Thanos

salut @ vous deux Rogerval, je sais que c'est un peu difficile, mais on doit pouvoir t'en débarrasser: il y a déjà du mieux Si tu n'as pas encore formaté, effectue ceci > Je ne pense pas me tromper si je dis que tu as oublié de cliquer sur le bouton Remove Vundo ? d'après le rapport, tu as du cliquer sur le bouton Scan for Vundo Juste pour bien comprendre ce qui s'est passé: normalement après avoir fait glisser le fichier vundofix.vft dans la fenêtre de VundoFix, tu as dû voir une liste de fichiers s'afficher dans la fenetre: est ce le cas ? Est ce que tu veux bien redémarrer cette partie stp ? N'oublie pas de cliquer sur le bouton Remove Vundo une fois que tu as fait glisser le fichier vundofix.vft dans la fenêtre de VundoFix> Allez courage apès, on fera des manips qui ont donné un bon résultat pour cette variante de Vundo

salut La suite des manips avec l'UAC toujours désactivé > 1) Faire un clic sur le logo vista (Orbe) > Tous les programmes > Invite de commandes > dans la boite de dialogue qui s'ouvre, copie/colle les instructions en gras: sc stop DomainService => clique sur [entrée] Un message t'avertis du succès de l'opération puis sc delete DomainService=> clique sur [entrée] Quitte l'invite de commandes. 2) Démarre Hijackthis,clique sur "Do a system scan only", et coche les lignes suivantes : O2 - BHO: (no name) - {0BE8F526-8E56-4C66-9755-6FD3986EA374} - C:\Users\Roger\AppData\Local\Temp\hggfc.dll O2 - BHO: {82dc8660-e59c-97f9-dec4-22f6d949c4c8} - {8c4c949d-6f22-4ced-9f79-c95e0668cd28} - C:\Windows\system32\qakghjuk.dll O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\Windows\system32\gmdqcctp.dll O2 - BHO: (no name) - {DD1A34F1-B8D4-4A0F-89FA-49B9073BF4F4} - C:\Users\Roger\AppData\Local\Temp\hggfc.dll O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\Windows\system32\gmdqcctp.dll O4 - HKLM\..\Run: [42efb70d] rundll32.exe "C:\Windows\system32\pgnjkwaw.dll",b O20 - AppInit_DLLs: C:\Windows\system32\__c00EE4FE.dat O20 - Winlogon Notify: gmdqcctp - C:\Windows\SYSTEM32\gmdqcctp.dll -Ferme tous les programmes et clique sur "Fix Checked" 3) Stp rend toi sur cette page afin de télécharger le fichier rem.reg sur ton bureau > http://www.sendspace.com/file/ooalxx pour cela, clique sur le lien en bas de page > Download Link: rem.reg Double clique dessus afin de l'exécuter > tu vas reçevoir un message te demandant si tu acceptes la fusion avec le registre : accepte. 4) Stp rend toi sur cette page afin de télécharger le fichier vundofix.vft > http://www.sendspace.com/file/8qmfu2 pour cela, clique sur le lien en bas de page > Download Link: vundofix.vft > Télécharge le sur ton bureau. Ferme tous les programmes ouverts. Double-clique sur le fichier VundoFix.exe pour l'ouvrir Fais un glisser/déposer du fichier vundofix.vft dans la fenêtre blanche de VundoFix Clique ensuite sur le bouton "Remove Vundo" Tu vas reçevoir un message te demandant si tu veux éliminer les fichiers: clique sur Yes Une fois ceci fait, ton bureau va disparaitre le temps que VundoFix fasse son travail Une fois le scan terminé, tu reçevras un message te disant que le pc va redémarrer: clique sur OK Poste le contenu du fichier C:\vundofix.txt ainsi que le rapport d'un nouveau scan avec Deckard's System Scanner. Courage

Ok, allons y 1) On va télécharger un fichier et un programme > Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/xwiu9y pour cela, clique sur le lien en bas de page > Download Link: CFScript Télécharge VundoFix.exe (par Atribune) sur ton Bureau. Ne l'utilise pas maintenant. 2) Si tu as fermé le programme Gmer, relance le et une fois de plus, clique sur le bouton Scan Une fois le scan terminé, dans le panneau de gauche, tu vas voir quelque chose de similaire à ceci > Fais un clic droit sur cette ligne et sélectionne 'Restore Code' Une fois ceci fait, ferme GMER.exe Note: si tu ne trouves pas cette ligne passe à l'étape suivante. 3) On va utiliser ComboFix comme précédemment > Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt 4) On va utiliser VundoFix à présent > Double-clique VundoFix.exe afin de le lancer Clique sur le bouton Scan for Vundo Lorsque le scan est complété, clique sur le bouton Remove Vundo Une invite te demandera si tu veux supprimer les fichiers, clique YES Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo". Poste stp les rapports suivants > - le rapport de ComboFix - le rapport de VundoFix. A noter qu'il y a deux antivirus sur ton pc : il faut impérativement en désinstaller un car le risque de plantage est réel: tu dois choisir entre Antivir et McAfee VirusScan Enterprise. courage

