Thanos

Très bien On va finir avec ce scan en ligne à faire quand tu pourras >> Assure toi que la console Java est bien la plus récente; pour le savoir rends-toi sur cette page et clique sur Vérifier la version de Java -> http://www.java.com/fr/download/installed.jsp -> Il te sera indiqué si tu dois installer la dernière version. Le scan doit être fait avec Internet Explorer TUTO scan en ligne Kaspersky: http://www.vista-xp.fr/forum/topic109.html Fais un scan en ligne Kaspersky Clique sur Accept Patiente le temps d'installation du Webscanner. Les bases de mises à jour vont s'installer, patiente un moment Clique sur Next. Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport. Copie/colle la totalité du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier. Colle ce rapport dans ta réponse sur le forum. Reçois tu encore des alertes d'Antivir ?

La suite >> Ouvre le dossier OTScanIt2 et fais un double clic sur OTScanIt2.exe pour lancer le programme (si tu es sous Windows Vista, fais un clic droit sur le programme et choisis Exécuter en tant qu'Administrateur). Fais un copier/coller des informations de la zone Code ci-dessous (ne copie pas le mot CODE!) dans la zone de saisie intitulée "Paste fix here" puis clique sur le bouton Run Fix => [Kill Explorer] [Unregister Dlls] [Registry - Safe List] < Run [HKEY_LOCAL_MACHINE\] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run YN -> "" -> [] YN -> "EoEngine" -> [] YN -> "QlbCtrl.exe" -> ["C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" /Start] YN -> "rs32net" -> %SystemRoot%\System32\rs32net.exe [C:\Windows\System32\rs32net.exe] < RunOnce [HKEY_LOCAL_MACHINE\] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce YN -> "SoftwareHelper" -> %SystemDrive%\Utilisateurs\Izzo\AppData\Roaming\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe [C:\Users\Izzo\AppData\Roaming\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe -runonce] [Files/Folders - Created Within 90 Days] NY -> TDSScrrx.dll -> %SystemRoot%\System32\TDSScrrx.dll [Files/Folders - Modified Within 90 Days] NY -> TDSScrrx.dll -> %SystemRoot%\System32\TDSScrrx.dll [Custom Items] :reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv.sys] :files C:\Windows\system32\drivers\TDSSmbcb.sys C:\Windows\system32\TDSScrrx.dll C:\Windows\System32\drivers\TDSSmbcb.VIR C:\Users\Izzo\AppData\Local\Temp\TDSSea00.tmp :end [Empty Temp Folders] [Start Explorer] L'exécution devrait être très rapide. Un redémarrage est peut être nécessaire: clique sur le bouton "Yes" pour faire redémarrer la machine si cela t'es proposé. Après ce redémarrage, OTScanIt2 va finir de déplacer les fichiers qui ne pouvaient pas l'être précédemment, puis le Bloc-notes va s'ouvrir et afficher à ce moment-là les résultats finaux. Envoie-moi ces informations en réponse.

ok: je te prépare un script à exécuter .....

ok: tu vas essayer ceci stp >> Clique sur le bouton Démarrer. Clique sur l'option de menu Paramètres. Clique sur l'option Panneau de configuration. Après l'ouverture du Panneau de configuration, fais un double clic sur l'icône Connexions réseau. Si ton Panneau de configuration est paramétré pour un affichage en catégories, fais un double clic sur Connexions réseau et Internet puis clique sur Connexions réseau tout en bas. Tu verras alors une liste de toutes les connexions réseau disponibles. Repère la connexion Réseau local (ou Sans fil si tu es en Wifi) et fais un clic droit dessus. Tu verras alors un menu similaire à celui de l'image ci-dessous. Clique simplement sur l'option de menu Réparer. merci Falkra!

re! Ok on va procéder autrement: Télécharge OTScanIt2.exe sur le Bureau, et fais un double clic dessus pour extraire les fichiers. Un dossier nommé OTScanIt va se créer sur le Bureau. Notes : -Si pendant le téléchargement et/ou l’installation tu reçois une alerte de ton antivirus, ignore-là. Certains composants de OTscanIT2 peuvent être détectés comme un virus par certains antivirus. Pense aussi à désactiver tes protections résidentes durant la procédure. -Tu dois avoir ouvert une session avec un compte ayant les droits Administrateur pour exécuter ce programme. Ouvre le dossier OTScanIt2 et fais un double clic sur OTScanIt2.exe pour lancer le programme Sous "File Age" en haut, clique sur le menu déroulant et sélectionne "90 days". Sous "Additional Scans" clique sur le bouton "Extras" puis coche la case située devant les éléments suivants afin de les sélectionner : Reg - ColumnHandlers, Reg - Desktop Components, Reg - Disabled MS Config Items, Reg - NetSvcs, Reg - Session Manager Settings, Reg - Shell Spawning, Reg - Tcpip Persistent Routes Sous "Rootkit search", sélectionne "Yes". Ensuite, coche la case Scan All Users puis clique sur le bouton Run Scan dans la barre d'outils. Laisse le programme tourner sans intervenir. Lorsque l'analyse est terminée le Bloc-notes va s'ouvrir pour afficher le fichier rapport. Clique sur le menu Format et vérifie que Retour automatique à la ligne n'est pas coché. S'il l'est, clique dessus afin de le décocher. Poste le rapport obtenu dans ta prochaine réponse. Le rapport risque d'être long: tu peux le faire héberger ici >> http://www.cijoint.fr/ Enregistre le rapport sur le Bureau pour le retrouver, reviens sur la page internet (cijoint) et clique sur le bouton Parcourir=> une fenêtre s'ouvre qui va te permettre de naviguer sur ton disque dur : recherche le rapport sur le Bureau (il se nomme OTScanIt.Txt) puis clique sur le bouton "ouvrir" en bas de la fenêtre. Pour expédier le fichier il faut ensuite cliquer sur le bouton Cliquez ici pour déposer le fichier Une fois ceci fait, un lien va s'afficher en bas de page: ca ressemble à ça >> donne ce lien dans ta prochaine réponse stp

re! Le pc infecté ne peux plus se connecter, c'est ca ? Comment est il connecté au net ? par Wifi ? en ethernet ?

salut Ok c'est rassurant Je dois savoir ce que tu peux faire exactement: Tente d'utiliser l'outil de restauration système intégré à Windows pour restaurer le pc à un état antérieur à l'apparition des problèmes. C'est en images ici >> http://www.infoprat.net/astuces/windows2k_.../divers_004.php Si tu ne parviens pas à accéder à la restauration, tu peux tenter la restauration à partir d'une invite de commandes comme montré ici >> http://www.libellules.ch/dotclear/index.ph...te-de-commandes Si jamais les points de restauration sont absents, ce qui peut arriver si un des malwares à désactivé la restauration, on utilisera l'outil de Restauration intégré à ComboFix. Dis moi ce qu'il en est

salut MBAM est confronté à un rootkit qu'il a du mal à supprimer. On va procéder comme ceci >> 1°) Met Antivir à jour. 2°) Redémarre le PC, impérativement en mode sans échec. Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement. Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuie sur la touche [Entrée]. Choisis ton compte usuel, et non Administrateur. 3°) Scan du pc avec Antivir Double-clique sur son icône près de l'horloge, cela ouvre l'interface principale, puis clique sur "Scan system now" à droite de "Last complete system scan". /!\ Cela peut être long. Sauvegarde le rapport en fin de parcours (bouton "Report"). Si Antivir détecte des fichiers infectés, mets les en quarantaine (choisis "Move to quarantine" dans la liste des actions. Tu peux automatiser ce type d'action en cochant une case), comme ci dessous : Cela permet de ne pas rester à la surveiller. Poste le rapport obtenu stp.

salut Etrange ce message d'erreur de la part de ComboFix Celui ci fonctionne très bien sur Windows XP! Ok: laisse tomber ComboFix pour le moment: on va tenter ceci >> 1°) Un petit scan supplémentaire avec un programme que tu vas pouvoir conserver: si tu le possède déjà, passe l'étape de l'installation et va directement à la mise à jour >> Télécharge Malwarebytes' Anti-Malware (MBAM) Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen complêt" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. 2°) Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit poste les deux rapports stp.

salut Je suis désolé tiklenbibi Le pc est lourdement infecté et malheureusement des fichiers importants de Windows ont peut être été corrompus ou supprimés par les malwares ! On peux essayer de récupérer cette erreur: est ce qu'il y a un message qui s'affiche quand tu tentes de démarrer Windows ? un message disant qu'un fichier est manquant ? si oui, peux tu reproduire ici le message d'erreur ? Est ce que tu possèdes le cd de Windows ?

salut Merci @ QC001 pour avoir pris le relai astarot, une bonne nouvelle: les fichiers incriminés ont tous été supprimés par OtMoveIT3 Pour ce qui est de ta clé usb, les manipulations qu'on a faites avec ComboFix puis OtMoveIT3 n'ont rien effacé sur ta clé usb. En plus des recommendations de QC001, je te demanderais ceci: est ce que tu peux as la possibilité d'accéder à un autre pc ? peux tu tenter de brancher cette clé et me dire si tu peux y accéder ? Attention: si tu parviens à brancher cette clé sur un autre pc, ne double clique pas sur l'icône de la clé pour l'ouvrir!! La clé contient peut être une infection et elle se propagerait alors sur le pc sain!! Pour l'ouvrir, fais un clic avec le bouton droit de la souris sur l'icône de la clé et choisis "Explorer". Dis moi si tu retrouves tes données. On va supprimer à présent les entrées de registre responsables de l'affichage de ces multiples fenêtres au démarrage de Windows >> Rend toi sur cette page afin de télécharger le fichier CFScript > http://senduit.com/674262 Patiente une seconde: le téléchargement va se lancer automatiquement. Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt Note: Le script proposé est adapté au cas de astarot : Vous ne devez en aucun cas l'utiliser sur votre pc!

