RESOLU impossible de faire une mise à jour : rapport hijackthis
Forum Sécurité - Virus : RESOLU impossible de faire une mise à jour : rapport hijackthis
Bonjour,
Tu as utilisé une mauvaise version d'hijackthis. Désinstalle-la.
Télécharge et installe la celle que je t'ai donnée dans mon lien ( à lire ! ).
Hijackthis
Une fois cela fait, poste-moi un nouveau rapport fait avec la version que je t'ai donnée.
Sécurité / Prévention
Répondre à Egwene
Re,
Télécharge MalwareByte's Anti-Malware sur ton Bureau.
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
AIDE : Redémarrer en mode sans échec
- Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
- Afin de lancer la recherche, clic sur"Rechercher".
- Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
-- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
-- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
AIDE : Tuto en images sur MBAM
Sécurité / Prévention
Répondre à Egwene
Re,
Merci de visiter ce lien pour savoir comment installer et exécuter ComboFix :
http://www.bleepingcomputer.com/co [...] r-combofix
Cela inclut l'installation de la console de récupération windows si jamais elle n'est pas déjà été installée sur le PC. Il est vivement recommandé d'installer la console de récupération windows, car elle permet d'avoir accès à un très grand nombre de fonctionnalités dans le cas où le PC ne redémarrerait plus. C'est une sécurité supplémentaire en quelque sorte.
Une fois la console de récupération installée, vous aurez le choix au démarrage entre votre windows habituel et la console de récupération. Lancez votre windows habituel, puisque nous n'avons pas besoin d'utiliser la console de récupération, qui ne sert qu'en cas de problèmes. Par défaut, votre OS est sélectionné et il se lance automatiquement au bout de deux secondes. C'est normal 
Merci de me poster dans ta prochaine réponse le rapport de combofix accompagné d'un nouveau rapport HijackThis.
Sécurité / Prévention
Répondre à Egwene
Bonjour,
| Citation : bonjour, eh ben dis donc, pas simple tout ça. |
C'est en effet plus facile de ne pas se faire infecter. Clique sur le lien dans ma signature pour en apprendre plus. Je vois que tu as des programmes de P2P...
Désactive toute protection résidente ( antivirus…) ! <------- Pense-y !
Copie le texte se situant dans le cadre ci-dessous : ( Ctrl + C )
Sysrst::
|
=> Ouvre le Bloc Notes : Démarrer > Tous les programmes > Accessoires > Bloc notes
- Colles y le texte (CTRL + V)
- Enregistre ce fichier dans : Bureau
- Nom du fichier : CFScript
- Type du fichier : tous les fichiers !!
- Clique sur Enregistrer
- Quitte le Bloc Notes
Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
* Cela va relancer Combofix : au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
* Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher : Copie/Colle son contenue sur le forum.
Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt
* Poste un nouveau rapport hijackthis.
Message édité par Egwene le 06-10-2008 à 15:10:50
Sécurité / Prévention
Répondre à Egwene
Re,
J'ai trouvé le problème : combofix vient d'être mis à jour, il faut donc que tu le mettes à jour.
Pour cela : il me semble que la mise à jour devrait se lancer automatiquement en relançant CF, puisqu'elle date de 2 heures
Pour être certain : supprime combofix.exe, et retélécharge-le.
Ensuite, refais un scan avec combofix, sans CFscript, et poste-moi le rapport que tu obtiens.
Message édité par Egwene le 06-10-2008 à 19:51:38
Sécurité / Prévention
Répondre à Egwene
Bonsoir
je n'obtiens pas de rapport
C:\WINDOWS\system32\cmd.exe: 17 occurrences changed
PUSHD "C:\32788R22FWJFW\"
IF NOT EXIST C:\WINDOWS\system32\cmd.exe GOTO Not_NT
VER 1>VER00
C:\WINDOWS\system32\FIND.exe "Microsoft Windows [Version 5.2.3790]" VER00
---------- VER00
IF NOT ERRORLEVEL 1 GOTO Not_NT
C:\WINDOWS\system32\FIND.exe "Windows XP" VER00
---------- VER00
Combo-Fix Windows XP [version 5.1.2600]
HANDLE 1>temp01
SED -r "/<Non-existant Process> pid: ([0-9]*) .*/!d; s//@Nircmd KillProcess \/\1/" temp01 1>temp00.
bat
CALL temp00.bat
PV -o"%i\t%l" 1>temp02
SED "/\t.*\\nircmd\.inf$/!d; s///; s/./@pv -kfi &/" temp02 1>temp01.bat
CALL temp01.bat
DEL /Q temp0?.bat temp0?
