Grosse infection - Page 2

Résolu
Précédent
  • 1
  • 2
  1. cedric241 Messages postés 3380 Statut Membre 119
     
    ok ensuite fais ça :

    Télécharge Clean:

    -> http://www.malekal.com/download/clean.zip

    -> Dézippe tout le contenu dans un dossier que tu auras cré au préalable (sur ton bureau par exemple). Double clic sur clean ou clean.cmd choisie l'option 1.

    Un rapport va s'ouvrir, copie et colle le contenu sur le forum.

    -> pour ceux ou celles qui auraient un doute sur comment deziper un fichier :

    http://www.tutopat.com/viewtopic.php?t=933&sid=34215b238376bfb22ef9e8eca9995914
    0
    1. juliensan
       
      il m'envoit sur malekal et je ne trouve pas le rapport
      0
    2. juliensan
       
      j'ai trouvé ça:

      09/04/2008 a 15:53:50,67

      *** Recherche des fichiers dans C:

      *** Recherche des fichiers dans C:\WINDOWS\

      *** Recherche des fichiers dans C:\WINDOWS\system32

      *** Recherche des fichiers dans C:\Program Files
      C:\PROGRA~1\RACLE~1\ FOUND
      "C:\Program Files\Media\" FOUND
      0
  2. cedric241 Messages postés 3380 Statut Membre 119
     
    pas grave pour le rapport

    réouvre clean et passe l option 2

    si t as un rapport envoi le moi
    0
  3. cedric241 Messages postés 3380 Statut Membre 119
     
    ok réouvre clean

    et fais option 2 stp + rapport
    0
    1. juliensan
       
      Bon, mon ordinateur va beaucoup mieux et voilà le rapport que tu as demandé:

      Rapport clean par Malekal_morte - http://www.malekal.com
      Script execute en mode sans echec 09/04/2008 a 16:05:51,62

      Microsoft Windows XP [version 5.1.2600]

      *** Suppression des fichiers dans C:

      *** Suppression des fichiers dans C:\WINDOWS\

      *** Suppression des fichiers dans C:\WINDOWS\system32

      *** Suppression des fichiers dans C:\Program Files
      tentative de suppression de C:\PROGRA~1\RACLE~1\
      tentative de suppression de "C:\Program Files\Media\"

      *** Suppression des clefs du registre effectuee..
      *** Fin du rapport !
      0
    2. juliensan
       
      Le résultat est radical.

      Est-ton métier ?
      0
  4. cedric241 Messages postés 3380 Statut Membre 119
     
    ok refais un scan hijackthis et poste moi le rapport s ilte plait
    0
    1. juliensan
       
      Voici:

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 16:27:47, on 09/04/2008
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.exe
      C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
      C:\Program Files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\PROMT5\INTEGRAL\pinmenu.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
      C:\WINDOWS\System32\WgaTray.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\WINDOWS\System32\devldr32.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Documents and Settings\Ssenzy\Bureau\test.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
      O4 - HKLM\..\Run: [PROMT Integrator] "C:\Program Files\PROMT5\INTEGRAL\PinStart.exe" /autorun
      O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
      O4 - HKLM\..\Run: [D-Link D-Link Wireless G DWA-110] C:\Program Files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
      O9 - Extra button: Traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PROMT5\PROMTIE4\promtie5.htm
      O9 - Extra 'Tools' menuitem: Traduire - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PROMT5\PROMTIE4\promtie5.htm
      O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PROMT5\PROMTIE4\options.htm
      O9 - Extra 'Tools' menuitem: Personnaliser les options de traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PROMT5\PROMTIE4\options.htm
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra button: Traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PROMT5\PROMTIE4\promtie5.htm (HKCU)
      O9 - Extra 'Tools' menuitem: Traduire - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PROMT5\PROMTIE4\promtie5.htm (HKCU)
      O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PROMT5\PROMTIE4\options.htm (HKCU)
      O9 - Extra 'Tools' menuitem: Personnaliser les options de traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PROMT5\PROMTIE4\options.htm (HKCU)
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
      O17 - HKLM\System\CCS\Services\Tcpip\..\{FA817DCC-F7D2-44D2-BDB6-D99B25B38613}: NameServer = 85.255.116.164,85.255.112.81
      O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.164 85.255.112.81
      O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.164 85.255.112.81
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.164 85.255.112.81
      O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      0
    2. juliensan
       
      A quoi dois-je le bénéfice de ta compétence, est-ce ton métier ?

      J'aurai aimé savoir aussi de manière vulgarisée quelle est la logique déductive pour lire les rapports que je t'ai envoyé, autrement dit qu'y voit-on ?

      Je suis un néophyte mais j'aime comprendre quand les gens savent.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. cedric241 Messages postés 3380 Statut Membre 119
     
    supprime ces lignes :

    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

    pour les supprimer tu les coches ensuite tu clic sur fix checked

    apres :

    Maintenant , nous allons supprimer les logiciels de désinfection que je t'ai fait téléchargé.
    En effet , s'en servir est dangereux pour le pc si l'on ne s'y connais pas.
    De plus ils sont mis régulièrement à jours.

    ? Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.

    http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

    ? Double clique sur ToolsCleaner2.exe >
    ? Clique sur .Recherche
    ? puis sur Suppression quand la liste est trouvée.
    ? Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : ton bureau RISQUE de disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

    CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
    Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

    Tape explorer.exe et valide. Cela fera re-apparaître le Bureau

    Tuto : https://www.commentcamarche.net/list 8341 toolscleaner suppression des fix de force brute ( merci espion3004 )
    0
    1. juliensan
       
      Je ne sais pas ou trouver les lignes que tu m'indiquent au début
      0
    2. juliensan
       
      Je voulais dire "les lignes que tu m' indiques"... Les gens font tellement de fautes, alors quand les miennes me restent devant le nez...
      0
  7. cedric241 Messages postés 3380 Statut Membre 119
     
    pour les lignes

    refait un scan hijackthis

    en cliquant sur sca only

    et coches les lignes et clic sur fix checked

    ensuite passe toolcleaner et poste le rapport
    0
    1. juliensan
       
      voici les rapports tool cleaner,

      celui-là état dans upload.txt:

      C:\WINDOWS\System32\perfc00C.dat -->08/04/2008 15:07:18
      C:\WINDOWS\System32\perfc009.dat -->08/04/2008 15:07:18
      C:\WINDOWS\System32\lssexp.dll -->08/04/2008 14:47:10
      C:\WINDOWS\System32\wpa.dbl -->06/04/2008 08:19:00
      C:\WINDOWS\System32\winpfz33.sys -->03/04/2008 11:59:06
      C:\WINDOWS\System32\svchost.exe -->09/03/2008 17:07:56
      C:\WINDOWS\System32\CONFIG.NT -->09/03/2008 14:10:12
      C:\WINDOWS\System32\Thumbs.db -->04/12/2007 21:40:40
      C:\WINDOWS\System32\rmoc3260.dll -->04/12/2007 16:03:59
      C:\WINDOWS\System32\pndx5032.dll -->04/12/2007 16:03:43
      C:\WINDOWS\System32\pndx5016.dll -->04/12/2007 16:03:43
      C:\WINDOWS\System32\msvcp71.dll -->04/12/2007 16:03:39
      C:\WINDOWS\System32\pncrt.dll -->04/12/2007 16:03:38
      C:\WINDOWS\System32\aswBoot.exe -->04/12/2007 15:04:28
      C:\WINDOWS\System32\AvastSS.scr -->04/12/2007 14:54:04

      C:\WINDOWS\WindowsUpdate.log -->09/04/2008 15:16:06
      C:\WINDOWS\0.log -->09/04/2008 15:14:39
      C:\WINDOWS\bootstat.dat -->09/04/2008 15:14:02
      C:\WINDOWS\wmsetup.log -->03/04/2008 11:31:26
      C:\WINDOWS\setupapi.log -->31/03/2008 08:40:57
      C:\WINDOWS\setupact.log -->14/03/2008 15:40:22
      C:\WINDOWS\xpsp1hfm.log -->11/03/2008 19:13:08
      C:\WINDOWS\Q811630.log -->11/03/2008 19:13:05
      C:\WINDOWS\ntdtcsetup.log -->11/03/2008 19:07:25
      C:\WINDOWS\iis6.log -->11/03/2008 19:07:25
      C:\WINDOWS\comsetup.log -->11/03/2008 19:07:25
      C:\WINDOWS\tsoc.log -->11/03/2008 19:07:24
      C:\WINDOWS\Q815021.log -->11/03/2008 19:07:24
      C:\WINDOWS\imsins.log -->11/03/2008 19:07:24
      C:\WINDOWS\ocmsn.log -->11/03/2008 19:07:21



      celui-çi dans upload2.txt:

      C:\WINDOWS\System32\svchost.exe -->09/03/2008 17:07:56
      C:\WINDOWS\System32\aswBoot.exe -->04/12/2007 15:04:28
      C:\WINDOWS\System32\lssexp.dll -->08/04/2008 14:47:10
      C:\WINDOWS\System32\rmoc3260.dll -->04/12/2007 16:03:59
      C:\WINDOWS\System32\pndx5032.dll -->04/12/2007 16:03:43
      C:\WINDOWS\System32\pndx5016.dll -->04/12/2007 16:03:43
      C:\WINDOWS\System32\msvcp71.dll -->04/12/2007 16:03:39
      C:\WINDOWS\System32\pncrt.dll -->04/12/2007 16:03:38
      0
  8. cedric241 Messages postés 3380 Statut Membre 119
     
    ok c est terminé

    si tu es satisfait de mon intervention et que tu as plus de probleme change le statut du sujet en résolu stp
    0
    1. juliensan
       
      Je suis presque entièrement satisfait car tu ne m'as rien dit sur le pourquoi de l'aide, si c'est un métier, et ce qu'on voit dans les rapports, quand on s'y connait (sachant que je n'ai rien à cacher dans mon ordinateur).

      Il n'y a pas de chantage à ma question et mon problême étant résolu, je vais cocher la case.

      Merci
      0
  9. cedric241 Messages postés 3380 Statut Membre 119
     
    mon métier : Chef de cuisine

    ensuiet pour lire les rapport ça s apprend avec le temps

    parcours les forums tu apprendras beaucoup de chose ............
    0
Précédent
  • 1
  • 2