DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 02 Nov 2024 à 6:37 FAQ | Rechercher | Membres | Groupes

pc infecté


Aller à la page 1, 2  Suivante 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
hakim6



Inscrit le: 30 Aoû 2005
Messages: 109

MessagePosté le: 19 Déc 2008 à 22:02    Sujet du message: pc infecté Répondre en citant

bonjour voici le probleme antivirus déactivé et quelque logiciels ne veulent pas s'ouvrir par example ccleaner.et voici un rapport :Log supprimé - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe .merci.  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
hakim6



Inscrit le: 30 Aoû 2005
Messages: 109

MessagePosté le: 20 Déc 2008 à 10:41    Sujet du message: Répondre en citant

re bonjour:j'ai lancé elibagle mais il n'a rien trouvé mais je ne peux toujours pas installer un antivirus "kis" voulez vous m'aider svp .mr Zaed je sais que vous etes expert dans ce domaine merci.  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
sumorien
Administrateur


Inscrit le: 10 Juil 2005
Messages: 1070
Localisation: Bourges

MessagePosté le: 20 Déc 2008 à 13:55    Sujet du message: Répondre en citant

Salut Hakim6,

Je ne connais pas trop l'analyse de ce type de log ... mais d'après ce que je sais il est souvent difficile d'installer plusieurs antivirus en même temps puisqu'ils utilisent les processus Windows.

Tu as :
- C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
- C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
- O4 - HKCU\..\Run: [firewall 2008] C:\windows\System32\logoneui.exe
- O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm

Si tu as été voir sur le support de Kaspersky il est mentionné qu'il est impératif de désinstaller complètement son ancien antivirus ou solution complète (av + fw) même dans la base de registre pour installer un logiciel Kaspersky.
Pour AVG : lien d'informations [url=http://www.avgfrance.com/faq.num-946?srch=désinstallation#faq_946]ici[/url]

Redémarres ton pc après ces quelques manipulations et rééessayes d'installer ton "KIS". 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
hakim6



Inscrit le: 30 Aoû 2005
Messages: 109

MessagePosté le: 20 Déc 2008 à 14:32    Sujet du message: Répondre en citant

merci mr sumorien je vais le faire mais j'ai deja deinstallé kaspersky, et avg c'est un anti spy, j'ai l'habitude d'installer les deux en meme temps je vais bien tout enlever pour voir  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 20 Déc 2008 à 14:45    Sujet du message: Répondre en citant

Bonjour à tous, dans l'état actuel, rien ne s'installera
Tu es salement infecté. On va te tirer de la

Dommage que hijackthis soit dans un dossier TEMP, on aurait pu finir en une fois. On va procéder autrement du coup:



==> Imprime cette réponse le nettoyage va se dérouler en mode sans échec et sans prise en charge du réseau.

==> Télécharge SDFix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (de AndyManchesta) et enregistre le sur ton Bureau.
- Double clic sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.

==> Redémarre en mode sans échec

Citation:
Au redémarrage de ton PC tapote sur la touche F8 ou F5 sur l'écran suivant déplace toi avec les les fléches de direction et choisis Mode sans échec. Choisis ta session et non la session Administrateur



==> Ouvre le dossier SDFix qui vient d'être créé à la racine de ton dique dur ( C:\ ) et double clique sur RunThis.bat pour lancer le script.


* Appuie sur Y pour commencer le processus de nettoyage.

* Sdfix va supprimer les services et les entrées du Registre des trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.

* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
* Les icônes du Bureau affichées, le rapport de SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.


==> Copie/Colle le contenu du fichier Report.txt dans ta prochaine réponse


*******************************************


Désinstalle la verson hijackthis que tu as sur ce PC et utilise ceci pour générer un log

- Télécharge Hijackthis V 2.02 http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

- Double clique sur HJTInstall.exe pour lancer l'installation

- Clique sur Install puis sur I Accept

- Clique sur Do a scan system and save log file

- Notepad s'ouvrira fais un copier coller de tout son contenu ici dans ta prochaine réponse.

