| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
bmetias
Nouveau
Inscrit le: 08 Avr 2006
Messages: 8
|
|
| Revenir en haut |
|
 |
Pow-wow
VIP +
Inscrit le: 15 Fév 2005
Messages: 706
Localisation: Est de la France
|
 Posté le: 09 Avr 2006 6:47 Sujet du message: |
|
|
Bonjour et bienvenue
Télécharge
Ouvre le bloc-notes, copie et sauvegarde cette liste de fichiers, il te la faudra plus tard dans la procédure avec Killbox:
| Citation: |
C:\WINDOWS\SYSTEM32\winm32.dll
C:\WINDOWS\system32\kernels8.exe
|
Redémarre ta machine en mode sans echec et donne toi accès aux fichiers cachés
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.
Lance HJT, coche et fixe la ligne suivante:
| Citation: | | O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll |
Lance Killbox comme c'est expliqué dans le tuto et applique la procédure à partir du point 6 en copiant la liste de fichiers que tu as sauvegardé.
Passe un coup de CCleaner
Reboot en mode normal puis nouveau logs HJT, Panda et Kaspersky
A+
_________________
Dieu créa le chat pour que l'homme ait un tigre à caresser |
|
| Revenir en haut |
|
|
bmetias
Nouveau
Inscrit le: 08 Avr 2006
Messages: 8
|
|
| Revenir en haut |
|
|
Pow-wow
VIP +
Inscrit le: 15 Fév 2005
Messages: 706
Localisation: Est de la France
|
| Posté le: 10 Avr 2006 9:46 Sujet du message: |
|
|
Bonjour
Ouvre le bloc-notes, copie et sauvegarde cette liste de fichiers, il te la faudra plus tard dans la procédure avec Killbox:
| Citation: |
C:\WINDOWS\SYSTEM32\winm32.dll
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe
|
Redémarre ta machine en mode sans echec et donne toi accès aux fichiers cachés
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.
Lance HJT, coche et fixe les lignes suivantes:
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
Lance Killbox comme c'est expliqué dans le tuto et applique la procédure à partir du point 6 en copiant la liste de fichiers que tu as sauvegardé.
Il est possible que Killbox ne trouve plus tous les fichiers de cette liste, c'est normal.
Reboot en mode normal puis nouveau log HJT et Kaspersky
A+
_________________
Dieu créa le chat pour que l'homme ait un tigre à caresser |
|
| Revenir en haut |
|
|
bmetias
Nouveau
Inscrit le: 08 Avr 2006
Messages: 8
|
| Posté le: 10 Avr 2006 17:40 Sujet du message: Ca y est... Plus de Virus ! |
|
|
Bonjour,
Je voudrais présenter mes plus sincères remerciements aux modérateurs de ce forum pour les explications simples et pédagogique qu'ils mettent en ligne et en particulier à Pow-Wow qui n'a pas hésité à me consacrer de son temps pour solutionner ce problème qui allait me causait d'énormes soucis... .
Je vous souhaite à toutes et à tous une bonne continuation et beaucoup de réussite professionnelle.
Encore Mil merci !
 |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7788
Localisation: Rouen (France)
|
| Posté le: 11 Avr 2006 7:00 Sujet du message: |
|
|
Bonjour à tous les deux,
bmetias, ce que tu as attrapé est particulièrement vicieux. 
Il serait plus prudent de nous redonner tous les rapports que Pow-Wow t'a demandé et en particulier le rapport de Kaspersky que tu n'as jamais donné. 
Pour vérifier qu'il ne reste plus de trace de Haxdoor, fais ceci :
- Télécharge Haxfix
- Lance-le, un dossier Haxfix va être créé
- Clique sur fix.bat
- Une fenêtre msdos sur fond rouge va s'ouvrir, tu vas voir Press any key to continue, tu appuies sur une touche du clavier pour continuer.
- Lorsque tu verras ce message :
| Citation: | Insert the haxdoor notify subkey without the numbers,
and then press enter: |
Tape ceci : winm32 et valide par la touche Entrée
Tu vas recevoir te demandant de fermer toutes les fenêtre (Close all Windows), tu fermes tous les programmes en cours sauf Haxfix.
Ton pc doit redémarrer au bout de quelques instants. S'il ne le fait pas reboot le toi même.
Récupère le log de Haxfix après redémarrage, il doit se trouver à la racine de ton disque dur à cet endroit : C:\Haxfix.txt et poste le.
@+
_________________
 |
|
| Revenir en haut |
|
|
bmetias
Nouveau
Inscrit le: 08 Avr 2006
Messages: 8
|
| Posté le: 11 Avr 2006 9:12 Sujet du message: Oh non... Ils reviennent !!! |
|
|
Bonjour Loreleï,
Tu avais raison cette chose est vraiment très vicieuse... La voici de retour sur ma machine. Elle bloque mon antivirus local (Norton) et m'empeche d'acceder aux pages sécurisées sur internet. J'ai refais toutes les procédures d'hier (car j'avais effacer quelques rapports  ) et je te joints tous les rapports que j'ai sur mon ordi (dont le rapport Kaspersky qui indique 7 virus présents !!!).
http://cjoint.com/?elll7kgCX5
http://cjoint.com/?ellmvvjnZF
http://cjoint.com/?ellmQ4iiqu
Sinon, j'ai essayé de faire ta méthode avec Haxfix mais je ne vois pas où cliquer sur fix.bat. En fait, quant je clique sur l'icone Haxfix, j'obtiens la fenetre dos sur fond rouge, j'appuie sur un bouton pour continuer et j'ai un menu avec 4 choix... .
Voilà tout. J'espère vraiment en venir à bout de ces choses....
Merci encore! |
|
| Revenir en haut |
|
|
bmetias
Nouveau
Inscrit le: 08 Avr 2006
Messages: 8
|
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7788
Localisation: Rouen (France)
|
| Posté le: 11 Avr 2006 10:35 Sujet du message: Re: Oh non... Ils reviennent !!! |
|
|
| bmetias a écrit: | | Sinon, j'ai essayé de faire ta méthode avec Haxfix mais je ne vois pas où cliquer sur fix.bat. En fait, quant je clique sur l'icone Haxfix, j'obtiens la fenetre dos sur fond rouge, j'appuie sur un bouton pour continuer et j'ai un menu avec 4 choix... . |
Si tu as accepté la création d'un icône sur le bureau tu ne devrais pas avoir à chercher Fix.bat.
Si tu n'as pas de raccourci, il se trouve là (en double cliquant dessus, tu relances le programme):
C:\Program Files\Haxfix\Fix.bat
On la retente
Lance Haxfix et appuie sur n'importe quelle touche. Tu vas obtenir cet écran :
- Tape 3 pour lancer le nettoyage manuel (run manual fix), tu vas avoir un nouvel écran :
C'est ici que tu dois renseigner la clé, tape : winm32
- Au message Close all Windows, ferme toutes les fenêtres,
- Ton pc doit redémarrer, si ce n'est pas le cas, tu le redémarres.
- Poste le rapport Haxfix.txt et un nouveau log HijackThis
 Si la commande de nettoyage manuel ne fonctionne pas, relance Haxfix et choisis l'option 2 (run auto fix)
@+
_________________
|
|
| Revenir en haut |
|
|
bmetias
Nouveau
Inscrit le: 08 Avr 2006
Messages: 8
|
| Posté le: 11 Avr 2006 21:02 Sujet du message: Je crois que cette fois c'est bon... |
|
|
Bonjour Loreleï,
Aujourd'hui un ami m'a donné un antivirus nommé NOD32. Il m'a assuré qu'il était vraiment très efficace par rapport à ses concurrents.
Je l'ai installé et j'ai fais une analyse et au bout d'une heure environ, il a désinfecté 22 fichiers atteints. Pour l'instant, mon ordinateur fonctionne normalement.
Je joins le rapport de nod 32
http://cjoint.com/?elxbjJVpV7
S'il s'avère que le virus est encore présent sur mon ordi, je réessayerai votre méthode.
@+ |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7788
Localisation: Rouen (France)
|
| Posté le: 11 Avr 2006 21:14 Sujet du message: |
|
|
Nod est très efficace oui 
Par contre je doute qu'il puisse venir à bout de Haxdoor sans un coup de main.
Haxdoor se lance avant le démarrage de Windows, il est appelé au logon. Pour t'expliquer brièvement, une dll pot de colle utilise le process du logon et celle de explorer, donc si le logon est lancé, Haxdoor le sera aussi.
Nod peut détruire certains fichiers mais pas tous, et Haxdoor réapparaîtra tôt ou tard
Je te conseille de faire la manip que je t'ai indiquée, ça ne mange pas de pain et avec un AV tel que Nod, tu devrais avoir la paix ensuite
@+
_________________
|
|
| Revenir en haut |
|
|
bmetias
Nouveau
Inscrit le: 08 Avr 2006
Messages: 8
|
| Posté le: 12 Avr 2006 16:46 Sujet du message: Ca ne marche toujours pas... |
|
|
Bonjour Loreleï,
Malgré de nombreuses tentative, je n'arrive pas à voir apparaitre la fenetre qui me dit "close all windows"... C'est vraiment embêtant...
Je joins les captures d'écran:
Option 2
http://cjoint.com/?emsTCyDdjY
Option 3
http://cjoint.com/?emsUkeQo8v
Je suis sur que tu dois penser que je ne suis pas très débrouillard... |
|
| Revenir en haut |
|
|
bmetias
Nouveau
Inscrit le: 08 Avr 2006
Messages: 8
|
| Posté le: 13 Avr 2006 9:39 Sujet du message: Je pense que cette fois-ci c'est bon... (enfin j'espère...) |
|
|
Bonjour Loreleï,
Je crois avoir découvert pourquoi Haxfix ne fonctionnait pas correctement: je n'étais pas en mode sans échec... .
Je ne sais pas si le virus est encore là ou pas.
Je te joins le rapport Haxfix ainsi que le Haxlog.
http://cjoint.com/?enlME7fxCQ
http://cjoint.com/?enlMPVhz0g
@+ |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7788
Localisation: Rouen (France)
|
| Posté le: 13 Avr 2006 21:24 Sujet du message: |
|
|
Bonsoir bmetias,
Oui il est encore là
| Citation: | checking for other files.....
qy.sys exist
qz.dll exist
qz.sys exist
klogini.dll exist
p3.ini exist
ps.a3d exist |
Tu n'as pas essayé l'option 2 (run auto fix) , vu que le nettoyage manuel ne fonctionne pas ?
Poste un nouveau log HijackThis ensuite
@+
_________________
|
|
| Revenir en haut |
|
|
|
FAQ
Membres
S'enregistrer
Profil
Vérifier ses messages privés
Connexion
