DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 24 Nov 2024 à 11:32 FAQ | Rechercher | Membres | Groupes

ordinateur infecté en crise


Aller à la page 1, 2  Suivante 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Internet
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
Kyle



Inscrit le: 22 Jan 2007
Messages: 8

MessagePosté le: 22 Jan 2007 à 19:57    Sujet du message: ordinateur infecté en crise Répondre en citant

Bonjour à vous tous;
voilà, depuis que j'ai installé ma freebox en wifi, c'est la crise totale sur mon ordi. même ce dernier formaté, il ne faut que quelques jours pour que fleurissent bon nombre de problèmes.

avast me détecte un nombre énorme de virus, trojan, vers,..par jours, de même qu'avg et spybot me trouvent des dizaines de spyware même si je les lancent à 10 minutes d'intervalle. Je précise aussi qu'avg me signale qu'il a bloqué un programme environ 3 à 4 fois par minute.

ne icôné windows dans la barre des tâches m'affiche "your computer is infected"; si je clique sur l'icône, un logiciel se télécharge (registry cleaner), trouve un certain CTPMON trojan, et me demande de payer la license pour le "fixer".

dernière information, Free vient de me passer un mail me disant que mon ordi envoyait des spams et menace de fermer ma connexion si je ne résoud pas le problème.

côté firewall, j'ai softperfect personnal firewall (peut être mal configuré), je ne peut pas installer zone alarm car celui-ci me dit qu'il est déjà installé (mais ce n'est pas le cas).

je ne sais vraiment plus quoi faire, en cherchant sur les forums j'ai vu qu'il fallait faire un rapport d'erreurs avec divers logiciels, mais je ne sais pas les interpréter. Si quelqu'un pouvait m'aider, je le remercie par avance! 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 22 Jan 2007 à 20:11    Sujet du message: Répondre en citant

Bonjour Kyle et bienvenue sur DTPC,

On va essayer de t'aider à faire le ménage la dedans pas de souci.

Pour commencer aux vues des symptomes enoncés on va faire un scan avec Smitfraudfix

=> Télécharge smitfraudfix (S!Ri) http://siri.urz.free.fr/Fix/SmitfraudFix.exe
-- Place le à la racine de ton disque dur (c:\)
* lance smitfraudfix.exe et choisis l'option 1 puis valide par la touche [Entrée]
* Un rapport sera généré sauvegarde le
Note :
- process.exe est détecté par certains antivirus comme étant un virus ce qui bien evidement n'est pas le cas mais un utilitaire destiné à mettre fin à des processus.

Post ce rapport s'il te plait 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Kyle



Inscrit le: 22 Jan 2007
Messages: 8

MessagePosté le: 22 Jan 2007 à 21:41    Sujet du message: Répondre en citant

Merci, je poste le rapport



Log supprimé 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 22 Jan 2007 à 22:27    Sujet du message: Répondre en citant

Bonsoir,

D'après ce que je vois tu as une belle infection par un rootkit que l'on va traiter tout de suite
à cela s'ajoutera une autre manipulation avec Smitfraudfix afin de nettoyer ce qu'il a trouvé.


Télécharge rustbfix.exe (ejvindh]) http://www.uploads.ejvindh.net/rustbfix.exe
...met sur ton Bureau.

Double clique rustbfix.exe pour le lancer
Si l'infection est confirmée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordinateur.
Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages se succèdent. (ca se fera automatiquement)

Une fois terminé 2 rapports s'afficheront : (c:\avenger.txt et c:\rustbfix\pelog.txt).

=> Redémarre ton PC en mode sans échec
-- Ce mode permet d'augmenter les chances de succès des manipulations qui vont suivre.

- Au démarrage de l'ordinateur "tapote" la touche F8 de ton clavier jusqu'à ce que les options de démarrage apparaissent.
* A l'aide des touches de ton clavier descend jusque Mode sans échec puis valide par la touche [entrée]
-- Si le choix est proposé choisis le même nom d'utilisateur qu'en mode normal.

