| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
kanak09
Habitué
Inscrit le: 05 Oct 2008
Messages: 71
Localisation: pau
|
 Posté le: 16 Oct 2008 19:24 Sujet du message: |
|
|
bonjour, alors avec le CD ubuntu j'ai suivi vos explications pour copier les sauvegardes du registre depuis systeme volume information dans system32/config.
Alors bonne nouvelle windows n'est pas passé par le programme d'installation et j'ai retrouvé l'écran d'affichage des sessions et elles marchent.Donc j'ai de nouveau accès à windows.Ai je bien tout remis avec cette méthode ou dois je faire d'autre manip ? ( comme une restauration systeme par ex...)
Dernier probleme, le virus est toujours là et rend invisible le disque local C:\ dans le poste de travail ainsi que la partie mes documents de la barre démarrer.
Que faudrait-il faire maintenant ?
Merci je compte sur vous, je sens qu'on touche au but..  |
|
| Revenir en haut |
|
 |
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8248
Localisation: Rouen (France)
|
| Posté le: 17 Oct 2008 16:31 Sujet du message: |
|
|
Bonjour,
| Citation: | | Donc j'ai de nouveau accès à windows. |
On va essayer de te rendre ton lecteur C:/
- Clique sur Démarrer / Exécuter -> tape regedit
L'éditeur de la base de registre va s'ouvrir, sois très attentif, c'est le coeur de Windows. La base de registre est composée de 5 ruches (ça tu le sais déjà puisque tu as réparé ton registre) composés de dossiers (comme dans l'explorateur Windows) que tu vas ouvrir en double cliquant dessus pour trouver les chemins des clés de registre que je t'indique :
- Cherche la clé :
| Citation: | | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer |
Dans le panneau de droite, regarde si tu vois une valeur DWORD, nommée NoDrives :
Si elle existe, fais un clic droit dessus et choisis "Supprimer" dans le menu contextuel (la touche [suppr] marche aussi, mais si tu fais un clic droit sur la valeur, on est sûr de ce que tu sélectionnes et de ce que tu supprimes).
Cette autre clé peut aussi exister (elle concerne uniquement la session utilisateur) :
| Citation: | | HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer |
De même, si la valeur REG_DWORD "NoDrives" est existante, supprime-la.
Reviens nous dire ce que ça donne et on s'occupe ensuite de l'extermination des méchants, disque C: visible ou pas.
++
_________________
 |
|
| Revenir en haut |
|
|
kanak09
Habitué
Inscrit le: 05 Oct 2008
Messages: 71
Localisation: pau
|
| Posté le: 17 Oct 2008 17:40 Sujet du message: |
|
|
Bonjour, alors je n'ai pas pu effectuer votre démarche car dans la barre démarrer je n'ai même plus executer..il n'y a meme plus changer d'uilisateur, ou panneau de configuration mais seulement les raccourcis de mes programmes en lancement rapide...
J'ai passé l'antivirus, qui m'en a d'abord trouvé 13 ( que des trojan )
il ne les a pas supprimés mais a renommé les fichiers.j'ai ensuite passé l'antivirus bitdefender sous linux ( bitdefender rescue) il ne restait que 3 menaces et les a soit disant supprimées....Pourtant quand j'arrive sur le bureau , il y a inscrit en bas à droite de la barre des taches ( a coté de l'heure) VIRUS ALERT !
J'ai eu plusieurs messages m'informant que des dossiers endommagés ou peut etre infectés étaient situés dans systeme volume information / restore {.....}
Maintenant quand je passe l'antivirus il ne semble plus trouver grand chose, pourtant l'ordi n'est pas clean parce qu'il est encore un peu lent et qu'il n'y a toujours pas le lecteur C: et le reste...
 |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8248
Localisation: Rouen (France)
|
| Posté le: 17 Oct 2008 17:52 Sujet du message: |
|
|
Tu peux essayer la combinaison de touches [Windows] + R pour avoir la commande Exécuter :)
On va cependant commencer la désinfection, avant de réparer ce qui sera encore désactivé par les infections.
