Assiste.Forums

[roumy andre]

PC portable sous windows xp pro ( ne possède pas sp2 ).

PC trés lent avec reactions inattendues.
J'ai procédé à :
- verification du disque dur
- defragmentation
- verification des fichiers système : sfc /scannow n'a pas fontionné
- ccleaner : windows et application

J'ai procédé à un scan HJT que voici :

Logfile of HijackThis v1.99.1
Scan saved at 09:24:49, on 22/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
C:\Program Files\Analog Devices\SoundMAX\PmProxy.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\System32\zffequpjy.exe
C:\WINDOWS\System32\firewall.exe
C:\WINDOWS\System32\spoolsvc.exe
C:\WINDOWS\System32\winIogon.exe
C:\nasajplview.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\RAMASST.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\dllcache\frehost.exe
C:\WINDOWS\system\NOTEPAD.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {52D65A77-334A-497E-82FB-DACCD2AB9D8C} - C:\WINDOWS\System32\ssqnl.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - C:\WINDOWS\System32\tuvutqo.dll
O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - C:\WINDOWS\System32\buoxtvnk.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [PmProxy] C:\Program Files\Analog Devices\SoundMAX\PmProxy.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Log System] C:\WINDOWS\System32\zffequpjy.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [china] C:\nasajplview.exe
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\System32\seysbdpf.dll",sitypnow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/206f8060b82 ... 601_fr.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: tuvutqo - C:\WINDOWS\SYSTEM32\tuvutqo.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\frehost.exe
O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Apres traductuction sur le site HJT j'ai déduit la presence de virus et peut-être le moyen de les enlever.
BILAN :

:\WINDOWS\System32\spoolsvc.exe

C:\WINDOWS\System32\winIogon.exe

C:\WINDOWS\System32\dllcache\frehost.exe

C:\WINDOWS\system\NOTEPAD.exe


O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.ex

O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe

O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\frehost.exe

recherche sur chaque cas :


Nom de fichier : notpad.exe

Service de Mass-média de nom :

Description : Ajouté par une variante du VER AGOBOT/GAOBOT!

Recommandation : Sans doute non exigé - typiquement les virus, spyware, adware et "les porcs à l'engrais de ressource"

Vous pouvez enlever ce dossier en utilisant SpyRemover Facile



Nom de fichier : firewall.exe
Nom : Virulent Worm/IRCBot. FV
Tapez : Ver
Risque : Médium
Description : IRCBot est une détection générique pour les variantes de W32. IRCBot. Il a aussi des capacités secrètes qui permettent à un pirate informatique d'utiliser la Conversation d'Équipe de relais Internet (IRC) pour au loin contrôler votre ordinateur
%SYSDIR %\firewall.exe
Recommandation : Sans doute non exigé - typiquement les virus, spyware, adware et "les porcs à l'engrais de ressource"
Vous pouvez enlever ce dossier en utilisant SpyRemover




Nom de fichier : spoolsvc.exeNom : Virulent Worm/IRCBot. FVTapez : VerRisque : MédiumDescription : IRCBot est une détection générique pour les variantes de W32. IRCBot. Il a aussi des capacités secrètes qui permettent à un pirate informatique d'utiliser la Conversation d'Équipe de relais Internet (IRC) pour au loin contrôler votre ordinateur%SYSDIR %\spoolsvc.exeRecommandation : Sans doute non exigé - typiquement les virus, spyware, adware et "les porcs à l'engrais de ressource" Vous pouvez enlever ce dossier en utilisant SpyRemover Facile



Nom de fichier : winIogon.exeNom : Virulent Worm/IRCBot. FVTapez : VerRisque : MédiumDescription : IRCBot est une détection générique pour les variantes de W32. IRCBot. Il a aussi des capacités secrètes qui permettent à un pirate informatique d'utiliser la Conversation d'Équipe de relais Internet (IRC) pour au loin contrôler votre ordinateur%SYSDIR %\winIogon.exeRecommandation : Sans doute non exigé - typiquement les virus, spyware, adware et "les porcs à l'engrais de ressource" Vous pouvez enlever ce dossier en utilisant SpyRemover Facile

Le PC appartient à ma fille que j'essais d'aider ( il est chez moi : pas d'internet pour ce PC. Toute manipulation est pénible ex pour installer et faire le log HJT il a fallu proceder par CD interposé..).
Merci pour l'aide que je souhaite pédagogique etant de niveau très modeste. Merci

Rq : un virus (ou spyware) est bien un fichier à part entière qui se loge dans un dossier ? En quoi résident les difficultés d'extraction ? Y a-t-il tout de même beaucoup de virus pour lesquels selectionner / suppr suffit ?

