Désinfection impossible. A l'aide !!
Fermé
pourmoi06
Messages postés
22
Date d'inscription
jeudi 23 juin 2005
Statut
Membre
Dernière intervention
17 février 2012
-
22 mai 2008 à 14:43
^^Marie^^ Messages postés 113926 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 - 24 mai 2008 à 22:38
^^Marie^^ Messages postés 113926 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 - 24 mai 2008 à 22:38
A voir également:
- Désinfection impossible. A l'aide !!
- Désinfection - Forum Ordinateur portable
- Désinfection ✓ - Forum Virus / Sécurité
- Aide pour désinfection pc ✓ - Forum Virus / Sécurité
- Desinfection ✓ - Forum Firewall
- Clé usb de désinfection - Astuces et Solutions
9 réponses
^^Marie^^
Messages postés
113926
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 276
22 mai 2008 à 17:41
22 mai 2008 à 17:41
Bonjour
Pourquoi utiliser ComobFix sur ce topik.
C'est pas utile du tout.
Il faut faire très attention à l'utilisation de ce Fix
http://www.commentcamarche.net/forum/affich 4807344 combofix dangers#0
Faut stopper de s'en servir comme une poudre magique.
O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe
il faut désinstaller ce service en allant dans démarrer / exécuter / tape services.msc recherche le service, va dans les propriétés et désactive le.
Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe
A++
Pourquoi utiliser ComobFix sur ce topik.
C'est pas utile du tout.
Il faut faire très attention à l'utilisation de ce Fix
http://www.commentcamarche.net/forum/affich 4807344 combofix dangers#0
Combofix est un outil puissant, donc particulièrement risqué. Je viens encore d'en faire l'expérience. L'ordi à mal redémarré. La connexion Internet est cassée. Le deuxième redémarrage a été très long. La galère. Il vaut donc mieux ne l'utiliser qu'en dernier recours, quand les autres outils ont échoué. Vundofix, Virtumundobegone, SDFix, Navilog, SmitfraudFix, Clean.zip peuvent faire une grosse partie du travail. L'antivirus et les antispywares aussi.
Faut stopper de s'en servir comme une poudre magique.
O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe
il faut désinstaller ce service en allant dans démarrer / exécuter / tape services.msc recherche le service, va dans les propriétés et désactive le.
Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe
A++
On commence si tu veux bien par smitfraudfix
Télécharge sur le bureau http://siri.urz.free.fr/Fix/SmitfraudFix.exe
=> Double clic sur SmitfraudFix.zip
=> Extraire tout
=> Double clic sur SmitfraudFix
=> Double Clic sur SmitfraudFix.cmd
=> Choisir Option 1
=> poste le rapport
Télécharge sur le bureau http://siri.urz.free.fr/Fix/SmitfraudFix.exe
=> Double clic sur SmitfraudFix.zip
=> Extraire tout
=> Double clic sur SmitfraudFix
=> Double Clic sur SmitfraudFix.cmd
=> Choisir Option 1
=> poste le rapport
pourmoi06
Messages postés
22
Date d'inscription
jeudi 23 juin 2005
Statut
Membre
Dernière intervention
17 février 2012
22 mai 2008 à 15:28
22 mai 2008 à 15:28
Je lance en mode sans échec ?
demarer en mode sans echec nettoyer le registre avec regseekerpuit tu lance ton antivrus toujour en mode sans echec
pourmoi06
Messages postés
22
Date d'inscription
jeudi 23 juin 2005
Statut
Membre
Dernière intervention
17 février 2012
22 mai 2008 à 15:30
22 mai 2008 à 15:30
J'ai RegSupreme qui doit être identique non ?
non en normal
la désinsfection se fera en mode sans echec
la désinsfection se fera en mode sans echec
pourmoi06
Messages postés
22
Date d'inscription
jeudi 23 juin 2005
Statut
Membre
Dernière intervention
17 février 2012
22 mai 2008 à 15:40
22 mai 2008 à 15:40
Le téléchargement de SmitlfaultFix démarre et s'arréte au bout de 3 %
pourmoi06
Messages postés
22
Date d'inscription
jeudi 23 juin 2005
Statut
Membre
Dernière intervention
17 février 2012
22 mai 2008 à 15:47
22 mai 2008 à 15:47
OK je télécharge à partir de Zebulon.fr
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
essai ce lien :
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
pourmoi06
Messages postés
22
Date d'inscription
jeudi 23 juin 2005
Statut
Membre
Dernière intervention
17 février 2012
22 mai 2008 à 15:59
22 mai 2008 à 15:59
Je suis au boulot, et le téléchargement bloque car "Note : votre antivirus peut détecter le virus TR/Hardoff.A dans l'archive, il s'agit là d'un faux-positif." lu sur Zebulon !
L'ATV doit freiner/bloquer le téléchargement ?
En attendant, quy a-t-il "d'autre" que SmitFraud sur mon PC ?
L'ATV doit freiner/bloquer le téléchargement ?
En attendant, quy a-t-il "d'autre" que SmitFraud sur mon PC ?
