virus administrateur qui commande tousRésolu/Fermé

Question

Bonjour,

est ce qu'il ya quelquns qui peu m aider?????????

j ai ete attaquer par un virus qui ma bloqué mon compte administrateur ,et c lui qui gere tout je peu acceder que par mon compte utilisateur lorsque je tape administrateur il demande  "mot de passe " que j ai jamais fai un ,je peu ni installer ni supprimer ni formater 
ce que je sache c que les virus s'appellent
IRI.EXE
OKEA.EXE
SYSTEM9.EXE
SYSTEM43.EXE
XX.EXE

Destrio5 · Accepted Answer

Peux-tu lancer ce programme ?
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Destrio5 · Answer

Salut,

Pareil en mode sans échec ?

Destrio5 · Answer

- Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) sur ton Bureau.
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée.

- Un rapport sera généré, poste-le dans ta prochaine réponse.

[*] process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus.[*]

** Ne fais l'étape 2 que si on te le demande, on doit d'abord examiner le premier rapport de SmitfraudFix.

Destrio5 · Answer

---> Télécharge SDFix (créé par AndyManchesta) sur ton Bureau :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
- Double-clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. 
- Redémarre ton ordinateur en mode sans échec.

---> Pour redémarrer en mode sans échec :
- Redémarre ton PC.
- Au démarrage, tapote sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
- Dans le menu d'options avancées, choisis Mode sans échec.
- Choisis ta session.

---> Déroule la liste des instructions ci-dessous :
- Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer le script.
- Appuie sur Y pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
- Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.

Destrio5 · Answer

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Je te conseille vivement d'installer la Console de récupération.

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\Combofix.txt

Tutoriel officiel : 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Destrio5 · Answer

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.

Destrio5 · Answer

---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes
explorer.exe 

:files
C:\Program Files\Dealio   
C:\Program Files\Search Settings
C:\WINDOWS\System32\fxstaller.exe  
C:\WINDOWS\system32\svscs.exe
C:\Program Files\SweetIM
C:\WINDOWS\System32s32net.exe 
C:\WINDOWS\system32\jpflfehp.dll
C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\Cfg.exe
C:\WINDOWS
tpnzlao.exe 
C:\Program Files\A360
C:\WINDOWS\system32\vyywhp.dll 

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Destrio5 · Answer

Des changements ?

Lyonnais92 · Answer

Salitn

Destrio5 ne te laissera pas tomber.

Mais il faut aussi qu'il mange, qu'il ...

Il voulait savoir si tu peux faire maintenant des choses que tu ne pouvais pas avant (téléchargement, exécution de programmes, ..).

Lyonnais92 · Answer

Re,

à la demande de destrio5, ce petit utilitaire peut améliorer les choses :

télécharge Zeb Restore
http://telechargement.zebulon.fr/zeb-restore.html
Zeb-Restore est un petit utilitaire de restauration de clés de la base de registre. Le but du programme n'est pas de restaurer l'ensemble du système mais uniquement les points les plus souvent touchés afin de solutionner différents problèmes qui peuvent revenir de façon récurrente.

Voici les éléments qui peuvent être restaurés : coche les lignes engras
- RegEdit : réactive l'accès à RegEdit
- Clés RUN : réactive le lancement de programmes par clés RunXXX
- Bouton Arrêter : rétablit le bouton Arrêter
- Windows Update : rétablit la fonction Windows Update
- Gestionnaire des tâches : réactive le gestionnaire des tâches
- Panneau de configuration : réactive le Panneau de configuration
- Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes
- Policies : remet en place des éléments désactivés par "Policies"
- Bureau : réactive le Bureau
- Réparation IE : répare Internet Exploreur (pages de recherche)
- Extension des fichiers : répare les extensions des fichiers .exe .bat .reg. Pif.cmd.scr .com
- Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
- Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
- Réinitialiser Fichier Hosts : réinitialise le fichier Hosts

Si tu as des problèmes, essaye de le faire ligne après ligne, en renonçant à celles qui nr fonctionnent pas.

Par contre, ne fais redémarrer l'ordi qu'en cas de nécessité. Il est possible que tant que les malwares sont là, la réparation ne soit que temporaire.

Destrio5 · Answer

antivirus2009 est un rogue, une infection se faisant passer pour un logiciel de sécurité.

