| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
barbatruc
Fidèle
Inscrit le: 17 Mai 2005
Messages: 127
Localisation: au bord de la mer
|
 Posté le: 25 Nov 2006 20:22 Sujet du message: |
|
|
J'ai fais le reste de la procédure.
5/ J'ai donc coché toutes les lignes que je trouvais.
Je n'ai pas coché | Citation: | | O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\system32\aspi2121811.exe |
J'ai cliqué sur Fix Checked, puis répondu "oui" à la question posée !
6/ 7/ Corbeille vidée avec les deux fichiers; CCleaner fait et tous les fichiers en quarantaine dans AVG Spyware sont virés.
9/ Sur le dernier scan Hjackthis, j'ai retrouvé la ligne :
| Citation: | | O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\system32\aspi2439011.exe |
Je me doute que tu veux que je fasse avec ce fichier la même chose que tu me demandais pour le fichier C:\WINDOWS\system32\aspi2121811.exe ...
Rapport analyse du fichier C:\WINDOWS\system32\aspi2439011.exe
J'espère avoir tout bien fait !  |
|
| Revenir en haut |
|
 |
Jet Li
VIP
Inscrit le: 18 Avr 2006
Messages: 421
Localisation: Bretagne, 22
|
| Posté le: 25 Nov 2006 22:38 Sujet du message: |
|
|
Supprime les fichiers en gras :
C:\WINDOWS\system32\se.exe.exe
C:\WINDOWS\system32\ss.exe.exe
C:\WINDOWS\system32\svshost.dll ( attention a l'orthographe !! )
C:\WINDOWS\system32\w.exe
C:\WINDOWS\system32\w.exe.exe
C:\Documents and Settings\Parents\Local Settings\Temporary Internet Files\Content.IE5 ( vide ce dossier le ne supprime pas )
Désactive ta restauration du système.
Vide les fichiers en quarantaines de Trend Micro.
Vide ta corbeille, redémarre ton PC et réactive ta restauration.
Poste le rapport AVG Anti Spywares stp.
_________________
Jet Li |
|
| Revenir en haut |
|
|
barbatruc
Fidèle
Inscrit le: 17 Mai 2005
Messages: 127
Localisation: au bord de la mer
|
| Posté le: 26 Nov 2006 0:22 Sujet du message: |
|
|
| Jet Li a écrit: | | C:\Documents and Settings\Parents\Local Settings\Temporary Internet Files\Content.IE5 ( vide ce dossier le ne supprime pas ) |
Je ne trouve pas ce fichier Content.IES !
Ou alors je n'ai pas compris le sens de "Vide le dossier, ne le supprime pas". Dois-je en fait supprimer (vider) tout ce que contient le fichier Temporary Internet Files ?
Dans l'onglet Restauration du système, je ne peux pas sélectionner l'option Désactiver la Restauration du système (chez moi c'est Mettre Restauration Système hors tension). L'option n'est pas accéssible (c'est écrit en gris clair et non en noir !!! )
| Jet Li a écrit: | | Poste le rapport AVG Anti Spywares stp. |
Le premier que j'ai fait, celui-là, ou un nouveau ? |
|
| Revenir en haut |
|
|
Jet Li
VIP
Inscrit le: 18 Avr 2006
Messages: 421
Localisation: Bretagne, 22
|
| Posté le: 26 Nov 2006 15:34 Sujet du message: |
|
|
Nettoie ton PC avec CCleaner, il va supprimer tes fichiers temporaires.
Pour AVG AntiSpywares, supprime les fichiers mis en quarantaines.
Reposte un nouveau log hijackthis pour que je vois ou tu en es.
( Désolé je suis un peu perdu car je passe vite fait te répondre et je repars ) 
_________________
Jet Li |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8019
Localisation: Rouen (France)
|
| Posté le: 26 Nov 2006 15:39 Sujet du message: |
|
|
Salut Jet Li,
| Jet Li a écrit: | | ( Désolé je suis un peu perdu car je passe vite fait te répondre et je repars ) |
Tu veux un coup de main ?
@+
_________________
 |
|
| Revenir en haut |
|
|
barbatruc
Fidèle
Inscrit le: 17 Mai 2005
Messages: 127
Localisation: au bord de la mer
|
|
| Revenir en haut |
|
|
Jet Li
VIP
Inscrit le: 18 Avr 2006
Messages: 421
Localisation: Bretagne, 22
|
| Posté le: 26 Nov 2006 20:34 Sujet du message: |
|
|
| Loreleï a écrit: | Salut Jet Li,
| Jet Li a écrit: | | ( Désolé je suis un peu perdu car je passe vite fait te répondre et je repars ) |
Tu veux un coup de main ?
@+ |
Bonsoir Loreleï, j'accepte avec grand plaisir le coup de main ( hesitez pas a répondre a ma place si vous voyez que je suis long )
Bonne soirée a tous
_________________
Jet Li |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8019
Localisation: Rouen (France)
|
| Posté le: 26 Nov 2006 20:42 Sujet du message: |
|
|
Re,
| Jet Li a écrit: | Bonsoir Loreleï, j'accepte avec grand plaisir le coup de main ( hesitez pas a répondre a ma place si vous voyez que je suis long )
Bonne soirée a tous |
Ok, le temps de lire le topic et je m'y colle
Bonne soirée,
@+
_________________
|
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8019
Localisation: Rouen (France)
|
| Posté le: 26 Nov 2006 21:12 Sujet du message: |
|
|
Ok, il y a du mieux, mais c'est pas encore ça, ne va rien corriger avec HijackThis pour le moment :)
Suis attentivement la procédure que je vais te donner à la lettre et dans l'ordre, si tu ne comprends pas quelque chose, demande moi avant de commencer
Je te conseille d'enregistrer la page pour pouvoir la consulter hors connexion (Fichier / Enregistrer sous...)
- Renomme HijackThis.exe en barbatruc.exe : Pour ce faire, tu fais un clic droit sur HijackThis.exe et tu choisis "Renommer" dans le menu contextuel. Tu devras toujours lancer HijackThis en double cliquant sur barbatruc.exe à l'avenir.
- Désactive le service Microsoft ASPI Manager :
- Par le menu Démarrer / Exécuter (ou touche Windows et R)
- Tape services.msc
- Double clique sur Microsoft ASPI Manager
- Clique sur "Arrêter"
- Définis le Type de démarrage en "Désactivé"
- Clique sur Appliquer et ferme la console
- Lance HijackThis (barbatruc.exe) :
- Clique sur None of the above Just start The Program
- Clique sur le bouton Config puis sur le bouton Misc Tools
- Choisis Delete a NT Service
- Dans le champ tu colles exactement le nom suivant : Microsoft ASPI Manager puis clique sur OK
- Télécharge SDFix de AndyManchesta et sauvegarde le sur ton bureau.
- Double clique sur SDFix.exe et choisis Install pour l'extraire sur le bureau.
- Redémarre en mode sans échec
- Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script,
- Appuie sur Y pour commencer le processus de nettoyage,
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
 Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
- Retente le scan en ligne de Panda, (il désinfecte en ligne) et poste moi le rapport.
Si tu n'y arrives toujours pas avec Panda, repasse un coup de eScan AV Toolkit en mode sans échec.
- Enfin, poste le contenu du fichier Report.txt dans ta prochaine réponse et nouveau log HijackThis
@+
_________________
|
|
| Revenir en haut |
|
|
barbatruc
Fidèle
Inscrit le: 17 Mai 2005
Messages: 127
Localisation: au bord de la mer
|
| Posté le: 26 Nov 2006 23:18 Sujet du message: |
|
|
Bonsoir Loreleï.
Le début s'est bien passé. 
| Loreleï a écrit: | [*]Lance HijackThis (barbatruc.exe) :
- Clique sur None of the above Just start The Program
- Clique sur le bouton Config puis sur le bouton Misc Tools
- Choisis Delete a NT Service
- Dans le champ tu colles exactement le nom suivant : Microsoft ASPI Manager puis clique sur OK
|
Lorsque je clique sur Ok, il me met ce message :
"Service 'Microsoft ASPI Manager' was not found in the Registry. Make sure you entered the short name of the service.,vbExclamation"
C'est normal ? Je continue la procédure ? |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8019
Localisation: Rouen (France)
|
| Posté le: 26 Nov 2006 23:22 Sujet du message: |
|
|
Oui c'est normal, le service a été désactivé par la console, c'était juste au cas où.
_________________
|
|
| Revenir en haut |
|
|
barbatruc
Fidèle
Inscrit le: 17 Mai 2005
Messages: 127
Localisation: au bord de la mer
|
| Posté le: 26 Nov 2006 23:33 Sujet du message: |
|
|
| Loreleï a écrit: | | Oui c'est normal, le service a été désactivé par la console, c'était juste au cas où. |
ok ! 
Alors je continue... |
|
| Revenir en haut |
|
|
barbatruc
Fidèle
Inscrit le: 17 Mai 2005
Messages: 127
Localisation: au bord de la mer
|
| Posté le: 27 Nov 2006 1:11 Sujet du message: |
|
|
Bonjour,
Bon, j'ai tout fait sans problème.
J'ai juste eu du mal à éteindre le pc avant de passer en mode sans échec pour le test SDFix. Je m'y suis repris à trois fois !!! Mais ça n'a peut-être rien à voir...
Par contre j'ai reussi à faire le scan en ligne par Panda... Et ça fait peur ! 
- 4 logiciels espions !!!
- 2 outils de piratage et rootkits (?) !!!
- 1 numéroteur (?) !!!
- 1 fichier suspect
Voilà les 3 rapports :
Merci pour votre aide.
A+ |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8019
Localisation: Rouen (France)
|
| Posté le: 27 Nov 2006 17:47 Sujet du message: |
|
|
Bonjour,
| Barbatruc a écrit: | | J'ai juste eu du mal à éteindre le pc avant de passer en mode sans échec |
C'est à dire ? Donne moi plus de détails s'il te plaît :)
Lis attentivement la procédure et enregistre-la pour l'avoir sous les yeux quand tu seras déconnecté d'Internet et en mode sans échec. Imprime également les pages des liens sur lesquels je te renvoie, et suis toutes les instructions à la lettre et dans l'ordre.