- Télécharge & installe HijackThis (Si tu n'arrives pas à l'installer, passe à l'étape 2).
- Lance HijackThis > Clique sur "Do a system scan and save a log file"
- Poste le rapport généré sur ta prochaine réponse sous forme de lien comme c'est expliqué ICI.
- Télécharge combofix.exe, de sUBs, sur ton Bureau,
Désactive ton antivirus et tes autres protections pour que Combofix puisse s'éxécuter normalement
- Ferme toutes tes applications en cours, il peut y avoir un redémarrage du PC,
- Double clique combofix.exe,
- Tape sur la touche 1 (Yes) pour démarrer le scan,
 Ne clique pas dans la fenêtre de Combofix pendant qu'il effectue son scan.
- Lorsque le scan sera complété, un rapport apparaîtra, sauvegarde-le sur ton Bureau.
- Poste l'intégralité du rapport dans ta prochaine réponse sous forme de lien, comme c'est expliqué ICI.
Si difficulté, reporte-toi au tutoriel de Combofix.
Je déplace de nouveau le sujet sur le forum Désinfection des virus & analyses de logs HijackThis.
_________________
|
|
| Revenir en haut |
|
|
kanak09
Habitué
Inscrit le: 05 Oct 2008
Messages: 71
Localisation: pau
|
| Posté le: 17 Oct 2008 19:29 Sujet du message: |
|
|
Tout à très bien marché, j'ai lancé combofix et quand je suis revenu devant l'ordi , le rapport était affiché et il n'y avait plus VIRUS ALERT , et le disque C:/ est revenu dans poste de travail... 
J'avais aussi lancé highjackthis mais ça n'a pris même pas 1 minute d'analyse et ca m'a affiché un rapport, mais quelle est son action exactement ?Il supprime les fichiers infectés,les désinfecte ...?
Je ne sais pas lequel à marché mais ça a l'air d'être bon !
Merci sév
Comment puis -je m'assurer qu'il ne reste pas de traces de petits virus inoffensifs cachés par là ?
PS : juste pour mon apprentissage informatique, qu'aurait-il fallut faire pour récupérer le disque C:/ si l'analyse n'avait rien donné de concluant ?
voici mes rapports :
Rapport Highjackthis
Combofix
Combofix Fichiers quarantaine |
|
| Revenir en haut |
|
|
kanak09
Habitué
Inscrit le: 05 Oct 2008
Messages: 71
Localisation: pau
|
| Posté le: 17 Oct 2008 19:30 Sujet du message: |
|
|
je me suis aperçu que le lien highjackthis ne marchait pas
En voici un autre
Highjackthis |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8248
Localisation: Rouen (France)
|
| Posté le: 18 Oct 2008 8:31 Sujet du message: |
|
|
Bonjour,
| kanak09 a écrit: | | J'avais aussi lancé highjackthis mais ça n'a pris même pas 1 minute d'analyse et ca m'a affiché un rapport, mais quelle est son action exactement ?Il supprime les fichiers infectés,les désinfecte ...? |
Non HijackThis donne une liste des clés de registre sensibles et des processus actifs. Il ne supprime pas fichier. :)
On le fait utiliser pour avoir une vue d'ensemble de ce qui est sur la machine et on corrige certaines mauvaises entrées ensuite. C'est ce qu'on va faire dans la continuité du nettoyage.
| Citation: | | Comment puis -je m'assurer qu'il ne reste pas de traces de petits virus inoffensifs cachés par là ? |
Je vais m'en assurer. 
| Citation: | | PS : juste pour mon apprentissage informatique, qu'aurait-il fallut faire pour récupérer le disque C:/ si l'analyse n'avait rien donné de concluant ? |
Ce que je t'ai expliqué plus haut.
On a encore du travail, il va falloir être patient et surtout il va falloir sécuriser ta machine qui est un aspirateur à virus.
Peux-tu me dire quand ce termine ton abonnement à Securitoo d'Orange ? Il te faut un vrai anti-virus pas ça qui est une passoire.