laisse le finir son travail et une fois qu'il aura terminé, une fenêtre s'ouvrira peut être pour t'avertir que le pc doit être redémarré pour pouvoir terminer la suppression: si c'est le cas, clique simplement sur le bouton Yes Sinon, tu pourras fermer le programme et poster le rapport comme indiqué. Je te lirai demain

je ne comprends pas? est ce que tu vois le résultat s'afficher dans le panneau de droite ? y a t'il eu redémarrage ? poste le résultat du rapport C:\_OTMoveIt\MovedFiles\********_******.log si tu trouves comme indiqué plus haut

un grand merci pour l'aide QC001 astarot, je vais te faire utiliser un autre outil, mais c'est rapide >> Télécharge OTMoveIt3 par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :files c:\users\GONZALO\AppData\Roaming\*.mat c:\users\GONZALO\avDYGc.exe c:\users\GONZALO\CjFmjyc.exe Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste Instructions for Items to be Moved" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Le rapport va certainement être très long!! aussi procède comme ceci pour le poster >> Rend toi ensuite sur cette page > http://senduit.com/ Clique sur le bouton "Parcourir": une fenêtre s'ouvre=> navigue dans le disque dur jusqu'au dossier >> C:\_OTMoveIt\MovedFiles et repère un fichier qui porte la date d'aujourd'hui (type 02052009_033351.log) Clique maintenant sur "ouvrir" en bas de la fenêtre. De retour sur la page du site, clique sur la flêche à droite de "Expire in" et sélectionne 1 day Clique enfin sur le bouton Upload. Le lien d'upload va s'afficher en bas de page: envoie le moi stp

à mon avis, évite de surfer avec le pc car il est vulnérable! il ne faudrait pas qu'il se réinfecte... le script va vraiment être long à faire, aussi je tente de trouver une méthode alternative! Il est possible que tu ne soit plus là lorsque je répondrais! aussi si c'est le cas, tu auras une réponse demain en fin de matinée

astarot, le script que je vais te faire risque de prendre du temps car il faut que je saisisse tout manuellement!! si tu dois quitter, je te laisserai les instructions en attendant, n'utilise pas ce pc pour surfer tant qu'il n'est pas clean!

Désolé pour l'autre topic, mais la longueur des rapports semble poser problème au forum! je te poste un procédure dans quelques minutes

ok, on va continuer comme ceci stp >> Télécharge ComboFix Assure toi que tous les programmes sont fermés avant de lancer le fix! Fait un double clique sur combofix.exe. Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide ! Tape sur la touche Y (Yes) pour démarrer le scan. Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message. Si le rapport est trop long, poste le en deux fois. Si tu ne vois pas le rapport, tu le trouveras ici > C:\ComboFix.txt Edit: le programme devra peut être redémarrer la machine: laisse le faire.

Désolé! j'aimerai que tu relances RSIT.exe qui est sur le Bureau. Un seul rapport sera produit cette fois ci: il s'affichera à la fin du scan et se nomme log.txt. Ca va me permettre de voir ce qu'il reste à virer

ok MBAM a fait du nettoyage!! Poste un nouveau rapport hijackthis stp.

Oui, il est préférable de fermer ton navigateur le temps de faire les suppressions.

salut et bienvenue Quelques liens pour t'aider à commencer : Comment participer à un forum retrouver ses messages et activer la notification par email On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement Télécharge ComboFix Assure toi que tous les programmes sont fermés avant de lancer le fix! Fait un double clique sur combofix.exe. Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide ! Tape sur la touche Y (Yes) pour démarrer le scan. Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message. Si le rapport est trop long, poste le en deux fois. Si tu ne vois pas le rapport, tu le trouveras ici > C:\ComboFix.txt

Oui, le scan peut prendre du temps mais c'est nécéssaire poste le rapport dès que tu peux.

ok merci pour la suite! Effectue le scan avec MBAM comme indiqué: ca va nettoyer les infections. Il y aura peut être quelques manipulations supplémentaires à faire si le programme ne parvient pas à désinfecter

C'est une précaution Le rapport ne montre pas d'infection via support amovibles, mais elles sont très courantes de nos jours! c'est devenu un des moyens de propagation préférés....! Le rapport log.txt n'est pas complêt au fait! il manque les lignes qui viennent après ceci >>