Infection suite à lien "photo" cliqué sur MSN

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

fab69

Infection suite à lien "photo" cliqué sur MSN

par fab69 »

Bonjour,

Après avoir cliqué sur un message semblant provenir d'un ami sur MSN (photo ahah...), nous avons été infectés.
- photo de fond d'écran supprimée remplacée par un fond noir avoir un message en rouge indiquant que nous étions infectés
- icone rouge avec croix blanche dans les icones en bas à droite de l'écran, bulle d'alerte nous suggérant de passer un antivirus et ouvrant une page mozilla avec une pub pour un antispyware.
- ralentissement général (lancement de programme extrêmement lent...)

J'ai voulu lancer un premier nettoyage avec ad-aware. Après près de 30 minutes pour télécharger la dernière base de signature, le PC a rebooté et depuis mon windows XP ne redemarre plus (boot toutes les 30s dès que Windows est sur le point de se lancer).

Je me suis connecté en mode sans échec. J'ai pu passer divers outils pour nettoyer : SDFix (vers trouvé et supprimé), Clean virus MSN, AVG Free (nombreux virus/malware), Malwarebytes anti-malware passé en dernier et qui a visiblement été efficace puisque depuis les performances sont redevenues normales sans messages d'erreur en mode sans echec.

Mais je ne peux toujours pas accéder à windows en mode normal, le PC reboot systématiquement avant.
J'ai vu sur un forum un potentiel pb concernant le fichier C:\windows\system32\userinit.exe. Ce fichier est présent chez mois mais il a été modifié aujourd'hui, ce qui semble étrange. J'ai tenté de le remplacer par un fichier userinit d'un autre PC sous windows, sans effet (j'ai donc remis l'ancien)

Ci-dessous le rapport hijack. Pouvez-vous m'aider? Merci beaucoup.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:07:52, on 19/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Itazoheraf] rundll32.exe "C:\WINDOWS\Ytivo.dll",e
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Fabien\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\windows\temp\ntdll64.dll' missing
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6C275925-A1ED-4DD2-9CEE-9823F5FDAA10} (F5 Networks SSLTunnel) - https://firepass.f5demo.com/vdesk/termi ... ,0,50412,1
O16 - DPF: {CC85ACDF-B277-486F-8C70-2C9B2ED2A4E7} (F5 Networks SuperHost Class) - https://firepass.f5demo.com/vdesk/termi ... 004,11,2,5
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {D84C4D49-A63A-4432-B319-718ECA705773} - https://fox.f5.com/policy/download_bina ... ,0,41115,1
O16 - DPF: {E0FF21FA-B857-45C5-8621-F120A0C17FF2} (F5 Networks Host Control) - https://firepass.f5demo.com/vdesk/termi ... ,0,50316,1
O18 - Protocol: KuGoo - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\WINDOWS\system32\KuGoo3DownXControl.ocx
O18 - Protocol: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\WINDOWS\system32\KuGoo3DownXControl.ocx
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTSERV.EXE
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 8583 bytes
fab69

Re: Infection suite à lien "photo" cliqué sur MSN

par fab69 »

En complément, voici les logs de Malwarebytes, après une première passe puis après une deuxième passe. C'est visiblement lui qui a touché mon userinit mais le problème de reboot était déjà présent avant. Merci

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1868
Windows 5.1.2600 Service Pack 3

19/03/2009 15:11:51
mbam-log-2009-03-19 (15-11-51).txt

Type de recherche: Examen rapide
Eléments examinés: 85333
Temps écoulé: 7 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 14

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Downloads\csrss.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.
C:\Downloads\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.
C:\Downloads\services.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.
C:\Downloads\smss.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.
C:\Downloads\svchost*.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.
C:\Downloads\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.
C:\Downloads\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.
C:\Downloads\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.
C:\Downloads\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.
C:\Downloads\dllhost.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.
C:\Downloads\msiexec.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.
C:\Downloads\ctfmon.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.
C:\Downloads\userinit.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.
C:\Downloads\rundll32.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.



