Thanos

salut Si l'erreur persiste il faudra peut être réinstaller CounterSpy. Ok à présent afin d'éliminer les programmes téléchargés, fais ceci > Elimine ComboFix.exe qui se trouve dans D:\telecharge\outils\antivundo et OtMoveIt.exe Elimine aussi le dossier > C:\Qoobox et C:\_OTMoveIt Non aucun outil n'a réactivé la restauration : je voulais juste savoir si tu avais bien, comme je te l'ai indiqué ci-dessus, désactivé puis réactivé la restauration afin de purger les points infectés ? Si ce n'est pas fait, fais le! Reçois tu encore des alertes ?

salut Si tu as codé aldumas.exe toi même laisse tomber l'analyse Tu disait ceci > Est ce toujours le cas ?

salut Mchel BACHOZ, laisse tomber les outils habituels (windows defender par ex) car ils ne nettoieront pas (voire pas du tout) correctement l'infection: on va utiliser ce programme pour nettoyer > Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. ***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.com/andymanchesta/SDFix.exe *** Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre ton ordinateur Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte. Déroule la liste des instructions ci-dessous : Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script. Appuie sur Y pour commencer le processus de nettoyage. Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. Appuie sur une touche pour redémarrer le PC. Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum. Après avoir fait ca, on va virer les restes via un script.

salut Je ne t'avais pas demandé de relancer ComboFix, mais dem e poster le précédent rapport : est ce que tu veux bien me poster le rapport C:\ComboFix2.txt Ceci dit, d'après le dernier rapport, ca semble être bon Fais un scan en ligne pour terminer et t'assurer que rien ne subsiste (prends le temps de le faire, on ne sait jamais!) > Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité Fais un scan en ligne Kaspersky Clique sur Accept Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X. clique une nouvelle fois sur "Accept" Les bases de mises à jour vont s'installer, patiente un moment Clique sur Next. Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport. Copie/colle la totalité du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier. Colle ce rapport dans ta réponse sur le forum. Aide en cas de problème :Cybersécurité NOTE: Le scan est à faire avec Internet Explorer.

salut Ok lance un scan en ligne avec Kaspersky puis poste le rapport: je te prépare un script pour nettoyer ce que je vois déjà. Edit: je vais attendre que tu postes le rapport, ca me permettra d'ajouter les fichiers infectés détectés au script que je te ferais (on fait d'une pierre deux coups!) @+ tard edit: salut zonk

salut @ vous deux Mchel BACHOZ, télécharge combofix.exe de sUBs Assure toi que tous les programmes sont fermés avant de lancer le fix! Fait un double clique sur combofix.exe. Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide ! Tape sur la touche 1 pour démarrer le scan. Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message. Si le rapport est trop long, poste le en deux fois.

salut Ok voilà l'alerte concernant TR/Drop.Delf.czz > Il s'agit d'un point de restauration infecté qu'Antivir a mis en quarantaine. Est ce que tu as bien désactivé puis réactivé la restauration système comme je te disait ? Peux tu poster le rapport de OtMoveIt ? >

re! Ok: stp poste moi le rapport parce qu'il faut que je voie le résultat! il est là > C:\ComboFix.txt C'est une infection du genre collante qui n'est pas toujours évidente à éliminer.

Voici la suite > 1) Passe par Démarrer > Panneau de Configuration > Ajouter/Supprimer des Programmes et désinstalle WhenUSave 2) Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/2z0iqp pour cela, clique sur le lien en bas de page > Download Link: CFScript Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt Je pars bosser: je te lirai toute à l'heure et te donnerais quelques explications

