problème de virus : Autorun.inf [Résolu]

[parpi]

Bonjour, j'ai quelques petits problèmes pour éradiquer des virus, depuis 2 semaines les messages "explorer.exe doit s'arrêter" pleuvent après chaque démarrage de vlc ou autres apllications, je poste ici le rapport de hijackthis car je ne sais pas comment l'utiliser, tous les antivirus, antispywares... n'étant pas suffisant. Merci si vous pouviez m'expliquer comment faire!

http://cjoint.com/?ewsjXH6Jiu

[Angeldark]

Bonjour,

Commence par faire ceci :

Télécharge Clean.zip (de Malekal),
Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 1 puis patiente. Poste ensuite le lien du rapport.
_________________

[parpi]

voila comme demandé le rapport clean.cmd:

*** Recherche des fichiers dans C:
C:\autorun.inf FOUND

*** Recherche des fichiers dans C:\WINDOWS.000\
C:\WINDOWS.000\ying.exe FOUND

*** Recherche des fichiers dans C:\WINDOWS.000\system32
C:\WINDOWS.000\system32\zlbw.dll FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !

[Angeldark]

Re,

Commence par faire ceci (Malekal_morte)

Si tu n'as pas afficher les fichiers cachés et systèmes comme demandé :
* Ouvre le poste de travail
* Clic sur le menu outils en haut à droite puis options des dossiers
* Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut
* Coche dans la liste "Afficher les fichiers cachés"
* Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)"
* Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.


Ensuite :
* Ouvrez le poste de travail
* Faites un clic droit sur ta clef USB (SURTOUT ne double-clic pas dessus)
* Choisissez ouvrir dans le menu déroulant.
* Cherchez un fichier autorun.inf
* Supprimez le en faisant un clic droit puis supprimer.
* Si tu vois Adober.exe supprime le
* Répète l'opération pour tous les lecteurs qui sont dans le poste de travail.
_________________

[parpi]

et bien j'ai fait cette démarche mais impossible de trouver un fichier autorun.inf ou adober.exe, il n'y avait qu'un fichier autorun dans le lecteur c que j'ai essayé d'enlever mais rien n'y fait. Par contre si je supprime le fichier zlbw.dll que se passera t-il? Je suis en train de me demander si mon problème explorer.exe et drwatson.exe ne vient pas d'autre chose que d'un virus, même si je sais que mon ordi est contaminé. Merci de ton aide angeldark en tout cas.

[Angeldark]

Tu as essayé de supprimer l'autorun en mode sans échec ?

Redémarre en mode sans échec

Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 2 puis patiente.

Redémarre normalement

Poste le lien du rapport clean : C:\rapport_clean.txt
_________________

[parpi]

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS.000\

*** Recherche des fichiers dans C:\WINDOWS.000\system32

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !

apparament j'ai plus aucune trace de malware mais j'ai toujours le même problème, , je vais aller méditer^^.

[Angeldark]

Tu peux reposter un rapport Hijackthis ?
_________________

[parpi]

http://cjoint.com/?eBjJZjAlRj

Voilou la rapport.

[Angeldark]

Re,

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

- Lance Hijackthis ->Do a system scan only
->Coche les lignes ci-dessous :

O4 - HKCU\..\Run: [UpdateService] C:\WINDOWS.000\system32\wservice.exe
O4 - HKCU\..\Run: [Nord] C:\WINDOWS.000\system32\nordsys.exe
O4 - HKCU\..\Run: [agent] C:\WINDOWS.000\system32\ppl.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{51CA10A1-7003-42F0-A94B-D4039F8F102A}: NameServer = 85.255.115.68,85.255.112.118
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D00F513-0F63-4371-B0E2-5EF768975284}: NameServer = 85.255.115.68,85.255.112.118
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA1E25FD-EF13-4790-A4A3-9629AD73974C}: NameServer = 85.255.115.68,85.255.112.118
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.68 85.255.112.118
O17 - HKLM\System\CS1\Services\Tcpip\..\{51CA10A1-7003-42F0-A94B-D4039F8F102A}: NameServer = 85.255.115.68,85.255.112.118
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.68 85.255.112.118
O17 - HKLM\System\CS2\Services\Tcpip\..\{51CA10A1-7003-42F0-A94B-D4039F8F102A}: NameServer = 85.255.115.68,85.255.112.118
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.68 85.255.112.118

Clique sur Fix checked (en bas à gauche)

Télécharge OTMoveIt (d'OldTimer). Sauvegarde-le sur ton Bureau.
Sélectionne TOUS les emplacements en gras ci-dessous :

C:\WINDOWS.000\system32\wservice.exe
C:\WINDOWS.000\system32\nordsys.exe
C:\WINDOWS.000\system32\ppl.exe

---> Clique-droit puis Copier

Double-clique sur OTMoveIt.exe afin de le lancer.
Fais un Clique-droit sur le cadre de gauche puis choisis Coller.
Clique maintenant sur MoveIt!

[#ff0000]Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.[/#f]

Poste le lien du rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport est la date de sa création.

Télécharge le FixWareout (de LonnyRJones) d'un de ces deux sites sur le bureau:
**Si le lien ne fonctionne pas, clique ici**

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

Quand ton système aura redémarré, suis les invites des messages.
A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

Au final, poste le lien du rapport C:\fixwareout\report.txt avec un nouveau rapport HijackThis.
_________________

[parpi]

re:

rapport hijackthis http://cjoint.com/?eCnDYpSfUu

rapport firewareout http://cjoint.com/?eCnGTXcz50

Désolé mais l'opération concernant le logiciel OTMovelt n'a pas marché, les 3 emplacements n'ont pas été détecté par OTMovelt. Merci en tout cas car j'ai l'impression que le problème a disparu, j'espère que ça va durer, pour l'instant je n'ai plus de message explorer.exe, vu que je suis un optimiste je dirait que le problème a été résolu par le brillantissime Angeldark, si j'ai encore un pb de ce type je serais à qui m'adresser laprochaine fois. .
Bye

[Angeldark]

On termine

• Fais un scan en ligne Kaspersky avec Internet Explorer :
  
• Clique sur
  
• Clique maintenant sur J'accepte.
  
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  
• Patiente pendant l'installation des Mises à jour.
  
• Choisis par la suite l'analyse du Poste de travail
  
• Sauvegarde puis colle le rapport généré en fin d'analyse.
  

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
_________________

[parpi]

Ces vilains trojan se batteront jusqu'au bout : voila c'est les fichiers détectés par kaspersky

C:\System Volume Information\_restore{DE42DDCE-7274-424B-ABC5-A808CC631695}\RP109\A0260918.exe/stream/Script Infecté : Trojan.Win32.DNSChanger.is ignoré
C:\System Volume Information\_restore{DE42DDCE-7274-424B-ABC5-A808CC631695}\RP109\A0260918.exe/stream Infecté : Trojan.Win32.DNSChanger.is ignoré
C:\System Volume Information\_restore{DE42DDCE-7274-424B-ABC5-A808CC631695}\RP109\A0260918.exe NSIS: infecté - 2 ignoré
C:\System Volume Information\_restore{DE42DDCE-7274-424B-ABC5-A808CC631695}\RP130\A0350836.exe Infecté : Packed.Win32.PolyCrypt.b ignoré

[Angeldark]

Re,

Il te suffit de désactiver puis réactiver la restauration du système :
http://www.informatruc.com/desactiver_restauration.php
_________________

[parpi]

Grandement merci, y a tout qui marche impec...