Deuxième passe :

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1749
Windows 5.1.2600 Service Pack 2

19/03/2009 16:31:52
mbam-log-2009-03-19 (16-31-52).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 137930
Temps écoulé: 20 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Fabien\Local Settings\Temp\mousehook.dll (Trojan.FakeAlert) -> Delete on reboot.
Malekal_morte
Messages : 110706
Inscription : 10 sept. 2005 13:57

Re: Infection suite à lien "photo" cliqué sur MSN

par Malekal_morte »

Salut,


Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : combofix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
fab69

Re: Infection suite à lien "photo" cliqué sur MSN

par fab69 »

ComboFix détecte AVG anti-virus et me demande de le fermer.
Je suis en mode sans echec et je ne vois aucune session de AVG dans le gestionnaire des taches windows. La désinstallation de AVG ne fonctionne pas (erreur echec de l'opération clé de registre...). Dois-je lancer ComboFix malgré tout? Merci
fab69

Re: Infection suite à lien "photo" cliqué sur MSN

par fab69 »

J'ai finalement pu désinstaller AVG et lancer ComboFix. Le PC en mode sans echec a rebooté 30s après avoir lancé Combofix et accepté la licence. Pour la première fois depuis 24h, il a lancé Windows corectement, le scan comboFix s'est ensuité poursuivi, voici le log :

ComboFix 09-03-18.01 - Fabien 2009-03-19 21:01:32.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1023.741 [GMT 1:00]
Lancé depuis: c:\documents and settings\Fabien\Bureau\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\init32.exe
c:\windows\system32\ovfsthgjoajwjidrlyjbxkjvvcronwrskpsxpi.dll
c:\windows\system32\ovfsthiqhtdvymyrllcekwnkuirrpdurumfviq.dll
c:\windows\system32\ovfsthxdvgqcrrgqlboopoaulteobjtqmarenb.dll
c:\windows\system32\test.ttt
c:\windows\system32\uninstall.exe
c:\windows\system32\uniq.tll
c:\windows\system32\win32hlp.cnf
c:\windows\Ytivo.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthwulkyapmuynskosrrwbsrlpmrmpxdqqc


((((((((((((((((((((((((((((( Fichiers créés du 2009-02-19 au 2009-03-19 ))))))))))))))))))))))))))))))))))))
.

2009-03-19 21:00 . 2009-03-19 21:00 <REP> d--hs---- c:\documents and settings\TEMP
2009-03-19 19:07 . 2009-03-19 19:07 <REP> d-------- c:\program files\Trend Micro
2009-03-19 18:49 . 2009-03-18 15:42 104,960 --a------ c:\windows\system32\userinit.exe
2009-03-19 16:05 . 2009-03-19 16:05 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-03-19 16:05 . 2009-03-19 16:05 <REP> d-------- c:\documents and settings\Fabien\Application Data\Malwarebytes
2009-03-19 16:05 . 2009-03-19 16:05 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-03-19 16:05 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-19 16:05 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-19 15:38 . 2005-01-07 19:43 <REP> d--h----- c:\documents and settings\Administrateur.FAB\Voisinage réseau
2009-03-19 15:38 . 2005-01-07 19:43 <REP> d--h----- c:\documents and settings\Administrateur.FAB\Voisinage d'impression
2009-03-19 15:38 . 2005-01-07 19:51 <REP> d--h----- c:\documents and settings\Administrateur.FAB\Modèles
2009-03-19 15:38 . 2005-01-07 19:43 <REP> d-------- c:\documents and settings\Administrateur.FAB\Mes documents
2009-03-19 15:38 . 2005-01-07 19:43 <REP> dr------- c:\documents and settings\Administrateur.FAB\Menu Démarrer
2009-03-19 15:38 . 2005-01-07 19:43 <REP> d-------- c:\documents and settings\Administrateur.FAB\Favoris
2009-03-19 15:38 . 2005-01-07 19:43 <REP> d-------- c:\documents and settings\Administrateur.FAB\Bureau
2009-03-19 15:38 . 2009-03-19 15:38 <REP> d-------- c:\documents and settings\Administrateur.FAB
2009-03-19 15:34 . 2005-01-07 19:43 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2009-03-19 15:34 . 2005-01-07 19:43 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2009-03-19 15:34 . 2005-01-07 19:51 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2009-03-19 15:34 . 2005-01-07 19:43 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
2009-03-19 15:34 . 2005-01-07 19:43 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2009-03-19 15:34 . 2005-01-07 19:43 <REP> d-------- c:\documents and settings\Administrateur\Favoris
2009-03-19 15:34 . 2005-01-07 19:43 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2009-03-19 15:34 . 2009-03-19 15:34 <REP> d-------- c:\documents and settings\Administrateur
2009-03-18 22:45 . 2009-03-18 22:45 <REP> d-------- c:\windows\ERUNT
2009-03-18 18:06 . 2009-03-19 12:32 <REP> d-------- C:\SDFix
2009-03-18 17:58 . 2009-03-09 20:06 15,688 --a------ c:\windows\system32\lsdelete.exe
2009-03-18 16:51 . 2009-03-18 16:51 0 --a------ c:\windows\system32\drivers\ovfsth.sys
2009-03-18 16:49 . 2009-03-09 20:06 64,160 --a------ c:\windows\system32\drivers\Lbd.sys
2009-03-18 16:38 . 2009-03-18 16:38 <REP> d-------- c:\program files\AxBx
2009-03-18 16:15 . 2009-03-18 16:15 <REP> d-------- c:\program files\Lavasoft
2009-03-18 16:15 . 2009-03-18 16:15 <REP> d--h-c--- c:\documents and settings\All Users\Application Data\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}
2009-03-18 15:57 . 2009-03-18 15:57 40,448 --a------ c:\windows\system32\KuzSmall.exe
2009-03-18 15:43 . 2009-03-18 15:42 104,960 --a--c--- c:\windows\system32\dllcache\userinit.exe
2009-03-18 15:32 . 2009-03-18 21:36 43 --a------ c:\windows\system32\ovfsthvuvfcvknmsxdygcodgllibykysdihfmg.dat
2009-03-18 15:27 . 2009-03-19 20:57 42,394 --a------ c:\windows\system32\ovfsthmkruboeumoxkxmdjnbmmxmmnoekqtuwq.dat
2009-03-18 11:11 . 2009-03-17 20:13 48,690 -r-hs---- c:\windows\fxsteller.exe
2009-02-21 12:47 . 2009-02-21 12:47 <REP> d-------- c:\documents and settings\Fabien\Application Data\RayV