- Aide à l'installation: http://www.sosordi.net/Article/125-6-installation-utilisation-hijackthis-avec-vista-windows


Tu as deux rapports à poster 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
hakim6



Inscrit le: 30 Aoû 2005
Messages: 109

MessagePosté le: 20 Déc 2008 à 15:02    Sujet du message: Répondre en citant

merci mr zaed mais il m'est impossible d'ouvrir c:\ et aussi de faire un demarrage en mode sans echec , les virus ont même bloqué l'accès aux sites antivirus.  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 20 Déc 2008 à 17:58    Sujet du message: Répondre en citant

Re, tu peux poster un scan hijackthis avec le lien que j'ai mis?

On va supprimer le plus gros de suite:

- Télécharge OTMoveIt (de Old_Timer) http://oldtimer.geekstogo.com/OTMoveIt3.exe Enregistre ce fichier sur le Bureau.

- Double-clique sur OTMoveIt3.exe
- Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

- Copie le texte qui se trouve en citation (sans le mot citation) et, colle le dans le cadre de gauche de OTMoveIt nommé Paste Instructions for Items to be Moved (Cadre jaune)

Citation:

:processes
explorer.exe

:Files
c:\windows\system32\logoneui.exe
C:\DOCUME~1\louai\LOCALS~1\Temp\winjikebc.exe
C:\DOCUME~1\louai\LOCALS~1\Temp\lfrbb.exe
C:\DOCUME~1\louai\LOCALS~1\Temp\winxujuwr.exe
C:\logoneui.exe


:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"firewall 2008"=-

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]


- Clique sur MoveIt! pour lancer la suppression.
- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit


Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.

- Poste le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles.


*************************************

- Télécharge Hijackthis V 2.02 http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

- Double clique sur HJTInstall.exe pour lancer l'installation

- Clique sur Install puis sur I Accept

- Clique sur Do a scan system and save log file

- Notepad s'ouvrira fais un copier coller de tout son contenu ici dans ta prochaine réponse.

- Aide à l'installation: http://www.sosordi.net/Article/125-6-installation-utilisation-hijackthis-avec-vista-windows

****************************************

- Télécharge FindyKill (de Chiquitine29)

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe Enregistre ce fichier sur le bureau

- Double clic sur FindyKill.exe afin de lancer son installation

- Double clic sur le raccourci FindyKill qui est sur le bureau

- Au menu principal, choisis l'option 1 (Recherche)

- La recherche terminée poste le contenu de C:\FindyKill.txt

- Aide pour FindyKill http://www.malekal.com/tutorial_FindyKill.php 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
hakim6



Inscrit le: 30 Aoû 2005
Messages: 109

MessagePosté le: 20 Déc 2008 à 19:37    Sujet du message: Répondre en citant

merci et voici le rapport :Log supprimé  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
hakim6



Inscrit le: 30 Aoû 2005
Messages: 109

MessagePosté le: 20 Déc 2008 à 19:57    Sujet du message: Répondre en citant

le rapport de OTMoveIt3 ========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
c:\windows\system32\logoneui.exe moved successfully.
File/Folder C:\DOCUME~1\louai\LOCALS~1\Temp\winjikebc.exe not found.
File/Folder C:\DOCUME~1\louai\LOCALS~1\Temp\lfrbb.exe not found.
File/Folder C:\DOCUME~1\louai\LOCALS~1\Temp\winxujuwr.exe not found.
C:\logoneui.exe moved successfully.
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\firewall 2008 deleted successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\louai\LOCALS~1\Temp\~DF4235.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\louai\LOCALS~1\Temp\winckij.exe scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\louai\LOCALS~1\Temp\stkak.exe scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12202008_183946

Files moved on Reboot...
C:\DOCUME~1\louai\LOCALS~1\Temp\~DF4235.tmp moved successfully.
C:\DOCUME~1\louai\LOCALS~1\Temp\winckij.exe moved successfully.
C:\DOCUME~1\louai\LOCALS~1\Temp\stkak.exe moved successfully.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_003_ moved successfully.

et celui de Log supprimé

et grand merci. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 20 Déc 2008 à 20:07    Sujet du message: Répondre en citant

Hijackthis est toujours encore dans un dossier temp

utilise le lien que j'ai mis pour l'install 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
hakim6



Inscrit le: 30 Aoû 2005
Messages: 109

MessagePosté le: 20 Déc 2008 à 20:42    Sujet du message: Répondre en citant

voila mr Zaed Log supprimé  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 21 Déc 2008 à 1:54    Sujet du message: Répondre en citant

RE, zaede suffira bien, pas besoin du mr Smile





Avertissement:
Cette procédure a été écrite spécialement pour ce PC. L’utiliser sur un autre peut rendre le système instable voire inutilisable



Cette procédure peut être longue mais elle est à appliquer en entier. En cas de problèmes passe à l'étape suivante et signale-le dans ta prochaine réponse.
Si tu as des questions, n’hésite pas à les poser



**************************************************************************


Lance HijackThis

- Clique sur Do a scan system only et coche la case devant les lignes suivantes:

F2 - REG:system.ini: Shell=Explorer.exe logoneui.exe
O4 - HKLM\..\Policies\Explorer\Run: [wininet.dll] regperf.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1


Ferme les fenêtres en cours sauf HijackThis, clique sur Fix checked



***************************************************************************


- Télécharge OTMoveIt (de Old_Timer) http://oldtimer.geekstogo.com/OTMoveIt3.exe Enregistre ce fichier sur le Bureau.

- Double-clique sur OTMoveIt3.exe
- Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

- Copie le texte qui se trouve en citation (sans le mot citation) et, colle le dans le cadre de gauche de OTMoveIt nommé Paste Instructions for Items to be Moved (Cadre jaune)

Citation:

:processes
explorer.exe

:Files
c:\windows\system32\logoneui.exe
C:\DOCUME~1\louai\LOCALS~1\Temp\winjikebc.exe
C:\DOCUME~1\louai\LOCALS~1\Temp\lfrbb.exe
C:\DOCUME~1\louai\LOCALS~1\Temp\winxujuwr.exe
C:\logoneui.exe


:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"firewall 2008"=-

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]


- Clique sur MoveIt! pour lancer la suppression.
- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit


Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.


Poste:

- le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles.

- Un nouveau rapport HijackThis 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
hakim6



Inscrit le: 30 Aoû 2005
Messages: 109

MessagePosté le: 21 Déc 2008 à 21:45    Sujet du message: Répondre en citant

bonjour,voici le rapport mais je n'arrive pas à ouvrir c:\ c'est la feneitre de SDFix qui s'ouvre à la place merci.========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
c:\windows\system32\logoneui.exe moved successfully.
File/Folder C:\DOCUME~1\louai\LOCALS~1\Temp\winjikebc.exe not found.
File/Folder C:\DOCUME~1\louai\LOCALS~1\Temp\lfrbb.exe not found.
File/Folder C:\DOCUME~1\louai\LOCALS~1\Temp\winxujuwr.exe not found.
C:\logoneui.exe moved successfully.
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\firewall 2008 deleted successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\louai\LOCALS~1\Temp\winfnxb.exe scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\louai\LOCALS~1\Temp\jlyff.exe scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\louai\LOCALS~1\Temp\winahtg.exe scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12212008_203058

Files moved on Reboot...
C:\DOCUME~1\louai\LOCALS~1\Temp\winfnxb.exe moved successfully.
C:\DOCUME~1\louai\LOCALS~1\Temp\jlyff.exe moved successfully.
C:\DOCUME~1\louai\LOCALS~1\Temp\winahtg.exe moved successfully.
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\louai\Local Settings\Application Data\Mozilla\Firefox\Profiles\137g27hz.default\XUL.mfl moved successfully. et le 2eme rapport merci Log supprimé 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 21 Déc 2008 à 23:41    Sujet du message: Répondre en citant

Bonjour hakim06, il y a une ligne qui fait de la résistance

1/

Télécharge http://siri.urz.free.fr/Fix/SmitfraudFix.exe
ou ici: http://siri.geekstogo.com/SmitfraudFix.exe sur ton bureau


2/

Double clique sur smitfraudfix.exe

Sélectionne 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.
Sauvegarde ce rapport et poste le.

process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
hakim6



Inscrit le: 30 Aoû 2005
Messages: 109

MessagePosté le: 22 Déc 2008 à 17:31    Sujet du message: Répondre en citant

re bonjour Zaed Log supprimé  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
Aller à la page 1, 2  Suivante 
Page 1 sur 2 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum