Mon Pc Est Inffecté Par Un Virus Que Bd Ne Connaît Pas

marty31

Salut à tous

Ce matin , j'ai téléchargé une archive .rar sur internet . Comme d'habitude , j'ai fais une analyse avec mon bitdefender total security 2008 , qui m'a dis que tout était clean dedans .

Etrangement , un petit fichier "run.exe" était attaché à l'archive . Après l'avoir décompressée , j'ai re-analysé , mais tout etait OK .

J'ai double cliqué sur run.exe , et la .. plein d'invite de commande ce sont ouverte , bitdefender a commencé a bloquer des virus ( le popup s'affiche en bas à droite ) , windows defender lui aussi s'est occupé de quelques virus , mais ca n'a pas suffit .

je me retrouve sans poste de travail , sans la fonction executer , je n'ai plus accès au disque C: et ( partitions principales ) , je ne peux plus changer/fermer la session , mais seulement rebooter ou éteindre le pc . Les images correspondant aux sessions ont elles aussi changées ..

Je suis sans arrêt questionné pour suprrimer des virus en téléchargant des anti-spyware , en allant sur des sites , auquel biensur , je ne répond pas ..

Le plus grave est que je ne connais pas l'infection qui atteint mon pc et que même une analyse approfondie du systèmene trouve rien .. Je ne peux même pas envoyer le .exe au labo puisque il n'est pas reconnu comme dangereux ..

Je ne sais vraiment plus quoi faire .. J'ai pu accéder à C: et en créant des raccourcis

j'ai donc pu faire une sauvegarde de mes fichiers importants sur un autre disque .

La fonction Backup de bitdefender ne fonctionne pas ou ne fait aucun effet puisque j'ai restauré plusieurs fois sans succès .. Ca se termine toujours par une erreur .

Merci de votre aide et de vos réponses

ps : à l'instant ou j'écrit , bitdefender vient de bloquer deux " Trojan.downloader.VBS.Bl , installé dans documents and settings , fichiers temporaires internet ..

J'attache le run.exe , mais surtout , ne l'exécutez pas ..

Powy

Salut à tous

Ce matin , j'ai téléchargé une archive .rar sur internet . Comme d'habitude , j'ai fais une analyse avec mon bitdefender total security 2008 , qui m'a dis que tout était clean dedans .

Etrangement , un petit fichier "run.exe" était attaché à l'archive . Après l'avoir décompressée , j'ai re-analysé , mais tout etait OK .

J'ai double cliqué sur run.exe , et la .. plein d'invite de commande ce sont ouverte , bitdefender a commencé a bloquer des virus ( le popup s'affiche en bas à droite ) , windows defender lui aussi s'est occupé de quelques virus , mais ca n'a pas suffit .

je me retrouve sans poste de travail , sans la fonction executer , je n'ai plus accès au disque C: et ( partitions principales ) , je ne peux plus changer/fermer la session , mais seulement rebooter ou éteindre le pc . Les images correspondant aux sessions ont elles aussi changées ..

Je suis sans arrêt questionné pour suprrimer des virus en téléchargant des anti-spyware , en allant sur des sites , auquel biensur , je ne répond pas ..

Le plus grave est que je ne connais pas l'infection qui atteint mon pc et que même une analyse approfondie du systèmene trouve rien .. Je ne peux même pas envoyer le .exe au labo puisque il n'est pas reconnu comme dangereux ..

Je ne sais vraiment plus quoi faire .. J'ai pu accéder à C: et en créant des raccourcis

j'ai donc pu faire une sauvegarde de mes fichiers importants sur un autre disque .

La fonction Backup de bitdefender ne fonctionne pas ou ne fait aucun effet puisque j'ai restauré plusieurs fois sans succès .. Ca se termine toujours par une erreur .

Merci de votre aide et de vos réponses

ps : à l'instant ou j'écrit , bitdefender vient de bloquer deux " Trojan.downloader.VBS.Bl , installé dans documents and settings , fichiers temporaires internet ..

J'attache le run.exe , mais surtout , ne l'exécutez pas ..

Bonjour ,

Concernant la fonction back up c'est normal, tu ne peux pas sauvegarder tout ton système , même si tu en as la possibilité avec la sauvegarde BD, des fichiers windows tourne tout le temps ^^.

Concernant le reste voici une procédure qui j'espère t'aidera.

1/ Analyse avec BitDefender :

************************

Si BitDefender est installé sur votre poste suivez les indications ci-dessous, sinon passez à l'étape 2 " Préambule + Scanbit"*.