[nickW]

Bonjour,

Les analyses par un robot =


Il y a plusieurs infections sur ce PC: Vundo, ver W32/Poebot-J, ver de la famille Sdbot, ver W32/Sdbot-DHU

Il va falloir utiliser des outils spécialisés lors de la procédure détaillée ci-dessous.

Mais comme tu écris en préambule que le PC n'a pas accès à internet, j'ai regroupé ci-dessous tous les téléchargements et toutes les créations de fichiers, afin que tu puisses les effectuer depuis le PC connecté avant de les transférer sur le PC à nettoyer (et j'ai mis en mauve les phrases correspondantes dans la procédure détaillée).

================================= Téléchargements / Créations de fichiers

HijackThis (de TrendMicro)
Télécharger HijackThis de TrendMicro depuis la page:
http://www.trendsecure.com/portal/en-US ... e=download
Cliquer sur le lien: Download HijackThis Executable
Note: Sur le PC malade, il faudra créer un dossier C:\HJT et y placer le fichier HiJackThis.exe ainsi téléchargé.


AVG Anti-Spyware
Télécharger la version d'essai de AVG Anti-Spyware depuis http://www.ewido.net/en/download/


SDFix (de Andy Manchesta)
Télécharger SDFix.exe depuis http://downloads.andymanchesta.com/Remo ... /SDFix.exe


Navilog1 (de IL-MAFIOSO), Option 1
Télécharger Navilog1 par un clic droit sur le lien ci-dessous:
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe


VundoFix (de Atribune)
Télécharger VundoFix.exe depuis:
http://www.atribune.org/ccount/click.php?id=4


OTMoveIt (de OldTimer)
Télécharger OTMoveIt via un clic droit sur le lien ci-dessous:
http://download.bleepingcomputer.com/ol ... MoveIt.exe

Ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Sélectionner toutes les lignes de la zone Code ci-dessous, puis appuyer simultanément sur les touches Ctrl et C

Code: Tout sélectionner

C:\WINDOWS\System32\ssqnl.dll
C:\WINDOWS\System32\tuvutqo.dll
C:\WINDOWS\System32\buoxtvnk.dll
C:\WINDOWS\System32\firewall.exe
C:\WINDOWS\System32\spoolsvc.exe
C:\WINDOWS\System32\winIogon.exe
C:\nasajplview.exe
C:\WINDOWS\System32\dllcache\frehost.exe
C:\WINDOWS\system\NOTEPAD.exe



Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom OTfichiers.txt
Fermer le Bloc-notes.

Ce fichier OTfichiers.txt devra être aussi transféré sur le PC malade.


Création du fichier repar.reg
Ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Sélectionner toutes les lignes de la zone Code ci-dessous, puis appuyer simultanément sur les touches Ctrl et C

Code: Tout sélectionner

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Start"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"EnableFirewall"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"EnableFirewall"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="Y"




Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom repar.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.."
Si l'extension est .reg.txt, renommer le fichier en .reg
Fermer le Bloc-notes.

Ce fichier repar.reg devra être aussi transféré sur le PC malade.



================================= Procédure de nettoyage

Au vu de la longueur de la procédure, je te conseille de la garder affichée sur le PC connecté (le "non-malade").
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser en mode sans échec.


Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/co ... aches.html


Étape 2: Ccleaner
Lancer le programme.
Note: il est inutile de modifier les paramètres autres que ceux indiqués ci-dessous:
*- Si nécessaire, aller dans le menu Options et choisir le langage: Français.
*- Dans le menu Nettoyeur - onglet Windows, cocher (si ce n'est déjà fait):
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
Avancé: Vieilles données du Prefetch
*- Dans le menu Options - sous-menu Avancé, décocher:
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
*- Dans le menu Nettoyeur - onglet Applications, cocher:
Internet: Sun Java
*- Si ce paragraphe est présent, dans le menu Nettoyeur - onglet Applications, cocher (si ce n'est déjà fait):
Firefox/Mozilla: Cache Internet, Cookies

Cliquer sur Analyse
Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 3: AVG Anti-Spyware
Télécharger la version d'essai de AVG Anti-Spyware depuis http://www.ewido.net/en/download/
L'installer.