- Donne toi accès aux fichiers cachés
- Rends toi sur ce site
- Clique sur Parcourir, l'arborescence de ton disque dur va s'ouvrir.
- Navigue jusqu'au fichier suivant C:\WINDOWS\system32\z2139.exe
Il est plus que probable que ce fichier ait changé de nom depuis le dernier redémarrage, tu le trouveras peut être sous la forme z****.exe, les * étant des chiffres.
- Clique sur ouvrir, puis sur Send
- Copie et enregistre le résultat du rapport et joins-le à ta prochaine réponse.
- Télécharge & installe les outils suivants, et laisse les en attente sur ton bureau, on s'en servira par la suite :
- Ouvre le bloc notes (Notepad), copie et sauvegarde cette liste. Ces fichiers seront à détruire avec Killbox dans la suite de la procédure :
| Citation: | c:\windows\system32\miamorecc.dll
C:\WINDOWS\inet20000\killer.exe
C:\WINDOWS\system32\z2139.exe
C:\WINDOWS\system32\rpcc.dll |
Ouvre le dossier DiagHelp, à l'intérieur tu vas voir plusieurs fichiers, celui qui nous intéresse s'appelle Go.cmd (ou Go c'est selon).
Double clique dessus pour l'exécuter, une fenêtre va s'ouvrir :choisis l'option 1
Le scan qui va s'effectuer peut durer plusieurs minutes, à la fin de l'analyse tu devras appuyer sur une touche pour continuer. Le bloc notes va s'ouvrir contenant le résultat de l'analyse, sauvegarde le dans tes documents pour pouvoir l'uploader sur ta prochaine réponse.
Ouvre Killbox et le fichier texte contenant la liste de fichiers que tu as copié préalablement. Suis ce qui est écrit sur le tuto de Killbox à partir du point 6.
Il est possible que Killbox ne trouve pas tous les fichiers, ne t'en inquiéte pas.
Redémarre en mode sans échec,
Ouvre HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :
| Citation: | O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=pavilion&pf=laptop
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll |
Clique sur Fix Checked et accepte les modifications.
En t'assurant que tu as toujours accès aux fichiers cachés, supprime ces dossiers et vide la corbeille :
- c:\program files\Montorgueil
- c:\windows\inet20000
Double clique sur CWShredder.exe pour le lancer : Clique sur Accept, puis sur Fix. S'il trouve quelque chose (removed), note le nom de la variante de CWS et donne le moi.
Fais un clic droit sur le fichier DelDomains.inf, dans le menu contextuel choisis installer.
Double-clicque sur Hoster
- Clique sur Restore original Hosts et rien d'autre
- Ferme le programme
- Suis ce chemin de fichier dans l'explorateur de Windows : C:\WINDOWS\system32\drivers\etc
- Repère les fichiers lmhosts.sam et HOSTS, clicque droit sur chacun d'entre eux, choisis Propriétés dans le menu contextuel et coche la case Lecture seule
Fais un nouveau nettoyage avec CCleaner et redémarre le pc en mode normal
Poste les rapports de Virus Total et DiagHelp
Nouveau scan en ligne avec KAV et nouveau log HijackThis
Bon courage
@+
_________________
|
|
| Revenir en haut |
|
|
barbatruc
Fidèle
Inscrit le: 17 Mai 2005
Messages: 127
Localisation: au bord de la mer
|
| Posté le: 27 Nov 2006 18:29 Sujet du message: |
|
|
Bonsoir Loreleï.
| Loreleï a écrit: | | Barbatruc a écrit: | | J'ai juste eu du mal à éteindre le pc avant de passer en mode sans échec |
C'est à dire ? Donne moi plus de détails s'il te plaît :) |
Et bien j'ai cliqué sur Démarrer, puis sur Arrêter l'ordinateur, et dans la fenêtre qui s'ouvre sur Arrêter... et cela n'a rien fait ! La fenêtre s'est fermée, et c'est tout !
J'ai refait cela deux fois, et pareil pas de réponse... La quatrième fois le pc a bien compris l'info et s'est fermé.
Après que le pc se soit rallumé après SDFix, j'ai eu dans la barre en bas à droite, un symbole (une sorte d'écusson rouge, vert, bleu, jaune) qui m'annonce que des mises à jour sont disponibles.
Je viens de m'apercevoir que cet écusson était maintenant dans la fenêtre de fermeture du pc, sur le bouton "Arrêter l'ordinateur". Il y a en plus un petit texte : "Cliquez sur Eteindre afin d'installer les mises à jour importantes et d'éteindre votre ordinateur ou cliquez ici (lien hypertexte) pour éteindre sans installer les mises à jour".
Virus ou mises à jour Windows que je dois accepter ? |
|
| Revenir en haut |
|
|
|
FAQ
Membres
S'enregistrer
Profil
Vérifier ses messages privés
Connexion
