Besoin de désinfection contre un virus actif [Résolu]

salut :

Télécharge ici :OTL

▶ enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant tous les utilisateurs

▶ règle age du fichier sur "60 jours"

▶ dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci :

"fichiers créés" et "fichiers Modifiés"

▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Merci de m'aider.

J'ai suivi tes instructions et j'ai cliqué sur Analyse. Rien ne se passe, en tout cas à l'écran. C'est normal?

si tu as Vista ou windows 7 => clic droit "executer en tant que...."

C'est bon les deux fichiers sont sur mon bureau.

Voici les liens pour les consulter:

OTL:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijJ1NH8hi.txt

Extra:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijU54spVO.txt

Merci

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

▶ Télécharge ici :List_Kill'em

et enregistre le sur ton bureau

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

♦ Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

choisis l'option Search

▶ laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier C:\List'em.txt

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶ Fais de même avec more.txt qui se trouve sur ton bureau

Je ne sais pas si j'ai un antivirus ou parefeu et je ne sais pas non plus comment les désactiver s'il y en a. En fait, à la maison, mon fils et mon mari ont installé des choses sur mon ordinateur avant de me l'offrir mais je ne sais pas quoi.

J'ai téléchargé List Kill'em et tenté de le lancer. Mais une fenêtre d'erreur s'affiche quand je clique sur search.

Voici une copie d'écran de l'erreur:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijUTdcG6V.png

tu as suivi cette consigne ?

si tu as Vista ou windows 7 => clic droit "executer en tant que...."

oui je l'ai suivie. J'ai fait clic droit exécuter en tant qu'administrateur après avoir copié un raccourci du programme List Kill'em sur le bureau (car après l'installation, aucun raccourci vers le programme List Kill'em ne s'est affiché sur le bureau lors de l'installation. J'ai donc dû le créer en faisant un copier coller du dossier Porgrammes/ List Kill'em vers le bureau. C'est pour ça que j'ai un problème?

oui car le raccourci vient pendant la recherche

D'accord. que faut il que je fasse alors pour résoudre le problème?

J'ai tout désinstallé et réinstallé. ça a marché cette fois.

Voici le rapport List'em.txt:

http://www.cijoint.fr/cjlink.php?file=cj201010/cij64f0rfA.txt


Voici le rapport More.txt:

http://www.cijoint.fr/cjlink.php?file=cj201010/cijjr1kGEm.txt


Merci

Au passage, j'en profite pour te dire que j'ai vu ton nom dans l'outil en haut du rapport. Si c'est toi qui l'a conçu, bravo et merci! Ce que tu fais est très bien. Je t'en suis très reconnaissante.

oui dans les debuts du codage j'ai eu l'aide de deux personnes qui ont concu eux-même des outils :)

petite interlude :)

http://www.youtube.com/watch?v=qpxHzZ11qLo&NR=1

===========================

bref :

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

▶ Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

▶ choisis l'Option Clean

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

▶ colle le contenu dans ta reponse

Belle musique le lien vers lequel tu m'as envoyée.

Merci
-------------------------------------------------------------------------------------

Alors voilà ce qui se passe, j'ai oublié de cliquer sur exécuter en tant qu'administrateur et j'ai simplement double cliqué sur le raccourci du bureau. Plusieurs fenêtres accès refusé sont apparues mais j'ai fait "ok" et l'outil a continué à travailler. Ensuite une fenêtre Windows est apparue me demandant si je voulais continuer. j'ai cliqué sur "continuer" et là, l'outil a continué. Il travaille encore actuellement. Est ce que quand il aura terminé, je dois recommencé en faisant "exécuter en tant qu'administrateur" cette fois?

Merci gen-hackman

oui j'ai cliqué sur clean. Excuse moi j'ai oublié de préciser.

C'est une fois que j'ai cliqué sur clean que les messages "d'accès refusé" dont je t'ai parlé plus haut sont apparus.

L'outil travaille encore pour l'instant. Il en est à Scan Progress: 85%.

Bon, l'outil semble avoir terminé et pas de rapport sur mon bureau. J'essaie donc de relancer le "clean" après avoir exécuté en tant qu'administrateur cette fois.

ce sera mieux oui je pense

Pauvre garçon. Je préfère les images et la musique quand la mariée est en vie. Comme quoi, il faut profiter des moments passés avec ses proches.

Merci en tout cas pour le lien.



Quant à l'outil, il travaille toujours.

Et voilà, l'outil a terminé. Voici le rapport:

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.0.9 ¤¤¤¤¤¤¤¤¤¤

User : J.... D...... (Administrateurs)
Update on 09/10/2010 by g3n-h@ckm@n ::::: 15.30
Start at: 18:58:57 | 09/10/2010

Intel(R) Atom(TM) CPU N450 @ 1.66GHz
Microsoft Windows 7 Édition Starter (6.1.7600 32-bit) #
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 100 Go (70,61 Go free) | NTFS
D:\ -> Disque fixe local | 122,87 Go (122,77 Go free) | NTFS

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\ProgramData\FullRemove.exe

Quarantined & Deleted !! : C:\windows\Temp\CFG6FE2.tmp
Quarantined & Deleted !! : C:\windows\Temp\CFGB183.tmp
Quarantined & Deleted !! : C:\windows\Temp\CFGB84.tmp
Quarantined & Deleted !! : C:\windows\Temp\CFGEC04.tmp
Quarantined & Deleted !! : C:\windows\Temp\DMI53D.tmp
Quarantined & Deleted !! : C:\windows\Temp\DMIAA13.tmp
Quarantined & Deleted !! : C:\windows\Temp\DMIED5A.tmp
Quarantined & Deleted !! : C:\windows\Temp\SEP3EDA.tmp
Quarantined & Deleted !! : C:\windows\Temp\SEP7AEC.tmp

¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1 localhost

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = http://www.google.com/
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval = 1 ()
FirstRunDisabled = 1 ()
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)

¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

Ndisuio : Start = 3
EapHost : Start = 2
Wlansvc : Start = 2
SharedAccess : Start = 2
windefend : Start = 3
wuauserv : Start = 2
wscsvc : Start = 2

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

FEATURE_BROWSER_EMULATION | svchost :
====================================


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll iaStor.sys
kernel: MBR read successfully
user & kernel MBR OK




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



▶ Télécharge ici :

Malwarebytes

ou :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

▶ Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)