Vous pensez être infecté, des pubs s'affichent quand vous naviguez sur internet ?
Perte de données, ralentissement système, virus USB ?
Désinfectez votre ordinateur gratuitement !
  • Avatar du membre
  • Avatar du membre
#3240
Bonjour,

Depuis quelques temps, mon ordinateur (OS Windows XP + Kaspersky 2010) rencontre les problèmes suivants :

- pas de connexion possible au site de Microsoft ainsi qu‚à  ceux des éditeurs de logiciels de sécurité (Kaspersky, Norton, etc.),

- doublons intempestifs des accents circonflexes et des trémas dans la saisie du texte.


Une recherche de ces symptômes sur Internet m‚amène sur le forum sosvirus et je vous remercie de votre accueil.

Ainsi que précisé dans votre tutoriel, j‚ai utilisé votre utilitaire OTL avec les variables préconisées. J‚ai posté ici son rapport :
http://up2sha.re/file?f=xma7F4WqK7LX" onclick="window.open(this.href);return false;

A noter que j‚ai tenté l‚utilisation de UsbFix (téléchargé ici-même) qui renvoie invariablement l‚erreur suivante :
Line 6209 (File “C:\UsbFix\Go.exe/ :
Error : variable must be of type “Object”

Par avance, un grand merci aux Helpers » pour leurs bienveillants conseils !
Bonne fin de we
#3241
salut ton WMI est certainement touché pour avoir ce message d'erreur avec usbfix

tu vas passer ce programme , tu auras le meme message d'erreur , tu le relanceras une deuxieme fois , il finira son travail

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à  tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: http://forum.pcastuces.com/desactiver_l ... -f31s4.htm" onclick="window.open(this.href);return false;

telecharge et enregistre Pre_Scan sur ton bureau :

http://services.service-webmaster.fr/cp ... -6820.html" onclick="window.open(this.href);return false; (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com/files/17312 ... nlogon.exe" onclick="window.open(this.href);return false; (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe" onclick="window.open(this.href);return false; (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr" onclick="window.open(this.href);return false;
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif" onclick="window.open(this.href);return false;
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com" onclick="window.open(this.href);return false;

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à  la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://cjoint.com" onclick="window.open(this.href);return false; puis donne le lien obtenu en echange sur le forum o๠tu te fais aider
#3252
Bonjour,

Merci pour ta prise en charge !

J‚ai donc suivi tes indications et lancé Pré-scan en respectant la procédure indiquée. L‚outil semble s‚exécuter normalement, sans message particulier, puis commence à  scanner. J‚ai noté qu‚il n‚y avait pas de barre de progression, mais sans doute est-ce normal puisque les noms des fichiers analysés défilent bien sur une ligne.

Au bout de deux ou trois heures, l‚application semble se freezer. Sa fenêtre devient blanche et un petit tour par le gestionnaire de taches confirme malheureusement le problème.
Pour redémarrer, j‚ai été contraint de mettre fin aux deux processus et éteindre manuellement l‚ordi. Pas de fichier txt créé à  la racine.

J‚ai renouvelé 4 fois la procédure (avec les deux solutions que tu m‚avais proposées : Winlogon et Pre_scan + extensions).

Par ailleurs, et ce n‚est sà»rement pas étranger au problème, j‚ai été jeter un Å“il dans Msconfig pour cesser certains démarrages inutiles. Deux m‚ont paru suspects :

C:\Documents and Settings\Propriétaire\Application Data\Xalo\bycuk.exe
C:\Documents and Settings\Propriétaire\Application Data\Edhoz\aszeg.exe

Une fois désactivés et l‚ordi redémarré, ces deux exe réapparaissent activés dans Msconfig…

Je me rends dans le répertoire Application Data et fais un scan Kapersky qui ne détecte rien d‚anormal. Et pourtant, je découvre avec horreur une véritable liste de répertoires à  la Prévert, environ 150, avec des noms exotiques comme Roty, Syyf, Sicky, Yupo, Uugya, Aciex, Cogy, Weagwy, etc... à  l‚intérieur desquels se trouve en général un exécutable d‚environ 260 ko avec des noms tout aussi baroques ( yftml.exe, siex.exe, hoow.exe, etc.). Souvent l‚exe est associé à  une icône dessinée à  la hache. Parfois les extensions de ces fichiers sont en : uqe, hul, cio, rag… Si l‚idée est bonne, je peux t‚envoyer un exemplaire pour analyse.

Toutes ces joyeusetés semblent s‚être invitées depuis le 21 décembre dernier… Est-ce judicieux de les supprimer manuellement ?

Merci d‚avance pour tes éventuels conseils et bonne semaine.
#3253
re

je connais bien ces fichiers :)

tu peux tout virer les dossiers portant ces noms

par contre verifie bien que tu n'aies pas du tout de rapport C:\Pre_scan..txt normalement l'outil fait un rapport dès son lancement tu aurais au moins l'entête....
#3258
Alors, une bonne nouvelle et une mauvaise !

La bonne, c‚est que c‚est Noà«l dans mon traitement de texte ! Je n‚ai plus de problème de diacritiques intempestifs !!! C'est-à -dire d‚accents circonflexes ^^
En outre, j‚ai de nouveau accès aux forums des éditeurs d‚antivirus.
Un Grand Merci pour ton conseil de suppression. T‚es un As ! :super:

Pour la mauvaise, malheureusement, aucune trace d‚un Pre_scan.txt sur C:\ et pas davantage ailleurs… Je ne sais pas si cela est important, mais je précise que j‚ai utilisé hors connexion » l‚outil. Que penses-tu de relancer Usbfix après ce changement ?

Je ne regrette pas d‚être passé par ce sympathique forum ! :)
#3261
oui retente une suppression avec usbfix

on est loins d'avoir fini hein ? ^^
#3269
Rien à  faire pour UsbFix. Même alerte que celle signalée dans mon premier message:
Code : Tout sélectionner
Line 6209 (File “C:\UsbFix\Go.exe/ :
Error : variable must be of type “Object” 
Comme ta première réponse à  ce sujet le suspectait:
g3n-h@ckm@n a écrit :salut ton WMI est certainement touché pour avoir ce message d'erreur avec usbfix
J'ai vérifié l'intégrité du WMI et en effet, il est inexistant sur la machine. Je n'ai d'ailleurs pas accès à  la commande wmimgmt.msc
Wikipedia preopose une procédure pour restaurer ce WMI, mais j'hésite à  m'y lancer:
http://fr.wikipedia.org/wiki/Windows_Ma ... umentation" onclick="window.open(this.href);return false;

Sinon, j'ai retenté Pre_scan sans succès non plus...

En revanche MBAM a bien détecté, dans la poubelle, les fichiers moisis que j'avais supprimé (des Trojans Ransom, Packer et Dowloader)mais aussi celui-ci
Code : Tout sélectionner
C:\Documents and Settings\Propriétaire\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Aucune action effectuée
qui semble correspondre à  l'outil Pre_scan téléchargé sur le bureau. A noter que j'ai un deuxième winlogon quelque part sur le DD.

Comme tu dis, on est loin de la fin du problème... même si il est en partie résolu! ^^ ;)
#3281
selectionne ce texte , puis CTRL + C

WMI::

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà  , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

la machine doit redemarrer

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
#3298
Bonjour g3n,

Voici le rapport obtenu:
Code : Tout sélectionner
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0412 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Propriétaire : Microsoft Windows XP (32 bits)

Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

New restorepoint created

Script : 10:22:20

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ | WMI

Repository Deleted ! 
WMI will be repaired at reboot...


¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 10:22:23
infection incredimail Mystart

ok Didier et si je désinstalle et ré[…]

Merci El Magnifico Un peu de pédagogie ne n[…]

bonsoir pas de suite , je ferme

Salut tu as une demande de rançon? ceci […]