ok: je te prépare un script pour nettoyer ca

Ok c'est cool Désactive puis réactive la restauration système comme ceci car des points de restauration sont infectés! => aide visuelle Note très importante celou13!! > Tu sais comment tu as infecté le pc ? à cause de ceci...> Fais gaffe avec l'utilisation des cracks/keygens!! ce sont les principaux vecteurs d'infection! Pour t'en convaincre, lis ces deux topics très clairs: le premier est de Malekal et concerne les cracks => http://forum.malekal.com/viewtopic.php?f=33&t=893 le second de Tesgaz concerne le P2P en général => http://forum.zebulon.fr/index.php?showtopic=85544 Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/ Maintenant que tu sais, c'est à toi de voir... est ce que ca vaut le coup de risquer une grosse infection(et mettre tes données en peril)? La plupart des logiciels payants ont un équivalent en freeware. Stp, fais moi plaisir et lis les articles! la désinfection n'est pas une fin pour nous, l'important c'est de faire prendre conscience aux risque liés à l'utilisation de l'internet Stp, quand tu auras le temps(ca prend 5 minutes) et si tu veux bien> Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors n'hésite pas : - Voir les règles de Malware-Complaints - Enregistre toi sur le forum à partir du bouton register en haut : Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforu...e115fda8cee41a4 Si le malware que tu as eu n'apparaît pas dans la liste, pour toi il s'agit de Baggle, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10 Pour poster un message, clique sur le bouton "post reply" et complête les informations. Si tu as des questions ou des problèmes, n'hésite pas à me demander ici ou à contacter un des modérateurs du forum : Kimberly, AgnesD ou ipl_001. ps: n'hésite pas à témoigner sur Malware Complaints , ca fera réagir les dirigeants et permettra de rendre la toile plus sûre Est ce que tu veux poster un dernier rapport hijackthis pour voir ? Après ca et pour finir, on éliminera les outils téléchargés

salut celou13 Le rapport du scan est bon Mis à part des cookies il n'y a rien ! Est ce que tu as déjà retenté d'installer Kaspersky ? si ce n'est pas fait, réessaie à présent et dis moi si ca marche stp.

salut Ok on va faire autrement: tu disait plus haut que tu as utilisé ComboFix, mais tu n'as pas posté le bon rapport Le rapport se nomme ComboFix.txt et se trouve dans le répertoire C:\ > poste moi son contenu stp

salut Rien d'inqquiêtant! des cookies principalement. J'aimerai que tu fasses analyser deux fichiers stp > C:\Program Files\GameSpy Arcade\Services\_common\PortraitLoader.dll C:\aldumas.exe Rend toi à cette adresse => http://www.virustotal.com/ Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier PortraitLoader.dll que tu trouveras en allant dans le dossier C:\Program Files\GameSpy Arcade\Services\_common\ Tu cliques une fois sur le fichier PortraitLoader.dll (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse . Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser) Fais pareil avec l'autre. Il est possible que ce fichier soit caché (aldumas.exe) et que tu ne le vois pas : si c'est le cas, fais au préalable > Tu peux éliminer le dossier suivant > C:\Program Files\Navilog1

salut Le rapport que tu as posté est bon, dans le sens ou je m'attendais à voir plus de fichiers à éliminer Il y en a un qui a résisté à la suppression: on va faire ceci > 1) On réutilise OtMoveIt > Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") : C:\WINDOWS\System32\cvycqtogff.exe C:\qoobox.zip Double-clique sur OTMoveIt.exe afin de lancer le programme. Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée Fais un Clique-droit sur le cadre de gauche puis choisis Coller. Clique à présent sur le bouton "MoveIt!". Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\ Le nom du rapport est la date de sa création. 2) Info importante qu'il faut retenir pour ne pas retomber dans le piège (si c'est une autre personne qui a téléchargé le logiciel responsable de l'infection, communique lui l'info!!) > L'infection qui a pourri tes surfs se nomme Magic Control Agent : Cette infection est véhiculée par des logiciels qu'il faut fuir absolument!! en voici une liste non exhaustive pour ne pas tomber dans le piège à nouveau > go-astro GoRecord HotTVPlayer MailSkinner Messenger Skinner Instant Access InternetGameBox sudoplanet Webmediaplayer sauf celui provenant du site suivant > http://www.azertysite.new.fr/ D'une manière générale, méfie toi des utilitaires que tu télécharges!!Utilise Google pour voir si c'e n'est pas un logiciel qui installe un spyware : une simple recherche de quelques minutes te permettra de te faire une idée. Par exemple : fais une recherche sur MessengerSkinner et tu verras le nombre de discussion ou les gens se plaignent de publicité intempestives .... Plus d'infos sur le site de Malekal Morte dont les infos sont tirées > http://www.malekal.com/popupsintempestives.php Voilà une autre liste (chez Assiste.com) que tu peux consulter avant d'installer un antispyware si tu es amené à le faire : elle recense tout un tas de faux utilitaires qui n'ont aucune efficacité, et qui peuvent même être dangereux car pas fiables : http://assiste.com.free.fr/p/craptheque/craptheque.html D'autres apparaissent chaque jour(ou presque) ! aussi une recherche encore une fois avant d'installer quoique ce soit!!