Oui, c'est le méchant! je te laisse car je dois partir! je vois QC001 qui poste Je te lirai et te répondrais...cette nuit!

salut Rogerval Je ne t'oublie pas! je repasse pour te poster une procédure

ne poste pas le rapport karo02 ! regarde juste si tu vois quelque chose qui ressemble à ca dans le panneau de gauche > Code \SystemRoot\system32\drivers\fdfgugcg.dat ObOpenObjectByName

et si tu réduis d'abord la fenêtre et que tu sélectionnes le bord (le coin) de la fenêtre avec la souris > agrandis la comme ca et tente d'accéder au bouton copy (qui se trouve bien sous scan)

salut Non ce n'est pas mon métier mais une passion Dis moi: est ce que tu as la possibilité de passer par un autre pc afin de télécharger les outils nécéssaires ? L'idéal serait de déconnecter le pc infecté d'internet (débrancher le cable!) et d'utiliser un clé usb afn de télécharger les programmes depui un pc sain. Quel est le problème rencontré ? Est ce que tu reçois un message d'erreur ?

Oui c'est vrai qu'en mode sans échec, il y a souvent un problème d'affichage et il faut donc redimensionner la fenêtre : bien vu Edit: karo02 , je pars bosser à présent!! poste le rapport stp et je te répondrais...cette nuit lol! (pendant la pause!) @ + tard et dis moi si le scan t'a posé problème

salut @ vous deux He bien vous avez nettoyé l'infection qui affichait ces pubs, donc c'est tout bon Un petit scan supplémentaire pour voir si tout va bien > Télécharge Deckard's System Scanner (DSS) sur ton bureau. Tu dois possèder les droits administrateurs pour le lancer. Ferme toutes les applications en cours (fenêtres internet etc...) Double-clique sur dss.exe et clique sur ok au message qui s'affiche. Lorsque le scan est terminé, deux fichiers texte vont s'ouvrir. Poste le contenu du rapport nommé main.txt Si tu ne vois pas le rapport, tu le trouvera dans le dossier suivant > C:\Deckard\System Scanner @++

salut Tu as bien fait de reposter les rapports Il y a un élément à vérifier > De la même manière que précédemment, désactive le Teatimer de SS&D 1) Démarre Hijackthis,clique sur "Do a system scan only", et coche les lignes suivantes : O4 - HKCU\..\Run: [host32disc] C:\WINDOWS\System32\data.exe -Ferme tous les programmes et clique sur "Fix Checked" 2) Rend toi à cette adresse => http://www.virustotal.com/ Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier data.exe que tu trouveras en allant dans le dossier C:\WINDOWS\System32 Tu cliques une fois sur le fichier data.exe (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse . Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser) Il est possible que ce fichier soit caché et que tu ne le vois pas : si c'est le cas, fais au préalable > @+

C'est pas le bon rapport désolé Est ce que tu peux réessayer ? comme ceci > Lorsque tu double-cliques sur le fichier Gmer.exe, tu dois voir en bas à droite de la page qui s'affiche, un bouton Scan > un scan doit se lancer > lorsque le scan est terminé, clique sur "copy" > poste le rapport. Ne fais pas attention aux autres options dans les onglets.

salut Pas grave si tu n'est pas rapide: le principal c'est que tu as fait les bonnes manips Le spyware a été éliminé, tu ne dois donc plus avoir de pubs intempestives lors de tes surfs. A présent on va éliminer ce que Panda a découvert > 1) -Télécharge OTMoveIt (par OldTimer). Sauvegarde-le sur ton Bureau. Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") : C:\WINDOWS\msavsc.dll C:\WINDOWS\msfw.dll C:\Program Files\Microsoft Security Adviser\msfw.exe C:\Program Files\Microsoft Security Adviser\msiemon.exe C:\Program Files\Microsoft Security Adviser Double-clique sur OTMoveIt.exe afin de lancer le programme. Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée Fais un Clique-droit sur le cadre de gauche puis choisis Coller. Clique à présent sur le bouton "MoveIt!". Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\ Le nom du rapport est la date de sa création. 2) Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php Ne lance que l'option 1 et poste le rapport stp. Notes: lors du scan, une fenêtre "Sysinternals Software Licence Terms" va s'ouvrir > clique sur Agree Tu va certainement reçevoir une alerte du parefeu te demandant si tu acceptes que le processus sigcheck.exe puisse se connecter à internet > accepte. A la fin du scan tu sera dirigé vers la page de l'auteur afin d'expédier le fichier c:\upload_moi_xxxxx.zip Envoie le fichier stp : si tu reçois un message d'erreur ferme simplement la page internet et clique sur la touche [Enter] pour obtenir le rapport. S'il ne s'affiche pas, tu le trouvera dans le répertoire C:\ > il se nomme resultat.txt Poste stp les rapports suivants > - le rapport de OtMoveIt - le rapport DiagHelp @++

salut Si, je te confirme : l'infection a bien été éliminée > Normalement tu dois avoir accès au mode sans échec à présent : tu confirmes ? On va faire un scan en ligne à présent > Fais un scan en ligne avec Panda > http://www.nanoscan.com/as/v1/principal.aspx?Lang=en En images ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054 Il faut choisir Full Scan (et pas QuickScan) > Poste le rapport qu'il t'affichera à la fin. Note 1: Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast avant de commencer ce scan > tu le réactiveras à la fin après avoir sauvegardé le rapport. Pour cela, clique sur le bouton "Pause" avant de commencer le scan > Note 2: Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index Si ca ne fonctionne pas,assure toi que Internet Explorer est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 . Plus d'infos ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054 @++

Salut Désolé pour l'attente! On laisse de côté la procédure de pré-désinfection pour le moment car elle n'arrangerait rien Voici la suite > Télécharge gmer : http://www.gmer.net/gmer.zip Déconnecte toi d'internet si possible et ferme tous les programmes. Décompresse le fichier zip et double-clic sur gmer.exe Clic sur l'onglet "rootkit" et clic sur Scan Lorsque le scan est terminé, clic sur "copy" Ouvre le bloc-note et clic sur le Menu Edition / Coller Le rapport doit alors apparaître. Enregistre le fichier sur ton bureau et copie/colle le contenu ici. A ca on s'attaque au responsable

ok je vois de quoi il s'agit : ton pc est infecté par Baggle : ce qui explique entre autre le fait que tu n'ais plus accès au mode sans échec. La marche à suivre > * Télécharge ELIBAGLA en bas de cette page > http://www.zonavirus.com/datos/descargas/95/elibagla.asp Clique sur le bouton Descargar Elibagla 10.73 cela va télécharger le fichier, place le sur le bureau. Double-clique dessus pour l'ouvrir. Assure-toi que dans le menu déroulant Unidad, tu aies bien C:\ Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée. Clique sur le bouton Explorar pour lancer l'analyse. Poste le rapport ELIBAGLA stp.Si tu ne le vois pas, il se trouve ici > C:\InfoSat.txt Poste un nouveau rapport hijackthis.

salut Tout d'abord, désactive le bouclier d'Antivir le temps du scan. (Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Antivir Guard enable> le parapluie rouge doit être plié après ca > réactive le en fin de scan après avoir sauvegardé le rapport) Télécharge VundoFix.exe (par Atribune) sur ton Bureau. Double-clique VundoFix.exe afin de le lancer Clique sur le bouton Scan for Vundo Lorsque le scan est complété, clique sur le bouton Remove Vundo Une invite te demandera si tu veux supprimer les fichiers, clique YES Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo" Stp lorsque tu postes le rapport hijackthis après avoir effectué la manip avec VundoFix, poste le d'un seul bloc (sans espace entre les lignes) : c'est plus facile à lire

Désolé pour le mode sans échec, j'avais lu un peu vite! ok pour le rapport Hijackthis qui ne montre rien de particulier. En attente du rapport DiagHelp pour en voir plus.

salut Il va falloir faire gaffe aux programmes que tu télécharges jkojo.... ne jamais ouvrir directement une pièce jointe ou un programme dont la provenance n'est pas sûre! Faire scanner par l'antivirus d'abord, ou faire analyser le fichier en ligne > http://www.virustotal.com/fr/ Si tu as encore le fichier infectieux, met le de côté car j'aimerai y jetter un oeil stp. As tu accès au mode sans échec ? ou mieux, au mode sans échec avec prise en charge du réseau ? Voilà ce que tu peux faire stp : télécharge les deux programmes pui redémarre en mode sans échec et utilise les comme indiqué. Si tu as du mal à les télécharger en mode normal, passe par le mode sans échec avec prise en charge du réseau pour pouvoir les télécharger. 1) Clique ICI pour télécharger le fichier d'installation d'HijackThis : Enregistre HJTInstall.exe sur ton bureau Double-clique sur HJTInstall.exe pour lancer le programme Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis Accepte la license en cliquant sur le bouton "I Accept" Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement Tutoriel > > http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm 2) Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php Ne lance que l'option 1 et poste le rapport stp. Notes: lors du scan, une fenêtre "Sysinternals Software Licence Terms" va s'ouvrir > clique sur Agree Tu va certainement reçevoir une alerte du parefeu te demandant si tu acceptes que le processus sigcheck.exe puisse se connecter à internet > accepte. A la fin du scan tu sera dirigé vers la page de l'auteur afin d'expédier le fichier c:\upload_moi_xxxxx.zip Envoie le fichier stp : si tu reçois un message d'erreur ferme simplement la page internet et clique sur la touche [Enter] pour obtenir le rapport. S'il ne s'affiche pas, tu le trouvera dans le répertoire C:\ > il se nomme resultat.txt

