Bonsoir alex390
Merci
A)- Pour system.ini ==> OK, c'est bon. ==> (j'avais suspecté infection "Sality")
B)- Il faudra faire analyser ces fichiers ( en gras ) chez VirusTotal, comme ceci:
2007-08-09 13:41 4,096 --a------ C:\WINDOWS\spload.dll
2007-08-09 13:41 31 --a------ C:\WINDOWS\system32\~.exe.bat
2007-08-09 13:41 3,328 --a------ C:\WINDOWS\system32\s744642.sys
2007-08-10 23:08 106 --a------ C:\delete.bat
1°- Assure toi d'avoir accès aux dossiers/fichiers cachés :
Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer fichiers protégés du dossier système
Tu vas recevoir un message qui te dit que cela peut endommager le système,
n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]
Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >
2°- Ensuite vas là :< http://www.virustotal.com/ >
•- sur la page qui s'affiche tu cliques sur "parcourir"
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin des fichiers en gras ci-après dans la liste ( que Virustotal va analyser un par un, à ta demande; puisque tu devras recommencer la procédure "parcourir", fichier par fichier ) )
•- c'est-à-dire :
C:\WINDOWS\spload.dll
C:\WINDOWS\system32\~.exe.bat
C:\WINDOWS\system32\s744642.sys
C:\delete.bat
•- quand tu as trouvé le premier fichier spload.dll </gras, tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier <gras>spload.dll se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
•- là, tu cliques sur "send file" ( de la page de Virustotal )
•- et tu attends le résultat (il faut parfois patienter)
•- que tu postes sur le forum ( par un copier/coller de tout le texte de l'analyse )
DONC, tu refais la manipulation fichier par fichier dont tu postes le rapport à chaque fois.
Merci pour ta collaboration
C)- Le rapport _OTMoveIt se trouve en C:\_OTMoveIt\MovedFiles ==> j'en ai besoin.
D'autant plus besoin que je vois encore dans le rapport ComboFix la trace de (2007-08-09 13:41 3,072 --a------) C:\WINDOWS\s1864w32.dll ; or _OTMoveIt aurait dû supprimer ce fichier.
Tu me réponds ceci: « j'ai fait ceci : JV16, le nettoyage est fait, la valeur {00000222-1111-1234-4321-0A1B2C3D4E99} n'a pas été trouvée » ==> as-tu lancé la recherche en ôtant les accolades comme ceci : 00000222-1111-1234-4321-0A1B2C3D4E99 ?? Merci de confimer.
Avec l'explorateur Windows, recherche ce fichier (en gras), et supprime-le : C:\WINDOWS\s1864w32.dll.
(dis-moi si tu l'as trouvé )
D)- Explique-moi ce que sont les partitions G et H que je vois ci-après :
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
AutoRun\command- H:\LaunchU3.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{22a55431-4350-11dc-ad2e-000e35c8aaf1}]
AutoRun\command- H:\LaunchU3.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f2ef472-3e7e-11dc-ad25-000e35c8aaf1}]
AutoRun\command- G:\.\Recycled\Driveinfo.exe
Open\Command- G:\.\Recycled\Driveinfo.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b4448561-321f-11dc-ad00-000e35c8aaf1}]
AutoRun\command- G:\.\Recycled\Driveinfo.exe
Open\Command- G:\.\Recycled\Driveinfo.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b4448562-321f-11dc-ad00-000e35c8aaf1}]
AutoRun\command- H:\.\Recycled\Driveinfo.exe
Open\Command- H:\.\Recycled\Driveinfo.exe
Les soucis que tu rencontres sont-ils en rapport avec une éventuelle connexion de disques amovibles ?
E)- Termine avec ceci:
Fais un scan en ligne avec Kaspersky < http://webscanner.kaspersky.fr/ >
Le scan ne marche que sous Internet Explorer.
Sous < http://www.informatruc.com/antivirus-en-ligne-Kaspersky.php >, on t'explique la marche à suivre .
Clic sur l'image « Kaspersky Online Scanner »
Puis sur "démarrer scan online " en bas à droite de la page.
< http://pictures.kaspersky.fr/bouton-scann1.jpg >
Clic sur « J'accepte » ( ou I agree )
On va te demander de télécharger un contrôle active x, accepte .
( on va peut-être demander installer ==> clic sur "installer" )
Tu attends que la mise à jour se termine ( patienter ), une fois terminé, clic sur « Suivant »
Clic sur « Paramètres d'analyse »
Coche la case « Étendue » >> Ok
Dans le menu « Choisissez la cible de l'analyse »
Clic sur "Poste de travail" pour faire un scan complet
ATTENTION : si tu as des disques amovibles/externes, branche-les
Une fois le scan fini à 100%, clic sur "Enregistrer rapport sous..."
Enregistrer le rapport au format .txt (en nom tu mets «KAS» , et en « Type » tu choisis « fichier texte » (*.txt), puis [Enregistrer]
Tu ouvres le fichier que tu viens de sauvegarder,
Copier/coller le rapport généré, et poste-le
AIDE :
-Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.
-Si il y a un problème, assure-toi que les contrôles active x sont bien configurés dans les options internet comme il est décrit sur ce lien=> http://www.inoculer.com/activex.php3
NOTES :
- En cas de problème vérifier ces quelques points < http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 >
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel < http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566 >
Ça peut durer plus d'1 heure.
Patienter
F)- EDIT: Pour le prochain contact, il faut supprimer ta version bêta de HijackThis, et la remplacer par la version finale stable , comme ceci :
- Avec connexion au Net en service,
Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2 Finale
< http://www.trendsecure.com/... > avec un installeur.
- Déconnecte-toi du Net pour installer le programme
Crée un nouveau dossier à la racine de ton disque dur : C:\Program Files\HijackThis.
Pour cela :
Double-clique sur poste de travail, double-clique sur l'icône de C:\ .
Double-clique sur le répertoire Program Files et fais un clic-droit dans la fenêtre et choisis "nouveau dossier"
Nomme-le "HijackThis".
Décompresse le programme précédemment téléchargé dans ce nouveau dossier HijackThis.
S'il n'y est pas, crée un raccourci de l'exécutable ( HijackThis.exe) sur vers le bureau
-Redémarre ton PC impérativement.
Bonne nuit
Al.
