DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 23 Nov 2024 à 21:54 FAQ | Rechercher | Membres | Groupes

[Résolu] mon pc àa une petite grippe


Aller à la page 1, 2, 3  Suivante 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
marco



Inscrit le: 14 Fév 2006
Messages: 73

MessagePosté le: 02 Aoû 2006 à 1:10    Sujet du message: [Résolu] mon pc àa une petite grippe Répondre en citant

bonjour à tous,
voilà je poste car comme vous aurez pu le deviner, mon pc semble infecté par un ou deux virus qui traînent;
En effet, mon anti-virus kaspersky me signale qu'un des objets est infecté par le virus.win32.sality.n et j'ai même une petite variante disant qu'un autre objet est infecté par Trojan.downloader.win32.del. Evil or Very Mad Mon AV ne parvient pas à les éliminer.
Voilà pouvez-vous faire quelque chose pour moi car je sais que c'est vous qui possédez le plus souvent le vaccin miracle.
Merci pour l'aide que vous pourrez m'apporter. :sage: 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 02 Aoû 2006 à 6:12    Sujet du message: Répondre en citant

Bonjour,

Pour commencer autant l dire sality est probablement une des bestioles les plus difficiles à erradiquer car infecte tous les fichiers executables qui sont lancés.

Ce qui ne signifie en rien que c'est impossible seulement il faudra faire plusieurs scans très long et cela necessite tout de même une certaine motivation bien que si le systeme n'est pas trop infecté cela peut suffir en 1 seul passage.



Étape 1:
- Télécharge eScan Antivirus Toolkit http://www.spywareinfo.dk/download/mwav.exe
* Sauvegarde-le sur ton Bureau.
* Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
- Mise à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; enfonce une touche pour continuer.

Ne pas lancer le scan tout de suite !

Télécharge sality.zip http://www.cfasi.net/telechargement/sality.zip
Décompresse le sur ton bureau



Étape 3:
Redémarre en mode Sans Échec
(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

lance sality.bat
Clique sur f (fix)

sauvegarde le rapport généré.


Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur attention cela risque de prendre du temps aux vues du log précédent

Lorsque terminé, tu verras Scan Completed Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) les rapports que tu as sauvegardé dans ta prochaine réponse.
(mwav.exe et sality.bat)

Bon courage 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
marco



Inscrit le: 14 Fév 2006
Messages: 73

MessagePosté le: 03 Aoû 2006 à 1:44    Sujet du message: Répondre en citant

salut,
donc comme tu me l'as remarquablement expliqué, j'ai fait toutes les manips et voilà ce que çà a donné:

Prenet sality v1.0 beta

Rapport fait à 22:04:35,96, 02/08/2006
Executé à partir de C:\Documents and Settings\confo\Bureau\sality
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal



!! modification fichier hosts !!

!! Supression des fichiers temporaires !!


oooooooooooooooooooo !! fin du rapport !! oooooooooooooooooooo

voilà pour la 1ère étape, voici pour le scan qui a pris un peu plus de temps et que je n'arrivais pas à copier/coller donc je l'ai recopié:

File C:\WINDOWS\system32\tmp_42.exe infected by "Trojan-Downloader.Win32.Small-djv"Virus.Log supprimé

voilà, j'espère que j'ai bien fait les choses. Encore merci et à bientôt. Very Happy 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 03 Aoû 2006 à 6:35    Sujet du message: Répondre en citant

Bonjour,

Ca a l'air correct.

Petite operation pour nettoyer ela


- Désactive la restauration système

Citation:

Menu démarrer > panneau de configuration > système.
dans l'onglet restauration système coche la case :
Désactiver la restauration du système sur tous les lecteurs
clique sur ok


- Redémarre et réactive la restauration par l'operation inverse (en decochant la case).

Ensuite par mesure de précaution

-Fais un scan en ligne ici avec Internet explorer http://www.kaspersky.com/virusscanner
Un tuto http://www.malekal.com/scan_Av_en_ligne.html

* A la fin du scan sauvegarde et fais un copier coller du rapport d'analyse dans ta prochaine réponse 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
marco



Inscrit le: 14 Fév 2006
Messages: 73

MessagePosté le: 04 Aoû 2006 à 17:20    Sujet du message: Répondre en citant

c'est la panique,
je sais pas ce que j'ai fait ou alors si c'est plus grave que je le pensais mais mon pc fait n'importe quoi.
il ne veut plus redémarrer lorsque mon modem est activé donc je peux plus aller sur le net avec (heureusement j'ai un autre pc et j'ai pu brancher internet dessus!)et quand je l'active, alors qu'il est sur windows, il redémarre et impossible de revenir sur windows, même en mode sans échec.

en plus j'ai une fenêtre maintenant qui arrête pas de s'enclencher en bas à droite de mon écran me disant que mon pc est infecté par un spyware. Enfin j'y comprends plus rien.
J'espère que j'ai pas fait de mauvaises manips.
Merci pour l'aide que tu pourras m'apporter. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 04 Aoû 2006 à 17:43    Sujet du message: Répondre en citant

Bonjour,

Decidement

- Télécharge smitfraudfix (S!Ri) http://siri.urz.free.fr/Fix/SmitfraudFix.zip
* Décompresse le sur ton bureau
* lance smitfraudfix.cmd et choisis l'option 1 et Entrée
/!\ ne touches surtout pas aux autres options pour le moment /!\
* Un rapport sera généré sauvegarde le
*Quitte smitfraudfix

/!\ process.exe est détecté par certains antivirus comme étant un virus ce qui bien evidement n'est pas le cas mais un utilitaire destiné à mettre fin à des processus. /!\



- Redémarre ton PC en mode sans échec Impératif !!!