=============================================
ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\DISTINC'TIF\Application Data
CFLDR=32788R22FWJFW
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Fichiers communs
COMPUTERNAME=ACER-73356C3771
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\DISTINC'TIF
KMD=CF3955.exe
LOGONSERVER=\\ACER-73356C3771
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\32788R22FWJFW;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\WINDOWS\system32;C:
\WINDOWS;C:\WINDOWS\System32\Wbem
PATHEXT=.cfexe;.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 44 Stepping 2, AuthenticAMD
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=2c02
ProgramFiles=C:\Program Files
PROMPT=$
SESSIONNAME=Console
sfxcmd="C:\Documents and Settings\DISTINC'TIF\Bureau\ComboFix.exe"
sfxname=C:\Documents and Settings\DISTINC'TIF\Bureau\ComboFix.exe
SYSTEM=C:\WINDOWS\system32
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\DISTIN~1\LOCALS~1\Temp
TMP=C:\DOCUME~1\DISTIN~1\LOCALS~1\Temp
USERDOMAIN=ACER-73356C3771
USERNAME=DISTINC'TIF
USERPROFILE=C:\Documents and Settings\DISTINC'TIF
windir=C:\WINDOWS
=============================================
IF NOT DEFINED sfxname GOTO END
COPY SWREG.exe SWREG.cfexe
1 fichier(s) copié(s).
CALL sfx.cmd
SWREG acl "hklm\software\microsoft\windows nt\currentversion\windows" /RE:F /Q
SWREG query "hklm\software\microsoft\windows nt\currentversion\windows" 1>MWindows.dat
GREP -sq "currentversion.* 6.0" osVer00 && (CALL :Vista ) ||
IF /I "C:\32788R22FWJFW" NEQ "C:\32788R22FWJFW" GOTO Abort
IF EXIST "C:\DOCUME~1\DISTIN~1\LOCALS~1\Temp\32788R22FWJFW32788R22FWJFW.log" DEL "C:\DOCUME~1\DISTIN
~1\LOCALS~1\Temp\32788R22FWJFW32788R22FWJFW.log"
1 fichier(s) copié(s).
1 fichier(s) copié(s).
(
SET "FileName=ComboFix"
SET "FilePath=C:\Documents and Settings\DISTINC'TIF\Bureau\"
)
SET FileName 1>FileName
GREP -isqx "FileName=[-[:alnum:]@.]*" FileName || (
CALL NIRCMD infobox "Vous ne pouvez pas renommer ComboFix en ~n~nVeuillez choisir un autre nom, de p
référence composé de caractères alphanumériques" ""
GOTO END
)
DIR /AD/B C:\* | FINDSTR -IVX ComboFix 1>dirname00
FINDSTR -LIXC:"ComboFix" dirname00 && CALL :NameChk
IF EXIST dirname0? DEL /Q dirname0?
IF EXIST "\ComboFix" DIR /AD "\ComboFix" 1>NULL && (
RD /S/Q "\ComboFix"
IF EXIST "\ComboFix" (
PV -kf *.cfexe
RD /S/Q "\ComboFix"
)
IF EXIST "\ComboFix" (
HANDLE "C:\ComboFix" 1>temp00
SED -R "/.* pid: (\d*) +([^ ]*):.*/I!d;s//@ECHO.y|Handle -c \2 -p \1/" temp00 1>temp00.bat
CALL temp00.bat
DEL temp00.bat temp00
RD /S/Q "\ComboFix"
)
)
IF EXIST "\ComboFix" RD /S/Q "\ComboFix"
IF EXIST "\ComboFix" GOTO :EOF
DEL osVer00 2>NULL
CD ..
SET "comspec=C:\WINDOWS\system32\CF3955.exe"
(
ECHO.MD "\ComboFix"
ECHO.MOVE /y "\32788R22FWJFW\*" "\ComboFix"
ECHO.RD /S/Q "\32788R22FWJFW"
ECHO.START "." /d"C:\ComboFix" "C:\WINDOWS\system32\CF3955.exe" /k c.bat
ECHO.PV -kf cmd.exe
ECHO.DEL \Start_.cmd
) 1>Start_.cmd
START NirCmd exec hide "C:\WINDOWS\system32\CF3955.exe" /f
ff /d /c call Start_.cmd
NIRCMD execmd DEL "\32788R22FWJFW\prep.cmd"
EXIT
C:\>
voila ce que j'obtient... ???????????
