Virus impossible à supprimer
Fermé
Venisia54
Messages postés
176
Date d'inscription
lundi 15 septembre 2008
Statut
Membre
Dernière intervention
24 mai 2010
-
25 nov. 2008 à 11:51
Venisia54 Messages postés 176 Date d'inscription lundi 15 septembre 2008 Statut Membre Dernière intervention 24 mai 2010 - 24 mai 2010 à 20:52
Venisia54 Messages postés 176 Date d'inscription lundi 15 septembre 2008 Statut Membre Dernière intervention 24 mai 2010 - 24 mai 2010 à 20:52
A voir également:
- Wmbenum.sys
- Fichier impossible à supprimer - Guide
- Impossible de supprimer une page word - Guide
- Supprimer compte instagram - Guide
- Comment supprimer fausse alerte virus mcafee - Accueil - Piratage
- Supprimer pub youtube - Accueil - Streaming
255 réponses
Venisia54
Messages postés
176
Date d'inscription
lundi 15 septembre 2008
Statut
Membre
Dernière intervention
24 mai 2010
2
30 nov. 2008 à 20:47
30 nov. 2008 à 20:47
re,
apres cette manip je dois maintenant taper un mot de passe
j ai remarqué que le pc ne démarrait pas exactement une fois sur deux, en se figeant sur la page d acceuil de windows ( windows est en cours de démarrage).
apres cette manip je dois maintenant taper un mot de passe
j ai remarqué que le pc ne démarrait pas exactement une fois sur deux, en se figeant sur la page d acceuil de windows ( windows est en cours de démarrage).
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
30 nov. 2008 à 20:56
30 nov. 2008 à 20:56
Re,
oui, ça c'est normal.
En mode normal, ouvre ta session.
Démarrer, Panneau de configuration, Comptes utilisateurs.
Choisis ton compte.
Supprime le mot de passe.
Fais redémarrer l'ordi.
Pas de changement (hormis la suppression du mot de passe) ?
oui, ça c'est normal.
En mode normal, ouvre ta session.
Démarrer, Panneau de configuration, Comptes utilisateurs.
Choisis ton compte.
Supprime le mot de passe.
Fais redémarrer l'ordi.
Pas de changement (hormis la suppression du mot de passe) ?
Venisia54
Messages postés
176
Date d'inscription
lundi 15 septembre 2008
Statut
Membre
Dernière intervention
24 mai 2010
2
1 déc. 2008 à 12:34
1 déc. 2008 à 12:34
bonjour
non pas de changement:(
tjrs la fenetre limite de comptes atteint, et l icone utilisateur.
c normal qui se fige une fois sur 2??
non pas de changement:(
tjrs la fenetre limite de comptes atteint, et l icone utilisateur.
c normal qui se fige une fois sur 2??
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
1 déc. 2008 à 14:26
1 déc. 2008 à 14:26
Bonjour,
non, ce n'est pas normal.
Pour essayer de comprendre ce qui se passe, peux tu faire ça :
Ouvre le registre et navigue avec les + et les - jusqu'à la clé
HKEY_LOCAL_MACHINE\SYSTEM\Select
Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).
Ferme le registre et ouvre l'explorateur Windows.
Clique droit sur le fichier et choisis Modifier.
Le bloc-notes s'ouvre avec le contenu de la clé.
Copie le dans ta réponse.
(Pour ouvrir le regsitre, Démarrer, Exécuter, taper ou sélectionner regedit et OK)
non, ce n'est pas normal.
Pour essayer de comprendre ce qui se passe, peux tu faire ça :
Ouvre le registre et navigue avec les + et les - jusqu'à la clé
HKEY_LOCAL_MACHINE\SYSTEM\Select
Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).
Ferme le registre et ouvre l'explorateur Windows.
Clique droit sur le fichier et choisis Modifier.
Le bloc-notes s'ouvre avec le contenu de la clé.
Copie le dans ta réponse.