* Ouvre le dossier SmitfraudFix
* Double clic sur SmitfraudFix.cmd choisis l'option 2 et Entrée
* Réponds O (oui) à Voulez-vous nettoyer le registre ?

* Si cette question t'est posée
* Réponds n(Non) à Corriger le fichier infecté ?
* Un rapport sera généré sauvegarde le
*Quitte smitfraudfix

- Redémarre en mode normal

Post les 2 rapports smitfraudfix ainsi qu'un log hijackths

a+ 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
marco



Inscrit le: 14 Fév 2006
Messages: 73

MessagePosté le: 04 Aoû 2006 à 19:57    Sujet du message: Répondre en citant

donc là , j'ai fait smithfraudfix, le souci c'est quand j'ai fait l'option 1, j'ai redémarré en mode sans échec et là, j'ai un écran noir avec un tiret blanc qui clignote en haut à gauche? qu'est-ce qui se passe?  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 04 Aoû 2006 à 20:57    Sujet du message: Répondre en citant

A priori le fichier boot.ini est coorompu.

Essaies de lancer l'option 2 en mode normal et ensuite faire le log hijackthis pour essayer d'y voir plus clair 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
marco



Inscrit le: 14 Fév 2006
Messages: 73

MessagePosté le: 04 Aoû 2006 à 21:22    Sujet du message: Répondre en citant

voici la bête:
Log supprimé - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 04 Aoû 2006 à 21:50    Sujet du message: Répondre en citant

Effectivement à ce point c'est pas une grippe c'est une pneumonie.

Dans la mesure ou tu ne peux démarrer en mode sans echec je vais devoir faire un fichier batch pour arreter les procesus et supprimer les fichiers par conséquent cela demande un peu de temps

si jamais tu parviends a demarrer en mode sans echec relances hijackthis, coche ces ignes

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
O1 - Hosts: .0.0.1 rads.mcafee.com
O2 - BHO: (no name) - {87185E78-A61B-4DB3-965A-3235BBD7A622} - C:\WINDOWS\system32\win32hp.dll
O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmgn.exe
O4 - HKLM\..\Run: [win32hlp] C:\WINDOWS\system32\win32hlp.exe
O4 - HKLM\..\Run: [NvVideoCenter] C:\WINDOWS\system32\NvVid.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
O4 - HKLM\..\Run: [123c10c3.exe] C:\WINDOWS\system32\123c10c3.exe
O4 - HKLM\..\RunServices: [updwebmin] c:\windows\system32\updwebmin.exe
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe" O4 - HKCU\..\Run: [updwebmin] c:\windows\system32\updwebmin.exe
O4 - HKCU\..\Run: [123c10c3.exe] C:\Documents and Settings\confo\Local Settings\Application Data\123c10c3.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\tmp_h.dll infoitss.dll lzexkbdu.dll
O20 - Winlogon Notify: acac - C:\WINDOWS\system32\acac.dll
O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll
O21 - SSODL: FCTMpjJ - {A08A56DF-0A20-FC75-43D3-00EE99DB2E41} - C:\WINDOWS\system32\ylfk.dll
O21 - SSODL: DCOM Server 2240 - {2C1CD3D7-86AC-4068-93BC-A02304BB2240} - C:\WINDOWS\system32\2240_28.dll

puis clique sur fixer objet (ou fix checked)

je prepare un batch ce soir pour supprimer ca.

a+ 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
marco



Inscrit le: 14 Fév 2006
Messages: 73

MessagePosté le: 04 Aoû 2006 à 22:32    Sujet du message: Répondre en citant

merci pour le mal que tu te donnes en tout cas.
Je crois que je vais attendre car il veut pas démarrer en mode sans échec, y a rien à faire.
Bon ben alors à toute! 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 04 Aoû 2006 à 23:21    Sujet du message: Répondre en citant

Re,

On va donc faire un premier essai

Télécharge marcofix http://www.cfasi.net/telechargement/Marcofix.zip

- décompresse le sur ton bureau

- Ferme toutes les applications

Lors du lancement le bureau disparaitra
le fix sera terminé quand il réapparaitra

- lance Fix.bat
* appuies sur la touche "F" puis valide par entrée

- Supprime le dossier Marcofix (et le fichier compressé)

Redémarre et refais un log hijackthis pour s'assurer du résultat.

a+ 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
marco



Inscrit le: 14 Fév 2006
Messages: 73

MessagePosté le: 05 Aoû 2006 à 0:17    Sujet du message: Répondre en citant

nouveau rebondissement, windows refuse de supprimer le dossier marcofix. Le fichier zip oui mais pas moyen pour l'autre fichier  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
marco



Inscrit le: 14 Fév 2006
Messages: 73

MessagePosté le: 05 Aoû 2006 à 1:12    Sujet du message: Répondre en citant

bon ben là je suis arrivé à le supprimer après l'avoir glissé dans un dossier compressé. Voilà le rapport après avoir redémarré:
Log supprimé - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 05 Aoû 2006 à 1:40    Sujet du message: Répondre en citant

Re,

Délicate la bestiole



Télécharge combofix http://download.bleepingcomputer.com/sUBs/combofix.exe

double clique dessus
choisis "Y" pour Yes et laisse le faire son travail

Un rapport sera généré, sauvegarde le et fais en un copier coller (attention ce rapport peut être tres long)

Apres ca redemarre et refais un nouveau log hijackthis 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
Aller à la page 1, 2, 3  Suivante 
Page 1 sur 3 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum