Désinfection

cricri58 · Août 20, 2009, 7:32

salut Aucunnn

Ok on est venu à bout de cette Daube,javais demandé un log RSIT,masi bon ça ira

il reste un quelque chose je pense que c est lié avec
au fi du temps ça c est transformé en ==C:\Program Files\wwww\wwww.exe et maintenant==C:\Program Files\yyyy\yyyy.exe
comme tu as eu des probs avec comboFix donc pas la peine d essayer

Question tu t en sers ==>O16 - DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} (JuniperSetupClient Control) - juniper.net…

1)telecharge killbox

==>killbox

.Double clic sur killbox.exe (Pocket Killbox)

Dans “Full Path of File to Delete”
copie et colle:

clique sur la croix rouge
une fenêtre va apparaître pour confirmation de suppression clique sur YES
ensuite va dans post de travail ==> cherche et supprime le dossier nommée : !KillBox

Fais une analyse Compléte avec Malwarebytes en mode Classique + suppression(s) poste le rapport
Télécharge Blacklight (de F-Secure)

==>Blacklight

et sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport

cliques sur le bouton Next pour passer à l’étape suivante

Une fenêtre récapitulative s’affiche alors
Cliques sur le bouton Exit en bas à droite pour terminer le scan

3)télécharge GenProc sur ton bureau (GenProc est compatible avec Windows Vista)

==>GenProc

dézippe le dossier, double-clique sur GenProc.bat

réponds " oui" à la fenêtre qui apparait

poste le contenu du rapport qui s’ouvre

cricri58 · Août 20, 2009, 7:49

OK autant pour moi

c est bon j ai compris

:lol:

tu as renommé Hijackthis une fois C:\Program Files\wwww\wwww.exe et ensuite en :\Program Files\yyyy\yyyy.exe j avais pas fais gafe surtout que j avais demandé de le renommer en HJT.exe

Donc laisse tomber killbox et Blacklight (de F-Secure)

Passe juste GenProc et réponds pour la ligne O16 et ça devrai être bon

Dans le cas ou GenProc ne trouve rien

Télécharges ToolsCleaner! de A.Rothstein pour enlever les programmes utilisés pendant la procédure.
==>ToolsCleaner

==> Enregistres ToolsCleaner2.exe sur le Bureau.
Sous Vista,Clic-droit > Exécuter en tant qu’ Administrateur
==> Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés
------> Il se peut que la fenêtre devienne blanche pendant le scan, c’est normal !
==> Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, cliquez sur “Suppression” afin de les supprimer.
et ensuite cliques==>vidage Corbeille==>vidage Corbeille
Fermes le programme en cliquant sur "Quitter ".

Postes le rapport qui se trouve ici >>> C:\TCleaner.txt

Aucunnn · Août 20, 2009, 5:34

Je crois qu’il ne l’utilise pas ^^

cricri58 · Août 20, 2009, 6:02

Re

donc tu peux fixer ces lignes

Lances Hijackthis

Cliques sur ==> Do a System Scan Only

O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupSP1 Control) - juniper.net…
O16 - DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} (JuniperSetupClient Control) - juniper.net…

Fermes tes autres applications sauf ==> hijackthis ( bien sûr )

et Cliques sur ==> Fix Checked

tu connais la chanson :lol:

aprés

Fais Tools Cleaner comme d écris et poste le rapport

et aprés pour moi c est bon

@+cricri58

Aucunnn · Août 20, 2009, 6:23

Rapport GenProc 2.615 [1] - 20/08/2009 à 17:51:47
@ Windows XP Service Pack 3 - Mode normal
@ Internet Explorer (7.0.5730.13) [Navigateur par défaut]

~~ “C:\WINDOWS\sed.exe” a été renommé sed.exe_RenameGenProc ~~
~~ “C:\WINDOWS\grep.exe” a été renommé grep.exe_RenameGenProc ~~
~~ ECHEC DU TELECHARGEMENT DE CM ~~
~~ ECHEC DU TELECHARGEMENT DE MBR.EXE ~~
~~ ECHEC DU TELECHARGEMENT DE HIJACKTHIS ~~

GenProc n’a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :

Poste un rapport Nod32 www.eset-nod32.fr… (il faut utiliser Internet Explorer)

coche toutes les cases à chaque fois, et lorsque c’est terminé, colle le rapport :
C:\Program Files\EsetOnlineScanner\log.txt

Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com

~~ Fin à 17:53:01 ~~

[ Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]

–> Recherche:

C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Administrateur\Bureau\GenProc.zip: trouvé !
C:\Documents and Settings\Administrateur\Bureau\GenProc: trouvé !
C:\Documents and Settings\Administrateur\Bureau\GenProc\Genproc.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\GenProc\outil\mbr.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\GenProc\Page\GenProc[*].html: trouvé !
C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\HJTInstall.exe: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Program Files\yyyy\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !

cricri58 · Août 20, 2009, 6:57

Relances Tools Cleaner ==> recherche une fois terminé cliques sur ==> suppression et termine par Vidage corbeille

ensuite supprimes les dossiers

ensuite vas dans poste de travail ==> cherche et supprime les dossiers : !KillBox - C:\SDFix - RSIT - -CombofFix-C:/Qoobox -quarantaine de ComboFix) et OTMoveltO( MovedFiles)

aprés tu vas dans program files ==> trend micro ==> dossier hijackthis ==> Backups

Passe TuneUp (vider la corbeille )

et voila Aucunnn as tu encore des soucis

Re

aprés tu vas dans program files ==> trend micro ==> dossier hijackthis ==> Backups <== a supprimer j ai oublié de le marquer

Aucunnn · Août 20, 2009, 7:22

Je pense qui ya plus rien.

Merci beaucoup de m’avoir aidé a désinfecter.

Si encore un problème , les fichiers du prefetch disparaissent.
Edité le 20/08/2009 à 19:23

cricri58 · Août 20, 2009, 10:21

regarde dans TuneUp car ils sont éliminés au nettoyage

Aucunnn · Août 21, 2009, 12:18

Tune up me dit que y faut vérifier que ça soit pas moi qui supprime ou un programme.

cricri58 · Août 21, 2009, 9:32

Salut

je n ai pas TuneUp mais regarde dans ==>Maintenance si il n y a rien à décocher utilises tu un autre nettoyeur car dans ATF-Cleaner ,Ccleaner (avancé) tu as cette option

Aucunnn · Août 21, 2009, 6:41

J’ai rien toucher ni nettoyer…

cricri58 · Août 21, 2009, 6:57

pour contrôle

tu te rends ici–> Bitdefender Online scanner -->Uniquement avec–> Explorer

–>Bitdefender Online scanner

–> fermes tes autres applications et désactives ton Anivirus Temporairement

En bas, à gauche de la fenêtre, cliquez sur ->Analyse en Ligne

Dans la fenêtre suivante, cliquez sur -> J’accepte

acceptez l’installation du “Contrôle ActiveX”

–> Une petite fenêtre s’ouvre, cliquez sur -> Installer
–> La fenêtre change encore, cliquez sur -> Démarrez l’analyse
–>Les signatures se chargent et BitDefender SCAN ONLINE démarre l’analyse
Une fois le scan terminé, dans cette fenêtre cliquez sur -> Cliquer pour exporter le rapport d’analyse
–> Choisir le -> Bureau (sur la gauche)

–> En > Type : choisir -> fichier HTML (*.html)
–> Cliques sur -> Enregistrer

N oublies pas de réactiver Ton Antivirus

poste le rapport

Aucunnn · Août 21, 2009, 8:51

Kaspersky détecte rien…

Je pense que le problème est du a un des prog que j’ai installé car avant y’avait pas de problème.

En tout cas merci pour l’aide j’aurais pas réussi a lui désinfecter tout seul ^^.
Edité le 21/08/2009 à 20:52

cricri58 · Août 21, 2009, 11:37

Re

pas de soucis et si Kapersky ne detecte rien c est ok

en attendant au plaisir et si probs tu sais ou nous trouver

Bon Surf et @+

cricri58

Aucunnn · Août 22, 2009, 5:50

Est-ce que les fichiers de restauration du système peuvent ètre infecté ?

Si ce n’est pas le cas je lui laisse une restauration propre.

cricri58 · Août 22, 2009, 8:18

Salut

normalement si tu as fais ceci que je t avais donné en page2

[b]

désactiver Restauration de ton système :

==> sert à supprimer les infections qui se trouvent dans la restauration du système.

==>Cliques sur démarrer.
==>Clic droit sur “Poste de travail” puis choisir “Propriétés”.
==>Sélectionnes l’onglet “Restauration du système”.
==>Coches “Désactiver la Restauration du système sur tous les lecteurs” ou “Désactiver la Restauration du système” puis appliquer.
==>OK==>Redémarres ton PC

Puis retournes sur “Poste de travail” , “Propriétés” décoches cette fois “Désactiver la Restauration du système”==>appliquer==> puis ok.

aprés

Création du point de restauration:

==>vas dans le Menu Démarrer puis dans Programmes,
==> Accessoires et enfin dans Outils système,
==>Choisis Restauration du système,
=>Sélectionnes==> Créer un point de restauration,
==>Cliques sur Suivant,
==>Entres un nom pour le point de restauration : ce nom assez simple pour que tu le retrouves
=> Cliques ==>Créer et le point de restauration se créé automatiquement
[/b]

c est propre si tu ne l avais pas fais comme ton PC marche tu peux faire ainsi

Questio · Août 22, 2009, 7:44

Si un ami met un Keylogger dans mon PC (et des images) et que je fais une restauration d’il y’a une semaine avant.

Le logger disparaît ? (les images sont toujours la.).