Pb récurrent, Pc contaminé, s'éteint et se rallume tt seul??

[Sév]

Si RootkitRevealer ne donne rien, c'est plutôt une bonne chose

[maxhymne]

Bonsoir,

alors je vais allé m'acheter des CD pour tout gravé.
Norton on peut virer
Je suis entrain d'essayé de mettre a jour windows mais updates pour le moment impossible.
Et enfin oui j'ai le cd de windows XP vu qu'il n'y avait rien sur mon PC a la base.

J'attends vos instructions chef !

Merci

[Sév]

Bonjour maxhymne,

Ok, c'est parti

Lis attentivement la procédure et imprime-la pour l'avoir sous les yeux quand tu seras déconnecté d'Internet et en mode sans échec. Imprime également les pages des liens sur lesquels je te renvoie, et suis toutes les instructions à la lettre et dans l'ordre.

Pour que cette procédure ait une chance de réussite, tu devras la faire d'un bout à l'autre sans te connecter, donc si tu as des questions pose les avant de commencer.

Si tu as toujours des difficultés à te servir d'Internet Explorer, installe Firefox pour faire les téléchargements.

1. Crée toi un répertoire "Désinfection" sur ton bureau et télécharges-y les outils suivants, mais n'y touche pas pour le moment :
   
   
   • CleanUP
     
     
   • CCleaner
     
     
   • Killbox --> Imprime le tuto.
     
     
   • sdbotgui.com
     
     
   • Delldomains.inf --> Clique droit sur le lien et choisis enregistrer sous dans le menu contextuel.
     
     
   • Hoster
     
     
   • Kill2me
     
     
   • La version d'essai de Nod32 : Tu choisiras le lien de download "NOD32 Antivirus 2.5 pour Windows NT/2000/XP", avant de pouvoir la télécharger, remplis le formulaire que tu obtiendras en cliquant sur le lien.
     
     
   • Un parefeu : Look n Stop Lite 1.04. Je te laisse le lien de ce tuto pour le paramètrer plus tard, imprime-le également tant que tu as une connexion.
     
     
   • Toutes les mises à jour Windows (KB) que tu trouveras sur cette page.
   
   
   
2. Ouvre le bloc notes, copie et sauvegarde cette liste. Ces fichiers seront à détruire avec Killbox dans la suite de la procédure :
   

   Citation:

   C:\abstliqe.exe C:\bbnhui.exe C:\bfpcce.exe C:\degslhv.exe C:\Documents and Settings\Lefranc\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\omfg.class-593ebb39-4a80b537.class C:\Documents and Settings\Lefranc\Local Settings\Application Data\338f0846.exe C:\Documents and Settings\Lefranc\Local Settings\Application Data\80e6542b.exe C:\Documents and Settings\Lefranc\Local Settings\Application Data\80e6542b.exe C:\Documents and Settings\LocalService\Local Settings\Application Data\80e6542b.exe C:\jshirfcr.exe C:\obyeonfu.exe C:\Program Files\bxwlwv.exe C:\Program Files\ibyxmjll.exe C:\Program Files\Micmmuns\ace.dll C:\Program Files\Micmmuns\dmclay32.exe C:\Program Files\Micmmuns\dpmimm32.exe C:\Program Files\Micmmuns\WinGenerics.dll C:\Program Files\secure32.html C:\read1write.exe C:\rgvbq.exe C:\secure32.html C:\twdqu.exe C:\vrdbb.exe C:\WINDOWS\addins\iislib.dll C:\WINDOWS\system\ctldlg32.dll C:\WINDOWS\system32\03530.exe C:\WINDOWS\system32\0mcamcap.exe C:\WINDOWS\system32\15315.exe C:\WINDOWS\System32\338f0846.exe C:\WINDOWS\system32\80e6542b.exe C:\WINDOWS\system32\drivers\etc\hosts.msn C:\WINDOWS\system32\ipmbdlv1.exe C:\WINDOWS\system32\Mcsheild.exe C:\WINDOWS\system32\nbsystem.exe C:\WINDOWS\System32\req.dll C:\WINDOWS\system32\TFTP3656 C:\WINDOWS\system32\TheMatrixHasYou.exe C:\WINDOWS\system32\wkster40.exe C:\Windows\xpupdate.exe C:\xujnwwb.exe

