Poste infecté
Hors ligneBee Le 08/07/2008 à 12:25 Profil de Bee Configuration de Bee

Slt à tous, comme d'habitude je viens encore solliciter un sauvetage, d'abord j'aimerais savoir si xp antirus 2008 est-il un logi malvaillant qui se passer pour un antivirus? et si c'est le cas coment le raiyer? ensuite sur le pc il ya des virus comme (uncensered porn, cp illégal content, bdsm galleries), je les ai supprimé fatiguer, j'ai voulu installer Hijackthis et d'autre programme mais l'installation ne s'exécute pas par conséquent installation impossible donc je suis completement coincé je ne sais plus quoi faire. J'ai besoin de votre aide
Merci d'avance!!!
--
La plus grande connaîssance est celle qui mène l'homme vers l'homme!
Hors ligneKdecherf Le 08/07/2008 à 14:27 Profil de Kdecherf Configuration de Kdecherf

Bonjour

XP Antivirus 2008 n'existe pas.
Ensuite HijackThis ne s'installe pas, mais s'execute directement. Je te conseille d'executer la commande sfc /scannow pour corriger les fichiers système modifiés. Ensuite, refais un nettoyage avec un anti-virus en ligne genre http://housecall.trendmicro.com/
Hors ligneAtex Le 08/07/2008 à 16:18 Profil de Atex Configuration de Atex

APVS
Salut

Depuis que c'est TrendMicro, Hijackthis est fourni avec un installateur afin qu'il soit exécuté à partir de C:\Program Files\Trend Micro\Hijackthis.exe

Essaye d'installer Hijackthis en mode sans-echec (F8 au démarrage du PC)
Hors ligneKdecherf Le 08/07/2008 à 16:41 Profil de Kdecherf Configuration de Kdecherf

Ah d'accord, autant pour moi =)
Hors ligneBee Le 08/07/2008 à 18:20 Profil de Bee Configuration de Bee

Salut, merci pour votre contribution
j'avais déjà éssayé de l'exécuter (hijackthis) en mode sans échec mais ça ne marchais pas
en effet aucun programme ne se lance, quand je fais le double clique rien ne se passe du tout. Si vous avez d'autres pistes pour moi, remercie de me les montrer!!!

Je reviens, finalement j'ai pu exécuter hijackthis en le renommant.je vous envoie  log fil

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:43:18, on 08/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\DfrgFat.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://fr.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoomail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://fr.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://fr.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://fr.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F3 - REG:win.ini: run="C:\WINDOWS\system32\winupdate.exe"
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &WinSec Toolbar - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - C:\WINDOWS\system32\wscmp.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKCU\..\Run: [msserv] C:\WINDOWS\msserv.exe
O4 - Startup: Dos Optimizer.pif = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1213398527919
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8463E52-1D0A-4747-A9F0-BA4E07B2F5EC}: NameServer = 66.92.159.2
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

--
End of file - 4825 bytes
--
La plus grande connaîssance est celle qui mène l'homme vers l'homme!
Hors ligneAtex Le 08/07/2008 à 19:29 Profil de Atex Configuration de Atex

APVS
Alors,

Il y a effectivement des choses pas bien, le but serait de les supprimer correctement avec des outils de désinfection plutôt que de les supprimer manuellement:

Le tout en mode sans-échec:

1) Télécharge Navilog sur ton bureau, ferme toutes les applications, exécute-le, suis les indications, et sur le menu principal, choisis l'option 1.
Attends le message : *** Analyse Terminé le... ***  Appuies sur une touche et le rapport s'affiche dans le bloc-note. Copie tout dans ton prochain message.

2) Télécharge et installe Malwarebyte' Anti-Malware
Après l'installation, accepte les mise à jour. Une fois le programme lancé, tu n'as plus qu'à cliquer sur "Rechercher" (en mode examen COMPLET).
Une fois la recherche terminé, coche tout ce qui a été trouvé et supprime tout... Quand le bloc note s'ouvre, copie le rapport et poste-le dans ton prochain message.

3) Télécharge CCleaner: Analyse et nettoye les fichiers temporaires...


Il serait bon que ces 4 lignes disparaissent par désinfection, donc pour l'instant, on les laisse...

F3 - REG:win.ini: run="C:\WINDOWS\system32\winupdate.exe"

O3 - Toolbar: &WinSec Toolbar - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - C:\WINDOWS\system32\wscmp.dll

O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe

O4 - HKCU\..\Run: [msserv] C:\WINDOWS\msserv.exe


Ca c'est un reste de Windows Live Call, à supprimer car sans effet:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Est-ce que Speakeasy te dit quelque chose? Non? Alors supprime cette ligne:

O17 - HKLM\System\CCS\Services\Tcpip\..\{D8463E52-1D0A-4747-A9F0-BA4E07B2F5EC}: NameServer = 66.92.159.2

Ca, je ne trouve aucune info à ce sujet, donc si tu connais pas, si tu n'as aucune idée de ce que ça peut être, vire-le:

O4 - Startup: Dos Optimizer.pif = ?

Ca, ça veut dire qu'Internet Explorer n'est pas à jour vu que la dernière version est la 7... Fais les mises à jour Windows même si tu n'utilises pas Internet Explorer:

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Hors ligneBee Le 08/07/2008 à 20:29 Profil de Bee Configuration de Bee

Merci Atex, je te tiens au courant

Voila l'analyse navi:

Search Navipromo version 3.6.0 commencé le 08/07/2008 à 18:43:48,38

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "CYBER"

Mise à jour le 27.06.2008 à 23h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : FAT32

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\menudÉ~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\CYBER\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\CYBER\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\CYBER\menud+~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\CYBER\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\CYBER\locals~1\applic~1" :


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 08/07/2008 à 18:44:37,64 ***
--
La plus grande connaîssance est celle qui mène l'homme vers l'homme!
Hors ligneAtex Le 08/07/2008 à 21:30 Profil de Atex Configuration de Atex

APVS
Ok, R.A.S... J'attends rapport MalwareByte.  
Hors ligneBee Le 10/07/2008 à 19:35 Profil de Bee Configuration de Bee

Me revoila, je n'ai pas pu continuer le dépannage, le propriétaire a résolu autrement en formatant son disque donc tout est revenu à zéro.
Je tiens à te remercier énormement Atex pour toutes tes contributions encore merci et à bientôt!!!
--
La plus grande connaîssance est celle qui mène l'homme vers l'homme!
Hors ligneTrepied Le 11/07/2008 à 08:40 Profil de Trepied Configuration de Trepied

Dr_Chacalux
Bee a écrit :
Me revoila, je n'ai pas pu continuer le dépannage, le propriétaire a résolu autrement en formatant son disque donc tout est revenu à zéro.
Je tiens à te remercier énormement Atex pour toutes tes contributions encore merci et à bientôt!!!


Le bon vieux réflexe du windowsien, ça marche plus, on sort le bazooka j'suis fan
--
Computers are like air conditioners, they are useless when you open Windows.
Vous avez résolu votre problème avec VIC ? Faites-le savoir sur les réseaux sociaux !
Vulgarisation-informatique.com
Cours en informatique & tutoriels