- Ouvrez BitDefender et cliquez sur "Paramètres"

- Cliquez sur l'onglet "Antivirus" puis sur l'onglet "Analyse"

- Ensuite cliquez avec le bouton droit de la souris sur 'analyse approfondie'

- Sélectionnez 'Propriétés'

- Cliquez sur "Personnalisé"

- Dans les options d'actions, pour 'action à entreprendre lorsqu'un fichier infecté est trouvé', sélectionnez 'supprimer les fichiers'

- Dans les options d'actions, pour 'action à entreprendre lorsqu'un fichier caché est trouvé', sélectionnez 'renommer les fichiers'

- Validez par "Ok"

- Cliquez sur le bouton 'analyse'

Une fois l'analyse terminée, redémarrez Windows.

Ceci fait, redémarrez cette analyse personnalisée comme indiqué plus haut.

Si les manifestations de programmes publicitaires et parasites persistaient, vous pourrez alors passer à l'étape suivante.

2/ Préambule + Scanbit :

********************

Téléchargez les programmes depuis les liens suivants, enregistrez les sur le disque dur C: (à la racine) :

Smitfraudfix :

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Atf Cleaner :

http://www.atribune.org/ccount/click.php?id=1

Vundofix :

http://www.atribune.org/ccount/click.php?id=4

Scanbit :

ftp://ftp.editions-profil.fr/support/BitD...r10/scanbit.exe

Ensuite, éxécutez le programme scanbit, il va s'auto-décompresser et créer un dossier scanbit sur le disque et effectuez les opérations ci-dessous :

- Ouvrez le dossier scanbit et double-cliquez sur le fichier scanbit.bat

- Dans le menu qui apparait dans une fenêtre noire, tapez 2 puis validez par la touche Entrée pour mettre à jour les signatures virales.

- Une fois la mise à jour teminée (un message vous dira d'appuyer sur une touche), tapez Q pour quitter et validez par Entrée

3/ Nettoyage des fichiers temporaires :

*******************************

* Tout d'abord, si vous utilisez Internet Explorer 7, ouvrez le puis allez dans le menu Outils/Options internet. Cliquez sur l'onglet Avancés et cliquez sur 'Réinitialiser'.

* Ensuite, désactivez la restauration système en cliquant avec le bouton droit sur le "Poste de travail" et en choisissant "Propriétés".

Dans l'onglet "Restauration du système" cochez l'option "Désactiver la restauration du système sur tous les lecteurs" et validez par "Ok".

* Lancez Windows en mode sans échec (pour cela, redémarrez l'ordinateur, un peu après que les premières informations sur l'écran noir se soient affichées et avant que Windows démarre, il faut tapoter sur la touche F8 jusqu'à ce qu'un menu de démarrage apparaisse. Puis, dans le menu de démarrage de Windows, il vous faudra descendre jusqu'à la ligne 'Mode sans échec' et valider par la touche ‘Entrée’ deux fois).

* Une fois en mode sans échec, suivez les manipulations ci-dessous pour nettoyer les fichiers temporaires et internet temporaires sur votre disque dur :

- Exécutez depuis c: le programme Atf-cleaner et et cochez les éléments suivants :

> Windows Temp

> Current User Temp

> Temporary Internet Files

> Recycle Bin

- Cliquez sur le bouton 'Empty selected'

Si vous avez Firefox, pour supprimer les fichiers temporaires suivez les manipulations ci-dessous :

- Ouvrez Firefox, cliquez sur le menu Outils puis cliquez sur 'Effacer mes traces'

- Décochez toutes les options sauf celle nommée 'Cache'

- Cliquez sur 'Effacer mes traces maintenant'

4/ Smitfraudfix :

**************

Nettoyage avec Smitfraudfix (peut ne pas fonctionner complètement sur Windows Vista) :

- Ouvrez votre disque dur c:

- Double cliquez sur le programme smitfraudfix.exe et appuyez sur une touche pour continuer quand cela vous est proposé

(Si vous êtes sur Windows Vista, cliquez avec le bouton droit de la souris sur smitfraudfix et choisissez 'éxécuter en tant qu'administrateur')

- Sélectionner 2 dans le menu pour supprimer les fichiers responsables de l'infection.

- A la question: Voulez-vous nettoyer le registre ? répondre O(oui).

- Le programme déterminera si le fichier wininet.dll est infecté. A la question éventuelle : Corriger le fichier infecté ?

répondre O (oui) pour remplacer le fichier corrompu.

- Pour effacer la liste des sites de confiance et sensibles (qui ont pu être modifié par des spyware), sélectionner 3 dans le menu.

Une fois les opérations terminées, fermez la fenêtre et passez à la suite.

Vundofix :

********

Exécutez le programme Vundofix depuis c: puis suivez les opérations ci-dessous :

1. Quand VundoFix s'ouvre cliquez sur le bouton "Scan for Vundo".

2. Une fois que l'analyse est terminée, cliquez sur le bouton "Remove Vundo button"

3. Vous recevrez un message vous demandant si vous êtes sur de supprimer les fichiers, cliquez sur YES

4. Une fois que vous avez cliquez sur YES, votre bureau clignotera pendant qu'il supprimera les malware découverts

5. Une fois terminé, Vundo vous demandera de redémarrer l'ordinateur (reboot your computer), cliquez sur OK

Note: Il est possible que Vundofix rencontre des problèmes pour supprimer certains fichiers. Dans ce cas, VUndofix se relancera au redémarrage de Windows. Dans ce cas au redémarrage, une fois Vundofix redémarré, suivez simplement les instructions commencant à "...cliquez sur le bouton Scan for Vundo".

Redémarrez Windows de nouveau en mode sans échec (comme expliqué plus haut).

Scanbit :

*******

Analyse avec Bitdefender en mode sans echec (vous pouvez lancer si vous le souhaitez les deux types d'analyse)

* Si vous avez BitDefender 2008 installé suivez les manipulations ci-dessous :

Cliquez sur Démarrer puis allez dans 'Tous les programmes', puis dans le dossier jaune 'BitDefender 2008', sélectionnez 'analyse manuelle' pour lancer l'analyse.

Un rapport d'analyse est créé en toute fin d'anlayse, sauvegardez le sur votre bureau pour éventuellement nous le faire parvenir.

Une fois l'analyse terminée, redémarrez Windows normalement

* Si vous n'avez pas Bitdefender 2008 installé (ou s'il n'est pas à jour) suivez les manipulations ci-dessous :

- Ouvrez le disque dur C:

- Ouvrez le dossier scanbit et double-cliquez sur le fichier scanbit.bat

- Tapez 1 pour lancer une analyse de votre disque dur et validez par la touche Entrée

- Une fois l'analyse terminée, le menu du départ va se remettre en place, l'analyse terminée, un fichier rapport nommé analyse.txt sera créé sur C:\

- Pour quitter la fenêtre, tapez 3 et validez par la touche Entrée

Une fois l'analyse terminée, redémarrez Windows normalement.

Runscanner :

**********

Rapport Runscanner :

Veuillez exécuter le logiciel disponible en zip au lien ci-dessous :

ftp://ftp.editions-profil.fr/support/runscanner1-6.exe

- Une fenêtre s'ouvrira dans laquelle il faudra cocher la case "Beginner mode" puis cliquer sur "Ok".

- Il vous faudra ensuite sur la prochaine fenêtre cocher en supplément la case "Save a binary .run file (optional)" et cliquer en bas sur "Start full computer scan".

- Deux écrans s'afficheront l'un après l'autre vous proposant l'enregistrement de deux fichiers qu'il faudra ensuite nous faire parvenir en pièces jointes.

marty31

Tout d'abord merci de ta réponse !

Je vais lancer l'analyse ce soir , et je ferais le reste demain

Je te donnerais les résultats dès que possible !

Merci encore

marty31

Salut à tous ,

J'ai fait toutes les analyses aujourd'hui . Je vous envoie les rapports , etc..

Mais je n'ai pas l'impression que des virus aient étés trouvés..

Par contre , mon pc va mieux , les icones poste de travail , exécuter , les disques durs , réaparaissent ( sans les images correspondant aux icones ? )

Je recois toujours des publicités sur internet et firefox .

Merci de votre aide !

Ps : j'attache auss le fichier "run.exe" qui a causé tout ca .. faites attention /uploads/emoticons/default_smile.png">

mince.. je ne peux pas uploader ce type de fichier ? Je place le .exe dans une archive .rar

 

 

 

 

 

 

/applications/core/interface/file/attachment.php?id=19820" data-fileExt='xml' data-fileid='19820'>1212148281_1_02.xml
/applications/core/interface/file/attachment.php?id=19819" data-fileExt='txt' data-fileid='19819'>analyse_scanbit.txt
/applications/core/interface/file/attachment.php?id=19818" data-fileExt='txt' data-fileid='19818'>rapport_smitfri.txt
/applications/core/interface/file/attachment.php?id=19815" data-fileExt='txt' data-fileid='19815'>VundoFix.txt
/applications/core/interface/file/attachment.php?id=19816" data-fileExt='log' data-fileid='19816'>Runscanner_Log.log
/applications/core/interface/file/attachment.php?id=19817" data-fileExt='zip' data-fileid='19817'>run.rar.zip

Powy

Salut à tous ,

J'ai fait toutes les analyses aujourd'hui . Je vous envoie les rapports , etc..

Mais je n'ai pas l'impression que des virus aient étés trouvés..

Par contre , mon pc va mieux , les icones poste de travail , exécuter , les disques durs , réaparaissent ( sans les images correspondant aux icones ? )

Je recois toujours des publicités sur internet et firefox .

Merci de votre aide !

Ps : j'attache auss le fichier "run.exe" qui a causé tout ca .. faites attention

mince.. je ne peux pas uploader ce type de fichier ? Je place le .exe dans une archive .rar

tu devrais faire un hitjackthis de ton pc:

Pour nous envoyer votre fichier de diagnostic Hijackthis, nous permettant d'avoir plus d'informations sur votre problème vous devez :

- télécharger puis exécuter sur votre bureau l'application "Hijackthis.exe" disponible en zip sur le site au lien ci-dessous :

http://www.merijn.org/files/hijackthis.zip

- cliquer sur "ok" dans le cas où une fenêtre d'alerte se déclare

- choisir le bouton "Do a system scan and save a logfile"

- Un fichier "hijackthis.log" sera créé sur le bureau qu'il faudra nous faire parvenir par mail.

fait également ca:

* Réinitialisation de Internet Explorer 7:

------------------------------------------

Lancez Internet Explorer, allez dans le menu >> Outils >>

Options Internet >> Avancés >> Réinitialiser... >> Appliquer

>> OK.

Yann A.

Il faut effectivement, après avoir fait toutes ces manipulations, vérifier ce qui se lance au démarrage et les différents BHO (brower helper objetc) qui se greffent notamment à internet explorer.

Tout d'abord, si vous utilisez Internet Explorer 7, ouvrez le puis allez dans le menu Outils/Options internet. Cliquez sur l'onglet Avancés et cliquez sur 'Réinitialiser'. Ensuite Fermez Internet explorer.

Ouvrez le de nouveau, cliquez sur l'onglet Outils, puis sur Gestion des modules complémentaires, puis sur Activer Désactiver...Dans cette fenêtre vous pourrez désactiver des modules qui pourraient sembler suspects, n'appartenant pas à des éditeurs connus.

Dans Firefox, vous pouvez tout réinitialiser aussi et vérifier si des modules complémentaires suspects ne sont pas installés aussi.

Avec le rapport hijackthis, nous pourrons voir si des programmes suspects ne se lanceraient pas au démarrage.

Il sera possible de vérifier si des programmes ou des bibliothèques suspects se lancent au démarrage, nous pourrons les désactiver à l'aide d'Hijackthis (mais on peut utiliser msconfig pour les programmes ou runscanner aussi) et il faudra nous retourner les fichiers récupérés sur le disque (fichiers peut-être responsables de la présence de ces publicités, certainement des adware) pour que nous les analysions et les remontions au labo de Bitdefender.

Cordialement

Yann

Salut à tous ,

J'ai fait toutes les analyses aujourd'hui . Je vous envoie les rapports , etc..

Mais je n'ai pas l'impression que des virus aient étés trouvés..

Par contre , mon pc va mieux , les icones poste de travail , exécuter , les disques durs , réaparaissent ( sans les images correspondant aux icones ? )

Je recois toujours des publicités sur internet et firefox .

Merci de votre aide !

Ps : j'attache auss le fichier "run.exe" qui a causé tout ca .. faites attention

mince.. je ne peux pas uploader ce type de fichier ? Je place le .exe dans une archive .rar

marty31

salut ,

Je vous fais parvenir le rapport hijackthis ..

Vous croyez pas que le plus simple serait que je désinstalle puis réinstalle Iexplore et firefox ?

Puis aussi le petit truc embetant c'est que je n'ai plus aucune image correspondant aux icones .. C'est un petit problème mineur mais bon c'est un peu gênant quand même ..

Merci de vos réponses:)

/applications/core/interface/file/attachment.php?id=2108" data-fileid="2108" rel="">hijackthis.log