   
   
   
3. Débranche ta connexion (modem ou box) à partir de maintenant, et ferme tous les programmes en cours.
   
   
4. Désactive le mode résident (tea timer) de Spybot pour faciliter l'installation des outils de sécurité.
   
   
5. Installe CCleaner & CleanUp
   
   
6. 1er nettoyage avec CCleaner, comme c'est expliqué sur le tuto
   
   
7. Vide la quarantaine de ton antivirus résident
   
   
8. Désactive la restauration du système et réactive-la aussitôt,
   
   
9. Tu vas désactiver Avast, en quittant le programme et désactiver ses services de la façon suivante :
   
   
   • Par le menu Démarrer / Exécuter (ou touche Windows et R)
     
   • Tape services.msc
     
   • Double clique sur avast! iAVS4 Control Service (aswUpdSv)
     
   • Clique sur "Arrêter"
     
   • Définis le Type de démarrage en "Désactivé"
     
   • Clique sur Appliquer
     
     
   • Même chose avec ces services :
     
     
     • avast! Antivirus
       
     • avast! Mail Scanner
       
     • avast! Web Scanner
       
     • SAVScan (service de Norton)
       
     • SymWMI Service (SymWSC)(service de Norton)
     
     
     
   • Ferme la console
   
   
   
10. Ouvre Killbox et le fichier texte contenant la liste de fichiers que tu as copié préalablement. Suis ce qui est écrit sur le tuto de Killbox à partir du point 6.
    
    Il est possible que Killbox ne trouve pas tous les fichiers, ne t'en inquiéte pas.
    
    
11. Redémarre en mode sans échec
    
    
12. Dézippe Kill2me et double clique dessus pour le lancer
    
    il est possible qu'il ne veuille pas se lancer si aucune trace de Look2me n'est trouvée ne t'en inquiète pas
    
    dans tous les cas : note le message que tu obtiens et donne le moi sur ta prochaine réponse.
    
    
13. Double clique sur Sdbotgui.com pour le lancer. Clique sur Accept puis sur Start Scan (Go). Si tu as un message d'erreur avant le scan te disant que tu ne disposes pas des droits administrateur, n'en tiens pas compte et clique sur Oui.
    
    
14. Redémarre de nouveau en mode sans échec
    
    
15. Relance HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :
    
    

    Citation:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html O2 - BHO: Acrobat IE Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE083} - C:\WINDOWS\system\ctldlg32.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file) O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file) O4 - HKCU\..\Run: [80e6542b.exe] C:\Documents and Settings\Lefranc\Local Settings\Application Data\80e6542b.exe O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe O4 - HKCU\..\Run: [338f0846.exe] C:\Documents and Settings\Lefranc\Local Settings\Application Data\338f0846.exe O4 - HKCU\..\RunServices: [Mcaffee] Mcsheild.exe O9 - Extra button: MrB Poker - {1DAA624F-A7AB-4b31-97A4-67205FF6963C} - C:\Program Files\mrbookmakerfrMPP\MPPoker.exe O9 - Extra button: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\PROGRA~1\ALLOCA~1\allocam.exe (file missing) O9 - Extra 'Tools' menuitem: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\PROGRA~1\ALLOCA~1\allocam.exe (file missing) O15 - Trusted Zone: messenger.hotmail.com O15 - Trusted Zone: http//messenger.msn.com O15 - Trusted Zone: loginnet.passport.com O15 - Trusted Zone: login.passport.net O15 - Trusted Zone: memberservicesnet.passport.net O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http//data.jeuxclassiques.com/npwwg.cab O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http//minitelweb.minitel.com/imin_data/ocx/MDM.cab O16 - DPF: {106E49CF-797A-11D2-81A2-00E02C015623} (AlternaTIFF ActiveX) - http//www.alternatiff.com/install/00/alttiff.cab O20 - Winlogon Notify: 20242402reg - C:\Documents and Settings\All Users\Documents\Settings\20242402.dll O20 - Winlogon Notify: iislib - C:\WINDOWS\addins\iislib.dll (file missing) O20 - Winlogon Notify: req - C:\WINDOWS\System32\req.dll (file missing) O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing)

    
    
    
16. Clique sur Fix Checked et accepte les modifications.
    
    
17. Donne-toi accès aux fichiers cachés
    
    
18. Fais un clic droit sur le fichier DellDomains.inf, dans le menu contextuel choisis installer.
    
    
19. Double-clicque sur Hoster
    
    
    • Clique sur Restore original Hosts et rien d'autre
      
      
    • Ferme le programme
      
      
    • Suis ce chemin de fichier dans l'explorateur de Windows : C:\WINDOWS\system32\drivers\etc
      
      
    • Repère les fichiers lmhosts.sam et HOSTS, clicque droit sur chacun d'entre eux, choisis Propriétés dans le menu contextuel et coche la case Lecture seule
    
    
    
20. Supprime les dossiers suivants et vide la corbeille :
    
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5 --> le contenu seulement
    C:\Program Files\Micmmuns --> tout le dossier
    
    
21. Fais un scan complet avec Spybot S&D --> Supprime tout ce qu'il trouve et vide sa quarantaine.
    
    
22. Lance CleanUP
    
    
23. Redémarre ton pc en mode normal, mais ne te reconnecte pas à internet pour l'instant.
    
    
24. Installe la version d'évaluation de Nod32 et laisse les options par défaut.
    
    
25. Lance un scan complet de Nod, laisse le supprimer tout ce qu'il va trouver, et sauvegarde le journal dans le bloc notes pour pouvoir me le donner sur ta prochaine réponse.
    
    
26. Installe une à une toutes les mises à jour de Windows que tu as téléchargées en début de procédure.
    
    
27. Installe le parefeu en suivant le tuto que je t'ai donné
    
    
28. Nouveau passage de CCleaner
    
    
29. Redémarre le pc et reconnecte toi à internet
    
    
30. Fais les mises à jour de Nod32
    
    
31. Nouveau scan & rapport de KAV
    
    
32. Poste le rapport de scan de Nod32
    
    
33. Poste le rapport de Sdbotgui.com : il se trouve à la racine de ton disque dur : C:\resolve.log
    
    
34. Nouveau log HijackThis
    
    
35. Retourne sur Windows Update avec Internet Explorer et fais toutes les mises à jour que tu peux.

Dans la mesure du possible, essaie de ne pas rester connecté à Internet, après avoir effectué la procédure, sauf pour poster sur le forum. Si tu as un second pc avec une connexion à disposition, c'est encore mieux.

Bonne chance & bon courage
@+
_________________

[maxhymne]

Bonjour,

ça y est j'ai tout fait !!

Bon je te poste tout ce que j'ai a posté mai merci d'avance pour m'avoir expliqué toute la procèdure.

Hijackis: http://cjoint.com/?fxvEsAit5x

Sdbotgui.com : http://cjoint.com/?fxvFDXl7wJ

scan de Nod32 : http://cjoint.com/?fxvGC8Vy22

KAV: http://cjoint.com/?fxvJmVOdMd

Voila je crois que tout y est il reste certainement des erreurs mais bon déjà ça fait du vide merci beaucoup!!!

J'attends de tes nouvelles

[Sév]

Bonjour maxhymne,

[maxhymne]

Bonjour,

je viens de voir ton message je ferais tout ça lundi car je pars en week end merci a toi pour toute ces infos

[maxhymne]

Bonjour,

j'ai un pb dés le début ac killbox il ne veut rien supprimer et un message d'erreur apparait: PendingFileRenameOperationRegistry Data Has Been Removed By External Process ??????????

J'ose pas continuer ??

Le problème c que je dois partir demain et je rentre peut être que jeudi dc je pourrais pas reprendre avant....

Merci

[Sév]

Bonsoir,

[maxhymne]

Bonjour,

oui j'ai bien suivi toute les étapes mais toujours le même message même quand je procède un par un...

[Sév]

Bonjour,