Si tu es d'accord, je t'en ferai installer un autre beaucoup plus performant et gratuit, et qui nous aidera à finir le nettoyage de ta machine.
On continue le nettoyage et on va corriger quelques failles de sécurité au passage.
Suis attentivement cette procédure dans l'ordre :
- Relance HijackThis > Clique sur "Do a system scan only"
- Coche ces lignes, et seulement celles-ci :
| Citation: | R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottim
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Jeux\BitSpirit\bsurl.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe |
Clique sur Fix Checked et valide les modifications.
Par Ajout/Suppression de Programmes, désinstalle toutes les versions de Java que tu trouveras. Télécharge et installe la dernière version à jour de Java, ça comblera une faille de sécurité.
Mets tes navigateurs à jour :
- Pour Firefox :
Clique sur ? dans le menu > Rechercher des mises à jour.
Une fois que ta mise à jour sera installée, clique sur Outils > Options > Avancés > Onglet Mises à jour et paramètre-le de cette façon :
Firefox se mettra à jour automatiquement à chaque fois que ce sera nécessaire.
- Pour Internet Explorer :
Mets-le à jour, même si tu ne l'utilises pas > Voir cet article chez Malekal.
Tu peux télécharger Internet Explorer 7 >> ICI.
Désactive ton antivirus et tes autres protections pour que Combofix puisse s'éxécuter normalement,
Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !
Ouvre le bloc notes et enregistre la totalité du texte ci-dessous :
| Citation: | File::
C:\WINDOWS\nkefbltdvts.0ll
C:\WINDOWS\neksolda.0ll
C:\WINDOWS\xgpsarbm.0ll
C:\WINDOWS\dkwqgnbe.0ll
C:\WINDOWS\fkebanrw.0xe
C:\WINDOWS\eepa.0xe
folder::
C:\Documents and Settings\thomas\Application Data\LimeWire
C:\\Jeux\\LimeWire
|
Enregistre le fichier en le nommant CFScript.txt et fais un glisser/déposer du fichier vers Combofix comme sur l'image ci-dessous :
Double-clique Combofix.exe et laisse le s'exécuter (ne touche à rien pendant toute la durée du scan)
Une fois le scan terminé un rapport Combofix.log va apparaître, sauvegarde-le sur ton Bureau pour le retrouver facilement ensuite.
Télécharge Malwarebytes' Anti-Malware (MBAM)
- Double clique sur le fichier téléchargé pour lancer le processus d'installation.
- Dans l'onglet "mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
- Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
- Sélectionne "Exécuter un examen complet"
- Clique sur "Rechercher"
- L'analyse démarre.
- A la fin de l'analyse, un message s'affiche :
| Citation: | | L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. |
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
Note : ce scan peut être un peu long (+/- 2h) mais il est important que tu le fasses.
Réactive ton antivirus et tes autres protections,
Poste un nouveau log HijackThis (Do a system scan and save a log file) sans oublier le rapport Combofix et celui de MBAM.
Bon courage
++
_________________
|
|
| Revenir en haut |
|
|
kanak09
Habitué
Inscrit le: 05 Oct 2008
Messages: 71
Localisation: pau
|
| Posté le: 18 Oct 2008 10:55 Sujet du message: |
|
|
Bonjour, pour le moment j'ai fait highjack mais sur toutes les lignes à cocher quelques unes n'étaient déja plus présentes.Ce sont celles ci :
| Citation: |
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottim
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
|
J'ai ensuite fait fix checked pour celles qui étaient là.
Pour les mises à jour il n'y en avait pas de disponible pour la version de firefox que j'ai , et j'ai ensuite téléchargé et installé IE7.
Je me suis arreté là pour le moment car je n'arrive pas a désinstaller Java à partir d'ajout/suppresion des programmes
Il m'informe : " Impossible d'accéder au service windows installer.Ceci peut se produire si windows est en mode sans échec ou si le programme d'installation de windows n'est pas bien installé.Contactez votre support technique pour assistance."
Je n'ai pas osé continuer au cas où cette étape soit importante |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8248
Localisation: Rouen (France)
|
| Posté le: 18 Oct 2008 14:46 Sujet du message: |
|
|
Curieux car ces lignes devraient être encore là.
Poste un nouveau log HijackThis (Do a system scan and save a log file) que je regarde ça.
Pour Java, on va s'occuper de son cas après la désinfection.
@+
[Edit]
| kanak09 a écrit: | | Pour les mises à jour il n'y en avait pas de disponible pour la version de firefox que j'ai |
Euh...
| Combofix a écrit: | | C:\Program Files\FireFox.3.0.1 |
On en est à la version 3.0.3
A moins que ce ne soit un reste d'une ancienne installation, mais j'ai un doute.
Tu peux vérifier ta version ?
Dans la barre de menu > ? > "A propos de Mozilla Firefox".
_________________
|
|
| Revenir en haut |
|
|
kanak09
Habitué
Inscrit le: 05 Oct 2008
Messages: 71
Localisation: pau
|
| Posté le: 19 Oct 2008 12:18 Sujet du message: |
|
|
je confirme j'ai bien la version 3.0.3 c'est ok, mais c'est vrai que dans program files j'ai un dossier nommé firefox 3.0.1 ( il a du réinstaller par dessus en gardant l'ancienne version )
Nouveau rapport highjackthis
En attendant ,si java n'est pas important pour le moment je continue à faire ce que vous disiez alors mais j'ai toujours le problème de windows installer
| Citation: |
Désactive ton antivirus et tes autres protections pour que Combofix puisse s'éxécuter normalement,
Enregistre le fichier en le nommant CFScript.txt et fais un glisser/déposer du fichier vers Combofix
Télécharge Malwarebytes' Anti-Malware (MBAM)
|
|
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8248
Localisation: Rouen (France)
|
| Posté le: 19 Oct 2008 12:27 Sujet du message: |
|
|
Je sais que tu as un problème avec Windows Installer, on réparera après la désinfection.
Pour le log, c'est OK, ne touche à rien et continue la procédure avec Combofix.
++
_________________
|
|
| Revenir en haut |
|
|
kanak09
Habitué
Inscrit le: 05 Oct 2008
Messages: 71
Localisation: pau
|
| Posté le: 19 Oct 2008 14:43 Sujet du message: |
|
|
Tout s'est bien déroulé.MBAM a trouvé 7 infections , une dans le registre + 6 fichiers.Puis a la suite de MBAM j'ai repassé highjackthis
voici tous les rapports dans l'ordre chronologique:
Rapport Highjackthis avant MBAM
Rapport Combofix lors de l'insertion du fichier texte
Rapport MBAM
Nouveau rapport Highjackthis après MBAM
Pour ce qui concerne les antivirus mon père pris celui d'orange en ce moment mais au début je voulais choisir Kaspersky car il a bonne réputation.On va surement changer mais lequel me conseillez vous de preformant ? J'utilise aussi CCleaner de temps en temps pour nettoyer
Lorsque j'execute combofix il me parle de la console de récupération qui n'est pas installée et me demande si je veux le faire pour de meilleurs résultat...Qu'est ce qu'il veut dire par là ?
| Citation: | | LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE ! |
merci[/url] |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8248
Localisation: Rouen (France)
|
| Posté le: 19 Oct 2008 15:10 Sujet du message: |
|
|
Je ne vois plus rien de nuisible sur tes rapports. :)
| kanak09 a écrit: | | Pour ce qui concerne les antivirus mon père pris celui d'orange en ce moment mais au début je voulais choisir Kaspersky car il a bonne réputation.On va surement changer mais lequel me conseillez vous de preformant ? J'utilise aussi CCleaner de temps en temps pour nettoyer |
Ce que j'aurais voulu savoir, c'est si tu es prêt à changer d'anti-virus maintenant.
KAV est effectivement très performant, mais il existe aussi des anti-virus gratuits tels que Antivir ou AVG Free, c'est un de ceux-là que je voulais te faire installer si tu ne veux pas payer une nouvelle licence (environ 40€ pour KAV).