Regis59

File size: 120848 bytes

MD5...: 986822e87acca87aebc593ff4291cbaf

SHA1..: dbea585d33716189957570efd0771e33c1919832

SHA256: 24e0b6e6141c0ba0457a7be7b3c54cddfe84d2e24406b183177fe206819dad09

SHA512: 9c71da036f6928109310e58d6ca4158c6a2c998e9c6809fd3916aafb67ca5898

63b0a2b00d31caba4e8eaf4c2a93e3825d0ca49681dfb19517106953457d4f50

PEiD..: -

PEInfo: PE Structure information

AhnLab-V3 2008.5.30.1 2008.05.30 -

AntiVir 7.8.0.25 2008.05.30 TR/Dldr.Zlob.mnd

Authentium 5.1.0.4 2008.05.31 -

Avast 4.8.1195.0 2008.05.31 -

AVG 7.5.0.516 2008.05.30 Downloader.Agent.AHBJ

BitDefender 7.2 2008.05.31 -

CAT-QuickHeal 9.50 2008.05.30 TrojanDownloader.Agent.qzz

ClamAV 0.92.1 2008.05.31 -

DrWeb 4.44.0.09170 2008.05.31 Trojan.DownLoader.62491

eSafe 7.0.15.0 2008.05.29 Suspicious File

eTrust-Vet 31.4.5837 2008.05.30 -

Ewido 4.0 2008.05.31 -

F-Prot 4.4.4.56 2008.05.31 W32/Tibs.M.gen!Eldorado

F-Secure 6.70.13260.0 2008.05.31 Trojan-Downloader.Win32.Agent.qzz

Fortinet 3.14.0.0 2008.05.30 -

GData 2.0.7306.1023 2008.05.31 Trojan-Downloader.Win32.Agent.qzz

Ikarus T3.1.1.26.0 2008.05.31 -

Kaspersky 7.0.0.125 2008.05.31 Trojan-Downloader.Win32.Agent.qzz

McAfee 5307 2008.05.30 -

Microsoft None 2008.05.31 -

NOD32v2 3148 2008.05.30 -

Norman 5.80.02 2008.05.30 W32/Agent.FUVG

Panda 9.0.0.4 2008.05.31 -

Prevx1 V2 2008.05.31 Malware Downloader

Rising 20.46.50.00 2008.05.31 Trojan.DL.Win32.Undef.ov

Sophos 4.29.0 2008.05.31 Mal/EncPk-CG

Sunbelt 3.0.1139.1 2008.05.29 -

Symantec 10 2008.05.31 Downloader

VBA32 3.12.6.6 2008.05.31 -

VirusBuster 4.3.26:9 2008.05.30 -

Webwasher-Gateway 6.6.2 2008.05.30 Trojan.Dldr.Zlob.mnd

Quoi qu'il en soit, il y a une infection Vundo. Il serait intérressant que:

- Bitdefender se mette à jour concernant ce fichier...(A ce propos, lors de la réception d'un fichier, combien de temps met Bdf a l'inclure dans sa base?)

- Utiliser combofix peut etre une solution pour te désinfecter (à ne pas éxecuter seul).

A+

marty31

salut

Alors la je suis désolé j'ai rien compris du tout .. ? une infection Vundo ? pourtant j'ai passé un truc Vundofix ..

marty31

Je me disais que je pourrais peut etre télécharger la nouvelle version beta 2009? si ca peut résoudre le pb ..

marty31

salut ,

Bitdenfeder ma détecté deux trojan vundo qu'il a stoppés ..

Regis59

Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Copie/colle un nouveau rapport HiJackThis avec.

marty31

Salut ,

Combofix est vraiment trop bien :!

Mon pc va beaucoup mieux : le service de mise à jour remarche , je peux aller sur windows update , internet et firefox ne sont plus plein de pubs , ..

Je pense vraiment que c'est beaucoup beaucoup mieux .

Seul petit "hic" que je remarque , les images correspondant aux icones ne s'affichent pas toujours ..

Dois-je les remettre manuellement (long.. ) ou y a-t-il une autre possibilité ?

En tout cas merci beaucoup de ton aide !

Je poste quand même les rapports hijackthis et combofix ..

/applications/core/interface/file/attachment.php?id=2110" data-fileid="2110" rel="">hijackthis.log

/applications/core/interface/file/attachment.php?id=2111" data-fileid="2111" rel="">ComboFix.txt

Regis59

Re,

Il reste encore quelques fichiers a supprimer mais avant:

Seul petit "hic" que je remarque , les images correspondant aux icones ne s'affichent pas toujours ..

Dois-je les remettre manuellement (long.. ) ou y a-t-il une autre possibilité ?

Peux tu expliciter car je ne comprends pas. Merci.

marty31

Salut ,

En fet je veux parler des "images" qui correspondent aux icones ..

Par exemple , l'image correspondant au poste de travail est un ordinateur , celle correspondant à " mes documents " est un dossier rempli de feuilles , celui du courrier électronique est une lettre , etc..

Toutes les images ont disparus (ou presque) et sont remplacé par l'image montrant que windows ne reconnait pas le type du fichier.. (meme si windows les reconnait)

Et j'aimerais bien retrouver les anciennes images ?

Peut-être que je ferais bien de charger un backup récent mais sans virus ?

Et aussi supprimer Totalement le trojan ;p

Merci de ton aide !

Regis59

Ok.

Pour l'instant, je te propose de finir le nettoyage et après on verra pour cela, cela te convient il?

Désactives bien ton Antivirus.

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

File::

C:\WINDOWS\system32\cgbbrlcr.ini

C:\WINDOWS\QTFont.qfn

C:\WINDOWS\QTFont.for

C:\WINDOWS\SE6B72CC6.tmp

C:\WINDOWS\system32\mlfcache.dat

C:\WINDOWS\system32\ssqNedDT.dll

Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{27796771-8D05-4EE6-B478-43CE759F2106}]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{27796771-8D05-4EE6-B478-43CE759F2106}"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqNedDT]

Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

[*]Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

[*]Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

[*]Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

A+

marty31

Salut

Oui , le mieux est d'abord de soigner le pc , après on vera pour les réparations

J'ai fait ce que tu m'a demandé

Je te poste le log + un scan hijackthis au cas ou !

Merci de ton aide !

/applications/core/interface/file/attachment.php?id=2125" data-fileid="2125" rel="">ComboFix.txt

/applications/core/interface/file/attachment.php?id=2126" data-fileid="2126" rel="">hijackthis.log

Regis59

Salut

Fixe ceci:

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Et pour moi c'est ok.

Ou en sont tes soucis?

Il ne reste plus que les icônes?

A+

marty31

euh.. Qu'entend tu par "fixe ceci ? "

Sinon pour moi le pc va beaucoup mieux..

Ya plus que les changements que le virus a fait .. comme les icones par exemple

Regis59

Pour fixer:

¤Relance HijackThis, coche la case devant cette ligne :

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Et ensuite clique sur [Fix checked]

Dis moi si tu as compris

Je vais regarder pour le reste mais peux tu faire une prise d'écran pour bien que je vois le problème?

Une prise d'écran c'est sur [iMPR ECR SYST] à coté de F12.

Ouvre WORD, clique droit < coller.

Enregistre et met le en pièce jointe.

PS: Si tu as le temps de lancer un scan complet de ton PC avec Bitdefender...pour vérifier qu'il ne détecte plus rien...

Regis59

Pour les icônes, je te propose d'essayer updateicons.

UPDATEICONS vous propose plusieurs solutions lorsque vos icônes ne s'affichent plus correctement sur votre bureau ou lorsque les icônes ne correspondent plus aux programmes ou aux associations des extensions : la reconstruction dynamique des icônes système sans redémarrage, le choix du nombre de couleurs à utiliser pour les icônes et/ou la calibration du cache Windows dédié à ces icônes, ainsi que la suppression et la reconstruction automatique de ce cache. Descriptif et mode d'emploi intégré dans le logiciel.

Téléchargeable ici:

http://www.ptorris.com/download.php?file=updateicons.exe

Tiens moi au courant.

A+

marty31

salut !

Merci à toi , j'essaierai de regarder tout ca ce soir , sinon demain !

Merci merci

marty31

J'ai fait ce que tu m'a demandé avec hijackthis..

Je te poste un log quand même

Pour les icones , vu que je n'ai plus word , je te fait un jpeg c'est plus simple .. ( je colle le screen dans paint )

Je vais essayer ton site et je te donne le résultat

edit : j'ai du réduire un peu le format.. sinon l'upload n'était pas possible (2Mo maxi en single upload.. )

/applications/core/interface/file/attachment.php?id=2158" data-fileid="2158" rel="">hijackthis.log

Regis59

Ok donc il ne reste plus qu'a remettre les icones pour le panneau de configuration, poste de travail et favoris réseau?

marty31

en fet c'est un exemple.. Certaines icones ont disparues , certaines sont restées.. le logiciel ne marche pas ou je ne l'utilise pas correctement.. Je pense que l'idéal ce serait de le faire manuellement non ?

marty31

Salut,

En fet je me rend compte que ca n'est pas possible de le faire manuellement .. ou alors je ne sait pas comment

Regis59

Re,

On va essayer ainsi

1- Cliquez avec le bouton droit de la souris sur un espace vide du Bureau et choisissez la commande Propriétés.

2- Ouvrez l'onglet Bureau de la fenêtre qui s'affiche.

3- Cliquez sur le bouton Personnalisation du Bureau.

4- Cliquez sur l'icône que vous souhaitez modifier et cliquez sur le bouton Paramètres par défaut.

5- L'icône d'origine est alors restaurée. Recommencez l'opération pour les autres icônes que vous souhaitez retrouver.

Dis moi si cela marche ou si tu cherches à faire autre chose.

D'autres solutions sont envisageables.

[Note perso:

- Theme Luna

- Modif manuelle option dossier.]

marty31

Salut

en fet .. dans ces paramètres , je ne pouvais restaurer que : le poste de travail , mes documents , et les favoris réseaux ..

Ca ma crée une icône favoris réseaux que je n'avais pas + une nouvelle icône Mes Documents , mais qui n'est pas la bonne..

Merci de ton aide

Regis59

Ok...On va essayer autre chose:

Télécharge ceci et décompresse le

http://pageperso.aol.fr/Balltrap34/luna.zip

ensuite met le dans C:\WINDOWS\Resources\Themes\Luna

et double clic dessus

Ensuite réessaye de remettre le style XP.

A+

marty31

Salut

Hélas ca ne marche toujours pas ...

Quoi qu'il en soit je te remercie de t'intéresser à mon topic , je suis sur qu'on va trouver quelque chose ..

Merci beaucoup

Regis59

Ah mince " />

On va essayer autre chose alors.

Télécharge ceci sur ton bureau:

Rends toi dans à cet endroit:

C:\WINDOWS\system32\

Cherche dans la liste (rangé alphabétiquement ), shell32.dll et renomme le en shell32.dl (avec un seul l, cela rendra le fichier inutilisable).

Puis copie colle le fichier que tu as téléchargé sur ton bureau dans le même fichier, c'est à dire dans:

C:\WINDOWS\system32\

Redémarre le PC.

Et.... Soit ou soit

marty31

Salut ..

Le lien ne s'affiche pas je ne peux pas télécharger le shell32

Reposte le lien stp

merci !

Regis59

En fait, je voulais uploader le mien hier soir mais faisant 8Mo, j'ai pas trouvé de sites voulant l'héberger.

Je voulais passer par le ftp...bref...Apparemment, j'en ai trouvé un ici:

http://server4.nodevice.com/downloads/a9a6...53__shell32.zip

Si ça ne marche pas avec celui ci, pense a le supprimer et de renommer le tient comme il était.

A+

marty31

okok je fais sa dès que j'ai 5 minutes puis je te dis le résultat

merci

marty31

outch le lien ne marche po ..

ps : ce que tu pourrais faire , ce serait de l'upload sur dl.free.fr .. ou sur un ftp

Regis59

Et la:

http://www.dll-files.com/dllindex/dll-files.shtml?shell32

marty31

Merci je l'essaie ..

c'est bizarre , il ne fait que 1 Mo et quelques ? je l'esasie quand même ?

Ps : hier j'ai utilisé une command trouvée sur le net : sfc/scannow , qui a vérifié tous les fichiers système et m'a proposé de reinstaller certains , mais ca n'y fait rien

j'ai aussi regardé sur mon cd de reinstallation mais aucun shell32.dll n'est présent dedans .

marty31

t'inquiète pas pour ca , je vais toucher à un autre pc cet aprem et récupérer le shell32 , le thème luna , le shellicon je sais plus quoi

marty31

Salut

J'ai fais le changement de pas mal de fichier ( dont shell32 ) , mais aucun changement ...

Il semblerait aussi que d'autres session de mon pc soit aussi infectés . Je me suis servit d'une autre session quand la mienne était totalement inutilisable , et cette session paraît toujours un peu infecté . "Virus Alert" est affiché à la place de l'horloge , comme ca le faisait sur ma session quand le virus n'était pas éradiqué ..

Je n'ai peut-être désinfecté que Ma session?

Yann A.

Bonjour,

Cette infection par ce malware de type fake alert modifie les policies de Windows notamment.

Si vous rencontrez un problème d'accès à certains éléments de Windows, il faudrait utiliser le programme Zeb Restore pour restaurer les policies par défaut de Windows :

http://telechargement.zebulon.fr/zeb-restore.html

Cochez les éléments proposés qui correspondent aux problèmes d'accès que vous rencontrez.

Une fois les opérations effectuées, redémarrez Windows.

Si vous rencontrez de nouveau un problème d'accès par exemple à la base de registre, au disque C: ou au panneau de configuration, suivez la manipulation ci-dessous :

- Détachez le fichier clearregistrysecurity.zip joint à ce message, sauvegardez le sur votre bureau

- Une fois enregistré, décompressez ce fichier sur votre bureau, deux fichiers seront extraits (clearregistrysecurity.exe et lacalutils.dll)

- Double-cliquez sur le fichier clearregistrysecurity.exe (ou clearregistry)

- Une fenêtre noire apparaitra, validez par la touche Entrée quand cela vous est demandé

Redémarrez Windows, une fois les opérations effectuées.

Si besoin est, effectuez ces manipulations en mode sans échec sur votre session principale.

Egalement, si 'virus alert' apparait de nouveau, il faudrait éxécuter Combofix de nouveau et retourner le rapport créé à la fin des opération.

Merci aussi de lancer une analyse approfondie avec BitDefender et de nous retourner les rapport créé en fin d'analyse.

Cordialement

Cordialement

Salut

J'ai fais le changement de pas mal de fichier ( dont shell32 ) , mais aucun changement ...

Il semblerait aussi que d'autres session de mon pc soit aussi infectés . Je me suis servit d'une autre session quand la mienne était totalement inutilisable , et cette session paraît toujours un peu infecté . "Virus Alert" est affiché à la place de l'horloge , comme ca le faisait sur ma session quand le virus n'était pas éradiqué ..

Je n'ai peut-être désinfecté que Ma session?

/applications/core/interface/file/attachment.php?id=2252" data-fileid="2252" rel="">clearregistrysecurity.zip

Regis59

Salut

Et Merci.

Pour cette infection, Smitfraudfix s'occupe des infections de type Zlob:

http://siri.urz.free.fr/Fix/SmitfraudFix.php

Cordialement.

marty31

Yann , j'ai fais tout ce que tu m'a dis .

J'ai remis un coup de combofix , et les autres sessions vont mieux ;

Quant aux deux petits utilitaires que tu m'a donné , la seule différence que je vois est que je perd mon fond d'écran

Petit / Gros problème :

Je viens de me rendre compte que je n'ai plus accès aux " Connexions réseaux " et je ne peux pas configurer mon wifi :S

D'ailleurs c'est bizarre :

J'ai recu m'a nouvelle freebox

puis je suis allé sur le site de free , j'ai configuré mon réseau wifi , avec une clé WEP

J'ai rebooté ma freebox et mon pc ,

et au redémarrage , le réseau wifi se trouve tout seul et se configure , sans que j'ai besoin d'entrer la clé wep !?!?!

J'aimerais reaccéder aux connexions réseaux parce que le signal affiché est faible alors que la freebox est à moins de 20 cm de l'ordinateur

Merci de votre aide !

marty31

personne n'a une idée ?

Inconnu

Please send the following files for analysis

c:\windows\dit.exe

C:\windows\system32\ssqneddt.dll

c:\windows\system32\pmnkflvo.dll

c:\windows\boqnrwdmmfv.dll

Powy

tu as utilisé combofix et je pense c'est ce qui t'as peut être enlever tes connexions réseaux:

je te renvois vers ce lien:

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

marty31

I give you the files ...

C:\windows\system32\ssqneddt.dll & pmnkflvo.dll > i don't have this file.

c:\windows\boqnrwdmmfv.dll > I don't have this file.

I don't have 3 of your files ? maybe is it why i don't have "Network connections

Thanks for your help

ps : powathan, je n'ai pas du tout les connexions réseaux c'est peut être bien combofix qui m'a effacé les fichiers car ils étaient inffectés ?

merci

/applications/core/interface/file/attachment.php?id=2300" data-fileid="2300" rel="">asend.rar

marty31

plus rien ?

fr-darkrod

Salut à tous

Ce matin , j'ai téléchargé une archive .rar sur internet . Comme d'habitude , j'ai fais une analyse avec mon bitdefender total security 2008 , qui m'a dis que tout était clean dedans .

Etrangement , un petit fichier "run.exe" était attaché à l'archive . Après l'avoir décompressée , j'ai re-analysé , mais tout etait OK .

J'ai double cliqué sur run.exe , et la .. plein d'invite de commande ce sont ouverte , bitdefender a commencé a bloquer des virus ( le popup s'affiche en bas à droite ) , windows defender lui aussi s'est occupé de quelques virus , mais ca n'a pas suffit .

je me retrouve sans poste de travail , sans la fonction executer , je n'ai plus accès au disque C: et ( partitions principales ) , je ne peux plus changer/fermer la session , mais seulement rebooter ou éteindre le pc . Les images correspondant aux sessions ont elles aussi changées ..

Je suis sans arrêt questionné pour suprrimer des virus en téléchargant des anti-spyware , en allant sur des sites , auquel biensur , je ne répond pas ..

Le plus grave est que je ne connais pas l'infection qui atteint mon pc et que même une analyse approfondie du systèmene trouve rien .. Je ne peux même pas envoyer le .exe au labo puisque il n'est pas reconnu comme dangereux ..

Je ne sais vraiment plus quoi faire .. J'ai pu accéder à C: et en créant des raccourcis

j'ai donc pu faire une sauvegarde de mes fichiers importants sur un autre disque .

La fonction Backup de bitdefender ne fonctionne pas ou ne fait aucun effet puisque j'ai restauré plusieurs fois sans succès .. Ca se termine toujours par une erreur .

Merci de votre aide et de vos réponses

ps : à l'instant ou j'écrit , bitdefender vient de bloquer deux " Trojan.downloader.VBS.Bl , installé dans documents and settings , fichiers temporaires internet ..

J'attache le run.exe , mais surtout , ne l'exécutez pas ..

Avant de donner des conseils de nettoyage , je voudrai rappeler que la première cause de contamination de virus c'est la négligence et le manque de confiance en ce qu'on télécharge : /

On télécharge pas un truc que l'on connait pas quand même , c'est la porte ouverte aux intrusions """

En tout cas pour nettoyé , je conseille le fabuleux logiciel (que Bitdefender Inc. et les développeurs me pardonnent mais je suis quand même abonné ici , donc je vous adore ) d'Avast :

http://www.avast.com/fre/down_cleaner.html

Y a plein d'autres logiciels et de technique mais sa a déjà été dis précédemment (je préconise le formatage en cas de nécessité)

Bon courage

marty31

salut !

Wep je vais essayer avast quand j'aurais deux minutes .

Pour ce qui est du formatage , après tout ce que j'ai fais pour virer ce *** de virus j'ai un peu la flème de formater mon pc

Merci

fr-darkrod

salut !

Wep je vais essayer avast quand j'aurais deux minutes .

Pour ce qui est du formatage , après tout ce que j'ai fais pour virer ce *** de virus j'ai un peu la flème de formater mon pc

Merci

marty31

euhhhhh ouais j'avais oublié avast xD . tkt je vais l'essayer quand je serais chez moi pi je te donne le résultat .

Toujours rien pour récupérer connexions réseaux et mes icônes ? snif