Lyonnais92 · Answer

Re,

quand tu auras fait passer ZebRestore, fais ça :

Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
hxxp://telechargement.zebulon.fr/telecharger-zhpdiag.html

Une fois le téléchargement achevé, dézippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme.

Clique sur Tous pour cocher toutes les cases des options.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

Destrio5 · Answer

Télécharger haxfix.exe
http://users.telenet.be/marcvn/tools/haxfix.exe

* Double cliquer sur haxfix.exe pour installer haxfix.     (installation standard dans C:\program Files\haxfix)
* Cocher "Create a desktop icon"
* Cliquer "Next"
* Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché
* Cliquer "Finish"

Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:
1. Make logfile (créer un rapport)
2. Run auto fix (lancer la réparation en mode automatique)
3. Run manual fix (lancer la réparation en mode manuel)
E. Exit Haxfix (quitter Haxfix)

* Selectionner l'option 1. Make logfile en tapant 1 puis taper "Entrée"
* Haxfix va analyser le système. Quand il a fini, un rapport s'ouvrira: haxlog.txt > (c:\haxlog.txt)

Colle ce rapport ici.

Lyonnais92 · Answer

Re,

est ce que la fenêtre noire de catchme s'est ouverte ?

est ce que catchme est scanning ... ?

Lyonnais92 · Answer

Re

est ce que catchme.exe est dans c:\haxfix  ?

Lyonnais92 · Answer

Re,

on a avancé.

Est ce que tu peux faire ceci :

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://download.cnet.com/Malwarebytes/3000-8022_4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

Destrio5 · Answer

---> Poste un nouveau rapport HijackThis.

Lyonnais92 · Answer

Re,

tu as une sauvegarde de tes donnéées personelles ?

tu as le cd de windows et la clé de 25 caractères ?

as tu des données confidentielles ? des mots de passe ? des données bancaires ?

Destrio5 · Answer

1/

---> Relance HijackThis et choisis Do a system scan only.

---> Coche les cases qui sont devant les lignes suivantes :

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file) 

O3 - Toolbar: (no name) - {b00f3d7d-ecad-4a3b-bcf7-ba5fc1fd0f8d} - (no file) 

O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (file missing) 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k 

O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe 

O4 - HKLM\..\Run: [nl2plwrk] C:\WINDOWS\system32\svscs.exe     

O4 - HKLM\..\Run: [4885937c] rundll32.exe "C:\WINDOWS\system32\mvbcjphc.dll",b 

O4 - HKCU\..\Run: [nl2plwrk] C:\WINDOWS\system32\svscs.exe     

O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32s32net.exe 

O4 - HKCU\..\Run: [ntpnzlao.exe] C:\WINDOWS
tpnzlao.exe     

O4 - HKCU\..\Run: [39046549938898285587222595695693] C:\Program Files\Antivirus 2009\av2009.exe 

O4 - HKCU\..\Run: [cmds] rundll32.exe C:\DOCUME~1\selim\LOCALS~1\Temp	uvVoPGX.dll,c 

O4 - HKCU\..\Run: [MS Juan] rundll32 "C:\DOCUME~1\selim\LOCALS~1\Temp
nogtt.dll",run 

O20 - AppInit_DLLs: vyywhp.dll     

---> Clique en bas sur Fix checked. Mets oui si HijackThis te demande quelque chose.

---> Redémarre ton PC.


2/

---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes
explorer.exe 

:files
C:\WINDOWS\system32\drivers\mrxdavv.sys
C:\WINDOWS\system32\svscs.exe 
C:\WINDOWS\System32s32net.exe 
C:\WINDOWS
tpnzlao.exe 
C:\Program Files\Antivirus 2009
C:\Program Files\Search Settings
C:\Program Files\SweetIM

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Destrio5 · Answer

Ce n'est pas le bon rapport.

kimbrador · Answer

je suis tellement desolé voila le bon rapport (celui que j ai envoyé est celui de la premiere fois  voila le bon  desole encore une fois