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-19 20:00 0 ----a-w c:\windows\system32\drivers\lvuvc.hs
2009-03-19 19:58 --------- d-----w c:\documents and settings\All Users\Application Data\avg8
2009-03-19 18:50 --------- d-----w c:\program files\eMule
2009-03-19 18:47 --------- d-----w c:\program files\FlashGet
2009-03-19 14:56 --------- d-----w c:\program files\CCleaner
2009-03-19 14:50 --------- d-----w c:\program files\Windows Media Connect 2
2009-03-19 14:50 --------- d-----w c:\program files\Winamp
2009-03-19 14:50 --------- d-----w c:\program files\PC Inspector File Recovery
2009-03-19 14:50 --------- d-----w c:\program files\DivX
2009-03-18 15:15 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2009-03-18 15:15 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2009-03-13 17:51 --------- d-----w c:\documents and settings\Fabien\Application Data\dvdcss
2009-03-12 20:21 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2009-02-28 20:29 --------- d-----w c:\program files\SpeedFan
2009-02-24 20:47 --------- d-----w c:\documents and settings\Fabien\Application Data\Skype
2009-02-09 14:17 1,846,400 ----a-w c:\windows\system32\win32k.sys
2009-02-06 17:52 49,504 ----a-w c:\windows\system32\sirenacm.dll
2009-01-03 14:45 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll
2006-11-22 20:25 35,616 ----a-w c:\documents and settings\Fabien\Application Data\GDIPFONTCACHEV1.DAT
2006-06-18 17:58 278,528 ----a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
2005-03-20 00:27 56 --sh--r c:\windows\system32\4DBF4C0621.sys
2005-03-20 00:27 12,884 --sha-w c:\windows\system32\KGyGaAvL.sys
.