Ok ca avance bien J'aurais besoin que tu postes ce rapport pour voir ce qu'il reste > Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php Ne lance que l'option 1 et poste le rapport stp. Notes: lors du scan, une fenêtre "Sysinternals Software Licence Terms" va s'ouvrir > clique sur Agree Tu va certainement reçevoir une alerte du parefeu te demandant si tu acceptes que le processus sigcheck.exe puisse se connecter à internet > accepte. A la fin du scan tu sera dirigé vers la page de l'auteur afin d'expédier le fichier c:\upload_moi_xxxxx.zip Envoie le fichier stp : si tu reçois un message d'erreur ferme simplement la page internet et clique sur la touche [Enter] pour obtenir le rapport. S'il ne s'affiche pas, tu le trouvera dans le répertoire C:\ > il se nomme resultat.txt Après ca on attaque les fichiers restants ! Je vais allez me coucher, je te lirai demain matin : en attendant, je te conseille fortement de ne pas connecter le pc à internet le temps de la désinfection. @ toute à l'heure

il y a un petit problème avec le script car il n'élimine pas les fichiers: on faire autrement > -Télécharge OTMoveIt (par OldTimer). Sauvegarde-le sur ton Bureau. Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") : C:\WINDOWS\system32\updater\explorer.exe C:\WINDOWS\system32\bnzwovmfab.exe C:\WINDOWS\system32\dqmbmnhjz.exe C:\WINDOWS\system32\muxkorp.exe C:\boot.inf C:\WINDOWS\system32\bqwfxf.exe C:\WINDOWS\system32\pqujgnbylw.ex_ C:\WINDOWS\system32\pqujgnbylw_nav.da_ C:\WINDOWS\system32\pqujgnbylw.da_ C:\WINDOWS\system32\pqujgnbylw_navps.da_ C:\WINDOWS\system32\eegriruaer_nav.da_ C:\WINDOWS\system32\eegriruaer.ex_ C:\WINDOWS\system32\eegriruaer.da_ C:\WINDOWS\system32\eegriruaer_navps.da_ C:\WINDOWS\system32\fgrcpi.exe C:\WINDOWS\system32\qhtkthd.exe C:\WINDOWS\system32\oarkvq.exe C:\WINDOWS\system32\xvtayjz.exe C:\WINDOWS\system32\iwxsyu.exe C:\WINDOWS\system32\sazliiw.exe C:\WINDOWS\system32\bwuggy.exe C:\WINDOWS\system32\ykcsii.exe C:\WINDOWS\system32\bogdfi.exe C:\WINDOWS\system32\uokvumydc.exe C:\WINDOWS\system32\ksjpsbseuk.exe C:\WINDOWS\system32\vuoijvw.exe C:\WINDOWS\system32\zcxrxpvtk.exe C:\WINDOWS\system32\aruhtozuk.exe C:\WINDOWS\system32\dgdaipd.exe C:\WINDOWS\system32\sgebfbwoq.exe C:\WINDOWS\system32\nnbock.exe C:\WINDOWS\system32\mbukol.exe C:\WINDOWS\system32\egjtpii.exe C:\WINDOWS\system32\mjvpqob.exe C:\WINDOWS\system32\rnapamdus.exe C:\WINDOWS\system32\edfyckga.exe C:\WINDOWS\system32\yqwthwh.exe C:\WINDOWS\system32\gmummljrr.exe C:\WINDOWS\system32\rxbgaehin.exe C:\WINDOWS\system32\cpilyu.exe C:\WINDOWS\system32\peksxiprk.exe C:\WINDOWS\system32\ultsslqfe.exe C:\WINDOWS\system32\gqognok.exe C:\WINDOWS\system32\brbhebb.exe C:\WINDOWS\system32\bvrnln.exe C:\WINDOWS\system32\gqaolkw.exe C:\WINDOWS\system32\tdlsyml.exe C:\WINDOWS\system32\lgameuwffl.exe C:\WINDOWS\system32\ylsbrou.exe C:\WINDOWS\system32\gjtmqo.exe C:\WINDOWS\system32\fmujxkup.exe C:\WINDOWS\system32\lndtxz.exe C:\WINDOWS\system32\ceyyaqhep.exe C:\WINDOWS\system32\wohmlbelje.exe C:\WINDOWS\system32\ilekpoa.exe C:\WINDOWS\WLXPGSS.SCR C:\WINDOWS\system32\cvycqtogff.exe C:\WINDOWS\system32\jgknxcjjlz.exe C:\WINDOWS\system32\nodrtqpreh.exe C:\WINDOWS\system32\sycwbo.exe C:\WINDOWS\system32\fyfkca.exe C:\WINDOWS\system32\opodbk.exe C:\WINDOWS\system32\gelfophzm.exe C:\WINDOWS\system32\dqhzch.exe C:\WINDOWS\system32\wiardvxlm.exe C:\WINDOWS\system32\fwsnup.exe C:\WINDOWS\system32\uaivtzqu.exe C:\WINDOWS\system32\hlhrbtk.exe C:\WINDOWS\system32\utjogngv.exe C:\WINDOWS\system32\uzflxqr.exe C:\WINDOWS\system32\nuszdxqs.exe C:\WINDOWS\system32\cllydt.exe C:\WINDOWS\system32\cmofyvzty.exe C:\WINDOWS\system32\ctxksbvbp.exe Double-clique sur OTMoveIt.exe afin de lancer le programme. Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée Fais un Clique-droit sur le cadre de gauche puis choisis Coller. Clique à présent sur le bouton "MoveIt!". Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\ Le nom du rapport est la date de sa création.

