DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 25 Nov 2024 à 4:38 FAQ | Rechercher | Membres | Groupes

[Résolu] Mon pc va à la mort :'(


Aller à la page 1, 2  Suivante 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
Sleonard



Inscrit le: 08 Déc 2007
Messages: 13

MessagePosté le: 08 Déc 2007 à 19:09    Sujet du message: [Résolu] Mon pc va à la mort :'( Répondre en citant

Bonjour voila j'ai quelques petit problèmes qui sont:

à chaque fois que je démarre mon pc j'ai le drois à des messages:

_insérer un cd/il n'y a pas de cd dans le lecteur/device/hardisk1/dr3
_ /device/hardisk2/dr4
_ /device/hardisk3/dr5
_ /device/hardisk4/dr6

ensuite j'ai un petit icône en en raccourci ... windows antivirus qui me flood toutes les 1 minutes comme quoi je suis infecté et donc il me propose de telecharger plin de trucs...
pour poursuivre je n'arrive pas à supprimer adware.generic ainsi que downloader alphabet,trojan ghost etc...
je vous met des liens en direct link to image via imags shack pour voir un peu les autres virus que j'ai sur mon pc qui sont enlevés ou pas je ne sais pas :s.

http://img80.imageshack.us/img80/4046/merdezp3.png
http://img232.imageshack.us/img232/1115/spubotao4.png
http://img141.imageshack.us/img141/7474/secusernw7.png

ensuite quand je lance un programme dans le système ou autre :s il y a un message : Cette opération a été annul" en raison de restrictions en vigueur sur cette ordinateur.Contactez votre administrateur système... alors que j'ai rien fais et que je suis admin.

Voici maintenant l'analyse hijaccthis:

Log supprimé



Merci de votre compréhension maintenant aidez moi :s je ne peux pas reformater mon pc :s 


Dernière édition par Sleonard le 10 Déc 2007 à 19:16; édité 2 fois 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 08 Déc 2007 à 22:40    Sujet du message: Répondre en citant

Bonjour Sleonard, on va commencer par ceci:

1/

Télécharge http://siri.urz.free.fr/Fix/SmitfraudFix.exe
ou ici: http://siri.geekstogo.com/SmitfraudFix.exe sur ton bureau


2/

Double clique sur smitfraudfix.exe

Sélectionne 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.
Sauvegarde ce rapport et poste le.

process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Sleonard



Inscrit le: 08 Déc 2007
Messages: 13

MessagePosté le: 09 Déc 2007 à 2:12    Sujet du message: Répondre en citant

Bonjour voici mon rapport désolé pour le retard :s

Log supprimé 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 09 Déc 2007 à 2:57    Sujet du message: Répondre en citant

Re, c'est curieux, smitfraudfix aurait du détecter un joli paquet dans ce log. On va approfondir un peu avant de passer à la désinfection même:

1. Télécharge combofix.exe (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe
http://www.forospyware.com/sUBs/ComboFix.exe

sur ton Bureau.

2. Double clique sur combofix.exe puis tape 1 pour lancer le scan.

3. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

Le rapport se trouve également ici : C:\Combofix.txt

NOTE: Combofix peut être détecter par certains antivirus.
Ne pas en tenir compte, c'est un faux positif

Cliquer sur ignorer et continuer la procédure 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Sleonard



Inscrit le: 08 Déc 2007
Messages: 13

MessagePosté le: 09 Déc 2007 à 3:04    Sujet du message: Répondre en citant

tous d'abord merci du temps que vous m'accordé et ensuite voici le rapport:


Log supprimé 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 09 Déc 2007 à 3:34    Sujet du message: Répondre en citant

Re, voici la suite:


1/ Ouvre le Bloc-notes ( Menu Démarrer\Tous les programmes\Accessoires\Bloc-notes)

2/ Copie ce qui est en citation ci-dessous (sans le mot citation) par sélection puis Ctrl-C :

Citation:

File::
C:\WINDOWS\Fonts\Rootdistribution32.exe
C:\WINDOWS\SoftwareDistributiondrv.sys

driver::
SoftwareDistributionDrv32

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"E404Helper"=-



- Enregistre ce fichier dans: Bureau

- Nom du fichier : CFScript

- Type du fichier : tous les fichiers

- Clique sur Enregistrer

- Quitte le Bloc Notes

- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

- Une fenêtre bleue va apparaître: au message suivant:

Type 1 to continue, or 2 to abort tape 1 puis valide.

- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises, c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

- Si le fichier ne s'ouvre pas, il se trouve ici > C:\ ComboFix.txt

- Poste un nouveau log hijackthis 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Sleonard



Inscrit le: 08 Déc 2007
Messages: 13

MessagePosté le: 09 Déc 2007 à 3:49    Sujet du message: Répondre en citant

voici le rapport Log supprimé



voici le rapport hijackthis:

Log supprimé 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 09 Déc 2007 à 4:01    Sujet du message: Répondre en citant

Beau travail, il reste encore des fichiers infectieux:




Avertissement:
Cette procédure a été écrite spécialement pour ce PC. L’utiliser sur un autre peut rendre le système instable voire inutilisable





Cette procédure peut être longue mais elle est à appliquer en entier. En cas de problèmes passe à l'étape suivante et signale-le dans ta prochaine réponse.
Si tu as des questions, n’hésite pas à les poser




1/

Enregistre la page web complète sous Internet Explorer de la façon suivante :
Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau, comme cela tu retrouveras la mise en forme. Tu peux aussi imprimer cette réponse si tu préfères.
Une partie de la procédure se déroulera en Mode sans échec sans prise en charge réseau => tu n'auras donc pas accès à Internet



2/ Télécharge et installe

- CCleaner - Standard Build
http://www.sosordi.net/Telechargement/logiciel-147-ccleaner-standard-build
A son installation décoche la case devant
Ajouter la Barre d'Outils Yahoo! CCleaner


- AVG Anti-Spyware 7.5
http://www.ewido.net/en/download/

Démarre AVG Anti-Spyware

- Clique sur Mise à jour.

La mise à jour faite, clique sur:

- Analyse

- Paramètres

Sous Comment réagir?

- Choisir Quarantaine

Sous Rapports, cocher:

- Générer un rapport après chaque analyse

- Uniquement en cas de menaces"

- Quitte AVG Anti-Spyware

**Si tu as un message "impossible de se connecter au service update", continue la procédure sans la mise à jour


- Si tu as des difficultés pour le configurer consulte ce tutorial :
http://www.malekal.com/tutorial_AVG_AntiSpyware.html#mozTocId92038




- Télécharge OTMoveIt (de Old_Timer) http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe enregistre ce fichier sur le bureau



3/ Redémarre en mode sans échec

Citation:

-Au redémarrage de ton PC tapote sur la touche F8 ou F5
-Sur l'écran suivant déplace toi avec les flèches de direction
-Choisis Mode sans échec.
-Choisis ta session et non la session Administrateur





4/

- Surligne le texte en citation (sans le mot citation), copie/colle le dans le bloc notes


Citation:

cd %windir%\system32
process -k explorer.exe
sc config SoftwareDistribution32 start= disabled
sc config DComEx start= disabled
sc stop SoftwareDistribution32
sc stop DComEx
sc delete SoftwareDistribution32
sc delete DComEx
start explorer.exe
exit



- Clique ensuite sur Fichier/Enregistrer sous
- Choisis le bureau comme lieu d'enregistrement
- A Type ===> Tous les fichiers
- Donne lui ce nom Remove.bat et clique sur Enregistrer et quitte le bloc notes


5/Lance HijackThis

- Clique sur Do a scan system only et coche la case devant les lignes suivantes:

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL


Ferme les fenêtres en cours sauf HijackThis, clique sur Fix checked



6/


- Double clic sur Remove.bat qui est sur le bureau (Cela va être trés rapide tu ne verras rien)



7/

- Double-clique sur OTMoveIt.exe
- Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

- Copie le texte qui se trouve en citation (sans le mot citation) et, colle le dans le cadre de gauche de OTMoveIt

nommé Paste List of Files/Folders to be moved

Citation:

C:\Program Files\AskTBar
C:\WINDOWS\System32\SoftwareDistribution32\mmc.exe
C:\WINDOWS\Rootdistribution32.exe


- Clique sur MoveIt! pour lancer la suppression.
- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit



8/ Démarre CCleaner

- Dans Erreurs décoche la case devant Intégrité du registre et Intégrité des fichiers
- Dans Nettoyeur :
- Onglet Windows ne coche pas la case Avancé
- Onglet Applications laisse toutes les cases cochées
- Clique sur le bouton Analyse puis celle-ci fini sur Lancer le nettoyage



9/ Démarre AVG Anti-Spyware

- Clique sur Analyse
- Choisis Analyse complète du système
- Le scan terminé, clique sur Appliquer toutes les actions.
Puis sur Enregistrer le rapport et Enregistrer le rapport sous
Enfin, enregistre ce rapport sur le Bureau.




10/ Redémarre en Mode Normal


Le rapport d’AVG AntiSpyware
Un nouveau rapport HijackThis
Le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Sleonard



Inscrit le: 08 Déc 2007
Messages: 13

MessagePosté le: 09 Déc 2007 à 7:37    Sujet du message: Répondre en citant

Re désolé j'espère que tu es encore la :s mais est ce normal que avg ai fait une analyse complète pendant 4 heures Surprised ?

analyse de OTmovelt:

C:\Program Files\AskTBar\SrchAstt moved successfully.
Folder move failed. C:\Program Files\AskTBar\PopSwatr\History\notallow scheduled to be moved on reboot.
Folder move failed. C:\Program Files\AskTBar\PopSwatr\History\allowed scheduled to be moved on reboot.
C:\Program Files\AskTBar\PopSwatr\History moved successfully.
C:\Program Files\AskTBar\PopSwatr moved successfully.
C:\Program Files\AskTBar\bar\Settings moved successfully.
Folder move failed. C:\Program Files\AskTBar\bar\History\search2 scheduled to be moved on reboot.
C:\Program Files\AskTBar\bar\History moved successfully.
Folder move failed. C:\Program Files\AskTBar\bar\Cache\00DDD425 scheduled to be moved on reboot.
C:\Program Files\AskTBar\bar\Cache moved successfully.
C:\Program Files\AskTBar\bar moved successfully.
C:\Program Files\AskTBar moved successfully.
File/Folder C:\WINDOWS\System32\SoftwareDistribution32\mmc.exe not found.
File/Folder C:\WINDOWS\Rootdistribution32.exe not found.

Created on 12/10/2007 03:16:34




Analyse de hijackthis:

Log supprimé




Analyse de avg:

alors la par contre j'ai fais comme tu me la demandé sauf que les dossiers se sont mis en quarantaine ok mais je n'ai pas pu enregistrer le rapport donc je ne sais pas comment te communiquer l'analyse :s tout à été mis en quarantaine sauf les cookies qui se sont delete ^^

En attendant une réponse je te remercie du temps que tu me consacre ^^ 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Sleonard



Inscrit le: 08 Déc 2007
Messages: 13

MessagePosté le: 09 Déc 2007 à 9:27    Sujet du message: Répondre en citant

bon en tous cas bonne nouvelles j'ai passé AVG sans le mode sans échec et il ma trouvé que deux petits coojies donc la je vais passer spybot j'attend toujours ta réponse pour savoir ce que je fais des virus mis en quarantaine sur avg et pour savoir si mon pc est clean à l'avance merci.  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Sleonard



Inscrit le: 08 Déc 2007
Messages: 13

MessagePosté le: 09 Déc 2007 à 12:13    Sujet du message: Répondre en citant

Bon voila après une analyse de Spybot search and destroy je ne trouve rien aussi =p donc j'attend une analyse de ta part pour savoir si je peux jouer tranquillement ou pas ^^.

Sinon j'ai une question une fois tous ça fini et ce que je peux delete les logiciel Hijackthis,combofix,ot move it etc... ? 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 09 Déc 2007 à 14:05    Sujet du message: Répondre en citant

Bonjour Sleonard,

1/Suppression des outils:

* Double-clique sur OTMoveIt.exe.

*Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargé).

NOTE : Normalement, ton firewall (parefeu) devrait te demander si OTmoveIT peut accéder a Internet, Autorise le.

*Une liste apparaît dans la partie gauche d'OTmoveIT.

*Un message apparaît pour confirmer le nettoyage. Confirme..


2/

- Démarre AVG Anti-Spyware

- Clique sur Infections - Tout sélectionner - Supprimer définitivement - Quitte

- Vide la corbeille


3/

- Fais un scan en ligne ici http://webscanner.kaspersky.fr/ (Avec Internet Explorer)

- En bas à droite clique sur Démarrer Online-scanner

- Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

- Accepte les Contrôle ActiveX

- Choisis Poste de travail pour le scan.

- Celui-ci terminé sauve (Choisis fichier texte) et poste le rapport

- Pour t'aider à utiliser le scan en ligne
http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

- Lis ceci en cas de problème d'installation du Contrôle ActivX:

http://cybersecurite.xooit.com/t123-Les-controles-ActiveX.htm (meci brucelee) 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Sleonard



Inscrit le: 08 Déc 2007
Messages: 13

MessagePosté le: 09 Déc 2007 à 15:41    Sujet du message: Répondre en citant

Quand tu dis le rapport c'est:


Total de fichiers analysés : 77787
Nombre de virus trouvés : 9
Nombre d'objets infectés : 47
Nombre d'objets suspects : 4
Durée de l'analyse : 01:05:30
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Sleonard



Inscrit le: 08 Déc 2007
Messages: 13

MessagePosté le: 09 Déc 2007 à 15:46    Sujet du message: Répondre en citant

Bon ne fait j'ai du faire une bétise je sais pas car j'ai aps eu le choix d'enregistrer le rapport ou autre mais kapersky a trouvé des virus et éléments infectés je recommence et te post ça :s encore une heure d'attente :s  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 09 Déc 2007 à 18:12    Sujet du message: Répondre en citant

Re, non c'est le rapport entier ce qui permet d'eliminer ce qui reste  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
Aller à la page 1, 2  Suivante 
Page 1 sur 2 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum