VIRUS et Autres

Je remercie si, quelqu'un de passage sur ce topic pouvait me répondre à ceci, ci dessous :
Bizarre, est-ce normal que combofix n'apparaisse pas dans le gestionnaire de tâches, renommer en bibitte.exe, il n'apparait pas non plus dans le processus ? donc combofix est-il en activité (ou pas) ?
----------------------------------------------------------------

Bonjour dédétraqué,

A cette heure ci, près de 16h de scan combofix, il n'est pas encore fini et j'attends donc toujours le rapport (la lumière du pc indique qu'il travaille).
J'ai actuellement sur le bureau, des fenêtres ouvertes m'indiquant des "messages d'alertes" mais provenant des virus.

Est ce possible, de faire remonter l'info au concepteur de combofix, qu'il serait bien de mettre une barre de progression dans combofix car là, on ne sait rien de rien. Je ne sais même pas si, le combofix actuellement est vraiment actif et je n'ose donc rien faire .

Donc, dès que je le peux, je fais tes instructions du message N°8

à++ ;)

Bonsoir dédétraqué,

Tous mes meilleurs voeux pour 2010.

Avira c'est ok (plus de 2300 infections trojans, adware, malware, :)), j'ai réussi à installer et à passer MBAM il ne me reste plus qu'à mettre zonealarm, donc là, plus rien à éradiquer dans l'immédiat, ça parait propre après tout ça mais il sera bon après de faire je pense, un RSIT ou un HJT.

Je fini d'installer certaines choses et fais des mises à jour de certains programmes par carte SD (XP sp3 et IE8 etc...).
Là, je m'a prête à installer mon cegetel pour l'internet (attention je ne suis plus joignable de suite) et dès que tout est prêt après, il me restera les dernières MAJ (windows updates, java ...), je te recontact pour un RSIT ou autre de tes conseils à suivre une fois que tout ce que je veux mettre sur le PC est mis.

(Encore merci pour tout)

à +tard

stéphane

Bonjour dédétraqué,

Alors, le RSIT était catastrophique ?
Pour info, à l'allumage du PC avira biip, je pense qu'il y a encore des truc qui coince ;)
Je suis entrain de faire un usbfix où détecter par avira il me découvre un virus portugais (après recherche avec mon ami google :) ) nommé : yong.exe dans C:\program files\yong.exe provenant de msn, je l'ai mis en 40taine et le supprimerais ensuite sinon je passe un msnfix.

Voici le log de OTM demandé.

----------------------------------------------------------------------------

All processes killed
========== PROCESSES ==========
========== SERVICES/DRIVERS ==========
Error: No service named clbdriver was found to stop!
Unable to stop service clbdriver!
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B0E5A6BD-DBEB-4B37-945A-2C0DE1E241CB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B0E5A6BD-DBEB-4B37-945A-2C0DE1E241CB}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{fa73dea3-6c81-491b-b7b6-4a81403a1be7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fa73dea3-6c81-491b-b7b6-4a81403a1be7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\clbdriver.sys\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\clbdriver.sys\ deleted successfully.
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa\\"Authentication Packages"|hex(7):6d,73,76,31,5f,30,00,00 /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa\\"Notification Packages"|hex(7):73,63,65,63,6c,69,00,00 /E : value set successfully!
========== FILES ==========
C:\WINDOWS\003056_.tmp moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 1120328 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 1049784 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: XXXXXX
->Temp folder emptied: 23810869 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 3481994 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 548912 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 29,00 mb


OTM by OldTimer - Version 3.1.4.0 log created on 01022010_083937

Files moved on Reboot...

Registry entries deleted on Reboot...

Re,

pour le scan avira que j'ai fais seulement au message N°11 il y avait 2300 infections que j'avais mis en 40taine et supprimer ensuite.

ok je vais supprimer ce qui est en gras mais avec quel élément de suppression ? après veux tu que je refasse un avira ?

Re,

Gamesbar est supprimé.
Là, je fais un MBAM en examen rapide puis je te fais l'avira dans la foulée :)) et te poste le log (avira).
il faudra que je vois aussi si, j'arrive à me connecté au net car ce n'était pas le cas jusqu'à présent.
Soucis avec le controleur éthernet (point d'interrogation en jaune), il n'y aurait pas de pilote.

ok je vais faire ça avant de lancer avira.

Merci pour ton aide (je sais, ce n'est pas encore fini :D )

Re,

ok pour les rapports.

Non là dans l'immédiat, je n'ai pas le CD avec les drivers de la carte mère car le PC n'est pas à moi mais aux parents d'un copain du fiston (11ans). Je les ai appelés et leurs ai demandé le CD ce matin, ils le recherchent, je les appels demain dans la matinée savoir si, ils l'ont trouvé.

Re,

lol :), oui, c'est déjà installé everest de lavalys :)).
Pour la carte mère, c'est bien pour le pilote du controleur éthernet ? car j'ai été voir sur Acer (modèle aspire T180) mais j'ai des doutes sur le pilote proposé. Et après, je ne sais pas où exactement le télécharger mais je pense que cela n'a pas d'importance et que c'est le PC qui gère où aller le retrouver.

Là, je vais te laisser et je vais aller profiter de ma dame un peu :), je verrais ça demain matin car je ne vois plus clair de plus, j'ai éteint le pc en question.

Je te remercie encore pour ton aide. je te souhaite une bonne nuit.

Bonsoir dédétraqué,

J'avais créé les sessions et je n'ai eu aucun souci apparent.

Le HJT c'est ok .
Je suppose que le fait d'avoir retirer le tea timer de spybot, à fait que je n'ai pas trouvé ces 4 lignes dans le scan :
O4 - HKLM\..\RunOnce: [SpybotDeletingA6354] command.com /c del "C:\WINDOWS\SchedLgU.Txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9744] cmd.exe /c del "C:\WINDOWS\SchedLgU.Txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9292] command.com /c del "C:\WINDOWS\SchedLgU.Txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingD2440] cmd.exe /c del "C:\WINDOWS\SchedLgU.Txt"

Ah ah ah, la tanche que je suis. j'ai loupé mon rapport :D toolscleaner2 car j'ai fait les options facultatives et fermé au lieu de faire quitter, mais tout à été supprimer j'en ai fait un second.
Voici le 2nd :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:


---------------------------------
--> Suppression:

---------------------------------------------------------
En apparence pas de soucis et, dans l'immédiat non je n'ai pas de question.
Je pense que là, c'est la fin.

Re,

Je te remercie pour tes recommandations de sécurité que je transmettrais en laissant une trace écrite en copier/coller de ton message ;).

- pare-feu bien paramétré, je te conseil ZoneAlarm :
https://www.malekal.com/tutoriel-zonealarm-firewall/
Pour ceci ci dessus, est -il possible de voir pour une mise à jour du tuto car avec le ZoneAlarm Extreme Sécurity qui à évoluer, c'est un peu plus compliquer pour un néophyte qui, risque de prendre peur surtout avec des onglets légèrement différents au tuto :)), enfin ce n'est que mon avis.

Bon ben sinon, je pense que c'est résolu et je te remercie très énergiquement pour ton super dépannage.
Je te souhaite une très bonne soirée et te dis à une prochaine fois certainement.
Eh oui car d'ici quelque temps, je vais préparer mon pc pour lui faire faire une petite révision de routine :)) puisque, je ne sais pas déchiffrer les yérogliph moi même des logs à partir d'un RSIT :)))).

Je te remercie encore pour tous Dédétraqué ;).

Bonsoir dédétraqué,

ok d'accord pour ZA je lui changerais la version lol.

Merci encore pour tout ;).

Bonne soirée et bonne nuit.

à+++