mthoms32, j'ai déjà posté la nouvelle adresse de téléchargement de CFScript un message plus haut, regarde

Ok on va continuer comme ceci (la même manip) > Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/b1u4ou pour cela, clique sur le lien en bas de page > Download Link: CFScript Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Bien joué Comme je te le disait, il reste encore pas mal de fichiers infectés, et il va falloir refaire un ou plusieurs scripts pour te débarrasser du reste. Je continue et te poste ca...

ok merci pour le lien!! stp à présent, édite ton message précédent et efface le lien, car il ne faut pas que d'autres puissent s'infecter! Pour cela, clique sur le bouton Editer / Edition Rapide > en bas de ton message > efface le lien > clique sur Terminer On a posté à peu près au même moment: exécute le script CFScript à présent

désolé je finissait le script ! il y a beaucoup de fichiers infectés et une seconde recherche sera nécéssaire. Quand je disait par MP, je veux dire de ne pas poster le lien ici à la vue de tous, mais en utilisant les Messages Personnels. Allons y pour la suppression des fichiers > Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/r6btqi pour cela, clique sur le lien en bas de page > Download Link: CFScript Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

ok: je vais te demander de faire ceci le temps que le prépare le script > Rend toi dans le répertoire C:\ et fais un clic doit sur ce dossier > Qoobox > dans le menu qui se déroule, choisis Envoyer vers > Dossiers Compressés > un nouveau fichier va apparaitre dans C:\ il se nomme Qoobox.zip Stp rend toi sur cette page afin d'héberger le fichier ici > http://www.sendspace.com Clique sur Parcourir pour chercher C:\Qoobox.zip . Une fois trouvé, sélectionne le puis clique sur le bouton Ouvrir. Coche la case "I have read and agree to the terms of service." Clique enfin sur le bouton Upload File . Une nouvelle fenêtre va s'ouvrir et te donner le lien d'upload : envoie le moi par MP stp

Passe par Ajouter/Supprimer des Programmes (Panneau de configuration) et désinstalle > Navilog1 Version 2.0.3 Fais un scan en ligne avec Panda > http://www.nanoscan.com/as/v1/principal.aspx?Lang=en En images ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054 Il faut choisir Full Scan (et pas QuickScan) Poste le rapport qu'il t'affichera à la fin. Note 1: Attention!! Panda et Antivir entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier d'Antivir le temps du scan. (Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Antivir Guard enable> réactive le en fin de scan après avoir sauvegardé le rapport) Note 2: Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index Si ca ne fonctionne pas,assure toi que Internet Explorer est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 Plus d'infos ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054

on va s'occuper de l'infection Magic Control Agent avec un programme dédié pour bien nettoyer > Télécharge navilog1 de IL-MAFIOSO Choisis Enregistrer la cible (du lien) sous et enregistre-le fichier sur ton bureau. Ensuite double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, le fix s'exécutera automatiquement. (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). Laisse-toi guider. Au menu principal, choisis 1 et valides. (ne fais pas le choix 2,3 ou 4 sans notre avis/accord) Patiente jusqu'au message : Appuie sur une touche comme demandé, le bloc note va s'ouvrir. Copie-colle l'intégralité dans une réponse. Referme le bloc note. Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)