========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder C:\WINDOWS\system32\drivers\mrxdavv.sys not found.
File/Folder C:\WINDOWS\system32\svscs.exe not found.
File/Folder C:\WINDOWS\System32s32net.exe not found.
File/Folder C:\WINDOWS
tpnzlao.exe not found.
C:\Program Files\Antivirus 2009 moved successfully.
File/Folder C:\Program Files\Search Settings not found.
File/Folder C:\Program Files\SweetIM not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\selim\LOCALS~1\Temp	uvVoPGX.dll scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\ih8.tmp\hotfix.xml.70Hotfix_PSC7MF8.52.0 scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\ih8.tmp\hotfix.xml.70Hotfix_PSC7MF8.52.1 scheduled to be deleted on reboot.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\selim\Local Settings\Application Data\Mozilla\Firefox\Profiles\pmkaqe5j.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12192008_024034

Destrio5 · Answer

http://sd-1.archive-host.com/membres/up/3288717712384394/MBAM.rar

Extrais cette archive et lance MBAM.

Destrio5 · Answer

- Télécharge Dr.Web CureIt sur ton Bureau.
- Double-clique sur launcher.exe (Icône en forme d'araignée).
- Clique sur Commencer le scan puis sur OK à l'invite de l'analyse rapide.
Le scan va analyser les processus chargés en mémoire. S'il trouve des infections, clique sur le bouton Oui à chaque proposition.
NB : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction". Quitte en cliquant le X.
- Une fois le scan rapide achevé, clique sur Options puis choisis Changer la configuration. Choisis l'onglet Scanner, décoche Analyse heuristique puis clique sur Ok.
- De retour à la fenêtre principale, clique pour activer Analyse complète puis sur le bouton avec la flèche verte => le scan débute alors.
- Lorsque qu'un fichier est détecté, clique sur Oui pour tout à l'invite Désinfecter ? puis sur Désinfecter.
- Lorsque le scan sera terminé, regarde si tu peux cliquer sur cet icône adjacent aux fichiers détectés (Icône avec une sorte de V rouge). Si oui, alors clique dessus et ensuite clique sur l'icône Suivant au dessous, et choisis Déplacer en quarantaine l'objet indésirable.
- En haut à gauche du menu principal de l'outil, clique sur le menu Fichier et choisis Enregistrer le rapport.
- Sauvegarde le rapport. Il se nomme : DrWeb.csv
- Ferme Dr.Web CureIt.
- Redémarre ton PC (c'est très important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Après redémarrage, copie/colle le rapport Dr.Web sur le forum.

Lyonnais92 · Answer

Bonjour,

pour avancer Destrio,

peux tu remettre un rapport ZHPDiag.

Destrio5 · Answer

---> Télécharge GMER :
http://www2.gmer.net/gmer.zip

---> Extrais le contenu du ZIP puis renomme "gmer.exe" en "bypass.exe"

---> Onglet "Rootkit" ; clique sur "Scan" puis patiente.

---> En fin de traitement, clique sur "Save..." et enregistre sur ton Bureau "301108.txt".

---> Double-clique sur "301108.txt" ; le rapport apparaît, poste-le.

Destrio5 · Answer

Pour le renommer ou pour le lancer ?

Destrio5 · Answer

---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes
explorer.exe 

:files 
C:\iri.exe 
C:\okea.exe 
C:\system43.exe 
C:\system9.exe 
C:\xx.exe 
c:\windows\system32\fcccslle.dll 

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Destrio5 · Answer

Ok, fais la manip' en mode sans échec.

Destrio5 · Answer

Lyonnais92 te fera une procédure dans la soirée ;)

Lyonnais92 · Answer

Bonsoir,

la manip annoncée par Destrio :

1. Télécharge The Avenger par Swandog46 sur le Bureau
 
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras  ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

 

Files to delete:
C:\iri.exe
C:\okea.exe
C:\system43.exe
C:\system9.exe
C:\xx.exe
c:\windows\system32\fcccslle.dll
C:\DOCUME~1\selim\LOCALS~1\Temp	uvVoPGX.dll
C:\DOCUME~1\selim\LOCALS~1\Temp\bfuwzq.dll
C:\WINDOWS\system32\drivers\mrxdavv.sys

 
 IMPORTANT : Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" est cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.  
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger.  Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

Destrio5 · Answer

Oui, j'ai vu.

Tu n'as pas le CD de Windows ?

Lyonnais92 · Answer

Re,

si tu peux faire Démarrer, exécuter, tu tapes ceci dans la zone de saisie :

avenger.exe /nogui /scan /reboot

Destrio5 · Answer

Il est de quelle marque ton PC ?

Lyonnais92 · Answer

Re,

tu réponds yes à la question "do you want to execute a rootkit scan only "

Lyonnais92 · Answer

Re,

on réessaye avec la procédure en ligne de commande.

Attention :

avenger.exe /nogui /scan /reboot

n'est pas 

avenger.exe/nogui/scan/reboot

Essaye avec 


C:\Documents and Settings\selim\Bureau\avenger.exe /nogui /scan /reboot

Destrio5 · Answer

Dis-moi, tu n'as jamais formaté et réinstallé Windows ?

sKe69 · Answer

Salut à tous ,

si Destrio5 et Lyonnais92 n'y voient pas d' inconvénient , j'aimerai que tu essayes ceci stp :


Dans l'ordre :


1- Télécharge Rooter de l'équipe IDN sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/Rooter.exe?attachauth=ANoY7cpzQksLcJt-e1z30LGu7t4JjUhh8amzWs_oSPSJpXbXp8ythGbW2WF8ysioh5NNlarrn7zMnYCRfsT5rCwNrfw5_CZYELApylTiY_MGu0G6uKzWpLEF2YXM3tF7nKZZAWj0JSAajXlZhd8dIyI3MrZ-lAIT5ZrAdcrct9_7bshwVpaZRPizuMTv9SDvmvY31BX4Vvvh2F2Brp1cy_K0jtTTfjttEA%3D%3D&attredirects=2

! Déconnecte toi d'internet et ferme toutes applications en cours !

 
* Exécute Rooter et laisse travailler l'outil .

* Une fois terminé, poste le rapport obtenu pour analyse ...


=====================


2- Supprime ton Smithfraudfix si tu l'as encore ( ainsi que les éventuels dossier crées par l'outil ) .


=====================

3- Télécharge ske.exe ( = SmitfraudFix renommé (de S!Ri, balltrap34 et moe31 ) ) :

https://www.sendspace.com/file/w8walf

Installe le soft sur ton bureau ( et pas ailleurs! ) .

!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!


Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
Autre tuto animé ( merci balltrapp34 ;) ) : http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm
 
Utilisation ---> option 1 / Recherche : 
Double-clique sur l'icône "ske.exe" et sélectionne 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.
 
Poste le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

Lyonnais92 · Answer

Re,

toutes les propositions sont bonnes !

essaye, on verra.

sKe69 · Answer

re,

essaye de lancer la manipe avec "ske.exe" en mode sans échec :

 /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ). 
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...


Et autre chose que je viens de voir ... virer Vista pour mettre une version crackée de XP fut loin d'être l'idée du sciècle !

-> info à prendre en compte : 
http://www.commentcamarche.net/faq/sujet 2981 windows j utilise une version piratee

Lyonnais92 · Answer

Re,

tu me diras aussi ce qui se passe quand tu fais ça :

Démarrer, Exécuter, tu tapes devmgmt.msc puis OK

sKe69 · Answer

autre question ,

lorsque tu cliques droit sur "ske.exe" par exemple , tu n'a spas le choix de faire ensuite dans le petit menu qui s'affiche : " exécuter avec les droits d'admin. " ou encore " exécuter entant qu'adminsitrateur " .... ?

Utilisateur anonyme · Answer

Bonsoir ,

je vais me joindre a vous 


kimbrador peux tu faire ceci stp :

telecharge ce fichier sur le bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/cle.bat

double clic sur clé.bat et post le raport clé.txt qui devrait apparaitre

Utilisateur anonyme · Answer

ok 

c étais previsible 

as tu acces a la base de registre ?

demarrer > executer > tape regedit puis fais entrer ... dis moi si ceci marche

Utilisateur anonyme · Answer

OK , on va tenter un truc mais j ai besoin de relire tes rapports donc moi 5 min 

@+

Utilisateur anonyme · Answer

re 

essai ceci dans un premier temps :

Telecharge UsbFix sur ton bureau

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

-->choisi l option 1 (nettoyage)

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt 

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Utilisateur anonyme · Answer

ok pas evident ton probleme

perso je vais me le penser si les collegues ont des choses a te faire faire qu ils se ne genent pas

kimbrador · Answer

par contre cette question et pour toute l'equipe avec mes sincers respect pour destrio5

Destrio5 · Answer

Ton cas est intéressant pour nous ;)

Destrio5 · Answer

IRI.EXE 
OKEA.EXE 
SYSTEM9.EXE 
SYSTEM43.EXE 
XX.EXE 

---> Tu peux nous mettre ces fichiers dans un dossier puis dans une archive (WinRar par exemple) ? 