(Pour ouvrir le regsitre, Démarrer, Exécuter, taper ou sélectionner regedit et OK)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Venisia54
Messages postés
176
Date d'inscription
lundi 15 septembre 2008
Statut
Membre
Dernière intervention
24 mai 2010
2
1 déc. 2008 à 16:59
1 déc. 2008 à 16:59
re,
voila le contenu:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\Select]
"Current"=dword:00000001
"Default"=dword:00000001
"Failed"=dword:00000000
"LastKnownGood"=dword:00000003
je ne sais pas si cela a de l importance mais le pc emet un bib juste avant que la page de démarrage de windows se fige.
voila le contenu:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\Select]
"Current"=dword:00000001
"Default"=dword:00000001
"Failed"=dword:00000000
"LastKnownGood"=dword:00000003
je ne sais pas si cela a de l importance mais le pc emet un bib juste avant que la page de démarrage de windows se fige.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
1 déc. 2008 à 17:42
1 déc. 2008 à 17:42
Re,
quand tu ouvres le registre sur la clé HKLM\System, tu vois
ControlSet000
ControlSet001
ControSet002
ControlSet003
CurrentControlSet
ou il manque le 002 ?
quand tu ouvres le registre sur la clé HKLM\System, tu vois
ControlSet000
ControlSet001
ControSet002
ControlSet003
CurrentControlSet
ou il manque le 002 ?
Venisia54
Messages postés
176
Date d'inscription
lundi 15 septembre 2008
Statut
Membre
Dernière intervention
24 mai 2010
2
1 déc. 2008 à 18:25
1 déc. 2008 à 18:25
il manque le 000
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
1 déc. 2008 à 23:09
1 déc. 2008 à 23:09
Re,
démarre avec la procédure de démarrage en mode sans échec.
Tu dois avoir une option Dernière bonne configuration connue.
Choisis là.
Comment s'est passé le démarrage.
Redémarre à nouveau.
Comment ça s'est passé ?
démarre avec la procédure de démarrage en mode sans échec.
Tu dois avoir une option Dernière bonne configuration connue.
Choisis là.
Comment s'est passé le démarrage.
Redémarre à nouveau.
Comment ça s'est passé ?
Venisia54
Messages postés
176
Date d'inscription
lundi 15 septembre 2008
Statut
Membre
Dernière intervention
24 mai 2010
2
2 déc. 2008 à 13:32
2 déc. 2008 à 13:32
salut
ca n a rien changé:(
ca n a rien changé:(
Venisia54
Messages postés
176
Date d'inscription
lundi 15 septembre 2008
Statut
Membre
Dernière intervention
24 mai 2010
2
8 déc. 2008 à 12:12
8 déc. 2008 à 12:12
bonjour,
pas de solution??:(
pas de solution??:(
Utilisateur anonyme
8 déc. 2008 à 19:37
8 déc. 2008 à 19:37
Bonsoir,
Lyonnais a dû t'oublier sans le faire exprès.
je vais te demander 2-3 trucs stp.
J'ai l'impression que tu as une cochonnerie chinoise.
Les manip sont à faire dans l'ordre ;)
Peux-tu me dire ce qu'est ce programme ? C'est un jeu qui vient d'où ? Tu l'as acheté ?
c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð.
Puis,
> Télécharge DirLook (de jpshortstuff) : http://jpshortstuff.247fixes.com/DirLook.exe
- Double-clique sur DirLook.exe pour le lancer.
- Assure-toi que "Show Hidden Files" et "BBCode Ouput" soient bien cochés.
- Copie/colle le contenu suivant dans le champ texte principal :
- Clique sur le bouton <DirLook> pour lancer l'examen. Quand il est terminé, une fenêtre du Bloc-notes va s'ouvrir avec le résultat du scan.
- Poste le contenu ce rapport dans ta prochaine réponse. (Le rapport se trouve aussi ici C:\dl_log.txt).
Note : Il se peut que l'examen prenne plus de temps pour de gros répertoires.
Ensuite,
> Rends toi sur le site Virus Total : https://www.virustotal.com/gui/ et fais analyser le/les fichier(s) suivant(s) : (Clique sur <parcourir> puis copie/colle la/les ligne(s) dans le cadre "Nom du Fichier", ensuite valide par <Ouvrir>. Clique alors sur <Envoyer un fichier>)
et poste le/les résultat(s) par copier/coller (ou le/les lien(s) http, c'est plus rapide et préférable).
N.B. : Les fichiers doivent être analysés un par un. Ouvrir plusieurs fenêtres sur Virus Total peut bloquer les envois.
Maintenant,
j'ai la nette impression que des fichiers sont manquant sur ton PC, donc :
> Fais une récupération système : Tu as besoin du CD Windows pour cela.
- Relance alors ton PC avec le CDRom Windows déjà dans le lecteur => Windows Install se lance normalement (sinon regarde plus bas : "NB").
- Choisis ensuite Réparer windows en appuyant sur la touche R du clavier.
- Puis tape à l'invite C:\Windows> ou C:\Winnt> ceci : chkdsk
Tuto ici.
Résumé : Boot CD => récupération de XP => c:\chkdsk (sous l'invite dos : c:\)
NB : Si le PC ne démarre pas depuis le CD Windows :
- Redémarre ton PC puis accède au BIOS (Pour accéder au BIOS il faut appuyer sur F1 ou F2 au démarrage du PC).
- Il faut que tu choisisses CDROM en première séquence de boot. (Tuto. Regarde surtout ici).
Dis moi où tu rencontres des problèmes sinon.
Pour finir,
> Télécharge random's system information tool (RSIT) : http://images.malwareremoval.com/random/RSIT.exe
- Enregistre le programme sur ton bureau.
- Double clique sur RSIT.exe
- A l'écran "Disclaimer" choisis "1 months" dans le menu déroulant puis clique sur <continue>.
- Si HiJackThis n'est pas détecté sur ton PC, RSIT le téléchargera ; accepte alors la licence.
- Une fois le scanne terminé tu obtiendras un rapport log.txt. Poste le sur le forum.
NB : Il se peut que tu obtiennes un second rapport nommé info.txt. Dans ce cas poste le aussi.
Merci.
Bon courage.
A+
_________________________________________
Les lignes ci-dessous sont pour moi, un pense bête...
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Utilisateur\Application Data\.#
c:\documents and settings\Utilisateur\Application Data\.#\MBX@BDC@3841A8.###
c:\documents and settings\Utilisateur\Application Data\.#\MBX@BDC@3841D8.###
c:\documents and settings\Utilisateur\Application Data\.#\MBX@BDC@384208.###
Lyonnais a dû t'oublier sans le faire exprès.
je vais te demander 2-3 trucs stp.
J'ai l'impression que tu as une cochonnerie chinoise.
Les manip sont à faire dans l'ordre ;)
Peux-tu me dire ce qu'est ce programme ? C'est un jeu qui vient d'où ? Tu l'as acheté ?
c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð.
Puis,
> Télécharge DirLook (de jpshortstuff) : http://jpshortstuff.247fixes.com/DirLook.exe
- Double-clique sur DirLook.exe pour le lancer.
- Assure-toi que "Show Hidden Files" et "BBCode Ouput" soient bien cochés.
- Copie/colle le contenu suivant dans le champ texte principal :
c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð.
- Clique sur le bouton <DirLook> pour lancer l'examen. Quand il est terminé, une fenêtre du Bloc-notes va s'ouvrir avec le résultat du scan.
- Poste le contenu ce rapport dans ta prochaine réponse. (Le rapport se trouve aussi ici C:\dl_log.txt).
Note : Il se peut que l'examen prenne plus de temps pour de gros répertoires.
Ensuite,
> Rends toi sur le site Virus Total : https://www.virustotal.com/gui/ et fais analyser le/les fichier(s) suivant(s) : (Clique sur <parcourir> puis copie/colle la/les ligne(s) dans le cadre "Nom du Fichier", ensuite valide par <Ouvrir>. Clique alors sur <Envoyer un fichier>)
C:\WINDOWS\System32\appdrvrem01.exe C:\WINDOWS\System32\win32hlp.cnf
et poste le/les résultat(s) par copier/coller (ou le/les lien(s) http, c'est plus rapide et préférable).
N.B. : Les fichiers doivent être analysés un par un. Ouvrir plusieurs fenêtres sur Virus Total peut bloquer les envois.
Maintenant,
j'ai la nette impression que des fichiers sont manquant sur ton PC, donc :
> Fais une récupération système : Tu as besoin du CD Windows pour cela.
- Relance alors ton PC avec le CDRom Windows déjà dans le lecteur => Windows Install se lance normalement (sinon regarde plus bas : "NB").
- Choisis ensuite Réparer windows en appuyant sur la touche R du clavier.
- Puis tape à l'invite C:\Windows> ou C:\Winnt> ceci : chkdsk
Tuto ici.