Lancer AVG Anti-Spyware.
Cliquer sur le menu Analyse.
Cliquer sur l'onglet Paramètres.
Dans Comment réagir?, cliquer sur Actions recommandées et choisir Quarantaine.
Dans Comment faire l'analyse?, vérifier que toutes les cases sont cochées.
Dans Programmes potentiellement dangereux, vérifier que toutes les cases sont cochées.
Vérifier que le bouton-radio Ne pas générer automatiquement de rapport est coché.

Cliquer sur le menu Mise à jour.
Si nécessaire, dans la colonne Paramètres (à droite), saisir les paramètres du proxy.
Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.
Ne pas lancer d'analyse maintenant!


Étape 4: SDFix (de Andy Manchesta)
Télécharger SDFix.exe depuis http://downloads.andymanchesta.com/Remo ... /SDFix.exe
Enregistrer ce fichier sur le Bureau.
Faire un double clic sur SDFix.exe pour lancer l'extraction de l'outil dans un dossier SDFix placé à la racine de la partition système (par défaut "C:\").


Étape 5: Navilog1 (de IL-MAFIOSO), Option 1
Fermer toutes les applications actives.
Télécharger Navilog1 par un clic droit sur le lien ci-dessous:
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer le fichier sur le Bureau.
Faire un double clic sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, l'outil s'exécutera automatiquement.
(Si ce n'est pas le cas, faire un double clic sur le raccourci Navilog1 présent sur le Bureau).

Suivre les indications affichées.
Sur le menu principal, choisir l'option 1 et valider.
(ne pas choisir les options 2,3 ou 4 sans notre avis/accord)

Attendre jusqu'au message :
*** Analyse Termine le ..... ***
Appuyer sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Note: Dans le Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer ce fichier sous le nom navi1.txt
Fermer le Bloc-notes.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)


Étape 6: OTMoveIt (de OldTimer)
Télécharger OTMoveIt via un clic droit sur le lien ci-dessous:
http://download.bleepingcomputer.com/ol ... MoveIt.exe
Enregistrer le fichier sur le Bureau.


Étape 7: VundoFix (de Atribune)
Télécharger VundoFix.exe depuis:
http://www.atribune.org/ccount/click.php?id=4
Enregistrer le fichier sur le Bureau.
Fermer tous les programmes: il va y avoir arrêt du PC.
Lancer le programme en faisant un double clic sur VundoFix.exe
Cliquer sur le bouton Scan for Vundo
Lorsque le balayage (scan) est terminé, cliquer sur le bouton Remove Vundo
S'il y a infection, cliquer sur Yes sur l'invite de demande de suppression de fichiers
Le Bureau va disparaître un moment lors de la suppression des fichiers
Une fenêtre annonce que le PC va redémarrer: cliquer sur OK

Note:
Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer.
Si tel est le cas, l'outil se lancera au prochain redémarrage. Il faut simplement suivre les instructions ci-dessus, à partir de "Cliquer sur le bouton Scan for Vundo".


Étape 8: Mode sans échec
Redémarrer en mode sans échec en utilisant la méthode F8.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 9: Utilisation du fichier repar.reg
Faire un clic droit sur repar.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le Registre.


Étape 10: SDFix
Ouvrir le dossier SDFix qui a été créé à la racine de la partition système ( C:\ ), et faire un double clic sur RunThis.bat pour lancer l'outil.
Appuyer sur la touche Y pour lancer l'exécution.
L'outil va supprimer les services de certains trojans, effectuer aussi quelques réparations du Registre. Ensuite, il demandera d'appuyer sur une touche pour redémarrer.
Appuyer sur n'importe quelle touche pour redémarrer le PC.
Le système va mettre plus de temps que d'habitude pour redémarrer car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil va terminer le nettoyage puis afficher Finished.
Appuyer sur n'importe quelle touche pour fermer l'outil et charger les icônes du Bureau.
Une fenêtre du Bloc-notes va s'ouvrir, affichant le rapport de SDFix.
Fermer cette fenêtre.