Note :
-- Windows démarrera avec le strict minimum nécessaire. Tu ne pourras pas te connecter ou utiliser certaines fonctions ou programmes.
-- L'affichage sera inhabituel avec par exemple des icônes plus grandes.


=> Lance smitfraudfix
* choisis l'option 2 puis valide par la touche [entrée]
-- A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) pour supprimer les clés de démarrage de l'infection.
* Le fix déterminera si le fichier wininet.dll est infecté.
-- A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu.
-- A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.
-- Fais un copier coller du contenu de ce rapport dans ta prochaine réponse

Note:

-- Cette étape élimine les fichiers infectieux détectés à l'étape #1
-- Important : l'option 2 de l'outil supprime le fond d'écran !

=> Redémarre ton PC en mode normal

Post tout ces rapports s'il te plait ainsi qu'un nouveau log Hijackthis fais après le passage de ces outils. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Kyle



Inscrit le: 22 Jan 2007
Messages: 8

MessagePosté le: 22 Jan 2007 à 23:07    Sujet du message: Répondre en citant

bien; je n'ai pas pu démarrer en mode sans echec car celui-ci ne démarre pas. j'ai eu 2 rapports, l'un après rustbfix et l'autre après smitfraud fix:

"//////////////////////////////////////////
Log supprimé."

et le second:

"Log supprimé

"

et le rapport de hijack:

"Log supprimé
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 22 Jan 2007 à 23:15    Sujet du message: Répondre en citant

Re,

Et bien on a encore du boulot

=> Télécharge SDFix.exe (AndyManchesta) http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
-- Met le sur ton bureau

* Lance SDFix.exe
-- Choisis Install pour extraire les fichiers



=> Redémarre en mode sans echec (si possible)


=> Lance SDFIX
-- Rend toi dans le dossier sdfix
* Lance le fichier RunThis.bat
-- Tape Y pour lancer le scan
* Un message s'affichera lorsque le scan sera terminé, Appuies sur une touche pour rédémarrer

* Au redémarrage cet utilitaire effectuera encore quelques opérations.
-- Il affichera ce message Finished, press any key to end the script and load your desktop icons.
-- Le rapport s'affichera. Ce rapport est sauvegardé par défaut dans le dossier SDFIX et sera nommé Report.txt.
* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse.


Refais ensuite un log Hijackthis mais auparavant renomme le (clique droit> renommer > met scanner au lieu d'hijackthis)

post cle résultat de SDFIX ainsi que ce log Hijackthis (Scanner.exe) 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Kyle



Inscrit le: 22 Jan 2007
Messages: 8

MessagePosté le: 22 Jan 2007 à 23:32    Sujet du message: Répondre en citant

ce coup ci le mode sans echec a fonctionné.

voici le rapport de sdfix:


SDFix: Version 1.61

22/01/2007 - 22:25:19,13

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
Install Driver Table Manager
MsaSvc
wsmv

Path:
"C:\WINDOWS\wpablan.exe"
C:\WINDOWS\System32\msasvc.exe
"C:\WINDOWS\system32\wmsv.exe"

Install Driver Table Manager Deleted
MsaSvc Deleted
wsmv Deleted

Restoring Windows Registry Entries
Restoring Default Hosts File

Killing PID 748 'smss.exe'
Killing PID 840 'winlogon.exe'

Rebooting...

Normal Mode:
Checking Files:

Files will be copied to Backups folder and removed:

C:\WINDOWS\lsass.exe - Deleted
C:\WINDOWS\system32\autosys.exe - Deleted
C:\WINDOWS\system32\i - Deleted
C:\WINDOWS\system32\kernels1118.exe - Deleted
C:\WINDOWS\system32\msasvc.exe - Deleted
C:\WINDOWS\system32\rpcc.dll - Deleted
C:\WINDOWS\system32\setup_25563.exe - Deleted
C:\WINDOWS\system32\setup_33264.exe - Deleted
C:\WINDOWS\system32\setup_35468.exe - Deleted
C:\WINDOWS\system32\setup_26860.exe - Deleted
C:\WINDOWS\Temp\removalfile.bat - Deleted
C:\WINDOWS\userinit.exe - Deleted
C:\WINDOWS\wpablan.exe - Deleted



Alternate Streams Check:

C:\WINDOWS\system32
No streams found.