------- Sigcheck -------

2002-08-29 11:45 22528 f4127a2a00825c69a870035da1264ae0 c:\windows\$NtServicePackUninstall$\userinit.exe
2004-08-19 15:10 25088 84717891f0734c611721f56c60b5fbc3 c:\windows\ServicePackFiles\i386\userinit.exe
2004-08-20 00:10 25088 84717891f0734c611721f56c60b5fbc3 c:\windows\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\userinit.exe
2009-03-18 15:42 104960 72602ff46cec6ee130d80f52deb3df75 c:\windows\system32\userinit.exe
2009-03-18 15:42 104960 72602ff46cec6ee130d80f52deb3df75 c:\windows\system32\dllcache\userinit.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-07-15 4112384]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2004-07-15 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-03 136600]
"LVCOMSX"="c:\windows\System32\LVCOMSX.EXE" [2005-12-09 225280]
"LogitechVideo[inspector]"="c:\program files\Logitech\Video\InstallHelper.exe" [2005-12-07 09:33 73728]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-03-09 515416]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-03-28 c:\windows\KHALMNPR.Exe]
"nwiz"="nwiz.exe" [2004-07-15 c:\windows\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-06-18 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\Fabien\Menu D‚marrer\Programmes\D‚marrage\
Outil de notification Live Search.lnk - c:\documents and settings\Fabien\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe [2009-01-03 143360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
BTTray.lnk - c:\program files\WIDCOMM\Logiciel Bluetooth\BTTray.exe [2003-09-15 503869]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2006-04-14 13:17 65536 c:\program files\Fichiers communs\Logitech\Bluetooth\LBTWlgn.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Canal Widget]
c:\program files\Canal\Canal Widget\Canal Widget.cpvod [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCameraAssistant]
--a------ 2005-12-07 09:26 489472 c:\program files\Logitech\Video\CameraAssistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCameraService(E)]
--a------ 2004-11-01 16:22 262144 c:\windows\system32\ElkCtrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE4]
--a------ 2006-03-21 13:19 69632 c:\program files\ScanSoft\OmniPageSE4.0\OpWareSE4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
-ra------ 2003-09-30 00:14 155648 c:\program files\Fichiers communs\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-03-18 64160]
R2 BT848;WinFast TV2000 XP WDM Video Capture;c:\windows\system32\drivers\wf2kvcap.sys [2005-01-11 75925]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-03-09 951632]
R2 LF30FS;LF30FS;c:\program files\Everstrike Software\Lock Folder XP 3.3\LF30XP.sys [2004-11-19 101488]
R2 tv2ktunr;WinFast TV2000 XP WDM TVTuner;c:\windows\system32\drivers\wf2ktunr.sys [2005-01-11 36423]
R2 Tv2kXbar;WinFast TV2000 XP WDM Crossbar;c:\windows\system32\drivers\wf2kXbar.sys [2005-01-11 10005]
R3 LHidPPKE;Logitech SetPoint HID Function Driver;c:\windows\system32\drivers\LHidPPKE.Sys [2005-01-07 22536]
R3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\drivers\WlanUIG.sys [2005-02-05 379456]
S3 BW2NDIS5;BW2NDIS5;c:\windows\system32\Drivers\BW2NDIS5.sys --> c:\windows\system32\Drivers\BW2NDIS5.sys [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S3 WFIOCTL;WFIOCTL;\??\c:\program files\WinFast\WFTVFM\WFIOCTL.SYS --> c:\program files\WinFast\WFTVFM\WFIOCTL.SYS [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20ccecb7-83b1-11db-b896-0060b3bc468d}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL m5launch.exe
.
Contenu du dossier 'Tâches planifiées'

2009-03-18 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-09 20:06]
.
- - - - ORPHELINS SUPPRIMES - - - -

Notify-ckpNotify - (no file)
MSConfigStartUp-iTunesHelper - c:\program files\iTunes\iTunesHelper.exe
MSConfigStartUp-NeroFilterCheck - c:\windows\system32\NeroCheck.exe
MSConfigStartUp-QuickTime Task - c:\program files\QuickTime\qttask.exe
MSConfigStartUp-WinFast Schedule - c:\program files\WinFast\WFTVFM\WFWIZ.exe
MSConfigStartUp-Logitech BT Wizard - LBTWiz.exe


.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&s ... f8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer à &Bluetooth - c:\program files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
IE: Télécharger avec FlashGet - c:\program files\FlashGet\jc_link.htm
IE: Télécharger tout avec FlashGet - c:\program files\FlashGet\jc_all.htm
Handler: KuGoo - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - c:\windows\system32\KuGoo3DownXControl.ocx
Handler: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - c:\windows\system32\KuGoo3DownXControl.ocx
DPF: {D84C4D49-A63A-4432-B319-718ECA705773} - hxxps://fox.f5.com/policy/download_binary.php/win32/f5syschk.cab#Version=5400,0,41115,1
FF - ProfilePath - c:\documents and settings\Fabien\Application Data\Mozilla\Firefox\Profiles\cnaxfdbl.default\
FF - prefs.js: browser.search.selectedEngine - Live Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
FF - component: c:\documents and settings\Fabien\Application Data\Mozilla\Firefox\Profiles\cnaxfdbl.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPuroamHost.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-19 21:03:53
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1116)
c:\program files\fichiers communs\logitech\bluetooth\LBTWlgn.dll
c:\program files\fichiers communs\logitech\bluetooth\LBTServ.dll
.
Heure de fin: 2009-03-19 21:05:06
ComboFix-quarantined-files.txt 2009-03-19 20:04:52