Résumé : Boot CD => récupération de XP => c:\chkdsk (sous l'invite dos : c:\)
NB : Si le PC ne démarre pas depuis le CD Windows :
- Redémarre ton PC puis accède au BIOS (Pour accéder au BIOS il faut appuyer sur F1 ou F2 au démarrage du PC).
- Il faut que tu choisisses CDROM en première séquence de boot. (Tuto. Regarde surtout ici).
Dis moi où tu rencontres des problèmes sinon.
Pour finir,
> Télécharge random's system information tool (RSIT) : http://images.malwareremoval.com/random/RSIT.exe
- Enregistre le programme sur ton bureau.
- Double clique sur RSIT.exe
- A l'écran "Disclaimer" choisis "1 months" dans le menu déroulant puis clique sur <continue>.
- Si HiJackThis n'est pas détecté sur ton PC, RSIT le téléchargera ; accepte alors la licence.
- Une fois le scanne terminé tu obtiendras un rapport log.txt. Poste le sur le forum.
NB : Il se peut que tu obtiennes un second rapport nommé info.txt. Dans ce cas poste le aussi.
Merci.
Bon courage.
A+
_________________________________________
Les lignes ci-dessous sont pour moi, un pense bête...
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Utilisateur\Application Data\.#
c:\documents and settings\Utilisateur\Application Data\.#\MBX@BDC@3841A8.###
c:\documents and settings\Utilisateur\Application Data\.#\MBX@BDC@3841D8.###
c:\documents and settings\Utilisateur\Application Data\.#\MBX@BDC@384208.###
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
9 déc. 2008 à 11:39
9 déc. 2008 à 11:39
Bonjour venisia,
l'intervention de DllD m'a amené à relire l'intégralité du topic.
Ton infection est liée au téléchargement de Babylon. Le site où tu l'as téléchargé est probablement infecté.
Te souviens tu où c'était ?
Ne mets pas l'url du site avec http: quelqu'un d'autre risquerait d'être infecté à son tour. Si tu donnes quelque chose, remplace http par hxxp.
=================
Comme je l'ai dit dès ma première intervention, il semble que la réinstallation de windows a été faite de manière qui ne garantisse pas son authenticité.
Les mises à jour de Windows se font ?
=================
Le jeu GSC World Publishing n'est pour rien dans ton infection (même si le mode de téléchargement et le fait d'utiliser un crack, si c'est le cas, sont probablement à hauts risques).
D'ailleurs le répertoire
==============
Inutile de faire scanner sur VirusTotal C:\WINDOWS\System32\appdrvrem01.exe
qui n'existe plus (il a d'ailleurs été avant le 25 /11/2008).
Le pilote associé appdrvrem01 n'existe plus non plus.
===============
Inutile aussi de faire scanner C:\WINDOWS\System32\win32hlp.cnf a été identifié par chiquitine comme appartenant à TROJ_DLOAD.LU
Par contre, il a effectivement résisté à toutes les suppressions. Plus exactement, il est supprimé mais est régénéré à chaque redémarrage.
================
Fais ceci :
Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton Bureau
Double clique sur le OAD pour le lancer
- nom de fichier à rechercher tape ou fais un copier coller de :
- Type de recherche : sélectionne l'option 6 puis valide [entree]
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.
- Fais un copier / coller de ce rapport dans ton prochain post.
Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e)
l'intervention de DllD m'a amené à relire l'intégralité du topic.
Ton infection est liée au téléchargement de Babylon. Le site où tu l'as téléchargé est probablement infecté.
Te souviens tu où c'était ?
Ne mets pas l'url du site avec http: quelqu'un d'autre risquerait d'être infecté à son tour. Si tu donnes quelque chose, remplace http par hxxp.
=================
Comme je l'ai dit dès ma première intervention, il semble que la réinstallation de windows a été faite de manière qui ne garantisse pas son authenticité.
Les mises à jour de Windows se font ?
=================
Le jeu GSC World Publishing n'est pour rien dans ton infection (même si le mode de téléchargement et le fait d'utiliser un crack, si c'est le cas, sont probablement à hauts risques).
D'ailleurs le répertoire
c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð.n'existe pas.
==============
Inutile de faire scanner sur VirusTotal C:\WINDOWS\System32\appdrvrem01.exe
qui n'existe plus (il a d'ailleurs été avant le 25 /11/2008).
Le pilote associé appdrvrem01 n'existe plus non plus.
===============
Inutile aussi de faire scanner C:\WINDOWS\System32\win32hlp.cnf a été identifié par chiquitine comme appartenant à TROJ_DLOAD.LU
Par contre, il a effectivement résisté à toutes les suppressions. Plus exactement, il est supprimé mais est régénéré à chaque redémarrage.
================
Fais ceci :
Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton Bureau
Double clique sur le OAD pour le lancer
- nom de fichier à rechercher tape ou fais un copier coller de :
win32hlp
- Type de recherche : sélectionne l'option 6 puis valide [entree]
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.
- Fais un copier / coller de ce rapport dans ton prochain post.
Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e)
Venisia54
Messages postés
176
Date d'inscription
lundi 15 septembre 2008
Statut
Membre
Dernière intervention
24 mai 2010
2
10 déc. 2008 à 12:07
10 déc. 2008 à 12:07
Bonjour,
Désolé pour le temps de réponse et encore merci pour toute l'aide que tu nous apporte :)
10/12/2008 ---- 12:06:39,04
----------------------------------
§§§§§§ [win32hlp] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
Aucune entrée détectée
*******************
[Fichier]
*******************
c:\WINDOWS\system32\win32hlp.cnf
*********************
[Même date]
*********************
[25/11/2008 ] ---> C:\rapport.txt
[25/11/2008 ] ---> C:\TCleaner.txt
[25/11/2008 ] ---> C:\WINDOWS\0.log
[25/11/2008 ] ---> C:\WINDOWS\comsetup.log
[25/11/2008 ] ---> C:\WINDOWS\DHCPUPG.LOG
[25/11/2008 ] ---> C:\WINDOWS\FaxSetup.log
[25/11/2008 ] ---> C:\WINDOWS\fdsv.exe
[25/11/2008 ] ---> C:\WINDOWS\grep.exe
[25/11/2008 ] ---> C:\WINDOWS\iis6.log
[25/11/2008 ] ---> C:\WINDOWS\imsins.log
[25/11/2008 ] ---> C:\WINDOWS\KB956390-IE7.log
[25/11/2008 ] ---> C:\WINDOWS\msgsocm.log
[25/11/2008 ] ---> C:\WINDOWS\ntbtlog.txt
[25/11/2008 ] ---> C:\WINDOWS\ntdtcsetup.log
[25/11/2008 ] ---> C:\WINDOWS\ocgen.log
[25/11/2008 ] ---> C:\WINDOWS\ocmsn.log
[25/11/2008 ] ---> C:\WINDOWS\sed.exe
[25/11/2008 ] ---> C:\WINDOWS\setupact.log
[25/11/2008 ] ---> C:\WINDOWS\setupapi.log
[25/11/2008 ] ---> C:\WINDOWS\setuperr.log
[25/11/2008 ] ---> C:\WINDOWS\SWREG.exe
[25/11/2008 ] ---> C:\WINDOWS\SWSC.exe
[25/11/2008 ] ---> C:\WINDOWS\SWXCACLS.exe
[25/11/2008 ] ---> C:\WINDOWS\system32\tmp.txt
[25/11/2008 ] ---> C:\WINDOWS\system32\win32hlp.cnf
[25/11/2008 ] ---> C:\WINDOWS\tsoc.log
[25/11/2008 ] ---> C:\WINDOWS\VFIND.exe
[25/11/2008 ] ---> C:\WINDOWS\WindowsUpdate.log
[25/11/2008 ] ---> C:\WINDOWS\WINNT32.LOG
[25/11/2008 ] ---> C:\WINDOWS\zip.exe
Désolé pour le temps de réponse et encore merci pour toute l'aide que tu nous apporte :)
10/12/2008 ---- 12:06:39,04
----------------------------------
§§§§§§ [win32hlp] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
Aucune entrée détectée
*******************
[Fichier]
*******************
c:\WINDOWS\system32\win32hlp.cnf
*********************
[Même date]
*********************
[25/11/2008 ] ---> C:\rapport.txt
[25/11/2008 ] ---> C:\TCleaner.txt
[25/11/2008 ] ---> C:\WINDOWS\0.log
[25/11/2008 ] ---> C:\WINDOWS\comsetup.log
[25/11/2008 ] ---> C:\WINDOWS\DHCPUPG.LOG
[25/11/2008 ] ---> C:\WINDOWS\FaxSetup.log
[25/11/2008 ] ---> C:\WINDOWS\fdsv.exe
[25/11/2008 ] ---> C:\WINDOWS\grep.exe
[25/11/2008 ] ---> C:\WINDOWS\iis6.log
[25/11/2008 ] ---> C:\WINDOWS\imsins.log
[25/11/2008 ] ---> C:\WINDOWS\KB956390-IE7.log
[25/11/2008 ] ---> C:\WINDOWS\msgsocm.log
[25/11/2008 ] ---> C:\WINDOWS\ntbtlog.txt
[25/11/2008 ] ---> C:\WINDOWS\ntdtcsetup.log
[25/11/2008 ] ---> C:\WINDOWS\ocgen.log
[25/11/2008 ] ---> C:\WINDOWS\ocmsn.log
[25/11/2008 ] ---> C:\WINDOWS\sed.exe
[25/11/2008 ] ---> C:\WINDOWS\setupact.log
[25/11/2008 ] ---> C:\WINDOWS\setupapi.log
[25/11/2008 ] ---> C:\WINDOWS\setuperr.log
[25/11/2008 ] ---> C:\WINDOWS\SWREG.exe
[25/11/2008 ] ---> C:\WINDOWS\SWSC.exe
[25/11/2008 ] ---> C:\WINDOWS\SWXCACLS.exe
[25/11/2008 ] ---> C:\WINDOWS\system32\tmp.txt
[25/11/2008 ] ---> C:\WINDOWS\system32\win32hlp.cnf
[25/11/2008 ] ---> C:\WINDOWS\tsoc.log
[25/11/2008 ] ---> C:\WINDOWS\VFIND.exe
[25/11/2008 ] ---> C:\WINDOWS\WindowsUpdate.log
[25/11/2008 ] ---> C:\WINDOWS\WINNT32.LOG
[25/11/2008 ] ---> C:\WINDOWS\zip.exe
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
11 déc. 2008 à 00:38
11 déc. 2008 à 00:38
Bonsoir,
1. Télécharge The Avenger par Swandog46 sur le Bureau
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau
2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Begin copying here:
Files to delete:
c:\WINDOWS\system32\win32hlp.cnf
IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
Ferme toutes les applications et ton navigateur
3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.
Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.
Clique sur Execute
4. The Avenger va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
5. copier/coller le contenu du ficher c:\avenger.txt dans ta réponse
6 refais tourner OAD sur win32hlp et poste le rapport.
1. Télécharge The Avenger par Swandog46 sur le Bureau
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau
2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Begin copying here:
Files to delete:
c:\WINDOWS\system32\win32hlp.cnf
IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
Ferme toutes les applications et ton navigateur
3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.
Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.
Clique sur Execute
4. The Avenger va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
5. copier/coller le contenu du ficher c:\avenger.txt dans ta réponse
6 refais tourner OAD sur win32hlp et poste le rapport.
Venisia54
Messages postés
176
Date d'inscription
lundi 15 septembre 2008
Statut
Membre
Dernière intervention
24 mai 2010
2
11 déc. 2008 à 13:34
11 déc. 2008 à 13:34
bonjour,
je suis désolée peux tu etre plus précis sur ce passage stp:
refais tourner OAD sur win32hlp et poste le rapport
Je n'ai pas eu de fenêtre noire au re-démarrage
Voici le rapport:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "c:\WINDOWS\system32\win32hlp.cnf" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
je suis désolée peux tu etre plus précis sur ce passage stp:
refais tourner OAD sur win32hlp et poste le rapport
Je n'ai pas eu de fenêtre noire au re-démarrage
Voici le rapport:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "c:\WINDOWS\system32\win32hlp.cnf" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
11 déc. 2008 à 13:52
11 déc. 2008 à 13:52
Re,
fais ceci :
Double clique sur le OAD pour le lancer
- nom de fichier à rechercher tape ou fais un copier coller de :
win32hlp
- Type de recherche : sélectionne l'option 6 puis valide [entree]
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.
- Fais un copier / coller de ce rapport dans ton prochain post.
C'est la méthode la plus simple pour vérifier que le fichier est bien mort.
fais ceci :
Double clique sur le OAD pour le lancer
- nom de fichier à rechercher tape ou fais un copier coller de :
win32hlp
- Type de recherche : sélectionne l'option 6 puis valide [entree]
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.
- Fais un copier / coller de ce rapport dans ton prochain post.
C'est la méthode la plus simple pour vérifier que le fichier est bien mort.
Venisia54
Messages postés
176
Date d'inscription
lundi 15 septembre 2008
Statut
Membre
Dernière intervention
24 mai 2010
2
11 déc. 2008 à 19:52
11 déc. 2008 à 19:52
Bonsoir,
Voici le rapport:
11/12/2008 ---- 19:49:53,84
----------------------------------
§§§§§§ [win32hlp] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
Aucune entrée détectée
*******************
[Fichier]
*******************
*********************
[Même date]
*********************
Aucun fichier créé à la même date détecté
Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
Mais maintenant, il faut que je reset 3 ou 4 fois le PC avant d'arriver enfin au message impossible d'ouvrir une session sinon il bloque sur l'écran de démarrage de windows.
Voici le rapport:
11/12/2008 ---- 19:49:53,84
----------------------------------
§§§§§§ [win32hlp] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
Aucune entrée détectée
*******************
[Fichier]
*******************
*********************
[Même date]
*********************
Aucun fichier créé à la même date détecté
Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
Mais maintenant, il faut que je reset 3 ou 4 fois le PC avant d'arriver enfin au message impossible d'ouvrir une session sinon il bloque sur l'écran de démarrage de windows.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
11 déc. 2008 à 22:29
11 déc. 2008 à 22:29
Re,
il m'arrive aussi, de temps en temps d'avoir un démarrage long.
Essaye de le redémarrer jusqu'à ce que tu ais 2 démarrages consécutifs normaux.
Tu attends que la procédure de démarrage soit terminée avant de la relancer.
Quand "il bloque", le disque dur ne travaille jamais ou très rarement ?
il m'arrive aussi, de temps en temps d'avoir un démarrage long.
Essaye de le redémarrer jusqu'à ce que tu ais 2 démarrages consécutifs normaux.
Tu attends que la procédure de démarrage soit terminée avant de la relancer.
Quand "il bloque", le disque dur ne travaille jamais ou très rarement ?
Venisia54
Messages postés
176
Date d'inscription
lundi 15 septembre 2008
Statut
Membre
Dernière intervention
24 mai 2010
2
12 déc. 2008 à 17:46
12 déc. 2008 à 17:46
bonjour
quant il bloque le pc emet un bip puis apparait la page de démarrage de windows.
Im me semble que le disque dur tourne pas à ce moment.
au secours avast viens de me retrouver un virus dans le systeme 32 , un rooktip, avec comme solution soit ignorer soit supprimer, j ai choisi ignorer comme il me conseillait.
quant il bloque le pc emet un bip puis apparait la page de démarrage de windows.
Im me semble que le disque dur tourne pas à ce moment.
au secours avast viens de me retrouver un virus dans le systeme 32 , un rooktip, avec comme solution soit ignorer soit supprimer, j ai choisi ignorer comme il me conseillait.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
12 déc. 2008 à 18:26
12 déc. 2008 à 18:26
Re,
il y a un "faux positif" de avast actuellement.
Tu peux donner le fichier concerné et le nom de la menace ?
Fais aussi ceci :
Fais un scan en ligne Kaspersky avec Internet Explorer :
- Clique sur Démarrer Online-Scanner
- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail.
- Sauvegarde puis colle le rapport généré en fin d'analyse.
AIDE : Configurer le contrôle des ActiveX
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
Le tutoriel de PCA :
https://forum.pcastuces.com/default.asp
il y a un "faux positif" de avast actuellement.
Tu peux donner le fichier concerné et le nom de la menace ?
Fais aussi ceci :
Fais un scan en ligne Kaspersky avec Internet Explorer :
- Clique sur Démarrer Online-Scanner
- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail.
- Sauvegarde puis colle le rapport généré en fin d'analyse.
AIDE : Configurer le contrôle des ActiveX
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
Le tutoriel de PCA :
https://forum.pcastuces.com/default.asp