Final Check:

Remaining Services:
------------------

Rootkit PE386 Found!

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"c:\\windows\\system32\\kernelex0.exe"="c:\\windows\\system32\\kernelex0.exe:*:Enabled:kernelex0"
"c:\\windows\\system32\\panelq3.exe"="c:\\windows\\system32\\panelq3.exe:*:Enabled:panelq3"
"C:\\WINDOWS\\TEMP\\inch.exe"="C:\\WINDOWS\\TEMP\\inch.exe:*:Enabled:Enabled"
"c:\\windows\\lsass.exe"="c:\\windows\\lsass.exe:*:Enabled:lsass"
"c:\\windows\\system32\\restorea7.exe"="c:\\windows\\system32\\restorea7.exe:*:Enabled:restorea7"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\NTDETECT.COM
C:\WINDOWS\system32\fcccywu.dll
C:\WINDOWS\system32\qommkii.dll
C:\WINDOWS\system32\ljjgfcy.dll
C:\WINDOWS\system32\oppqr.dll
C:\WINDOWS\system32\cdplayer.exe.manifest
C:\WINDOWS\system32\logonui.exe.manifest
C:\IO.SYS
C:\MSDOS.SYS
C:\pagefile.sys
C:\hiberfil.sys
C:\WINDOWS\system32\rqppo.tmp

Finished

et le nouveau rapport de hijack que j'ai renommé en scanner:

Log supprimé - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - c:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 22 Jan 2007 à 23:49    Sujet du message: Répondre en citant

Re bonjour,

On avance mais je dis bien avouer qu'un cas aussi vérolé n'est pas chose courante à laquelle j'ai du faire face.
A priori le Rootkit PE386 est revenu aussi.


On continue

- Télécharge Vundofix ( Atribune) http://www.atribune.org/ccount/click.php?id=4


* Double-clique VundoFix.exe pour le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
--le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre "shutdown" ; clique OK
* Démarre ton ordinateur
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.

--Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo"

Post ce log dans ta prochaine réponse

ensuite je vais te redemandé un log Hijackthis afin de faire un point et reposer le problème pour reprendre sereinement

Merci pour ta patience. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Kyle



Inscrit le: 22 Jan 2007
Messages: 8

MessagePosté le: 23 Jan 2007 à 0:13    Sujet du message: Répondre en citant

c'est plutôt à moi de te remercier pour ta patience!
en fait, dans le pire des cas, je peut toujours reformater; mais ce que je crains, c'est que tout revienne encore dès lors. c'est étrange, dans mon précédent appartement, connecté par freebox aussi mais par le biais d'un réseau local en courant porteur, je n'avais aucun problème; j'aimerais comprendre...
mais voici donc le fichier retrouvé après vundo:


Log supprimé 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
Kyle



Inscrit le: 22 Jan 2007
Messages: 8

MessagePosté le: 23 Jan 2007 à 0:13    Sujet du message: Répondre en citant

et le nouveau hijack:

Log supprimé - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - c:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 23 Jan 2007 à 0:21    Sujet du message: Répondre en citant

Bon je vais essayer de prendre un peu de temps pour faire un point complet.

Pour ton cas je dirais que tu as plusieurs facteurs risque assez conséquent comme par exemple
Windows qui n'est pas à jour,
et aussi des traces de 2 par feu (PC-cillin PersonalFirewall et SoftPerfect Personal Firewall)
2 par feu peuvent engendrer des conflits. De plus tu as avoué, ce qui est très bien, au début que tu ne maitrisais pas la configuration ce qui est assez embetant. Rien ne sert d'avoir le meilleur antivirus ou parfeu du monde si on ne sais pas l'utiliser, sachant qu'une configuration par défaut ne représente pas forcement la meilleure protection. Il serait donc beaucoup plus sur de choisir un par feu facile d'utilisation que tu pourras configurer efficacement.