Étape 11: Services
Arrêter puis désactiver deux services (si l'outil précédent ne les a pas déjà supprimés):

Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK
Descendre jusqu'à Microsoft Agent
Faire un clic droit dessus et choisir Propriétés
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\WINDOWS\System32\dllcache\frehost.exe
Dans Statut du service, cliquer sur Arrêter (s'il n'est pas déjà arrêté)
Cliquer sur Appliquer,
Dans Type de démarrage, choisir Désactivé
Cliquer sur Appliquer, puis sur OK

Faire de même avec NOTEPAD, avec comme fichier exécutable C:\WINDOWS\system\NOTEPAD.exe

Supprimer ces services:
Démarrer---->Exécuter
taper exactement
sc¤delete¤"Microsoft Agent"
(le caractère ¤ représente un espace)
puis cliquer sur OK

Démarrer---->Exécuter
taper exactement
sc¤delete¤NOTEPAD
(le caractère ¤ représente un espace)
puis cliquer sur OK


Étape 12: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" ou "Scan"
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items", puis cliquer sur le bouton "Back".
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix checked:
(si des lignes sont absentes car supprimées par un des outils utilisés précédemment, le signaler en réponse, après la fin de l'ensemble des étapes).

O2 - BHO: (no name) - {52D65A77-334A-497E-82FB-DACCD2AB9D8C} - C:\WINDOWS\System32\ssqnl.dll
O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - C:\WINDOWS\System32\tuvutqo.dll
O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - C:\WINDOWS\System32\buoxtvnk.dll
O4 - HKLM\..\Run: [Log System] C:\WINDOWS\System32\zffequpjy.exe
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [china] C:\nasajplview.exe
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\System32\seysbdpf.dll",sitypnow
O20 - Winlogon Notify: tuvutqo - C:\WINDOWS\SYSTEM32\tuvutqo.dll
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\frehost.exe
O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe

Fermer HijackThis.


Étape 13: OTMoveIt (de OldTimer)
Faire un double clic sur OTMoveIt.exe pour lancer l'outil.
Ouvrir le fichier OTfichiers.txt dans le Bloc-notes.
En sélectionner toutes les lignes puis appuyer simultanément sur les touches Ctrl et C

Retourner dans la fenêtre de OTMoveIt, faire un clic droit dans la fenêtre de gauche nommée "Paste List of Files/Folders to be moved" et choisir Coller.
Cliquer sur le bouton MoveIt!
Attendre la fin du travail de l'outil puis fermer OTMoveIt.
Note: Un redémarrage est parfois nécessaire. S'il est demandé, cliquer sur Oui/Yes


Étape 14: AVG Anti-Spyware
Lancer AVG Anti-Spyware et cliquer sur le menu Analyse.
Cliquer sur Analyse complète du système.
IMPORTANT: Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.

A la fin de l'analyse, cliquer sur Appliquer toutes les actions
Ensuite, Sauver le rapport: Enregistrer le rapport d'analyse puis Enregistrer le rapport sous.
Fermer AVG Anti-Spyware.


Étape 15: Résultats
Générer un nouveau log HijackThis depuis la version 2.0.2 qui se trouve dans le dossier C:\HJT
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport de AVG Anti-Spyware enregistré lors de l'étape 14
*- le rapport de SDFix (contenu du fichier Report.txt situé dans le dossier SDFix)
*- le rapport de Navilog1, Option 1 (contenu du fichier navi1.txt)
*- le rapport de OTMoveIt (contenu du fichier C:\_OTMoveIt\MovedFiles)
*- le rapport de VundoFix (contenu du fichier C:\vundofix.txt)

en précisant si le problème initial est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.

Note: comme il y a plusieurs logs, deux messages seront peut-être nécessaires.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),

[roumy andre]

nickW , bonjour.