Envoie-la sur (adresse mail supprimée)

Utilisateur anonyme · Answer

TU PEUX FAIRE CECI STP :

http://www.commentcamarche.net/forum/affich 9946756 virus administrateur qui commande tous?page=3#105

dis moi si t as pas compris

Utilisateur anonyme · Answer

ok on va reprendre 

je t explqiue je voudrais que tu fasses une manip afin de rcuperer certains fichiers pour les etudiers puis t aider 

donc 

je voudrias que tu ailles sur le disque C 

et que tu trouves ces fichiers :

IRI.EXE 
OKEA.EXE 
SYSTEM9.EXE 
SYSTEM43.EXE 
XX.EXE 


si tu les vois dis la moi apres je t explique

Utilisateur anonyme · Answer

ok 

alors tu vas faire 

as tu winrar ou 7 zip ?? 

peutx tu sans cliquer sur ces fichier les nevoyer dans un dossier pouis les compresser dans une archive avec winrar ou 7 zip ? 

tu me suis ? t as compris ?

kimbrador · Answer

oui je l'ai deja fais ca avant de vous contacté et ca n a pas marché ,et voila j ai reessayer pour etre sur mais non 

  boite message "imposssible d'ouvrir le fichier code error......

Utilisateur anonyme · Answer

ok 
mais tu fais ouvrir

moi je te demande CLIC DROIT SUR LE FICHIER envoyer vers document par exemple c possible , ,?

Destrio5 · Answer

Tu n'as pas Winrar ?

Utilisateur anonyme · Answer

destrio va t expliquer -;)

Destrio5 · Answer

Tu ne peux pas mettre les fichiers infectés dans une archive ?

Destrio5 · Answer

Ouvrir le fichier.

Destrio5 · Answer

Je ne demande pas d'ouvrir les fichiers infectés.

Essaie autrement.

Clique droit sur un fichier infecté et choisis Ajouter à "exemple.rar"

sKe69 · Answer

pour info :

voilà ce que j'ai pour quelques un de ces fichiers :

XX.EXE
> https://www.symantec.com?find=XX.EXE&x=12&y=9
un rapport VT serai le bienvenu pour plus de précisions .

IRI.EXE
> https://www.symantec.com?find=IRI.EXE&x=11&y=14

SYSTEM9.EXE
> https://www.symantec.com?find=SYSTEM9.EXE&x=12&y=11

SYSTEM43.EXE
> http://www.castlecops.com/s13820-system43_exe.html
> https://www.greatis.com/appdata/d/s/system43.exe.htm


si cela peut aider les collègues ... ;)

Utilisateur anonyme · Answer

merci ske 

on va y arriver -;)

Utilisateur anonyme · Answer

Salut , je repasse aux nouvelles ,

j ai bien reçu les fichiers 

ou en es tu ?

Utilisateur anonyme · Answer

re apres lecture de tes rapports et quelques test rapide fais ceci stp , si tu passes par là


---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau : 
http://oldtimer.geekstogo.com/OTMoveIt3.exe 

---> Double-clique sur OTMoveIt3.exe afin de le lancer. 

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes 
explorer.exe 
mldmm.exe
iri.exe 
okea.exe 
system43.exe 
system9.exe 
xx.exe
sucksa.exe
msvsc.exe
spooIsv.exe

:files 
C:\iri.exe 
C:\okea.exe 
C:\system43.exe 
C:\system9.exe 
C:\xx.exe
C:\sucksa.exe
c:\windows\system32\msvsc.exe
c:\windows\system32\spooIsv.exe
c:\windows\system32\mldmm.exe
c:\windows\mldmm.exe

:reg 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"mmsass"=- 
"Advanced DHTML Enable"=- 
"Spooler SubSystem App"=- 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 
"mmsass"=- 

:commands 
[emptytemp] 
[start explorer] 
[reboot] 




---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3. 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

Virus administrateur qui commande tous

63 réponses

Discussions similaires

Newsletters