Pour ces quelques soucis on les traitera après la première chose étant de nettoyer tout ca.

Bon je refais un point et te donne la suite un peu plus tard. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 23 Jan 2007 à 1:25    Sujet du message: Répondre en citant

Re,
Bon on va donc procéder à un nettoyage plus "généraliste" si je puis dire en procédant par étape.

Dans un premier temps on va voir pour ce problème de parfeu afin d'éviter que l'infection ne revienne.
Après avoir effectué quelques recherches il semblerait que l'efficacité de SoftPerfect Personal Firewall ne soit pas au rendez vous par conséquent si tu le souhaite je vais t'en proposer un autre qui je l'espère sera plus facile à configurer à savoir Outpost.
Tu trouveras sur ce lien un tutoriel pour l'explication en image avec les liens pour le télécharger. http://www.malekal.com/tutorial_outpost.php

Attention à faire avec méthode

1- Téléchargement
2- Déconnexion
3- désintallation de SoftPerfect ET PCcillin (si présent via ajout/suppression de programme)
4- Installation de Outpost
5- Connexion et configuration si besoin.

Ensuite pour traiter ton problème d'infection nous allons procéder à un nettoyage

Dans la mesure ou tu ne pouras te connecer durant la seconde partie en mode sans echec je te conseille d'imprimer ou enregistrer cette page (Fichier, enregistrer sous en choisissant le type page web complete)
de façon à retrouver aisément la procédure.


=> Télécharge ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
-- Met le sur ton bureau
Note: Pour augmenter l'efficacité nous l'utiliserons ultérieurement en mode sans echec


=> Télécharge jv16-powertools (Jouni Vuorio) http://telechargement.zebulon.fr/201-jv16-powertools.html
note : Cette version est la dernière qui a été distribuée gratuitement. Une version plus récente existe mais est payante après une période d'essai de 30 jours.
- Voici un tutoriel si besoin http://www.zebulon.fr/articles/base-de-registre-3.php


=> Met à jour AVG AntiSpyware .
* Lance AVG AntiSpyware
-- menu Mises à jour
---- Clique sur le bouton Commencer la mise à jour
-- menu analyse onglet paramètres
---- dans la catégorie Rapports coche les cases
[X] Générer un rapport après chaque analyse
[X] Uniquement en cas de menace
---- Dans la catégorie Comment réagir ? sélectionne Quarantaine
* Quitte AVG anti-spyware



=> Redémarre ton PC en mode sans échec
Ce mode permettra d'améliorer l'efficacité des différents nettoyage et surtout évitera d'être géné par Spybot et son Teatimer


=> Service
Clique sur Démarrer >> Executer et tape (ou fais un copier coller)
SC delete HID_Input_Service_WIN32
puis valide et recommence avec
SC delete PCCPFW


=> Lance Hijackthis
-- Clique sur Do a system scan only
---- Coche les cases correspondant à ces lignes (si présentes)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {09F9FFD2-7232-4158-B29B-648FE4E9C85C} - C:\WINDOWS\System32\fcccywu.dll (file missing)
O2 - BHO: (no name) - {226D567D-F961-44FF-83E2-877E8C3584B0} - C:\WINDOWS\System32\oppqr.dll (file missing)
O2 - BHO: (no name) - {41F328E2-5E46-F5B8-0160-020188931F32} - C:\WINDOWS\System32\imtqodk.dll (file missing)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\khjcxple.dll (file missing)
O4 - HKLM\..\Run: [SoftPerfect Personal Firewall] C:\Program Files\security\SoftPerfect Personal Firewall\fw.exe
O4 - HKLM\..\Run: [wdokbye.dll] C:\WINDOWS\System32\rundll32.exe "C:\Documents and Settings\LocalService\Local Settings\Application Data\wdokbye.dll",bpzgoi
O4 - HKLM\..\Run: [ctpmon] ctpmon.exe
O4 - HKCU\..\Run: [ctpmon] ctpmon.exe


---- Clique sur Fix cheked
-- Quitte Hijackthis


=> Autorise l'affichage des fichiers et dossiers cachés

* Clique sur Démarrer >>> Panneau de configuration
* Dans le menu en haut clique sur Outils choisis Option des dossiers
* Sélectionne l'onglet Affichage
-- [X] Coche Afficher les Fichiers et dossiers cachés
-- [ ] coche Masquer les fichiers protégés du système d'exploitation
-- [ ] coche Masquer les extensions dont le type est connu
* clique succesivement sur
-- En haut Appliquer à tous les dossiers
-- En bas Appliquer et Ok pour valider les changements
* Ferme la fenêtre


=> Recherche et supprime ce(s) fichiers(s)
Citation:
C:\Documents and Settings\LocalService\Local Settings\Application Data\wdokbye.dll
C:\WINDOWS\System32\msiexecu.exe
c:\secure32.html

C:\WINDOWS\System32\ctpmon.exe
/!\
A ne surtout pas confondre avec le fichier ctfmon.exe (avec un F au lieu du P) ce fichier étant parfaitement légitime



=> Lance ATF-Cleaner :
* Sous l'onglet Main, choisis : Select All
* Clique sur le bouton Empty Selected


* Sous l'onglet Firefox (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected

* Sous l'onglet Opéra (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
* Quitte ATF-Cleaner


=> Lance jv16-powertools
* Clique à gauche sur Preferences ensuite sur Language choisis French(français) clique sur Ok et Ok
* Clique sur Outil registre en haut sur Outils - Nettoyeur de registre
* Clique sur Continuer et Démarrer
* Le scan fini clique en haut sur Sélectionner >>> Sélection spéciale et Eléments qui peuvent être supprimés sans riques
* Clique en bas sur Supprimer puis Fermer
* quitte Jv16


=> Lance AVG AntiSpyware
* Menu analyse
-- Onglet Analyser
* clique sur analyse complète du système pour lancer le scan
* Le scan fini clique sur Appliquer toutes les actions
-- Clique sur Enregistrer le rapport >>> Enregistrer le rapport sous enregistre ce rapport sur ton bureau
* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse


=> Redémarre en mode normal


=> Fais un scan en ligne avec Internet explorer
* Rend toi sur ce site http://webscanner.kaspersky.fr/
- Clique sur l'image de droite Kaspersky Online scanner
-- Une notice s'affichera , clique sur le bouton j'accepte (après en avoir pris connaissance bien sur)
note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.
-- L'installation et la mise à jour de la base antivirale se feront automatiquement.
* Clique sur Suivant
* Clique sur le bouton paramètres d'analyse
-- à l'option analyser avec la base antivirus suivant :
---- [X] étendue
-- dans les options d'analyse contrôle que les cases suivantes soient cochées
---- [X] analyser les archives
---- [X] analyser les bases de messagerie
-- Clique sur le bouton OK
* choisis Poste de travail pour lancer le scan
* Une fois le scan terminé sauvegarde le rapport Clique sur Enregistrer rapport sous
-- Pour le retrouver facilement met le sur le bureau
-- dans nom de fichier entre Kaspersky
-- A type de fichier choisis text file (*.txt) puis clique sur le bouton enregistrer
* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.

Note :
- En cas de problème vérifies ces quelques points http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566

=> Résultat
- Post les différents rapports obtenus
-- Kaspersky
-- AVG Anti-spyware
-- Un nouveau log Hijackthis (fait en mode normal)
-- Toutes questions, remarques, complément d'information et si une amélioration est constatée.

Bon courage.

edit :
J'ai remplacé le scan Panda par Kaspersky à cause du faux positif trouvé par Avast. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Kyle



Inscrit le: 22 Jan 2007
Messages: 8

MessagePosté le: 23 Jan 2007 à 17:55    Sujet du message: Répondre en citant

re!
j'ai donc essayé de faire tout ce qu'il fallait.
je peut poster les rapports de avg et de hijack.
en revanche, pour le scan en ligne de kaspersky, mon explorer (6) ne marche plus! j'ai essayé d'installer ie7, mais on me dit qu'il faut que j'installe sp2 (et je garde de mauvais souvenirs des dernières fois où j'ai tenté de l'installer).
en tout cas, l'ordi semble aller beaucoup mieux (plus de fenêtres dll manquants au démarrage, plus de messages d'alerte, et outpost semble faire son travail).