PERSO :

Merci pour ta promptitude à me repondre. Saches que je suis sur ce PC depuis juillet !! ( j'espère réparer mais aussi me former )
Quand j'ai debarqué sur le site sur conseil d'un ami je n'ai pas osé m'inscrire sur le forum .L'ami m'a poussé . Quand tu as répondu à la première lecture, j'ai eu un choc et j'ai pensé "...j'avais raison, ce n'est pas pour moi..". Et j'ai relu plus lentement puis beaucoup plus lentement..
Ton plan de travail me plait. Je ne peux travailler sans plaisir et ton plan est beau dans le fond et dans la forme et suis satisfait de travailler avec toi.

Le plan :

- a . j'avais bien lu la 1ere partie " Téléchargements / Créations de fichiers " et j'ai voulu mettre tout de suite les logiciels et fichiers en place. Il se trouve que Navilog1 et AVG ont bien leur icone sur le bureau.

OTMovelt / Vudofix ainsi que repar.reg et OTfichier.txt sont dans un dossier logicieldecontamination de mes documents.

HJT est à la racine C:\ de même SDfix à C:\ où j'ai pu verifier la presence de Runthis.bat

- b . A propos de ta note au début , dans comptes d'utilisateurs
j'ai 2 icones une administrateur : Cecile et une intitulée invité grise désactivée. Que faudra-t-il faire exactement ? ( pour utiliser le mode sans echec ) .

- c . AVG est-il activé au départ car il y a Avast sur le PC malade qu'il faudra peut-être désactiver ? ( peut-être as-tu un tuto sur l'utilisation de AVG notament activer/desactiver pour arreter si celà fume!!)

- d . enfin on peut executer le plan en plusieurs fois? ( le PC est lent et fait pas mal de surprises, il faut de la p&atience..)
- j'ai imprimmer le plan -
.

[nickW]

Bonsoir,

D'après ce que tu as écrit, les fichiers me semblent correctement installés.


Le compte utilisateur ayant les droits Administrateur qu'il faudra utiliser est: Cecile.


AVG Anti-Spyware est en lancement automatique au démarrage, mais il n'entre pas en conflit avec les logiciels antivirus. Ils peuvent cohabiter sans problème (ne rien désactiver).


Le "plan" peut à la rigueur s'exécuter en cinq parties:

1/ Étapes 1 à 7
*- paramétrage puis utilisation de CCleaner
*- installation et paramétrage de AVG Anti-Spyware
*- installation de SDFix
*- création du log de Navilog1 Option 1
*- exécution de VundoFix

2/ Étapes 8 à 10
Ceci se déroule en mode sans échec et ne devrait pas être interrompu. L'étape 9 prendra moins d'une seconde, le balayage SDFix sera plus long.

3/ Étapes 11 à 13
Deux étapes de "manipulation" courtes, puis une suppression de fichiers via OTMoveIt: ceci ne prend pas beaucoup de temps.

4/ Étape 14
Ce sera l'étape la plus longue (balayage complet de toutes les partitions).

5/ Étape 15
Il faudra transférer sur le PC "connecté" l'ensemble des logs:
*- le nouveau log HijackThis
*- le rapport de AVG Anti-Spyware enregistré lors de l'étape 14
*- le rapport de SDFix (contenu du fichier Report.txt situé dans le dossier SDFix)
*- le rapport de Navilog1, Option 1 (contenu du fichier navi1.txt)
*- le rapport de OTMoveIt (contenu du fichier C:\_OTMoveIt\MovedFiles)
*- le rapport de VundoFix (contenu du fichier C:\vundofix.txt)

Entre chacune de ces cinq parties, il ne faudra strictement rien faire sur le PC malade (... sauf l'arrêter si nécessaire).


Si tu as d'autres questions, n'hésite pas à me les poser.

A suivre,

[roumy andre]

Bonjour Nickw,

Voilà :

Tout semble s'être passé normalement sauf pour AVG.

a - dans nettoyeur / windows / avancé je n'ai mis que " vieilles données du prefetch "

b - pour VundoFix il y a eu un message ( - done searching for files - j'ai mis oui )sur la demande il a booté mais tu avais prévu celà, j'ai suivi la procédure.

c - le 12 HJT

pour les lignes en 02 etait absent BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - C:\WINDOWS\System32\buoxtvnk.dll
ssqnl.dll n'avait pas les même chiffres et lettres entre parenthèses

pour les lignes en 04
O4 - HKLM\..\Run: [Log System] C:\WINDOWS\System32\zffequpjy.exe
O4 - HKLM\..\Run: [china] C:\nasajplview.exe
étaient seul présents

pour 020 la ligne de tuvutqo était là

pour 023 rien

d - enfin AVG
après Appliquer toutes les actions il a demandé à redémarrer j'ai trop rapidement accepté - j'ai pensé au rapport après- mais surprise il m'a demandé de réinstaller AVG 7.5. Là je ne sais que penser, tout est à zero ?

