> Tous les forums > Forum Sécurité
 precedure pour supprimer un virusSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
zikfrid
  Posté le 15/06/2007 @ 17:16 
Aller en bas de la page 
Petit astucien

Bonjour,

J'ai chopé un virus, il semblerai que se soit le Win32.Bagle.SRK@mm.

J'ai trouver sur ce forum une procedure (https://forum.pcastuces.com/sujet.asp?f=25&s=31875), peut-on la suivre ou est-il ,preferable de ce faire aider par un astucien ?

Merci,

Publicité
chappy
 Posté le 15/06/2007 à 17:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

le mieux c'est de suivre la procédure de prénettoyage de chercheur sous ma signature.....poste les rapports demandés ( hijackthis, avg..) et une personne plus compétente viendra t'aider .....n'hésite pas à poser des questions si tu ne comprends pas. bonne fin de journée!

zikfrid
 Posté le 15/06/2007 à 23:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

J'ai commencé a faire la procédure de pré nettoyage, mais je suis bloqué pour redémarrer en MSE, j'ai le message "press esc to cancel loading SPTD.sys" et il reboot, pas moyen d'allé plus loin, même pas à pas.

zikfrid
 Posté le 15/06/2007 à 23:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Ail, ail, aiiiiil

J'ai trouver sur le forum une deuxième façon de passer en mse (exécuter, msconfig, boot.ini, /safeboot, appliquer, ok) et le micro redémarre en mse, sauf que là,même message pour le démarrage en mse et pareil en mode normal, il reboot.Plus de moyen pour le faire démarrer ?????

Heureusement j'ai encore mon portable pour rester en contact.

Merci pour toutes infos.



Modifié par zikfrid le 16/06/2007 00:01
Anonyme
 Posté le 16/06/2007 à 00:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonsoir zikfrid,

j' aurai voulu te dire avant de faire le pré-nettoyage en mode normal...

Si t' y arrives sur ton Pc de bureau, télécharge seulement (si ce n' est pas fait) HijackThis et Avg antispyware, puis utilise-les et poste les rapports (voir liens dans ma signature).

Lit bien les tutos.

Pour la trad de ton message, voici : ESC de ress pour décommander le chargement SPTD.sys

Tiens nous au jus.

le sioux
 Posté le 16/06/2007 à 00:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir tout le monde

* A savoir : cette facon de tenter de rentrer en mode sans echec Demarrrer/exécuter/msconfig/boot.ini/safeboot/appliquer/ok

est dangereuse depuis quelques temps et déconseillée , car risque de plantage avec certaines bestioles recemment apparrues..

* Sinon, presse la touche "ECHAP" lorsqu en MSE tu vois apparaître en bas de l'écran "press ESC to cancel loading SPTD.sys".

enleve ou renomme temporairement WINDOWS\System32\Drivers\sptd.sys.

D abord B ) Afficher les dossiers cachés https://forum.pcastuces.com/sujet.asp?f=25&s=3902

puis redémarre ton pc en mode normal et vérifie si tu peux entrer en MSE.

Note sptd.sys. est un element de DiamondTool qui crochete le noyau Windows et dans ton cas , c est lui qui te genait au debut pour passer en MSE.


@ suivre



Modifié par le sioux le 16/06/2007 01:02
le sioux
 Posté le 16/06/2007 à 01:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re zikfrid

Une petite precision, pour renommer temporairement WINDOWS\System32\Drivers\sptd.sys.

Clique droit/renommer renomme le en .old

Windows va t avertir "renommer les extensions..blabla..." n en tiens pas compte et valide par ok.

Et reviens nous dire si cela marche

@ suivre

zikfrid
 Posté le 16/06/2007 à 09:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Impossible de faire demarrer le micro, par quelque moyen que ce soit :

J'ai mon ecran noir avec les diverses options de démarrage (mse, mse prise en charge réseau, invite de comandes en mse, derniere bonne config et demarrer windows normalement), toute ces options ne donnent rien il reboot et me donne le meme message.

Mon idée est de réeinstaller windows par dessus la verssion installée ????