Avant-CF: 1,770,713,088 octets libres
Après-CF: 1,868,435,456 octets libres

230 --- E O F --- 2009-03-12 20:22:17
Malekal_morte
Messages : 110706
Inscription : 10 sept. 2005 13:57

Re: Infection suite à lien "photo" cliqué sur MSN

par Malekal_morte »

Wow... Trojan.DNSChanger en plus de l'infection MSN... Chapeau.....

Suis la procédure de désinfection et poste le nouveau rapport Combofix : https://www.malekal.com/VIRUS_MSN.php
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
fab69

Re: Infection suite à lien "photo" cliqué sur MSN

par fab69 »

Je crois malheureusement que cette fois c'est la fin : je ne peux plus ouvrir du tout de session (normale ou sans echec), je retourne à chaque fois sur la page windows xp "bienvenue" avec les icones de session (admin et la mienne), même en sans echec. J'ai essayé tous les modes de démarrage plusieurs fois...ya-t'il une solution? je n'ai pas sur moi le CD XP...misère
Malekal_morte
Messages : 110706
Inscription : 10 sept. 2005 13:57

Re: Infection suite à lien "photo" cliqué sur MSN

par Malekal_morte »

Bha...
2009-03-19 18:49 . 2009-03-18 15:42 104,960 --a------ c:\windows\system32\userinit.exe
Ton fichier userinit.exe a été patché et le bon est là c:\windows\system32\init32.exe
Ton antivirus a dû détecter le fichier userinit.exe comme infection l'a mis en quarantaine
Windows démarre plus..

C'est ce que j'explique sur ce topic : http://forum.malekal.com/viewtopic.php? ... 20#p143303

Donc si tu suis la procédure de début : http://forum.malekal.com/viewtopic.php?f=3&t=9396
Tu fais un CD UBCD4Win et tu copies C:\Qoobox\quarantaine\C\Windows\System32\init32.exe en C:\Windows\System32\userinit.exe

J'espère que mes explications sont claires.

EDIT : c'est en partie ma faute car j'ai pas tilté au moment où t'as posté le rapport Combofix, j'aurai pas du te faire rebooter et j'aurai du te faire copier le fichier, dsl, là ça va compliquer les choses d'autant plus que tu n'as pas de console de récupération installée... donc faut passer par un CD USBCD4Win.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
fab69

Re: Infection suite à lien "photo" cliqué sur MSN

par fab69 »

Merci c'est très clair, mais puis-je créer un cd-live depuis un PC portable avec Windows XP Media Center Edition (installé d'origine, Vaio) pour réparer mon PC vérolé sous XP Pro (dont je n'ai pas le CD Windows)?
Je suis en train de télécharger les fichiers UBCD mais j'ai peur qu'il ne trouve pas les fichiers windows nécessaires lors de la création du CDlive?
Malekal_morte
Messages : 110706
Inscription : 10 sept. 2005 13:57

Re: Infection suite à lien "photo" cliqué sur MSN

par Malekal_morte »

Je pense que ça devrait fonctionner.

Les fichiers Windows sont contenus dans un dossier I386.

Autre soluce, ce serait d'essayer avec un CD Live Kaella : https://www.malekal.com/RecuperationDonnees.php

Tu dois pouvoir avoir accès à ton disque dur par la suite et donc pouvoir faire la copie de fichiers comme indiqué plus haut.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
fab69

Re: Infection suite à lien "photo" cliqué sur MSN

par fab69 »

Merci. J'ai pour le moment des pb de compil avec le liveCD. J'essaierai demain ta deuxième soluce!
Malekal_morte
Messages : 110706
Inscription : 10 sept. 2005 13:57

Re: Infection suite à lien "photo" cliqué sur MSN

par Malekal_morte »

sinon avec CD de Windows, tu peux aller en console de récupération : https://www.malekal.com/reparer_Windows ... TocId75649

et passer la commande copy C:\Qoobox\quarantaine\C\Windows\System32\init32.exe en C:\Windows\System32\userinit.exe

Ca devrait remettre le fichier.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
g-unit49

Re: Infection suite à lien "photo" cliqué sur MSN

par g-unit49 »

juste pour dire qu'il vient un instant de m'arriver la meme chose

antivir a peut etre réussi a metre le virus en quarantaine et pour l'instant mon pc fonctionne normalement, donc j'attend un peu pour voir :S
Invité

Re: Infection suite à lien "photo" cliqué sur MSN

par Invité »

Bonjour,

De retour après plus d'une semaine, le temps qu'il m'a fallu pour récupérer un CD XP original (mais edition family alors que mon PC est sous Pro)
J'ai donc pu créer un UBCD4WIN mais mes problèmes ne sont pas résolus pour autant:

- le CD UBCD44WIN fraichement créé semble se lancer correctement. (J'ai cependant un warning en cours de chargement meprévenant que je n'ai pas assez de mémoire virtuelle pour que windows fonctionne correctement).
J'arrive au menu start de windows mais ne peux continuer la procédure (soit j'ai demandé à activer les fonctions réseaux, l'éditeur de registre s'ouvre mais la partie "4. Cliquer sur Fichier puis Charger la ruche… " n'a aucun effet; soit je n'ai pas activé les fonctions réseaux etla commande regedit ne lance meme pas l'éditeur de registres...

- autre solution, en bootant directement avec le CD Windows et via la console de réparation, j'arrive au prompt C:\Windows mais la commande copy c:\qoobox...\init32.exe C:\...\userinit.exe me retourne une réponse 'accès refusé". Mon fichier initial userinit.exe est-il bien dans ce répertoire qoobox? la commande cd qoobox me renvoie le meme msg d'erreur acces refusé.

Pouvez-vous m'aider?
Merci beaucoup.
Malekal_morte
Messages : 110706
Inscription : 10 sept. 2005 13:57

Re: Infection suite à lien "photo" cliqué sur MSN

par Malekal_morte »

Invité a écrit :- le CD UBCD44WIN fraichement créé semble se lancer correctement. (J'ai cependant un warning en cours de chargement meprévenant que je n'ai pas assez de mémoire virtuelle pour que windows fonctionne correctement).
J'arrive au menu start de windows mais ne peux continuer la procédure (soit j'ai demandé à activer les fonctions réseaux, l'éditeur de registre s'ouvre mais la partie "4. Cliquer sur Fichier puis Charger la ruche… " n'a aucun effet; soit je n'ai pas activé les fonctions réseaux etla commande regedit ne lance meme pas l'éditeur de registres...
C'est pas à faire ça...
Là faut juste remettre un fichier userinit.exe dans C:\Windows\System32 - il y est plus du coup Windows boot plus.

Il est sur ton disque dans C:\Qoobox\quarantaine\C\Windows\System32\init32.exe donc à copier en C:\Windows\System32\userinit.exe
Une copie doit aussi se trouver dans C:\Windows\System32\dllcache (mais peut-être infectieuse).
Sinon tu peux en télécharger un là : http://senduit.com/cfe476 (thanx angel)
ou prendre un d'un Windows XP que t'as, si possible avec le même service pack.
bref plusieurs soluces pour le remettre.
Invité a écrit :- autre solution, en bootant directement avec le CD Windows et via la console de réparation, j'arrive au prompt C:\Windows mais la commande copy c:\qoobox...\init32.exe C:\...\userinit.exe me retourne une réponse 'accès refusé". Mon fichier initial userinit.exe est-il bien dans ce répertoire qoobox? la commande cd qoobox me renvoie le meme msg d'erreur acces refusé.
C'est parce que y a des limitations dans la super console de restauration par défaut et pour débloquer faut faire une manip dans Windows mais comme tu peux plus booter dessus, t'es niqué...
Bref le bon côté de Windows ça...

Tu peux voir si tu peux copier le userinit.exe de qoobox dans C:\Windows\System32 à partir de UBCD4WIN ?
Sinon depuis un CD Live GNU/Linux qui permet d'écrire sur du NTFS style Kaella : https://www.malekal.com/RecuperationDonnees.php
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »