Bonjour,
 
 
J'ai un soucis sur mon PC au bureau.
 
Antivir me gonfle depuis ce matin avec un Run32.DLL verolé par tr/patched.gen2. (DLL en majuscule)
 
Je ne sais pas d'ou cela vient mais bon pour le moment je demande a antivir de refuser l'accés a Run32.DLL mais ça m'enerve car il demande un accés regulierement.
 
merci pour votre aide
 
voila le rapport du scan antivir: http://www.cijoint.fr/cjlink.php?f [...] mTBffz.txt
 
et le rapport HijackThis: http://www.cijoint.fr/cjlink.php?f [...] Ic6lc6.txt

OK,essaie de récupérer le rapport de malwarebytes anti malware et de l'héberger sur cijoint.fr comme tu l'as fait pour les deux autres
pour cela, ouvre MBAM et trouves le fichier*.txt correspondant au dernier scan (date)sous l'onglet "Rapports"
 
un fichier système(user32.dll) a été patché par le malware => ne pas le mettre en quarantaine  et ne pas le supprimer
As tu le Cd de XP?

merci pour ton aide
 
voici le rapport MBAM/ http://www.cijoint.fr/cjlink.php?f [...] iSaIJb.txt
 
Pour le CD d'XP oui je l'ai, c'est le CD de ma boite c'est un CD XP pro sans SP (c'est une version education car je travaille dans un centre de formation)

tu avais parlé de clé de registre infectées et mises en quarantaine hors ce rapport est vierge et fait à 16h14
montre moi celui de ce matin vers 10hoo stp

oups j'ai pris le mauvais log désolé
 
http://www.cijoint.fr/cjlink.php?f [...] nw09u8.txt
 
oui dans celui la il y a bien les 2 spy que j'ai mis en quarantaine avec MBAM.

Ok,nous allons nous assurer qu'il n'y est pas de rootkit caché la dessous
 
/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 
• Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
• A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
• Héberge le rapport de Gmer sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

Bon ben ce n'est pas moi qui y met de la mauvaise volonté c'est mon PC maintenant
 
Je viens de lancer deux fois le programme et deux fois il a coupé net(extinction complete) pendant le scan.
 
je pense qu'il est fatigué comme je le pensais et soit il s'est mis en securité car le proc chauffe (ça je m'en suis rendu compte en été) soit la ram est fatiguée.
 
Bref ça ne change rien car je ne peux pas finir le scan avec Gmer :-((
 
Il n'y a pas une autre possibilité??

pas de solution??
 
on peut passer outre le passage de Gmer, j'ai tenté une 3eme fois le test et rebelotte le pc s'eteint :-((

laisse tomber Gmer pour l'instant.
 
la première chose à vérifier est la propreté des orifices de ventilation de ce PC et du ventirad sur le processeur qui pourrait expliquer la surchauffe.
 
nous allons ensuite vérifier qu'il ne s'agit pas d'un faux positif d'Antivir pour cela:

• rends toi sur http://www.virustotal.com/fr/
• dans le champ parcourir saisis le chemin vers le fichier infecté soit C:\WINDOWS\system32\user32.DLL
• clique sur envoyer le fichier

Si le fichier a déjà été analysé par VirusTotal il te sera proposé de consulter immédiatement l'archive de cette analyse (le temps depuis lequel cette analyse a été faite est signalé). tu peux demander à ce que ce fichier soit ré-analysé,en cliquant sur "réanalyser le fichier"
 

• héberge ensuite le rapport fourni sur cijoint.fr et poste moi le lien

merci
 
voila ci joint le rapport au format pdf: http://www.cijoint.fr/cjlink.php?f [...] 8FISpi.pdf

bonjour
 
le fichier est donc bien patché
 
tu vas d'abord essayer de le remplacer grace à la commande:  sfc /scannow
cela risque de ne pas fonctionner du fait que ton CD est sans SP
 

• ferme toutes les applications  
• Démarrer / Exécuter puis taper cmd :
• Dans la fenetre d'invite, utiliser la commande sfc /scannow pour débuter la vérification immédiatement :
• Windows peut demander d'insérer le CD d'installation :

c'est là que nous verrons si il le prend ou pas...

Merci
 
juste une question et si ça ne fonctionne pas ça ne risque pas de tout faire planter??

non, le CD sera refusé

Bon,
 
j'ai lancé la procedure, inséré a la demande le cd et il me demandait regulierement le cd avec  comme choix: Recommence, Information et Annuler
 
j'ai fais recommencer une dizaine de fois et rien il redemandait encore.
 
Dans information, en effet il demandait le CD avec la bonne version.

ok,nous allons faire autrement
 
le logiciel qui suit peut faire des dégats si il est mal utilisé
 
/!\ Désactive tous tes logiciels de protection /!\
 
• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Si tu es sous Windows XP, il va te demander d'installer la console de récupération :tu dois absolument accepter.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Héberge ce rapport (C:\Combofix.txt) et poste le lien dans ta prochaine réponse.
 
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix

merci
 
donc voila le rapport combofix: http://www.cijoint.fr/cjlink.php?f [...] L0HBEo.txt

Tu vas maintenant te servir d'un outil spécial pour réaliser la réparation du fichier patché,il s'agit de "winfilereplace de "loup_blanc"
 

• télécharge winfilereplace et enregistre le sur ton bureau
• ferme toutes les applications en cours et lance le programme par un double clic sur l'icône winfilereplace
• choisi la langue français => tape 1 puis "entrée" puis laisse l'outil travailler
• le bloc note s'ouvre ,tu dois inscrire le chemin du/des fichier à modifier  
• dans ton cas:

C:\WINDOWS\system32\user32.DLL
C:\WINDOWS\system32\dllcache\user32.dll
 
 

• ferme le bloc note et enregistre le changement
• appuie sur une touche pour continuer
• le service pack necessaire est alors téléchargé=> patiente
• Accepter le contrat => clic sur j'accepte
• confirme la restauration du fichier en appuyant sur la touche O et "Entrée"
• le remplacement du fichier s'effectue redemarre l'ordinateur en  appuyant sur Opuis "entrée"
• poste le rapport qui s'ouvre pour indiquer la réussite ou l'échec de l'opération

tu trouveras ici un tutoriel pour illuster

ok merci
 
je ferrais donc ça lundi et je te tiens au courant
 
en tout cas merci beaucoup pour ton aide.

Bonjour
 
bon ben bizarre ce qui arrive:
 
J'ai bien suivi à la lettre les instructions et dés que j'ai validé oui aprés le téléchargement winfilereplace c'est arrété !!
 
j'ai donc redémarré tranquillement, je n'ai pas eu d'affichage de rapport mais je l'ai trouvé et le voila:http://www.cijoint.fr/cjlink.php?file=cj201003/cijCsoeGAc.txt
 
maintenant antivir me donne une alerte du cheval de trois tr/patched.gen2 sur le chemin suivant:
C:\Qoobox\Qarantine\C\WINDOWS\systeme32\user.dll.vir.vir
 
J'ai bien arrété antivir et spybot ainsi que tous les autres programmes avant d'appliquer le programme winfilereplace.

bonjour
 
tout ceci est normal
combofix au cours de son passage a créé une sauvegarde du fichier infecté dans sa quarantaine ,c'est cela qu' Antivir détecte maintenant  
 
tu vas maintenant utiliser un log pour supprimer les outils que nous avons utilisé pour la désinfection "gmer",  "combofix" et sa quarantaine....
hijackthis va aussi être désinstallé ce n'est pas grave nous le réinstallerons ensuite pour fournir un rapport que j'utiliserai pour finaliser
 
    Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

• Télécharge Toolscleaner sur ton Bureau  
• Double-clique sur ToolsCleaner2.exe et laisse le travailler
• Clique sur Recherche et laisse le scan se terminer.
• Clique sur Suppression pour finaliser.
• Tu peux, si tu le souhaites, te servir des Options facultatives.
• Clique sur Quitter, pour que le rapport puisse se créer.
• Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...heberge le sur cijoint.fr et colle le lien dans ta prochaine réponse

voila le rapport: http://www.cijoint.fr/cjlink.php?f [...] njAQMa.txt

ok,supprime le raccourci combofix sur ton bureau;
 
ton Antivir ne doit plus sonner maintenant?
 
je te prépare la finalisation dans la soirée
 
A+

En effet, c'est nickel      
 
Merci beaucoup pour ton aide et pour mes oreilles  

j'ai oublié de te demander de télécharger un logiciel pour pouvoir d'abord vérifier qu'il n'y a plus de traces de malware et ensuite optimiser ton ordi
voilà ce que tu vas faire:
 

• Télécharge Random's system information tool  ,(RSIT) et enregistre le sur ton bureau.
• Sauvegarde tout travail en cours et fermes toutes les fenêtre actives avant de lancer RSIT  
• Double clique sur RSIT.exe pour lancer l'outil. (il est possible que le .exe ne soit pas visible sur ton ordinateur)  
• Sous vista ,clique droit sur le fichier et choisis "Exécuter en tant qu'administrateur".  
• Clique sur "continue" à l'écran Disclaimer.
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.  
• Une fois le scan fini , deux rapports vont être générés, un seul va apparaitre,c'est le log.txt, le second info.txt sera ouvert mais dans la barre des tâches.  

les deux rapports sont enregistrés sur ton disque dur, à la racine de C:\
 
voici les chemins d'accès=> C:\RSIT\log.txt & C:\RSIT\info.txt
 
héberge les sur ci-joint.fr et poste moi le/les liens
 
ne poste pas les rapports sur ce forum.
 
Rappel: (CTRL+A Pour tout sélectionner , CTRL+C pour pour copier et CTRL+V pour coller )  

Merci    
 
voila donc les deux rapports de RSIT
 
http://www.cijoint.fr/cjlink.php?f [...] 7v9TVs.txt
 
http://www.cijoint.fr/cjlink.php?f [...] YNTCpD.txt

Bonjour
 
Tu devrais mettre à jour ta version de Adobe reaser la dernière est la 9.3.1=> pour la sécurité il est important de maintenir ce logiciel à jour
tu peux le faire en ouvrant le programme ,sous l'onglet aide (point d'interrogation) => rechercher mise à jour
Pour plus de sécurité ,il faut désactiver l'interprétation du javascript comme ceci:
 
* Lancez Adobe Reader
* Cliquez sur Edition --> Préférences --> JavaScript
* Décochez "Activer Acrobat JavaScript"
* Validez
 
pour la même raison tu dois mettre à jour java , par le panneau de configuration => icône java => lancer le panneau de contrôle => onglet mise à jour => mettre à jour maintenant
 
verifie également que tu possèdes la dernière version du plugin et ActiveX flashplayer
 
Firefox vient de mettre en ligne une mise à jour,tu peux aussi sécuriser ton surf en lui rajoutant les modules Wot pour t'avertir des sites douteux et Adblock+ pour bloquer les publicités  
 
_______________________________________________________________________________________________
Lance ensuite  HijackThis en te rendant sur C:\Program Files\trend micro\Fred.exe => double clic sur Fred.exe  

• clique sur "do a system scan only"
• coche les cases devant ces lignes :

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install  
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab
 
 

• Ensuite  clique sur Fix Checked
• ferme hijackthis

_______________________________________________________________________________________________
pour supprimer tous les outils qui ont servi à la désinfection
 

• Télécharge ToolsCleanerenregistre le sur ton Bureau
• Double-clique sur ToolsCleaner2.exe et laisse le travailler
• Clique sur Recherche et laisse le scan se terminer.
• Clique sur Suppression pour finaliser.
• Tu peux, si tu le souhaites, te servir des Options facultatives.
• Clique sur Quitter, pour que le rapport puisse se créer.
• Le rapport (TCleaner.txt) se trouve à la racine de ton disque dur (C:\)...colle le dans ta prochaine réponse

_______________________________________________________________________________________________
Pour nettoyer le registre et les fichiers temp

• Télécharges et installes  C Cleaner :  
• Lance C Cleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures".
• Dans le menu nettoyeur , clique sur "Analyse.
• Ensuite clique sur le bouton "Lancer le nettoyage" et laisse le faire.
• Maintenant dans l'onglet "Registre" , clique sur "Chercher des erreurs"
• Réponds a OUI a la question qui te sera posée.
• Enfin , répare les erreurs en cliquant sur " Réparer les erreurs sélectionnés "
• recommence la recherche et la suppression des erreurs jusqu'à ce qu'il ne reste plus rien.
• [url=http://www.libellules.ch/phpBB2/ccleaner-t30432.html]un  tutoriel[/ur] pour t'aider :  

• Tu peux conserver ce logiciel et l'utiliser régulièrement.[/list]

_______________________________________________________________________________________________
 
 TRES IMPORTANT
 
Pour éviter de re-infecter ton ordinateur, tu vas maintenant supprimer les points de restauration et en créer un nouveau , pour cela:
 

• Il faut désactiver et réactiver la restauration système suis ce tutoriel pour t'aider.
• Il faut ensuite créer un point de restauration manuellement, pour t'aider suis celui-là

 
_______________________________________________________________________________________________  
 
Enfin je t'invite à lire ce fichier pdf sur la sécurité sur Internet
il fait partie d'un projet anti malware et je t'invite à le diffuser autour de toi
 
Voilà ,fais tout cela calmement,rien ne presse j'attends le rapport de suppression toolscleaner
 
Bonne journée

Encore une fois merci
 
voila donc le rapport : http://www.cijoint.fr/cjlink.php?f [...] x4g49B.txt

Bonjour
tu peux supprimer les raccourcis de "comboFix" et "toolscleaner" sur ton Bureau
 
Content d'avoir pu t'aider,Bonne continuation  

Merci beaucoup pour ton aide glops31.
 
C'est super sympa    
 
J'espere pas a la prochaine fois sinon cela voudrais dire que j'aurais encore un probleme    
 
Encore merci  

Bonjour,  
 
Il se trouve que je suis dans une position similaire à HPIR 40; c'est à dire qu'antivir à détecté le virus suivant :
 
TR/Patched.gen2 sur ma machine.
 
Il se trouve que je suis novice en informatique, aussi lorsque j'ai vu le message, j'ai lancé plusieurs détections afin
de regarder si antivir retrouvais ce virus. Il se trouve que oui, j'ai donc par 2 fois demandé à antivir de suprimer
le problème.
Je relance une une détection afin de vérifier si la menace à été réellement suprimée. Il se trouve qu'antivir me retourne
un message d'erreur : "des fichiers cachés ont été trouvés : un ou plusieurs objets cachés indiquant la présence d'un virus
caché ou d'un  programme indésirable ont été trouvés.
Un contrôle de votre ordinateur avec le CD de secour Avira est nécessaire pour les identifier précisément et effectuer

Excusez l'envoi du message non terminé...
 
...et effectuier la réparation.
 
N'ayant pas compris la manière dont marche ce CD et ne comprenant pas grd chose à la manière
dont on peut manipuler le bios je décide de formater le PC. Les cd de restauration ne sont actuellement  
pas en ma possesion, j'ai donc décider de redémarrer la machine, puis de faire F9 afin que le système ASUS
lance un formatage du système depuis recovery.
 
Après 2 jours de fonctionnement sans détection, voil qu'antivir reconfirme la présence du nuisible.
 
La raison pour laquelle j'ai cette salo..rie sur la machine est simple : un pote me file autocad sur une clé sans keygen.  
Je vais le chercher sans être sur du site ni du fichier exécutable et je ne prends pas la précausion de lancer un sandlebox.
 
Bingo!!
 
Quelqu'un pourrait-il me venir en aide SVP ?
Je suis novice dans le domaine donc je serai susceptible de poser pas mal de questions, merci d'avance.