Je suis ouvert a toutes proposition

Merci

le sioux
 Posté le 16/06/2007 à 09:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Zikfrid

Tu as essayé ce que je t ai dit mais en vain ?

C'est sans doute du a ce safeboot coché... ne reinstalle pas de suite, je vais voir si on a une possibilité de te sortir de ce mauvais pas...

Je reviens te dire cela des que possible, ou c est un ami qui passera te guider.

@ plus.

Publicité
le sioux
 Posté le 16/06/2007 à 10:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Possibilités, mais j attend confirmation, n essaye pas de suite :


*Démarre depuis le CD de Windows XP puis choisis de réparer (touche "R").

Tapes CHDKSK /R depuis la console MS-DOS et relances ta machine.

** Demarre sur le CD d'XP pour faire une réparation du fichier boot.ini

--> Press "R" pour aller dans la console de récupération --> Lecteur C:

Tu tapes : bootcfg /default

*** Lien pour une "reparation" http://www.informatruc.com/reparer_2.php

@ +

zikfrid
 Posté le 16/06/2007 à 15:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Salut le sioux

J'ensuis a la commande bootcfg /default,

il m'ecrit:

[1] "Microsoft Windows XP Edition familiale"

Options de chargement du système d'exploitation : /fastdetect /NoExecute=OptIn /

safeboot:minimal

Emplacement du système d'exploitation : C:\WINDOWS

Sélectionnez l'installation à ajouter :

Que faut-il lui dire ?????

le sioux
 Posté le 16/06/2007 à 15:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bouge pas je te dis cela
le sioux
 Posté le 16/06/2007 à 16:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Je t avais dit d attendre... je n ai pas eu le temps de verifier l authenticité des informations collectées via google comme il faut etant occupé sur un autre cas compliqué..

Je pense que des 3 solutions, la derniere semble la plus fiable

Lien pour une "reparation" http://www.informatruc.com/reparer_2.php

....


Blaret
 Posté le 16/06/2007 à 16:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Message original par zikfrid

Bonjour,

J'ai chopé un virus, il semblerai que se soit le Win32.Bagle.SRK@mm.

J'ai trouver sur ce forum une procedure (https://forum.pcastuces.com/sujet.asp?f=25&s=31875), peut-on la suivre ou est-il ,preferable de ce faire aider par un astucien ?

Merci,


Ton anti-virus ne l'a pas bloqué?Qu'as-tu comme anti-virus?

le sioux
 Posté le 16/06/2007 à 18:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Zikfrid

Voila ce qu il faut faire

La deuxième solution est à faire dans le cas ou il vous est impossible de démarrer votre système.

Dans ce cas bootez depuis le cdrom xp.
Ensuite lancez la fonction reparation avec la touche "R".

Il demandera ensuite la cession de windows et il faut lui dire la "1".

Si par defaut il n’y a pas de mot de passe administrateur, il suffit juste de faire entrée quand il le demande.

Il y a une ligne de ce type C:\Windows>

Il faut écrire juste derrière bootcfg /rebuild_ (entre le g et / il y a un espace)et entrée.

Il va dire combien de partitions xp sont présente (si un seul système, c’est une et ainsi de suite).

Tapez "O" et entrée

Ensuite pour l'identificateur:
Microsoft Windows XP edition familiale et entrée.

et pour l'option de chargement:
/Fastdetect (un espace devant le /) et entrée.

Plus qu'à taper "exit" et entrée et redémarrer.

Merci a Nardino

Tient au courant...

zikfrid
 Posté le 16/06/2007 à 23:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Super

A présent je démarre normalement windows.L'utilitaire de configuration système s'ouvre et me dit que je suis en mode démarrage sélectif. Les 4 cases (exécuter et charger) sont cochés ainsi que "utiliser le fichier BOOT.INI original.Dans quel ordre faut-il poursuivre ?

Merci



Modifié par zikfrid le 16/06/2007 23:08
zikfrid
 Posté le 16/06/2007 à 23:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Je viens de faire un rappot avec HijackThis.

Logfile of HijackThis v1.99.1
Scan saved at 23:38:39, on 16/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\hldrrr.exe
C:\Documents and Settings\Moi\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170347155015
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

Publicité
le sioux
 Posté le 17/06/2007 à 15:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Zikfrid

A propos de

A présent je démarre normalement windows.L'utilitaire de configuration système s'ouvre et me dit que je suis en mode démarrage sélectif. Les 4 cases (exécuter et charger) sont cochés ainsi que "utiliser le fichier BOOT.INI original.

C est ok donc

* Verifie qu a BOOT INI "safe boot" soit bien décoché et n utilise plus cette facon pour rentrer en mode sans echec.Il ne faut pas forcer le mode sans echec.

* Tu es bien infecté par W32/Bagle-KF ( C:\WINDOWS\system32\hldrrr.exe ) ne prends plus d initiatives hasardeuses s il te plait, on va s en occupper ensemble.

* Ton log HijackThis a t il été généré en mode normal ?

Si ce n est pas le cas, comme je le pense, envoye en moi un, généré en mode normal stp.

@ suivre

zikfrid
 Posté le 17/06/2007 à 18:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

J'ai fait le scan de HijackThis en mode normal, puisque je n'arrive toujours pas a passer en mse.

En revanche je me suis permis hier soir de suivre la manip que tu ma énoncé pour modifier le fichier SPTD.sys, sans résultat, lorsque je démarre en mse je n'est plus cette ligne qui apparaît ,mais il reboot quand même. J'ai donc remis le fichier comme au départ.

Promis je touche plus a rien.



Modifié par zikfrid le 17/06/2007 18:19
le sioux
 Posté le 17/06/2007 à 18:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Zikfrid

Ok, je vais voir ce que l on peut faire

Commence par cela

Fais un clic droit ici et choisis " enregistrer la cible sous" afin de télécharger SafeBoot.reg sur ton bureau.

L'icône doit ressembler à ceci

Double clique dessus et accepte la fusion avec le registre.

Et essaye de redemarrer en mode sans echec,via touche F8

Dis moi si cela fonctionne, et on poursuit

@ suivre

le sioux
 Posté le 17/06/2007 à 19:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re ZikFrid

Ne fait pas ce que je t ai dit 17/06/2007 à 18:23

Mais ce qui suit

  • Télécharge ELIBAGLA de MSC HotlineSat
  • http://www.zonavirus.com/datos/descargas/95/elibagla.asp
  • Clique sur le bouton
  • Descargar Elibagla 10.41 --> tout en bas de la page au dessus de
    Tamaño Descargados Licencia Web 42,01 Kb. 29131
  • Cela va télécharger le fichier, placez le sur votre bureau.
  • Double-clique dessus pour l'ouvrir
  • Assure toi que dans le menu déroulant Unidad, tu as bien C:\
  • Vérifiquez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente (Eliminer les fichiers infectés automatiquement) est bien cochée
  • Cliquez sur le bouton Explorar pour lancer l'analyse
Supprimer Bagle avec elibagla

Reposte un log HijackThis en réponse .

@+



Modifié par le sioux le 17/06/2007 19:22
zikfrid
 Posté le 18/06/2007 à 01:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

le sioux

EliBagIA a trouvé 2 fichiers infecté:

HLDRRR.EXE.VIR -> Bagle.dldr

WINTEMS.EXE.VIR -> Bagle

Et 0 fichier Eliminé.

Je te poste le ropport de EliBagIA, puis celui de HijackThis:


Mon Jun 18 01:04:31 2007
EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\MOI\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\MOI\APPLICATION DATA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"

Mon Jun 18 01:05:11 2007
EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

le nouveau rapport de HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 01:15:11, on 18/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\hldrrr.exe
C:\Documents and Settings\Moi\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Moi\Bureau\EliBaglA.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170347155015
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

A demain

le sioux
 Posté le 18/06/2007 à 02:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

ZikFrid

Il dit les avoir renommés en .vir comme le feraient certains antivirus (entendio espanol ) mais toujours processus present dans ton log HijackThis...

Je te dis quoi faire au ptit matin, la je suis juste de passage...

Bonne nuit a demain.



Modifié par le sioux le 18/06/2007 02:24
le sioux
 Posté le 18/06/2007 à 09:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

zikFrid

Bon, on ré-attaque

1) Télécharge Blacklight

(de F-Secure)
(le premier de la page)

en image
à la lettre H

Enregistre le sur ton Bureau.
N'y touche pas pour l'instant.

2) Redemarre en mode sans echec

Redemarre en mode sans echec,via touche F8

Si tu as toujours un probleme pour demarrer en MSE alors, fait ce qui suit

Fais un clic droit ici et choisis " enregistrer la cible sous" afin de télécharger SafeBoot.reg sur ton bureau.

L'icône doit ressembler à ceci

Double clique dessus et accepte la fusion avec le registre.

Puis essaye a nouveau de redemarrer en mode sans echec,via touche F8, si cela ne fonctionne toujours pas alors
tente de désinstaller Daemon Tools par ajout/suppression de programme, et réessaye de redemarrer en MSE encore une fois....

3) ELIBAGLA de MSC HotlineSat

Double-clique dessus pour l'ouvrir (il est sur ton bureau )
Assure toi que dans le menu déroulant Unidad, tu as bien C:\
Vérifique aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente (Eliminer les fichiers infectés automatiquement) est bien cochée
Clique sur le bouton Explorar pour lancer l'analyse

Laisse bien finir cette derniere.

4) Redemarre en mode normal

-- Genere un nouveau log HijackThis

-- BlackLight

Double-clique fsbl.exe
Clique sur "I ACCEPT" .

clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse , accompagné du
nouveau log HijackThis.

@ suivre car si cela ne fonctionne pas, alors, nous utiliserons la methode manuelle ...



Modifié par le sioux le 18/06/2007 09:25
zikfrid
 Posté le 18/06/2007 à 12:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Je te poste les 2 rapport:

HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 11:52:35, on 18/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Documents and Settings\Moi\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170347155015
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

Blacklight:

06/18/07 11:53:29 [Info]: BlackLight Engine 1.0.61 initialized
06/18/07 11:53:29 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/18/07 11:53:29 [Note]: 7019 4
06/18/07 11:53:29 [Note]: 7005 0
06/18/07 11:53:39 [Note]: 7006 0
06/18/07 11:53:39 [Note]: 7011 1324
06/18/07 11:53:40 [Note]: 7026 0
06/18/07 11:53:40 [Note]: 7026 0
06/18/07 11:53:41 [Note]: FSRAW library version 1.7.1021
06/18/07 11:55:43 [Note]: 2000 1012
06/18/07 11:57:14 [Note]: 7007 0

A+ et bon appetit

le sioux
 Posté le 18/06/2007 à 12:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Bon, c est tout clean d apres les rapports, mais on doit encore faire plusieurs choses

-- Il te faut un antivirus, je n en vois pas dans ton log HijackThis (je ne vois pas de parefeu non plus, il faudra remedier a cela aussi plutard)

1) Telecharge

-- Antivir Avira PersonnalEdition Classic

http://www.free-av.com/

Installe le et parametre le conscienscieusement comme indiqué ici --> http://speedweb1.free.fr/frames2.php?page=tuto5

et met le a jour

-- AVG Anti-Spyware 7.5

Télécharger la version d'essai de AVG Anti-Spyware depuis http://www.grisoft.com/doc/31/ww/crp/0
L'installer
Lancer AVG Anti-Spyware.
Cliquer sur le menu Mise à jour.
Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.(note : il est parfois difficile de mettre a jour cet outils, recicidive jusqu'a y arriver)

-- CCleaner v1.41.520 - Basic

http://www.ccleaner.com/download/builds.aspx

Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".

Par la suite, laisse-le avec ses réglages par défaut.

2) Redemarre en mode sans echec

Redemarre en mode sans echec,via touche F8

3) Lance Antivir pour un scan

en prenant soins de bien selectionner recherche rootkits en cochant tes DD dans 'RootKits search' et idem coche tout dans 'manuel selection'

4) Lance AVG Anti-Spyware 7.5

--Reglages
Cliquer sur le menu Analyse (de la barre d'outils).
Cliquer sur l'onglet Paramètres.
Dans Comment réagir? cliquer sur Actions recommandées et choisir Quarantaine.
Dans Comment faire l'analyse ? et dans Programmes potentiellement dangereux, vérifier que toutes les cases soient cochées.
Vérifier que le bouton-radio Générer un rapport après chaque analyse soit aussi coché.
-- Scan
Dans l'onglet Analyse
Cliquer sur Analyse complète du système.
Important : Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.
Tres important : A la fin de l'analyse, clique sur " Appliquer toutes les actions"
Ensuite.

Cliquer sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
(C:\Programfiles\AVG Antispyware 7.5\Reports )
Puis fermer AVG Anti-Spyware.

5) Lance CCleaner
Puis dans le menu Nettoyeur
Cliquer sur Analyse cliquer sur le bouton Lancer le nettoyage.
Fais cela plusieurs fois d affilé .puis ferme CCleaner

6) Redemarre en mode normal

et fais un scan en ligne chez Bitdefender (Tu as deja du en faire auparavant chez eux d'apres ton log, je te remet tout de meme la procedure )

Bitdefender ICI
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
*
Dans la nouvelle fenêtre, clique sur I agree
*
La fenêtre change encore, clique sur Click here to scan
*
Les signatures se chargent, etc.

Tuto (merci Morgane)

http://pageperso.aol.fr/loraline60/bitdefender_scan.htm

Le rapport se situe dans C:\windows\bdoscan8\scanres.txt ou scanres.html

7) Poste du rapport d AVG et d'Antivir et du scan en ligne Bitdefender

@ suivre



Modifié par le sioux le 18/06/2007 12:43
Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
102,18 €Disque dur externe USB 3.0 Seagate 6 To à 102,18 € livré
Valable jusqu'au 08 Mai

Amazon Allemagne propose actuellement le disque dur Seagate Expansion Desktop Drive 6 To à 95,80 € (avec la TVA ajustée). Comptez 6,38 € pour la livraison en France soit un total de 102,18 € livré alors qu'on le trouve ailleurs à partir de 120 €. Le disque est non soudé et vous pourrez le récupérer pour l'utiliser dans un ordinateur, un NAS, etc. 

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane. 


> Voir l'offre
85,00 €Disque dur externe portable Toshiba Canvio Basics 4 To USB 3.0 à 85 €
Valable jusqu'au 07 Mai

Amazon propose actuellement le disque dur externe portable Toshiba Canvio Basics 4 To USB 3.0 à 85 € seulement ! Avec ses 4 To et sa connectique USB 3.0 compatible USB 2.0, vous aurez de quoi stocker rapidement et emporter avec vous vos photos, vos films, etc.  La livraison est gratuite.


> Voir l'offre
20,98 €Clé USB Sandisk Ultra Go 128 Go à double connectique USB 3.1 Type A et C à 20,98 €
Valable jusqu'au 07 Mai

Amazon fait une promotion sur la clé USB Sandisk Ultra Go 128 Go à double connectique USB 3.1 Type A et C qui passe à 20,98 €. Cette clé USB  dispose d'un connecteur USB Type C et d'un connecteur classique de type A. Grâce à elle, transférez en toute simplicité et rapidement (jusqu'à 150 Mo/s) vos fichiers entre vos smartphones, tablettes et ordinateurs. On la trouve ailleurs à plus de 35 €.


> Voir l'offre

Sujets relatifs
programme pour supprimer tout mes virus
utilitaire pour supprimer norton anti virus
méthode ultime pour supprimer virus, trojan, spywa
Quel ANTI VIRUS pour XP SP3 Gratos fiable
ai-je un virus ? pour pierre95
KIS supprime adwcleaner. Alternative pour supprimer delta search?
Supprimer 1 virus
anti virus mettre pour portable Pavilion HP
Comment faire pour supprimer "My Logitech Pictures" ?
Anti virus pour XP
Plus de sujets relatifs à precedure pour supprimer un virus
 > Tous les forums > Forum Sécurité