Re,
Tu es sûr(e) et certain(e) de n'avoir aucun repport sur C:\Combofix.txt ?
As-tu bien téléchargé une nouvelle version ?
Combofix a-t-il pu se lancer ? A-t-il travaillé ?
Plus j'aurais de détail, plus ça m'aidera.
Ne t'inquiète pas, on va fixer le problème, mais je voudrais comprendre pourquoi combofix ne vaut pas marcher Car je fais remonter au développeur. Donc avant de le déranger et lui demander ce qui ne va pas je veux être sûr qu'il y ait bien "problème" et que toi ou moi n'avons pas omis quelque chose.
Message édité par Egwene le 06-10-2008 à 21:24:20
Sécurité / Prévention
Répondre à Egwene
Re,
Le rapport est-il complet ?
Sécurité / Prévention
Répondre à Egwene
alors docteur, je suis sauvé????
Bonjour,
Je me renseigne auprès du développeur de Combofix, pour vérifier quelque chose
Tu es toujours infecté(e), mais ne t'inquiète pas, on va nettoyer tout ça.
Je reviens vers toi ce soir avec de nouvelles instructions.
Sécurité / Prévention
Répondre à Egwene
Re,
J'ai eu la réponse du développeur de Combofix. Il y avait un bug avec la version française.
Supprime ta version de combofix, retélécharge-la et refais un scan normal avec, puis poste-moi le nouveau rapport.
Message édité par Egwene le 07-10-2008 à 23:49:49
Sécurité / Prévention
Répondre à Egwene
Bonjour,
Bien 
D'abord je veux être sûr que tu puisses voir les fichiers/dossiers cachés :
[~]Aller dans poste de travail/outils/option des dossiers/affichage/afficher les fichiers et dossiers cachés/Appliquer - - > OK
[~]Aller dans poste de travail/outils/option des dossiers/affichage/décocher masquer les fichiers protégés du système d'exploitation./Appliquer - - > OK
Tu recocheras après.
[~] Poste de travail/outils/option des dossiers/affichage/décocher masquer les extensions dont le type est connu./Appliquer - - > OK
Rends toi sur ce lien : Virus Total
- Clique sur Parcourir
- Rends toi jusque sur ce fichier si tu le trouves :
C:\Documents and Settings\DISTINC'TIF\index.exe
- Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
- Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
- Lorsque l'analyse est terminée ("Situation actuelle: terminé" ), clique sur Formaté
- Une nouvelle fenêtre de ton navigateur va apparaître
- Clique alors sur cette image :
- Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
- Enfin colle le résultat dans ta prochaine réponse.
Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.
Refais la même chose avec :
C:\Documents and Settings\DISTINC'TIF\z.bat
Sécurité / Prévention
Répondre à Egwene
Bonsoir,
Désolé pour le retard, mais je suis plutôt pris en ce moment.
Le dernier rapport est ok. On va faire une vérification :
~Fais une analyse antivirus en ligne sur le site de Kaspersky
http://www.kaspersky.com/kos/eng/p [...] bscan.html
- Clique sur Accept
- Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
- clique une nouvelle fois sur "Accept"
- Les bases de mises à jour vont s'installer, patiente un moment
- Clique sur Next.
- Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. Et poste-moi le rapport que tu obtiens.
Sécurité / Prévention
Répondre à Egwene
Re,
Comment va le PC ? Toujours des problèmes ?
Sécurité / Prévention
Répondre à Egwene
Est ce que c'est tout bon???
Si oui merci bcp pour toute cette aide et bravo pour votre disponibilité et votre efficacité.
MERCI
Re,
Prévention :
- Nettoyage des fichiers temporaires :
Télécharge Ccleaner sur ton Bureau.
- Clique sur "download the latest version"
- Installe-le en laissant seulement les options suivantes cochées :
- Ajouter un raccourci sur le Bureau
- Contrôler automatiquement les mises à jour de CCleaner
- Lance le Nettoyage
- Clique sur Chercher des erreurs et sauvegarde si tu le souhaites.
Aide : Comment utiliser CCleaner.
Telecharge ATFcleaner sur ton Bureau.
- Double-clique sur l'exécutable téléchargé.
- Dans l'onglet Main, coche simplement la case Select All (toutes les cases vont se cocher) puis sur le bouton Empty Selected.
- Si tu possèdes Firefox ou Opera comme navigateur, pense à choisir ton navigateur en haut a gauche avant de sélectionner Select All puis Empty Selected.
- Puis réponds Non au message qui s'affiche, si tu ne souhaites pas perdre tes mots de passe.
Aide : Comment utiliser AFTCleaner.
-- Restauration Système :
Désactive-Réactive la restauration système.
Méthode XP :
Clique sur Démarrer, fais un clique droit sur le Poste de travail puis clique sur Propiétés. Sélectionne l'onglet Restauration du Système.
Dans cet onglet, coche la case Désactiver la Restauration du système sur tous les lecteurs.
Un message de confirmation va apparaître. Clique sur Oui, puis OK. Fais redémarrer ton ordinateur pour que les changements soient bien pris en compte.
Pour réactiver la restauration système, il suffit de décocher cette même case et de faire redémarrer ton ordinateur (en ayant suivi les mêmes étapes).
Méthode Vista :
Clique sur Démarrer, fais un clique droit sur Ordinateur, puis clique sur Propriétés. Clique à gauche sur Paramètres système avancés. Sélectionne l'onglet Protection du Système.
Dans cet onglet, décoche (une par une) tes partitions, un message de confirmation va apparaître, clique sur Désactiver la protection du système, Clique sur Appliquer, puis OK.
Fais redémarrer ton ordinateur pour que les changements soient bien pris en compte.
Pour réactiver la restauration système, il suffit de décocher cette même case et de faire redémarrer ton ordinateur (en ayant suivi les mêmes étapes).
Aide : Comment Désactiver-Réactiver la Restauration Système.
--- Affichage normal des fichiers :
Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
- Décoche Afficher les fichiers et dossiers cachés
- Coche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.
---- Suppression des outils installés :
Télécharge ToolsCleaner2 (de A.Rothstein)
- Installe le sur ton Bureau.
- Clique sur Recherche pour lancer le scan.
- Clique sur Supprimer pour nettoyer les outils utilisés.
- Clique sur Quitter.
- Supprime maintenant ToolsCleaner.
----- Remise en place des protections, protection du système avec les Mises à Jour ! :
Je t'invite maintenant à (ré)activer toutes tes protections résidentes (Antivirus, Antispyware, Firewall..).
Tu dois avoir accès à tes protections dans la zone systray à côté de la barre des tâches. Si tu as des difficultés, n'hésite pas à me questionner !
Si ce n'est pas fait, assure-toi que les Mises à jour Automatiques Windows soient activées !
Mets tes Softwares correctement à jour (Java, Adobe, Flash ..) grâce à Sotware Inspector (chez Secunia)
Un petit mot à propos de Java :
Une fois la nouvelle version téléchargée, installe-la et fais redémarrer ton ordinateur.
Hélas, les anciennes version de Java (qui contiennent des failles, donc dangereuses !) sont toujours présentes !
C'est donc très important que tu désinstalles les anciennes versions de Java.
- Va dans Démarrer, Panneau de Configuration, Ajout/Suppression de Programmes
- Déinstalles toutes les versions de Java exceptée la plus récente.
Aide : Comment utiliser Secunia Software Inspector.
------ Ton infection, tu la dénonces ? :
Tu n'es pas obligé mais ce serait bien que tu rapportes ton infection sur Malware Complaints
- Ton(tes) infection(s) : Vundo.
- Si tu ne la trouves pas dans la liste, poste dans Autres infections.
Aide : Comment dénoncer mon infection sur Malware Complaints.
Ajoute maintenant [Résolu] au titre. Pour cela :
* Clique, dans ton premier message, sur le bouton "Editer" 
* Rajoute la mention [Résolu] au titre
* Clique ensuite sur "Valider votre message"
Je t'invite maintenant à regarder ces dossiers très instructifs en terme de prévention !
- Sécurité/Prévention
- Conséquences de la multi-protection
- Toolbars : Inutilité et ralentissements
Bonne journée/soirée
Sécurité / Prévention
Répondre à Egwene
Re,
De rien ce fut un plaisir !
Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.
Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.
Bonne continuation
Sécurité / Prévention
Répondre à Egwene