Il vaut mieux de toute façon oublier l'AV d'Orange, et je veux bien t'aider à le désinstaller.
> CCleaner ne possède aucune définition virale, il sert simplement à nettoyer les traces de surfs, et à supprimer les fichiers temporaires, c'est tout.
| Citation: | | Lorsque j'execute combofix il me parle de la console de récupération qui n'est pas installée et me demande si je veux le faire pour de meilleurs résultat...Qu'est ce qu'il veut dire par là ? |
La console est un moyen de réparer un Windows qui ne démarre plus. Tu peux installer la console en suivant les indications données sur le tuto de Combofix.
Au redémarrage, tu auras un écran noir te donnant le choix entre démarrer sur le système ou sur la console de récupération. Il vaut mieux qu'elle soit installée en prévention d'éventuel crash.
A part ton souci avec Windows Installer, comment va ta machine 
_________________
|
|
| Revenir en haut |
|
|
kanak09
Habitué
Inscrit le: 05 Oct 2008
Messages: 71
Localisation: pau
|
| Posté le: 19 Oct 2008 15:41 Sujet du message: |
|
|
Si antivir est efficace et gratuit, c'est quoi la différence avec kaspersky mis à part qu'il soit payant ?
Pour ce qui est des virus,ont-ils été supprimé définitivement ou mis en quarantaine ?
Appremment la machine a l'air d'aller bien sauf que de temps en temps j'ai des messages d'orange "Alerte virus" -> Trojan
Je l'ai mis en quarantaine mais du coup je sais pas si l'ordi est désormais sain !!
Le seul problème qu'il me reste est celui de windows installer et donc de java.Je ne sais pas si c'est lié mais j'ai remarqué que lorsque j'allais dans propriété sur le bureau il n'y a plus les différents onglets bureau, écran de veille... mais uniquement thème... !
En attendant je vais installer la console de récupération windows
Pour les AV je vais en parler avec mon père mais c'est clair que Orange il va virer (surtout qu'il est payant ).. |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 8248
Localisation: Rouen (France)
|
| Posté le: 19 Oct 2008 16:51 Sujet du message: |
|
|
| kanak09 a écrit: | | Si antivir est efficace et gratuit, c'est quoi la différence avec kaspersky mis à part qu'il soit payant ? |
KAV est quand même un poil au-dessus au niveau des définition virales, mais Antivir est très performant.
Le gratuit que je te déconseille est Avast!.
Si tu sais éviter les pièges et si tu ne fais pas n'importe quoi avec ta machine (P2P), Antivir peut être suffisant. C'est le comportement de l'utilisateur qui est important pour la protection d'un PC.
| Citation: | | Pour ce qui est des virus,ont-ils été supprimé définitivement ou mis en quarantaine ? |
Ils se trouvent actuellement dans la quarantaine de Combofix, qu'on désinstallera quand on sera certain de ne plus en avoir besoin.
| Citation: | Appremment la machine a l'air d'aller bien sauf que de temps en temps j'ai des messages d'orange "Alerte virus" -> Trojan
Je l'ai mis en quarantaine mais du coup je sais pas si l'ordi est désormais sain !! |
Tu peux me donner l'emplacement des fichiers détectés et leurs noms ?
Pour vérifier, on va faire un scan en ligne avec KAV.
Rends toi sur cette page pour commencer et prends connaissances des instructions qui y sont données. Ensuite rends-toi chez Kaspersky, lance le scan et poste-moi le rapport quand ce sera terminé.
| Citation: | | Le seul problème qu'il me reste est celui de windows installer et donc de java.Je ne sais pas si c'est lié mais j'ai remarqué que lorsque j'allais dans propriété sur le bureau il n'y a plus les différents onglets bureau, écran de veille... mais uniquement thème... ! |
Un problème à la fois, on essaiera de réparer ça après.
_________________
|
|
| Revenir en haut |
|
|
|
|
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum
|
|
FAQ
Membres
S'enregistrer
Profil
Vérifier ses messages privés
Connexion
