kerio), mais il y en a bien d'autre.
Dans les premiers jours, il y aura une période d’apprentissage (à chaque alerte d'un programme connu cocher la case : créer une règle pour cette communication et ne plus me demander)

Bien regarder le tutoriel ICI
Et pour la version la plus récente ICI


------------------------
VI- Renvoyer un nouveau rapport HJthis


A+

Denis

DeNisCoOl · Answer

Re sourine,

Autant pour moi mauvaise interprétation de ma part, n'exécute pas les procédures III- BTFix et VI- HJThis.

Dans la procédure III, exécute juste les étapes 1-2-3.

Ensuite,

Télécharger SmitfraudFix - S!Ri -> http://siri.urz.free.fr/Fix/SmitfraudFix.php
Dézipper la totalité de l'archive smitfraudfix.zip. 
Option 1 - Recherche :
Double cliquer sur smitfraudfix.cmd
Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.
Poster le rapport dans ton prochain message. 

A+

sourine · Answer

Ok, je vais passer en mode sans echec et tenter le BTFix et le reste...

en attendant voici mon rapport Wareout


Username "LE COQ" - 01/03/2008 19:48:36 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Cache de résolution DNS vidé.


System was rebooted successfully. 
 
~~~~~ Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "system"="" 
....
....
~~~~~ Misc files. 
....
~~~~~ Checking for older varients.
....
~~~~~ Other
C:\WINDOWS\Temp\kdgto.ren 75264 13/06/2007 

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"Lexmark X1100 Series"="\"C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe\""
"Adobe Reader Speed Launcher"="\"C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe\""
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE"
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe "
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe"
"avgnt"="\"C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe\" /min"
"Flash Media"="C:\DOCUME~1\LECOQ~1\LOCALS~1\Temp\services.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

DeNisCoOl · Answer

Re sourine,

J'avais modifié la procédure BTFix est inutile, regarde le message 2 (Smitfraudfix).
L'ordre de la procédure est importante.
Ou est le rapport MSNFix?
Le parefeu est indispensable éqalement.
Le rapport HJThis n'était pas utile pour le moment, tant que le reste n'est pas exécuté mais merci.

A+

sourine · Answer

Encore merci pour ton aide !! Vous êtes toujours super sur ce site surtout vu le bordel ambiant !!
Voici le rapport MSNFix de cet aprem


MSNFix 1.673  
 
C:\Documents and Settings\LE COQ\Bureau\TROJAN\MSNFix 
Fix exécuté le 01/03/2008 - 17:47:59,35 By LE COQ 
mode normal    
    
************************ Recherche les fichiers présents      
    
... C:\DOCUME~1\LECOQ~1\LOCALS~1\Temp\services.exe 
... C:\DOCUME~1\LECOQ~1\LOCALS~1\Temp\services.exe 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
************************ Suppression des fichiers       
    
/!\ ...  C:\DOCUME~1\LECOQ~1\LOCALS~1\Temp\services.exe    
/!\ ...  C:\DOCUME~1\LECOQ~1\LOCALS~1\Temp\services.exe    
 
 
 
************************ Nettoyage du registre 
 
 
 
Les fichiers encore présents seront supprimés au prochain redémarrage 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\WINDOWS\system32\real.txt  
/!\ ...  C:\DOCUME~1\LECOQ~1\LOCALS~1\Temp\services.exe 
/!\ ...  C:\DOCUME~1\LECOQ~1\LOCALS~1\Temp\services.exe 
 
************************ Fichiers suspects 
 
Aucun Fichier trouvé 
 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 01032008_17540743.zip
 


------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   ---------------------------------------------

DeNisCoOl · Answer

Re sourine,


-------------------
Smitfraudfix
Option 2 - Nettoyage :
Redémarrer l'ordinateur en mode sans échec, pour de l’aide clic sur Tutoriel Symantec.
Double cliquer sur smitfraudfix.cmd
Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? Répondre O (oui) pour remplacer le fichier corrompu.
Redémarrer en mode normal et poster le rapport dans ton prochain message avec un autre log HJthis.
N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention qye l'option 2 de l'outil supprime le fond d'écran !


-------------------
- Relancer HiJackthis cliquer sur Do a scan only et cocher les lignes en gras:


O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1


Comment fixer une ligne: (Merci a Balltrap34 pour cette réalisation vidéo) 
-> http://pageperso.aol.fr/balltrap34/demohijack.htm  
Fermer toutes tes applications et  ton navigateur puis fix checked.


-------------------
* Télécharge clean zip de Malekal_Morte http://www.malekal.com/download/clean.zip 

* Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean. 
* Ouvre le dossier Clean qui se trouve sur ton bureau. 
* Double-clique sur clean.cmd. 
Une fenêtre noire va apparaître, 

Choisis l'option 1  laisses le travailler.
A là fin clic sur une touche pour continuer… comme indiquer.

Puis poste le rapport qui se trouve ici C:\rapport_clean.txt


-------------------
Je conseillerais Firefox, plus sure, plus rapide et plus souple que IExplorer : http://www.mozilla-europe.org/fr/products/firefox/

* Pour les cookies s'assurer de tout est correctement configurer, Outils / Options / Vie privée > 
* Cookies / Les conserver jusqu'à : la fermeture de firefox. 
* Vie privée cocher : Toujours effacer mes informations personnelles à la fermeture de Firefox. 

Voici un lien pour encore mieux optimiser la vitesse de navigation: 
http://www.commentcamarche.net/faq/sujet 852 firefox optimisation ameliorer les performances
ou automatiquement regarder ici: 
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/31802.html


-------------------
- Avez vous installé le parefeu Sunbelt (Kerio)?


-------------------
- Renvoyer ensuite un rapport HJThis dans le prochain message


A+

sourine · Answer

J'ai lancé la procédure mais après la 2ème étape de nettoyage de la base de registre le pc s'est arrété sur ecran noir avec les 4 logos mode sans échec et plus rien donc j'ai forcé l'extinction et j'ai retrouvé le rapport à la racine de C:
J'espère que tout a été fait.. ?

J'installe également Sunbelt....

Voici le rapport :

SmitFraudFix v2.298

Rapport fait à 22:58:42,53, 01/03/2008
Executé à partir de C:\Documents and Settings\LE COQ\Bureau\TROJAN\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{24E31EA9-FCE2-404F-BD80-20543565D946}"="Windows Installer Class"

[HKEY_CLASSES_ROOT\CLSID\{24E31EA9-FCE2-404F-BD80-20543565D946}\InProcServer32]
@="C:\DOCUME~1\LECOQ~1\LOCALS~1\Temp\~~install.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{24E31EA9-FCE2-404F-BD80-20543565D946}\InProcServer32]
@="C:\DOCUME~1\LECOQ~1\LOCALS~1\Temp\~~install.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1  localhost 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{358FADE1-B96B-4295-8B24-6F1418B0C7E1}: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{358FADE1-B96B-4295-8B24-6F1418B0C7E1}: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CS2\Services\Tcpip\..\{358FADE1-B96B-4295-8B24-6F1418B0C7E1}: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.254
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.254


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

sourine · Answer

Mouais... pas top sniff...


J'ai peut etre fait un connerie car entre temps j'ai voulu installer Sunbelt et depuis le pc ne veut plus démarrer normalement : 
message d'erreur application concernant le lancement de "service.exe" avec mémoire qui ne peut être "read" et blocage du pc...
idem erreur sur SiSUSBrg.exe qui n'a pas réussi à s'initialiser correctement.

Heureusement, le mode sans echec marche toujours.

Je fais quoi maintenant s'il te plait ?

Merci

DeNisCoOl · Answer

Re,

- Pour le moment désactive sunbelt au démarrage de windows.

- Pourrais tu renvoyer le rapport Clean.zip?

C'est ma nièce de 19 ans qui a foutu le bordel !!
Tu pourras lui dire qu'elle est infecté par la cliquite aigu ;-)

A+

sourine · Answer

J'ai tenté en mode sans echec de desactiver sunbelt dans Msconfig mais sans succès...
J'arrive pas a le virer mais de toute façon je ne pige pas comment ce programme aurait pu foutre la merde a ce point. 
Ok, avant que je le mette je démarrais windows normalement... mais cela me semble bizarre a cause de ces messages :
service.exe
avguard.exe
explorer.exe

erreur au démarrage memoire ne peut etre read...

Bon en fait Sunbelt est désactivé dans les Services, dans le Démarrage et je ne peux toujours pas désinstaller mais c'est pas mon principal problème qui est que je ne peux plus démarrer le pc normalement.
Donc, plus d'accès internet pour qu'on m'aide ;-)

Et virus toujours présent lui !! lol

DeNisCoOl · Answer

sourine,

- Smitfraudfix n'a pas terminé je n'avais pas bien lu le rapport, c'est lui le fautif je penses.

On va devoir malheureusement devoir repartir de zéro, Démarrer / Tous les programmes / Accessoire / Outils système / Restauration système.
Dans le calendrier choisi la date la plus récente. 

Refait le message 1 en exécutant tout sauf BTFix mais avec CCleaner quand même et également un anaylse Clean.zip

Renvois le rapport MSNFix, FixWareout, Clean, HJThis.

Ensuite

A+

sourine · Answer

bon...
la y'a problème...

1 - je ne peux démarrer qu'en mode sans échec.


2 - la restauration du système est désactivée...

DeNisCoOl · Answer

Oops ok,

Essayes ceci:
    * Allez sur le poste de travail
    * Faites un clique droit sur disque C:\ (disque où se trouve votre système d'exploitation)
    * Choisissez l’onglet propriété
    * Choisissez l’onglet Outils, puis vérifier maintenant

A+

sourine · Answer

bon vérif du disque C:\ ok (sans aucunes options)

DeNisCoOl · Answer

Re,

Oui coches les 2 options.

Tiens moi au courant
Impossible de démarrer en mode normal?

A+

sourine · Answer

impossible en cochant les 2 options : message indiquant que cela ne peut etre effectué car cela requiert l'accès à certains fichiers sur le disque...

J'ai demandé à ce que cela soit fait au reboot et j'ai rebooté, le scan est en cours (80%)

DeNisCoOl · Answer

Ok, tiens moi au courant.

A+

sourine · Answer

rien de mieux...
tout a été scanné sans erreur mais au redémarrage j'ai toujours mon message :
service.exe
avguard.exe

erreur au démarrage memoire ne peut etre read...

sourine · Answer

Bon, de pire en pire !!! mon pc ne veut plus se redémarrer en mode sans echec non plus !!!!!

Une solution miracle ??? Merci

DeNisCoOl · Answer

Re,


CCleaner en mode sans échec:
Dans Options/Avancés, décocher : effacer uniquement les fichiers du répertoires temp de windows de plus vieux que 48h. 


--------------------- 
Si tu peux , relancer HiJackthis cliquer sur Do a scan only et cocher les lignes en gras:
Toutes les lignes ne seront peut être là.


O2 - BHO: e404 helper - {C03FD59D-9104-44B7-929A-9EAA0BA05211} - (no file)
O4 - HKLM\..\Run: [Flash Media] C:\DOCUME~1\LECOQ~1\LOCALS~1\Temp\services.exe
O22 - SharedTaskScheduler: Windows Installer Class - {24E31EA9-FCE2-404F-BD80-20543565D946} - C:\DOCUME~1\LECOQ~1\LOCALS~1\Temp\~~install.dll


Comment fixer une ligne: (Merci a Balltrap34 pour cette réalisation vidéo) 
-> http://pageperso.aol.fr/balltrap34/demohijack.htm  
Fermer toutes tes applications et  ton navigateur puis fix checked.


Ensuite la procédure suivante. 
--------------------- 
-> Démarrer 
-> Exécuter... 
Taper Services.msc puis valide 
Double cliquer sur service [Flash Media]   <=== Attention il y a d’autre service valide (ne pas y toucher)
Type de démarrage : "Désactiver" 
Cliquer en bas sur "Arrêter" 
Valider les changements. 


-----------------------
Assures-toi que tu as accès aux fichiers cachés.
-Explorateur windows->outils->options des dossiers->affichage
"Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché
"Masquer les fichiers protégers du système"->décoché
 
Supprimes manuellement les fichiers suivants: 
C:\DOCUME~1\LECOQ~1\LOCALS~1\Temp\services.exe


A+

sourine · Answer

Je ne peux plus démarrer en mode sans échec non plus...
Cf: dernier message de la page 1

Là une 2ème vérif du système est en cours au redémarrage du pc, etape 4/5 à 80%

La 5ème étape est super longue, je l'arrete et je retente un démarrage ou pas ?

DeNisCoOl · Answer

Oops, pas bon ça :-(

Tu devrais désactiver le nettoyage au démarrage.

Arrêtes carrément ton ordi et redémarres.

A+

sourine · Answer

ben ouais.. je sais bien que c'est pas bon... et c'est bien ce qui me fait chier... ;-)

J'ai 2 pc en soin ici et l'autre semble en bonne voie de guérison alors qu'il n'a pas de données importantes a récupérer alors que celui ci est a ma mère et elle n'a eut que des merdes depuis qu'elle s'est mise à l'info il y a qq annees (c'est déjà son 2ème virus toujours a cause de ses petits enfants) ....

Pas de bol... heureusement que je lui ai fait sauvegarder pas mal de choses en décembre...

sourine · Answer

bon, toujours rien... !

[MODE DESESPEREE ON]

redémarrage en mode sans échec me donne un curseur clignotant (!) et nada

redémarrage en mode normal me donne 2 messages d'erreur sur :
services.exe ....mémoire ne peut etre read
et
avguard.exe....mémoire ne peut etre written


(c'est antivir ça d'ailleurs non ?)

et cela s'arrete là.... écran bleu et rien ne se lance...

[MODE DESESPEREE OF]

DeNisCoOl · Answer

salut,

2 options:
Procédure nettoyage avec Clean v2.0 ou Récupération avec cd windows.

-----------------------------
Clean v2.0 by FRUiT
https://www.numerama.com/discussions/
Le lien principal ne marche pas, va voir dans le paragraphe,  Miroirs de téléchargement.
Il va faire un nettoyage plus profond, presque comme une récupération.


-----------------------------
Récupération avec CD windows:
Réinstaller les fichiers systèmes: démarres avec le cd d'installation. (En ayant pris soin de vérifier que l'ordre de boot dans le bios commence par le lecteur CD... Accès au bios en appuyant au démarrage sur la touche F1, Delete ou Suppr.).
Après un moment Windows te demande de choisir "Nouvelle installation" ou "Réparer" 
Tu choisis "Nouvelle installation" 
Après un moment il te dira qu'il "a trouvé une « version... » Et te proposera de "Continuer l'installation" ou « Réparer » 
Là tu choisis "R" pour "réparer" 
Note: ça ressemble à une installation normale mais rien ne change à part les fichiers système (l’affichage du bureau et quelques détails vont revenir à l’état par défaut).
Donc ne pas avoir peur, laisser aller jusqu'à la fin.


A+

sourine · Answer

bon.... 

je commence à déprimer... 

1 - Réparation via cd windows pas possible... 

2 - ligne de commande en mode sans échec ok mais comment je peux aller chercher le fichier clean sur le cd sur lequel je l'ai gravé ?
je ne trouve pas la lettre du lecteur...

sourine · Answer

bon j'ai tenté, sans me faire d'illusion, via ligne de commande sans échec de détruire le fichier services.exe dans les temp de Docs & settings mais cela aurait été trop facile... lol

je sais plus quoi faire là...

quelqu'un a une idée ???

sourine · Answer

pouf pouf ce sera toi que je testerai... pouf tiré

lol vous en faites pas, j'suis sur ces 2 pc à la con depuis 3 jours et le seul qui semble presque guéri c'est pas celui qu'il fo...

je flingue le pc de ma mère ? ou je me flingue moi ?

DeNisCoOl · Answer

Re,

1- Ok tu n'as pas les cd windows.


2- En ligne de commande avec le mode sans échec la lettre de ton lecteur cd est surement différente de celle que tu as en mode normal.
Essayes simplement D: ou les lettres suivante.

A+

sourine · Answer

en fait les cd de windows que j'ai sont tous win xp pro (j'ai plusieurs pc chez moi et je bosse dans l'informatique en fait hihi mais pas dans le dépannage des virus !) 

et ce pc c'est win xp familial... meme ma mere n'a pas le cd d'origine !

sinon, j'ai fait toutes les lettres de l'alphabet... pour trouver les 2 lecteurs, et nada...!


Ps: encore merci pour ton aide ;-)

DeNisCoOl · Answer

Dsl je me sens responsable de ce bordel.

Smitfraudfix n'avait rien détecté pourtant il y avait des signes sur ton log HJthis, en forçant le nettoyage il a planté lors du nettoyage du registre.

Tu peux normalement réinstaller ou restaurer win xp pro sur un home mais pas l'inverse normalement je me trompes?

A+

sourine · Answer

exact, tu ne te trompes pas...

bon je pense que je n'ai plus qu'à récupérer une version familiale et retenter le bazar...

Je te tiendrais au courant ici...

sourine · Answer

j'ai réussi !!!

au moins a démarrer en mode sans échec...

Alors comme je n'y connais pas des masses dans l'éradication de ce virus à la con, je te fais confiance pour la suite des opérations, tu préconises quoi pour réussir à faire qq chose ?

DeNisCoOl · Answer

salut,


Il faut savoir ou est ce fichier : services.exe.
Est ce celui là?
C:\DOCUME~1\LECOQ~1\LOCALS~1\Temp\services.exe

--------------------------
Télécharger OTMoveIt2(de Old_Timer)  sur le Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Double cliquer sur OTMoveIt2.exe pour le lancer. 
Copier la liste de fichier ou de dossier qui se trouve en gras ci-dessous, 
et coller-la dans le cadre de gauche de OTMoveIt : 
Paste List of Files/Folders to be moved. 

 
C:\DOCUME~1\LECOQ~1\LOCALS~1\Temp\services.exe.
 
Cliquer sur MoveIt!  pour lancer la suppression. 
Le résultat apparaîtra dans le cadre Results. 
Cliquer sur Exit pour fermer. 

Il sera peut-être demander de redémarrer le pc pour achever la suppression. 
Si c'est le cas accepter par Yes. 


--> Poster le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)


--------------------------
Si cela ne marche pas, il y a la solution extrême, une combinaison de CCleaner et de la Récupération avec les cd:
Essayes clean v2.0 by FRUiT qui est dans ton cd.


A+

sourine · Answer

bon, bilan des courses : pc veut plus redémarrer ni d'une façon ni de l'autre... j'attend de chopper un cd win familial pour faire une réparation et je teste voir si y'a qq chose à faire sinon ben... je sauvegarderais les données docs sur un disque dur vierge et je formaterais l'autre si pas d'autre choix !!

Je te tiens au courant ici prochainement (je ne fermerais pas le ticket tant que j'aurais pas tout tenté ;-)

DeNisCoOl · Answer

sourine,

je demandes de l'aide ailleurs mais je penses tu es bien bloqué.

A+

sourine · Answer

je suis en train de voir 2 - 3 choses de mon coté et également ici avec de l'aide :
http://www.commentcamarche.net/forum/affich 5270842 pc2 virus msn hijack a dechiffrer svp merci?page=4#93

DeNisCoOl · Answer

sourine,

avec jlpjlp et raleuboleu tu étais entre de bonne main.

j'ai suivi ton autre post.

j'imagine tu n'as toujours pas pu lire ton cd en mode sans échec pour passer Clean v2.0?
donnes moi des nouvelles.

A+

sourine · Answer

en effet, pas possible de mettre ce cd jusque là mais après bien des galères et des efforts je parviens désormais à démarrer le pc en mode sans échec....

déjà pas si mal... ! lol

du coup, je vais peut etre tenter clean V2 mais maintenant j'hésite un peu, j'ai peur de faire pire ! quoique.... je ne suis pas sure qu'on puisse vraiment faire pire à moins de flinguer la CM ou le DD... lol !!

Tu me conseilles quelle option de clean V2 ?

DeNisCoOl · Answer

Re,

Sinon essayes SDFix comme tu es en mode sans échec.

Télécharger SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Pour cela cliquer ICI
Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur le Bureau.
> Démarre en mode sans échec : après le bip avant le logo windows tapoter sur la touche F8 (ou F5): image. Si problème : Tuto ici
Choisir son compte, pas celui de l'Administrateur ou autre.

Dérouler la liste des instructions ci-dessous :
• Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuyer sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuyer sur une touche pour redémarrer le PC.
• Le système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copier/coller le contenu du fichier Report.txt dans la prochaine réponse sur le forum


A+

sourine · Answer

bon étant donné que je ne peux toujours pas me loguer en mode normal, voici le report Sdfix que je recopie manuellement ici :

Sdfix : version 1.152

Checking services
Name:
hipsrv
userinfo32

Path:
\??\C:\WINDOWS\system\hipsrv.mm
\??\C:\WINDOWS\system\userinfo32.ggt

hipsrv - deleted
userinfo32 - deleted

Restoring Windows Registry Values
Restoring Windows Default Hosts File

jlpjlp · Answer

comme tu es en mode sans echec apres sdfix qui a néttoyé banker,


colle un rapport avec antivir que tu as 

ou 

telecharge bitdefender free et scan avec et colle un rapport
https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/29063.html


_______________

recolle un rapport hijackthis

sourine · Answer

pas bien compris ta demande ?

Je suis toujours en mode sans echec et je ne peux plus me loguer normalement alors poster un rapport ça va pas etre possible mais si vous pouvez me donner des idées pour savoir quoi faire en fonction de ce qui a déjà été fait (voir pages précédentes) si on réussit à foutre en l'air le fichier "services.exe" infecté je pourrais peut etre redémarrer normalement...

merci

sourine · Answer

up

jlpjlp · Answer

ok


je te demandais de coller un scan antivir que tu peux faire en mode snas echec car c'est pas forcement ce fichier qui te bloque l'acces:


__________________

ensuite pour virer ce fichier  C:\DOCUME~1\NOM~1\LOCALS~1\Temp\services.exe 

active l'affichage des fichiers cachés comme ceci:

https://astwinds.pagesperso-orange.fr/astuces/fichiers_caches.html


puis

1/ tu peux essayer de le virer manuellement toi même en allant dans poste de travail puis  C:\DOCUME~1\NOM~1\LOCALS~1\Temp\services.exe 



2/tu peux faire ceci:


Télécharge MsnCleaner.zip de ElPiedra et décompresse le sur ton bureau. (Clic droit sur le fichier .zip puis Extraire tout). 
Copier l’adresse suivante dans ton lien :
https://forospyware.com
•	Redémarre le PC en Mode sans échec et connecte toi sous ton nom d'utilisateur habituel.Pour démarrer en mode sans échec. 
•	Double-clique sur MsnCleaner.exe pour le lancer. 
•	Sous Language, clique sur la petite flèche et choisis French. 
•	Clique sur le bouton Analyse. 
•	A la fin du scan un rapport va être créé. 
•	Si l'outil trouve une infection, clique sur le bouton Supprimer. 
•	Redémarre en mode normal. 
•	Poste le rapport C:\MsnCleaner.txt dans ta prochaine réponse.. 




3/télécharges et installes : 

kill box 
https://www.bleepingcomputer.com/download/linux/ 


aide kill box 
http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm 


- Redémarre en mode sans échec, si tu sais pas comment on fait lis ceci 

- Double-clic sur fix.reg 

Ouvres killbox 
- Sélectionne "delete on reboot" 
- Clique sur le dossier jaune à droite et sélectionne le fichier :  C:\DOCUME~1\NOM~1\LOCALS~1\Temp\services.exe 
- Clique sur la croix rouge et et blanche 
- Répond yes et laisse redémarrer ton pc. 
N'hésite pas à consulter l'Aide killbox

sourine · Answer

ok

1 - antivir ne démarre pas  EDIT => si, c'est ok, je l'ai lancé
2 - tu penses bien que j'ai déjà tenté de supprimer le fichier en question de pleins de façon différente mais sans succès..

Je vais tester le reste... ;-)

jlpjlp · Answer

pour virer ce fichier qui est l'infection msn il existe trois logiciels, SDFIX, MSN CLEANER  ET MSNFIX qui marchent en general mais pas toujours

________________

sinon question bête: en mode sans echec tu ne peux pas restaurer ton ordi a une heure avant le plantage (lancement de smitfraudfix?) en utilisant la restauration systeme???

les virus reviendront en partie mais tu pourra revenir surement en mode normal




________________







sinon   tu peux tenter en mode sans echec



bitdefender free non plus tu ne peux le lancer?


telecharge bitdefender free et scan avec et colle un rapport
https://www.01net.com/

________________

sinon tu peux faire combofix:

Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Sauvegarde le sur ton bureau et pas ailleurs ! 

Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic 

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider. 
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
__________________

a squared free
https://www.01net.com/telecharger/

sourine · Answer

restauration pas possible.
Msn Fix a deja été lancé sur ce pc il me semble...

Je vais tester tout cela...

sinon, ton lien vers Bitdefender n'est plus bon :
la le log :
https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/29063.html

ici le tuto :
https://www.01net.com/actualites/renforcez-la-protection-avec-bitdefender-360081.html

jlpjlp · Answer

si le lien est bon, je te fais mettre la version gratuite car la version payante a une analyse en temps réel et peut faire planter ton ordi car tu as antivir et en mode normal il ne faut jamais avoir deux antivirus actifs en meme temps



________________


sinon cette procedure peut aussi marcher pour virer la ligne en question  mais en mode normal ...


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :


File::

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe




Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

sourine · Answer

le scan avec Antivir me donne le meme résultat :

C:\DOCUME~1\NOM~1\LOCALS~1\Temp\services.exe 
[warning] The file could not be opened!


SDFix n'a rien donné de plus


Je teste avec ComboFix...

jlpjlp · Answer

kill box non plus?

msnfix?
msncleaner?

_______________


tu ne peux vraiment pas reparer windiows avec le cd?

https://www.pcastuces.com/pratique/windows/xp/default.htm

sourine · Answer

c'est simple, j'ai passé ma soirée d'hier là dessus...

Et tout ce que je suis parvenue à faire c'est accèder à la console de récup via le CD boot de Win xp Pro pour pouvoir faire un chkdsk et j'ai réussi à pouvoir de nouveau démarrer en mode sans échec....
c'est déjà pas si mal si l'on considère que je n'avais plus accès à rien.

Je n'ai pas voulu encore lancer Clean car vu les merdes avec un log (smitfraud) j'ai pas envie de faire pire (si c'est possible de faire pire ! lol)

Msnfix m'a trouvé un fichier nommé tmp.txt dans c:\windows\system32\... c'est tout

jlpjlp · Answer

tu as fais la recup

mais tu ne peux pas faire une reparation de windows comme suis car sinon ca va trainer...



https://www.pcastuces.com/pratique/windows/xp/default.htm


________________

tu peux pas nous coller un rapport hijakchtis en le copiant sur une clé usb ou cd pour mettre le rapport via ton deuxeme pc sur ce post ainsi qu'un raport bitdefender?

sourine · Answer

Killbox n'a rien donné non plus.

Nan, je ne pouvais pas le faire hier... (marchais pas)

DeNisCoOl · Answer

salut sourine, jlpjp,


ton lien vers bitdefender free n'est pas bon... clique dessus, tu verras....
le lien de jlpjlp marche bien.


------------------
Msn Fix a deja été lancé sur ce pc il me semble... 
oui il a déjà effacé ce fameux fichier dans le message 7.
version 1, enlevé par premier passage MSNFix
C:\DOCUME~1\xxxxx~1\LOCALS~1\Temp\services.exe   ==>avec xxxxx =représentant ton nom je suuposes


------------------
Antivir l'a retrouvé : 
C:\DOCUME~1\NOM~1\LOCALS~1\Temp\services.exe
[warning] The file could not be opened! 

Il n'a rien pu faire, ou a t-il été renommé et mis en quarantaine?


------------------
CFScript.txt de jlpjlp:

File::
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe 

As tu pu l'exécuter? Peux tu nous donner le rapport ComboFix.txt?

Si tu ne peux vraiment pas le recopier.
Important il y a parfois un paragraphe intitulé **** autres suppressions **** et un autre *** driver***


------------------
SDFix n'a rien donné de plus

Le premier passage avait effacé 2 services:
hipsrv - deleted
userinfo32 - deleted


------------------
À la place de kill tu peux essayer OTMoveIT
Télécharger OTMoveIt2(de Old_Timer)  sur le Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Double cliquer sur OTMoveIt2.exe pour le lancer. 
Copier la liste de fichier ou de dossier qui se trouve en gras ci-dessous, 
et coller-la dans le cadre de gauche de OTMoveIt : 
Paste List of Files/Folders to be moved. 


C:\... chemin complet ...\services.exe
 
Cliquer sur MoveIt!  pour lancer la suppression. 
Le résultat apparaîtra dans le cadre Results. 
Cliquer sur Exit pour fermer. 

Il sera peut-être demander de redémarrer le pc pour achever la suppression. 
Si c'est le cas accepter par Yes. 


--> Poster le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)


A+

sourine · Answer

Merci beaucoup pour toute l'aide, je vais lire tout cela très attentivement.. 

(Sinon pour le lien bitdefender je ne pige pas du tout car moi quand j'ai cliqué dessus hier j'ai eut une page 01net indiquant que la page demandée n'existait plus, idem aujourd'hui et là je reteste une autre fois aussitôt après et ça marche !!! y'a des fantômes dans mon pc perso aussi !!!! lol)

sourine · Answer

1 - je ne sais pas si MsnFix avait viré le fichier au premier passage, mais il est toujours là en tout cas...
et je constate qu'il était écrit ceci :
/!\ ... C:\DOCUME~1\LECOQ~1\LOCALS~1\Temp\services.exe 

il y a un point d'exclamation pas indiqué "OK"... alors a t'il vraiment été supprimé ? il semble que non... malheureusement pour moi...

2 - Antivir n'a pas supprimé le fichier

3 - Combofix m'indique dans une ligne "autres suppressions" :
       C:\win..\sys..\hipsrv.mm
       C:\win..\sys..32\drivers\symavc32.sys
Rien qui concerne "Driver"

4 - ok avec toi pour Sdfix

5 - résultat Otmoveit : "file move failed"

Le bilan pour moi c'est que rien ne change, je pense que je n'ai plus qu'à tenter le truc ultime : tout écraser et tenter une réinstall de winxp...
Mon problème depuis un moment ne semble plus se situer uniquement sur le problème de virus mais semble avoir entrainé autre chose puisque je ne peux plus démarrer normalement...
impossible de lancer une réparation de windows non plus alors il ne me reste plus d'autres choix...

jlpjlp · Answer

tu ne peux pas nous coller les rapport antivir, combofix, sdfix, hiajckthis : avec cela on pourra avancer!

Accepte de suivre strictement cette procédure SVP:

1)-Télécharge The Avenger par Swandog46 sur le Bureau avec ce lien: < http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ >
Click sur Avenger.zip pour ouvrir le fichier; en extraire "avenger.exe" sur votre bureau

2)- Sélectionner ( mettre en surbrillance ) TOUT le texte en gras ci-dessous, et appuyer simultanément sur les touches (Ctrl+C):

Files to delete:

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe

3)- Double-clic sur l'icône "avenger.exe" du bureau, puis [OK] ( sur le message qui s'affiche ).
•- Sous "Script file to execute" cocher le bouton ratio devant "Input Script Manually".
< http://img78.imageshack.us/img78/5258/screenshot265wz9.gif >
Puis clique sur l'icône " en forme de loupe " qui va ouvrir une nouvelle fenêtre "View/edit script"
Dans cette fenêtre, pointer la souris dans le coin supérieur gauche, cliquer 1 fois, puis appuyer simultanément sur les touches (CTL+V)
•- Cliquer Done
Ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
Réponds "Yes" deux fois quand demandé.

4)- The Avenger va automatiquement faire ce qui suit:
Il va re-démarrer le système.
Pendant le re-démarrage, il apparaîtra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaître les actions exécutées par The Avenger.
Ce fichier log se trouve ici : C:\avenger.txt

5)- Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta réponse avec un nouveau rapport hijackthis.

sourine · Answer

à moins de tout taper à la main (et là j'ai les boules rien qu'en voyant la taille du fichier combofix!) non, je ne peux pas vous envoyer les fichiers sauf si vous pouvez m'assurer que je ne RISQUE ABSOLUMENT RIEN en les gravant sur un cd pour les poster via un autre pc...
Je ne vais en aucun cas prendre le risque de déplacer un virus vers un autre ordinateur.

Et comme je n'ai pas la moindre idée de ce que fait ce virus.... ?!


Ps : j'ai ajouté des commentaires sur mon post précédent pendant que tu me répondais..

jlpjlp · Answer

tu scannera le cd obtenu avec ton antivirus et anti espions  avant de lancer les rapports

sourine · Answer

ça ne me rassure pas car ce que je sais, c'est que le week end dernier mon copain a flingué son disque externe en le branchant sur le portable infecté !

sourine · Answer

difficile de suivre ce que tu me demandes car la version d'Avenger n'est pas la même..
J'ai installé la V2 donnée sur ton lien

dans la zone "input script here" j'ai inscrit le chemin du fichier, une case est déjà cochée nommée "scan for rootkits" y a t'il autre chose à faire ?

jlpjlp · Answer

je suis occupé et donc pas devant le bon ordi pour tester la nouvelle verision de the avenger regarde ici dans la partie avenger https://www.malekal.com/supprimer-rootkit-windows/ ________________ sinon je pense que l'on ne pourra pas guerir ton ordi si on n'as pas de rapport antivir, combofix et hijackhtis ppour etre sur que tu ne transmette pas de virus sur ton autre ordi lance ceci: Télécharge RavAntivirus d'Evosla : http://ww25.evosla.com/compteur.php?soft=rav_antivirus # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau # Doucle-clique sur >> RAV.exe << afin de lancer l'outil. # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles) # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain . # Retire tes disques amovibles et redémarrez votre ordinateur. # Poste le rapport, si infection! 2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe Double-clique sur l’icône. Les icônes vont disparaître. C’est normal. Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite Redémarre ensuite le PC. puis lance nous les rapports!

jlpjlp · Answer

tu peux aussi essayer avg antispware efficace contre cette infection

https://www.01net.com/telecharger/

sourine · Answer

merci beaucoup pour tout le mal que tu te donnes... !!

En ce qui me concerne, j'ai eu moins de patience que toi car après 5/6 jours à ne faire presque que cela j'ai fini par abandonner et faire un joli "format"...
Je suis actuellement en train de réinstaller tous les programmes mais cette fois je vais m'empresser de faire une jolie image du pc de ma mère !!!  LOL
J'espère qu'elle pourra enfin avoir un ordinateur digne de ce nom !

Il ne semble pas y avoir de traces d'une quelconque infection dans les données sauvegardées avant formatage mais je reste vigilante ;-)  

J'ai passé le mot dans mon entourage et j'espère quant à moi que les enfants de mes amis ne vont pas se faire piéger et me (et vous) redonner du travail... !!
Je vous remercie tous 1000 fois pour toute l'aide que vous m'avez apportée dans le "soin" quasi chirurgical apporté à ces 2 machines !!!!!! Et je vous souhaite bon courage avec tous les autres à soigner !

jlpjlp · Answer

ok

bonne continuation











pour protéger gratos ton ordi

https://www.commentcamarche.net/telecharger/ 4 securite

mettre un antivirus

AVAST en français ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions :
AD AWARE + SPYBOT + si tea timer non active de spybot et ordi assez puissant: WINDOWS DEFENDER 

+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

Rq : spybot et ad-aware on sorti de nouvelles versions cette année vérifiez que vous avez la dernière version
--------
un pare feu :
celui de Windows ou mieux KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
https://www.commentcamarche.net/telecharger/ 157 zonealarm

-----------

CCLEANER pour effacer les traces de surf

DeNisCoOl · Answer

sourine, 

dommage, tu étais entre de bonnes mains avec jlpjlp.
mais j'avais usé ta patience je comprends.

jlpjlp,

merci beaucoup de ton aide.

Bye bye

jlpjlp · Answer

de rien

et bravo a toi aussi 

pour les infections msn on pourra aussi utiliser la prochaine fois car je vois qu'il marche bien: MalwareByte's Anti-Malware

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/



a bientôt

et bonne continuation a tous

DeNisCoOl · Answer

jlpjlp,

Merci pour le lien je vais le mettre dans mes outils.

A+

jlpjlp · Answer

ok a plus

sourine · Answer

Encore merci à vous !!

HIJACK sur virus msn. merci !

71 réponses

Votre réponse

Discussions similaires

Newsletters