STOP TON ANTIVIRUS ET RETELECHARGE
pourmoi06
Messages postés
22
Date d'inscription
jeudi 23 juin 2005
Statut
Membre
Dernière intervention
17 février 2012
22 mai 2008 à 16:08
22 mai 2008 à 16:08
Je ne peux pas (Réseau entreprise). Je vais le télécharger de chez moi dès mon retour (à partir d'un second PC) et je copie le résultat du scan ici.
J'attendrai ton interprétation ensuite.
Merci de ton aide.
Y a-t-il autre chose sur le rapport HiJack ?
J'attendrai ton interprétation ensuite.
Merci de ton aide.
Y a-t-il autre chose sur le rapport HiJack ?
on peut faire autrement
essai combofix
élécharge combofix.exe (par sUBs) sur ton Bureau.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
essai combofix
élécharge combofix.exe (par sUBs) sur ton Bureau.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
pourmoi06
Messages postés
22
Date d'inscription
jeudi 23 juin 2005
Statut
Membre
Dernière intervention
17 février 2012
22 mai 2008 à 16:58
22 mai 2008 à 16:58
Le lien ne fonctionne pas. De plus, je suis tombé sur un long post ici qui mentionne que combofix a été infecté et n'est plus disponible pour le moment, le concepteur y apportant une modification !
jfkpresident
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 176
22 mai 2008 à 19:04
22 mai 2008 à 19:04
pourmoi06 : suite a ton MP , tu es entre de bonnes mains avec ^^marie^^
@+
@+
pourmoi06
Messages postés
22
Date d'inscription
jeudi 23 juin 2005
Statut
Membre
Dernière intervention
17 février 2012
22 mai 2008 à 21:25
22 mai 2008 à 21:25
Merci à toi JFK !
22 mai 2008 à 21:33
Je n'ai pas utilisé Combifix.
J'ai tenté SmitFraudFix v2.320, et il dit avoir effacé des clés douteuses.
Mais le lancement de mails (mail bombing ?) a recommencé de plus belle après.
J'ai coupé Internet et installé Kaspersky 7, en désinstallant Avast (j'ai eu du mal pour l'activation en ligne !!).
Je viens de lancer Kas7 et il a déjà trouvé 3 menaces dont le fameux aspimgr.exe et un autre trojan USER32.dll qui (parait-il) est en fait user32.exe (DIAL.exe) déguisé en dll de windows. Est-ce cela ?
Je laisse tourner Kas7 et je vous tiens au courant.
Merci de vos idées et des vos expériences si vous avez des info à me donner là dessus !
23 mai 2008 à 08:09
J'ai tenté SmitFraudFix v2.320,
Tu as le rapport de smitfraud ?
23 mai 2008 à 09:57
Oui, j'ai lancé SmitFraudFix : J'ai fait 1) et il a trouvé des trucs anormaux, puis j'ai fait 2) (en mode sans échec) et il a dit avoir supprimé des inscriptions. Je n'ai pas pensé à renommer le premier rapport.txt, il a été écrasé par le second, dont voici le texte :
SmitFraudFix v2.320
Rapport fait à 18:59:45,09, 22/05/2008
Executé à partir de C:\Documents and Settings\Senesi\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Hercules\DualPix Exchange\Camservice.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\MSWorks\Calendrier\WKCALREM.EXE
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\aspimgr.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
Fichier hosts corrompu !
127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Senesi
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Senesi\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Senesi\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
__________________________________
Néanmoins, la tentative d'envoi massif de mail a recommencé (du à aspimgr.exe je suppose ?).
J'ai donc installé Kaspersky 7 et désinstallé Avast (4.8 et à jour pourtant).
J'ai lancé KAS7 et il a trouvé, dans le désordre :
Trojan W32:Patched.bb dans de nombreux dossiers et dans Restor,
aspimgr.exe dans system 32,
Plusieurs Win32: Agent-xxx à différents endroits,
et d'autres petits trucs dont je n'ai pas noté le nom.
Il les a soit nettoyés, soit supprimés, en direct (pendant l'analyse).
J'ai fait tourner KAS7 toute la nuit (en coupant physiquement la connexion Internet), puis redémarrage ce matin.
Le PC semble fonctionner (pas de mail-bombing, pas de messages d'alerte, les principaux logiciels semblent fonctionner (Outlook Express, Firefox, IE7, Word). KAS7 surveille le tout (du moins il le dit !).
J'ai relancé une analyse complète ce matin avant de partir au boulot. Ce soir j'aurai le verdict : soit tout est bon, soit il reste des trucs qu'il ne peut pas neutraliser.
Je vous tiens au courant (comme on dit chez EDF...).
De votre coté, et pour mon information, avez-vous vu des anomalies dans mon rapport HiJack et dans le rapport SmitFraudFix ?
Ces contaminations proviennent-elle (exclusivement) du surf sur Internet ou proviennent elles de clés USB (j'en connecte 3 différentes, qui sont passées avant sur 2 autres PC : 1 en réseau d'entreprise avec McAfee réglé sur la position la plus sûre, l'autre dans une école, avec Avast ?
Merci de votre aide !
Heureusement qu'il y a des gens dévoués, car sans vous que deviendrait- on ?
23 mai 2008 à 10:03
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
http://www.coupdepoucepc.com/modules/news/article.php?storyid=253
https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
Renvoie un log hijackthis dans la foulée
23 mai 2008 à 10:26