salut Ne t'inquiêtes pas, on va effectuer une procédure (pas compliquée) qui devait t'en débarrasser. Je te poste ca sous peu Quand à savoir ou tu as chopé ces infections, il faudra certainement voir au niveau des téléchargements faits avant l'apparition de ces problèmes ou des sites visités.

re! Ok, comme je t'ai dit, l'infection est quelque peu collante...continue comme ceci stp > Avec l'UAC toujours désactivé, utilise le programme suivant > Télécharge Deckard's System Scanner (DSS) sur ton bureau. Tu dois possèder les droits administrateurs pour le lancer. Ferme toutes les applications en cours (fenêtres internet etc...) Double-clique sur dss.exe et clique sur ok au message qui s'affiche. Lorsque le scan est terminé, deux fichiers texte vont s'ouvrir. Poste le contenu du rapport nommé main.txt Si tu ne vois pas le rapport, tu le trouvera dans le dossier suivant > C:\Deckard\System Scanner

salut Le pc est encore infecté Rogerval ! en fait la première étape consistait à te débarrasser du vers MSN > ce qui est fait. Pour ce qui est de la seconde infection, je cherche un moyen d'éradication car il y a peu de programmes de désinfection qui fonctionnent sous Vista... (celui qui s'en occupe n'est pas compatible!) Tu peux passer AVG Antispyware comme te le suggère TheGhostRider, mais je ne vraiment pas sûr qu'il viendra à bout de cette infection (sans vouloir être alarmiste!) Je recherche quelques infos et te les poste : n'oublie pas de copier/coller ici le résultat du scan avec AVG stp

salut Oui je bosse de nuit en fait! et là je rentre du boulot lol! Bon, je te laisserai une procédure cette après midi : c'est un cas un peu compliqué car le pc est instable, mais j'espère qu'on va faire la peau à ce malware @ toute @ l'heure....

Oui, si les pc sont en réseau, il serait plus prudent d'examiner le second! On verra ca après En attendant, l'idéal est de ne pas connecter ton pc infecté à internet tant qu'il n'est pas désinfecté! Il y a un malware qui résiste à la suppression ! je vais te préparer une procédure pour cela. Je ne pense pas pouvoir te la poster de suite car je vais partir bosser! Je te poste ca dès que possible N'oublie pas > ne connecte pas le pc infecté pour éviter que ca n'empire. Qu'en est il des écrans bleus ? @+ tard

salut Les deux rapports postés ne montre plus rien d'infectieux Il faut télécharger et installer la dernière version de Java qui corrige des failles de sécurité! Passe par cette page > http://java.com/fr/download/ Installe Java Runtime Environment Version 6 Update 3 lorsque tu installes la mise à jour, on va te proposer d'installer la Google Toolbar ou/et Google Desktop ! à toi de voir : si tu n'en veux pas, décoche les cases avant de cliquer sur "suivant". Passe par Ajouter/Supprimer des Programmes et désinstalle > J2SE Runtime Environment 5.0 Update 11 Java 2 Runtime Environment, SE v1.4.2_05 Java™ 6 Update 2 Java™ SE Runtime Environment 6 Update 1 Tu fais bien d'opter pour Antivir car il demeure le meilleur dans les antivirus gratos! je te conseille de lire ce comparatif très intéressant de MAlekal Morte afin de te faire une idée quant à l'efficacité de cet antivirus > http://forum.malekal.com/ftopic3528.php C'est une étude indépendante et sérieuse! Je ne saurais que te conseiller de désinstaller avast et d'installer Antivir afin de protéger ton pc au mieux. Personnellement je n'ai qu'Antivir et Zone Alarm et ca me suffit amplement. Ensuite, pour éviter de choper des bestiolles, il suffit de faire attention lorsqu'on surfe > pas de sites douteux:cracks, warez, etc Etre prudent vis à vis de la messagerie > fichiers joints aux messages doivent être scanné avant d'être ouvert ainsi que les fichiers téléchargés dont la provenance n'est pas sûre!! Comment fontionne ton pc ?