---------------------------------------------------------
Log supprimé

et

Log supprimé - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 23 Jan 2007 à 18:45    Sujet du message: Répondre en citant

Bonjour,

C'est déja nettement mieux comme ca Very Happy

- Le SP2 serait pourtant un indéniable atout pour la protection de ton ordinateur. Pourrais tu m'en dire plus sur les problèmes rencontrés lors du premier essai. (Incompatibilité matérielle, souci divers ?)
Bien que beaucoup de problème pouvait apparaitre au début ce n'est plus trop le cas actuellement la grande partie des Bugs ayant été corrigés. Certaines machines de configuration relativement faible et pas très récente arrive à le supporter sans souci particulier.

Attention toutefois il faut attendre que le système soit propre et stable avant d'envisager une telle mise à jour


Reste quelques points à traiter et:ou à vérifier :
- Une ligne encore présente dans le log Hijackthis
- Le rootkit pe386 détecté par SDFIX (c'est probablement lui qui est la source du SPAM envoyé par ton ordinateur)
- Je vais aussi te proposer un autre scan en ligne car aux vues des infections et la présence de ce rootkit qui a la fâcheuse habitude de télécharger d'autre malware en tout genre ca me semble beaucoup plus prudent.
- Pour ce qui est des infections détectées dans la restauration et à priori nettoyée (mises en quarantaine) je t'expliquerais en fin de procédure seulement comment faire pour les supprimer et créer un nouveau point. (c'est une porte de sortie qu'il vaut mieux ne pas supprimer trop vite)


=> Lance Hijackthis
-- Clique sur Do a system scan only
---- Coche les cases correspondant à ces lignes (si présentes)


O4 - HKCU\..\Run: [ctpmon] ctpmon.exe


---- Clique sur Fix cheked
-- Quitte Hijackthis

=> Contrôle que ce fichier soit bien absent (si présent supprime le, si il résiste indique le et on avisera
Citation:


C:\WINDOWS\System32\ctpmon.exe
/!\
Comme la fois précédente, ne pas confondre avec le fichier ctfmon.exe (avec un F au lieu du P) ce fichier étant parfaitement légitime



=> Supprime rustbfix.exe
- Afin de s'assurer d'avoir la dernière version je préfères te demander de le retélécharger


=> Télécharge rustbfix.exe (ejvindh) http://www.uploads.ejvindh.net/rustbfix.exe
...met sur ton Bureau.

Double clique rustbfix.exe pour le lancer
Si l'infection est confirmée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordinateur.
Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages se succèdent. (ca se fera automatiquement)

Une fois terminé 2 rapports s'afficheront : (c:\avenger.txt et c:\rustbfix\pelog.txt).


=> Fais un scan en ligne avec Internet explorer
http://www.bitdefender.fr/scan/license.php
une démonstration animée pour t'aider
http://pageperso.aol.fr/rginformatique/mapage/defender.htm

Si tu ne parviens toujours pas à faire ce scan (à cause de'Internet Explorer) il faudra alors s'orienter vers le scan en ligne de Trend micro qui utilise une technologie différente et est compatible avec Firefox. Il nécessite cependant que la machine virtuelle JAVA soit installée

Tu trouveras les informations nécessaires sur cette page
http://www.informatruc.com/scan_trend_micro.php

Et enfin post ces différents rapports s'il te plait. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Kyle



Inscrit le: 22 Jan 2007
Messages: 8

MessagePosté le: 25 Jan 2007 à 0:23    Sujet du message: Répondre en citant

merci!
je n'ai pas beaucoup de temps en ce moment mais je m'en occupe le plus rapidement possible! 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Internet Toutes les heures sont au format GMT + 2 Heures
Aller à la page 1, 2  Suivante 
Page 1 sur 2 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum