Voir le sujet précédent :: Voir le sujet suivant |
Auteur |
Message |
hakim6
Inscrit le: 30 Aoû 2005 Messages: 109
|
Posté le: 19 Déc 2008 à 22:02 Sujet du message: pc infecté |
|
|
bonjour voici le probleme antivirus déactivé et quelque logiciels ne veulent pas s'ouvrir par example ccleaner.et voici un rapport :Log supprimé - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe .merci. |
|
Revenir en haut de page |
|
|
hakim6
Inscrit le: 30 Aoû 2005 Messages: 109
|
Posté le: 20 Déc 2008 à 10:41 Sujet du message: |
|
|
re bonjour:j'ai lancé elibagle mais il n'a rien trouvé mais je ne peux toujours pas installer un antivirus "kis" voulez vous m'aider svp .mr Zaed je sais que vous etes expert dans ce domaine merci. |
|
Revenir en haut de page |
|
|
sumorien Administrateur
Inscrit le: 10 Juil 2005 Messages: 1070 Localisation: Bourges
|
Posté le: 20 Déc 2008 à 13:55 Sujet du message: |
|
|
Salut Hakim6,
Je ne connais pas trop l'analyse de ce type de log ... mais d'après ce que je sais il est souvent difficile d'installer plusieurs antivirus en même temps puisqu'ils utilisent les processus Windows.
Tu as :
- C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
- C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
- O4 - HKCU\..\Run: [firewall 2008] C:\windows\System32\logoneui.exe
- O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
Si tu as été voir sur le support de Kaspersky il est mentionné qu'il est impératif de désinstaller complètement son ancien antivirus ou solution complète (av + fw) même dans la base de registre pour installer un logiciel Kaspersky.
Pour AVG : lien d'informations [url=http://www.avgfrance.com/faq.num-946?srch=désinstallation#faq_946]ici[/url]
Redémarres ton pc après ces quelques manipulations et rééessayes d'installer ton "KIS". |
|
Revenir en haut de page |
|
|
hakim6
Inscrit le: 30 Aoû 2005 Messages: 109
|
Posté le: 20 Déc 2008 à 14:32 Sujet du message: |
|
|
merci mr sumorien je vais le faire mais j'ai deja deinstallé kaspersky, et avg c'est un anti spy, j'ai l'habitude d'installer les deux en meme temps je vais bien tout enlever pour voir |
|
Revenir en haut de page |
|
|
zaede Equipe de sécurité
Inscrit le: 07 Déc 2007 Messages: 593 Localisation: est
|
Posté le: 20 Déc 2008 à 14:45 Sujet du message: |
|
|
Bonjour à tous, dans l'état actuel, rien ne s'installera
Tu es salement infecté. On va te tirer de la
Dommage que hijackthis soit dans un dossier TEMP, on aurait pu finir en une fois. On va procéder autrement du coup:
==> Imprime cette réponse le nettoyage va se dérouler en mode sans échec et sans prise en charge du réseau.
==> Télécharge SDFix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (de AndyManchesta) et enregistre le sur ton Bureau.
- Double clic sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.
==> Redémarre en mode sans échec
Citation: |
Au redémarrage de ton PC tapote sur la touche F8 ou F5 sur l'écran suivant déplace toi avec les les fléches de direction et choisis Mode sans échec. Choisis ta session et non la session Administrateur |
==> Ouvre le dossier SDFix qui vient d'être créé à la racine de ton dique dur ( C:\ ) et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.
* Sdfix va supprimer les services et les entrées du Registre des trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
* Les icônes du Bureau affichées, le rapport de SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
==> Copie/Colle le contenu du fichier Report.txt dans ta prochaine réponse
*******************************************
Désinstalle la verson hijackthis que tu as sur ce PC et utilise ceci pour générer un log
- Télécharge Hijackthis V 2.02 http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
- Double clique sur HJTInstall.exe pour lancer l'installation
- Clique sur Install puis sur I Accept
- Clique sur Do a scan system and save log file
- Notepad s'ouvrira fais un copier coller de tout son contenu ici dans ta prochaine réponse.
- Aide à l'installation: http://www.sosordi.net/Article/125-6-installation-utilisation-hijackthis-avec-vista-windows
Tu as deux rapports à poster |
|
Revenir en haut de page |
|
|
hakim6
Inscrit le: 30 Aoû 2005 Messages: 109
|
Posté le: 20 Déc 2008 à 15:02 Sujet du message: |
|
|
merci mr zaed mais il m'est impossible d'ouvrir c:\ et aussi de faire un demarrage en mode sans echec , les virus ont même bloqué l'accès aux sites antivirus. |
|
Revenir en haut de page |
|
|
zaede Equipe de sécurité
Inscrit le: 07 Déc 2007 Messages: 593 Localisation: est
|
Posté le: 20 Déc 2008 à 17:58 Sujet du message: |
|
|
Re, tu peux poster un scan hijackthis avec le lien que j'ai mis?
On va supprimer le plus gros de suite:
- Télécharge OTMoveIt (de Old_Timer) http://oldtimer.geekstogo.com/OTMoveIt3.exe Enregistre ce fichier sur le Bureau.
- Double-clique sur OTMoveIt3.exe
- Assure toi que la case Unregister Dll's and Ocx's soit bien cochée
- Copie le texte qui se trouve en citation (sans le mot citation) et, colle le dans le cadre de gauche de OTMoveIt nommé Paste Instructions for Items to be Moved (Cadre jaune)
Citation: |
:processes
explorer.exe
:Files
c:\windows\system32\logoneui.exe
C:\DOCUME~1\louai\LOCALS~1\Temp\winjikebc.exe
C:\DOCUME~1\louai\LOCALS~1\Temp\lfrbb.exe
C:\DOCUME~1\louai\LOCALS~1\Temp\winxujuwr.exe
C:\logoneui.exe
:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"firewall 2008"=-
:commands
[purity]
[emptytemp]
[start explorer]
[reboot] |
- Clique sur MoveIt! pour lancer la suppression.
- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit
Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.
- Poste le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles.
*************************************
- Télécharge Hijackthis V 2.02 http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
- Double clique sur HJTInstall.exe pour lancer l'installation
- Clique sur Install puis sur I Accept
- Clique sur Do a scan system and save log file
- Notepad s'ouvrira fais un copier coller de tout son contenu ici dans ta prochaine réponse.
- Aide à l'installation: http://www.sosordi.net/Article/125-6-installation-utilisation-hijackthis-avec-vista-windows
****************************************
- Télécharge FindyKill (de Chiquitine29)
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe Enregistre ce fichier sur le bureau
- Double clic sur FindyKill.exe afin de lancer son installation
- Double clic sur le raccourci FindyKill qui est sur le bureau
- Au menu principal, choisis l'option 1 (Recherche)
- La recherche terminée poste le contenu de C:\FindyKill.txt
- Aide pour FindyKill http://www.malekal.com/tutorial_FindyKill.php |
|
Revenir en haut de page |
|
|
hakim6
Inscrit le: 30 Aoû 2005 Messages: 109
|
Posté le: 20 Déc 2008 à 19:37 Sujet du message: |
|
|
merci et voici le rapport :Log supprimé |
|
Revenir en haut de page |
|
|
hakim6
Inscrit le: 30 Aoû 2005 Messages: 109
|
Posté le: 20 Déc 2008 à 19:57 Sujet du message: |
|
|
le rapport de OTMoveIt3 ========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
c:\windows\system32\logoneui.exe moved successfully.
File/Folder C:\DOCUME~1\louai\LOCALS~1\Temp\winjikebc.exe not found.
File/Folder C:\DOCUME~1\louai\LOCALS~1\Temp\lfrbb.exe not found.
File/Folder C:\DOCUME~1\louai\LOCALS~1\Temp\winxujuwr.exe not found.
C:\logoneui.exe moved successfully.
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\firewall 2008 deleted successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\louai\LOCALS~1\Temp\~DF4235.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\louai\LOCALS~1\Temp\winckij.exe scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\louai\LOCALS~1\Temp\stkak.exe scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12202008_183946
Files moved on Reboot...
C:\DOCUME~1\louai\LOCALS~1\Temp\~DF4235.tmp moved successfully.
C:\DOCUME~1\louai\LOCALS~1\Temp\winckij.exe moved successfully.
C:\DOCUME~1\louai\LOCALS~1\Temp\stkak.exe moved successfully.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_003_ moved successfully.
et celui de Log supprimé
et grand merci. |
|
Revenir en haut de page |
|
|
zaede Equipe de sécurité
Inscrit le: 07 Déc 2007 Messages: 593 Localisation: est
|
Posté le: 20 Déc 2008 à 20:07 Sujet du message: |
|
|
Hijackthis est toujours encore dans un dossier temp
utilise le lien que j'ai mis pour l'install |
|
Revenir en haut de page |
|
|
hakim6
Inscrit le: 30 Aoû 2005 Messages: 109
|
Posté le: 20 Déc 2008 à 20:42 Sujet du message: |
|
|
voila mr Zaed Log supprimé |
|
Revenir en haut de page |
|
|
zaede Equipe de sécurité
Inscrit le: 07 Déc 2007 Messages: 593 Localisation: est
|
Posté le: 21 Déc 2008 à 1:54 Sujet du message: |
|
|
RE, zaede suffira bien, pas besoin du mr
Avertissement:
Cette procédure a été écrite spécialement pour ce PC. L’utiliser sur un autre peut rendre le système instable voire inutilisable
Cette procédure peut être longue mais elle est à appliquer en entier. En cas de problèmes passe à l'étape suivante et signale-le dans ta prochaine réponse.
Si tu as des questions, n’hésite pas à les poser
**************************************************************************
Lance HijackThis
- Clique sur Do a scan system only et coche la case devant les lignes suivantes:
F2 - REG:system.ini: Shell=Explorer.exe logoneui.exe
O4 - HKLM\..\Policies\Explorer\Run: [wininet.dll] regperf.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Ferme les fenêtres en cours sauf HijackThis, clique sur Fix checked
***************************************************************************
- Télécharge OTMoveIt (de Old_Timer) http://oldtimer.geekstogo.com/OTMoveIt3.exe Enregistre ce fichier sur le Bureau.
- Double-clique sur OTMoveIt3.exe
- Assure toi que la case Unregister Dll's and Ocx's soit bien cochée
- Copie le texte qui se trouve en citation (sans le mot citation) et, colle le dans le cadre de gauche de OTMoveIt nommé Paste Instructions for Items to be Moved (Cadre jaune)
Citation: |
:processes
explorer.exe
:Files
c:\windows\system32\logoneui.exe
C:\DOCUME~1\louai\LOCALS~1\Temp\winjikebc.exe
C:\DOCUME~1\louai\LOCALS~1\Temp\lfrbb.exe
C:\DOCUME~1\louai\LOCALS~1\Temp\winxujuwr.exe
C:\logoneui.exe
:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"firewall 2008"=-
:commands
[purity]
[emptytemp]
[start explorer]
[reboot] |
- Clique sur MoveIt! pour lancer la suppression.
- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit
Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.
Poste:
- le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles.
- Un nouveau rapport HijackThis |
|
Revenir en haut de page |
|
|
hakim6
Inscrit le: 30 Aoû 2005 Messages: 109
|
Posté le: 21 Déc 2008 à 21:45 Sujet du message: |
|
|
bonjour,voici le rapport mais je n'arrive pas à ouvrir c:\ c'est la feneitre de SDFix qui s'ouvre à la place merci.========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
c:\windows\system32\logoneui.exe moved successfully.
File/Folder C:\DOCUME~1\louai\LOCALS~1\Temp\winjikebc.exe not found.
File/Folder C:\DOCUME~1\louai\LOCALS~1\Temp\lfrbb.exe not found.
File/Folder C:\DOCUME~1\louai\LOCALS~1\Temp\winxujuwr.exe not found.
C:\logoneui.exe moved successfully.
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\firewall 2008 deleted successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\louai\LOCALS~1\Temp\winfnxb.exe scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\louai\LOCALS~1\Temp\jlyff.exe scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\louai\LOCALS~1\Temp\winahtg.exe scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12212008_203058
Files moved on Reboot...
C:\DOCUME~1\louai\LOCALS~1\Temp\winfnxb.exe moved successfully.
C:\DOCUME~1\louai\LOCALS~1\Temp\jlyff.exe moved successfully.
C:\DOCUME~1\louai\LOCALS~1\Temp\winahtg.exe moved successfully.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\XUL.mfl moved successfully. et le 2eme rapport merci Log supprimé |
|
Revenir en haut de page |
|
|
zaede Equipe de sécurité
Inscrit le: 07 Déc 2007 Messages: 593 Localisation: est
|
Posté le: 21 Déc 2008 à 23:41 Sujet du message: |
|
|
Bonjour hakim06, il y a une ligne qui fait de la résistance
1/
Télécharge http://siri.urz.free.fr/Fix/SmitfraudFix.exe
ou ici: http://siri.geekstogo.com/SmitfraudFix.exe sur ton bureau
2/
Double clique sur smitfraudfix.exe
Sélectionne 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.
Sauvegarde ce rapport et poste le.
process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus. |
|
Revenir en haut de page |
|
|
hakim6
Inscrit le: 30 Aoû 2005 Messages: 109
|
Posté le: 22 Déc 2008 à 17:31 Sujet du message: |
|
|
re bonjour Zaed Log supprimé |
|
Revenir en haut de page |
|
|
Ajouter à :
|
|