Rq : si tu dis de réinstaller AVG pour recommencer dois-je le faire à partir du CD de transfert seulement ou dois -je reprendre à partir de
http://www.ewido.net/en/download/ ?
Bonne journée NickW,

[nickW]

Bonjour,

Sur le PC "malade", lors de la demande de réinstallation d'AVG Anti-Spyware, n'y a-t-il pas un autre message parlant (je cite de mémoire) de non connexion au service?
Si c'est le cas, il n'est pas nécessaire de réinstaller, il faut seulement relancer le service associé à AVG Anti-Spyware:

Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK

Descendre jusqu'à AVG Anti-Spyware Guard
Faire un clic droit dessus et choisir Propriétés
Dans Type de démarrage, choisir Automatique (s'il ce n'est pas déjà fait)
Cliquer sur Appliquer,
Si le Statut du service est: Arrêté, cliquer sur sur le bouton Démarrer
Cliquer sur Appliquer, puis sur OK

Fermer la fenêtre du Gestionnaire de services.


Il faudrait que tu envoies les logs:

*- le nouveau log HijackThis
*- le rapport de AVG Anti-Spyware (s'il existe )
*- le rapport de SDFix (contenu du fichier Report.txt situé dans le dossier SDFix)
*- le rapport de Navilog1, Option 1 (contenu du fichier navi1.txt)
*- le rapport de OTMoveIt (contenu du fichier C:\_OTMoveIt\MovedFiles)
*- le rapport de VundoFix (contenu du fichier C:\vundofix.txt)

A suivre,

[roumy andre]

Sauf erreur ou oubli de ma part il n'y a pas eu d'autre message que celui signalé. Après vérification de ton correctif
demarrage était bien sur automatique
statut services etait sur demarré
alors , faut réinstaller AVG ? précise si à partir du CD ou du site, si c'est le cas

Rq : au demarrage du PC-malade l'installation du bureau est particulièrement lente. On attend l'installation de 3 icones de radio ( dans le gestionnaire des tâches / applications on lit 3lignes en " Drag'h Drop CD DVD ". Peut-on les désactiver ( qu'elles fonctionnent si on leur demande ).
- je n'ai pas fait encore le scan HJT, j'attendais d'en avoir fini avec AVG. Dès les 2 terminés j'envois les rapports.

[nickW]

Bonsoir,

Sur le PC "malade", si tu essaies de relancer AVG Anti-Spyware, reçois-tu un message d'erreur? Lequel?


Pour réinstaller AVG Anti-Spyware:

Le CD de transfert contient normalement le fichier d'installation: avgas-setup-7.5.1.43.exe
Taille de ce fichier: 11,8 Mo (12 413 440 octets)

Il n'est pas utile de le re-télécharger.

A suivre,

[roumy andre]

2 essais sur AVG :

- 1. après les 2 clics, un message s'affiche " Echec de la connexion au service. Réinstaller AVG 7.5. OK " après le clic /OK la fenêtre d'AVG apparait ! " Echec de la connexion au service." ....cela me dit quelque chose!..mes excuses!
j'eteins- j'allume

- 2. deux clics /AVG la fenêtre AVG apparait de suite.

On peut dire qu'il y est ? Je refais AVG selon le plan et je poursuis ? ( et je ne fais pas redemarrer le PC si AVG le demande mais j'assure le rapport et j'arrête après c'est bien celà ?)

[nickW]

Re-

AVG est donc bien installé.

S'il y a demande de ré-installation pour échec de connexion au service, il suffit de démarrer le service (comme indiqué précédement).

Tu peux donc le lancer, demander l'analyse complète et sauvegarder le rapport.

Ensuite, soit arrêt du PC, soit poursuite de la procédure de nettoyage.

A suivre,