Aller au contenu

Thanos

Membres
  • Compteur de contenus

    15 883
  • Inscription

  • Dernière visite

  • Jours gagnés

    4

Tout ce qui a été posté par Thanos

  1. ok encore un dernier script stp >> A télécharger ici => http://senduit.com/493c00 Fais glisser de la même manière et poste le rapport (juste le rapport ComboFix)
  2. Ok il y a encore quelques fichiers à réinstaller. On va utiliser un script comme ceci >> Désactive Antivir comme tu l'as fait précédemment. /!\ Note: Le code ci-dessous a été intentionnellement rédigé pour CET utilisateur. si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système./!\ Rends toi sur cette page afin de télécharger le fichier CFScript.txt sur ton Bureau >> http://senduit.com/c6d7de Le téléchargement va démarrer immédiatement. Fais un Glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix (sur ton Bureau) comme ici : Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide. Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! /!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. Une fois le scan achevé, un rapport va s'afficher : Poste son contenu (si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt ) , ainsi qu’un nouveau rapport HijackThis. /!\Ré-active la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\. Poste le rapport stp
  3. re! Ewee: désolé mais on va repasser un outil que tu as déjà utilisé plus tôt car certains fichiers ne devraient pas être là...>> 1°) Désactive tout d'abord Antivir afin qu'il n'interfère pas avec le scan de ComboFix. Pour cela, fais un clic avec le bouton droit de la souris sur l'icône d' Antivir en bas à droite et décoche Activer Antivir Guard >> le parapluie rouge doit être plié après ca. 2°) Utilisation de ComboFix. ATTENTION ComboFix est un outil dangereux s'il est mal utilisé, et est réservé exclusivement aux helpers formés à son utilisation: lecteurs, ne pas reproduire cette procédure sur votre machine! Ce script est spécifique à la machine traitée ici ! Conseil: lis cette procédure en intégralité avant de te lancer. Télécharge ComboFix de sUBs SUR TON BUREAU en cliquant sur cette image: ** IMPORTANT !!! Enregistre ComboFix.exe sur ton Bureau Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils Connecte tes clés USB et ton disque dur externe Fais un double clic sur combofix.exe & suis les invites. Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de t'aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage (ce qui est très rare!). Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela t' est demandé, accepte le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows. **Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles. Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, tu devrais voir le message suivant: Clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles. Lorsque l'outil aura terminé, il affichera un rapport. Copie le contenu de C:\ComboFix.txt dans ta prochaine réponse: Nota: il se peut que ComboFix endommage ta connection Internet: si tu ne peux plus te connecter après le scan de cet outil, redémarre ton PC. Si cela s'avère insuffisant, suis cette méthode: Clique sur le bouton Démarrer. Clique sur l'option de menu Paramètres. Clique sur l'option Panneau de configuration. Après l'ouverture du Panneau de configuration, fais un double clic sur l'icône Connexions réseau. Si ton Panneau de configuration est paramétré pour un affichage en catégories, fais un double clic sur Connexions réseau et Internet puis clique sur Connexions réseau tout en bas. Tu verras alors une liste de toutes les connexions réseau disponibles. Repère la connexion Réseau local (ou Sans fil si tu es en Wifi) et fais un clic droit dessus. Tu verras alors un menu similaire à celui de l'image ci-dessous. Clique simplement sur l'option de menu Réparer.
  4. cool Et Antivir ne voit plus d'infection ni de fichiers patchés. Aller, pour finir, un dernier rapport RSIT stp: j'y jetterai un oeil au boulot et te laisserai quelques conseils de ssécu pour finir
  5. ok! Je modifie mon précédent script entre temps pour y ajouter des clés de registre
  6. Bon on va utiliser OTM pour supprimer les fichiers liés à Zone Alarm. Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :first :files C:\WINDOWS\system32\xraidsetup.exe boot C:\WINDOWS\system32\vswmi.dll C:\WINDOWS\system32\vsmonapi.dll C:\WINDOWS\system32\ZoneLabs C:\Program Files\Zone Labs C:\WINDOWS\system32\vsxml.dll C:\WINDOWS\system32\vspubapi.dll C:\WINDOWS\system32\vsutil.dll C:\WINDOWS\system32\vsinit.dll C:\WINDOWS\system32\vsdata.dll C:\WINDOWS\Start Menu\Programs\ZoneLabs C:\WINDOWS\SYSTEM32\Vsdata95.vxd C:\WINDOWS\SYSTEM32\vsdatant.sys C:\WINDOWS\SYSTEM32\zllictbl.dat C:\WINDOWS\SYSTEM32\zlparser.dll C:\WINDOWS\SYSTEM32\ZoneLabs\Migrate.dll :reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Zone Labs] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\vsmon] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vsmon] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSDATANT] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VSDATANT] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VSMON] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VSMON] [-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\vsmon] [-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\vsdatant] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vsmon] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vsdatant] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZoneAlarm] [-HKEY_CURRENT_USER\Software\Zone Labs] :commands [emptytemp] [start explorer] Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée puis choisis Coller. Clique sur le bouton rouge Ferme OTM Poste dans ta prochaine réponse le rapport de OTM (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Redémarre ton pc et retente l'installation de Zone Alarm.
  7. salut Ok les fichiers semblent avoir la bonne version à présent. Quand tu peux, refais un scan avec Antivir: il ne devrait plus rien trouver. Je regarde pour cette erreur avec Zone alarm et te poste une procédure
  8. re! On a bien fait de passe Antivir à jour...l'infection a patché (infecté) un certain nombre de fichiers légitimes de Windows. On va utiliser un programme afin de restaurer une bonne version de ces fichiers >> WinFileReplace de Loup Blanc Télécharge WinFileReplace de Loup Blanc sur ton Bureau. Ferme tous les programmes et double-clique sur l'icône WinFileReplace sur ton Bureau. Appuie sur la touche F puis sur Entrée pour mettre le programme en Français. Le Bloc-Note (lst.txt) va s'ouvrir. Copie-colle dedans (sans le mot CITATION) : Ferme le Bloc-Note et enregistre les changements en cliquant sur "Oui" Sois patient, le service pack correspondant à ton système va être alors téléchargé. Cela peut prendre plusieurs minutes. Accepte le contrat d'utilisateur de Microsoft en cliquant sur le bouton "J'accepte" Confirme la restauration du/des fichiers en appuyant sur la touche O et Entrée Il va t'être demandé de redémarrer ton PC, pour cela, appuie sur la touche O puis sur Entrée. Au redémarrage du PC un rapport va s'ouvrir, sauvegarde le sur ton Bureau pour le retrouver facilement. ********** Très important: tu vois cette détection fait par Antivir Ewee ? >> Ce qui suit n'est pas pour faire la morale, mais vise plutôt à te faire prendre conscience des risques liés à l'utilisation des cracks/Keygen/serials et des logiciels P2P!! Pour t'en convaincre, lis ces topics très clairs: *Article de Malekal concernant les cracks => http://forum.malekal.com/viewtopic.php?f=33&t=893 *Article de Ogu sur les fausses idées concernant le peer to peer => (clique sur l'image). Les infections véhiculées pas le peer to peer sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/ Maintenant que tu sais, c'est à toi de voir... est ce que ca vaut le coup de risquer une grosse infection(et mettre tes données en peril)? La plupart des logiciels payants ont un équivalent en freeware. A des fins d'analyse de virus/malwares, nous téléchargeons de nombreux cracks: il se trouve que ce sont quasiment tous des malwares. Aussi fais vraiment attention car rien n'est vraiment gratuit sur la toile!
  9. salut Il faudra certainement qu'on mette ce topic dans le bon forum >> Hardware Pense à mettre tes programmes à jour khorr: Java™ 6 Update 13 sur ton pc. Mise à jour ici (v6 Update 16 )>> http://www.java.com/fr/download/ Tu peux supprimer les versions suivantes après ca: J2SE Runtime Environment 5.0 Update 10 / J2SE Runtime Environment 5.0 Update 6 / Java™ 6 Update 13 Adobe Reader 7.1.0 sur ton pc. Mise à jour ici (v9.2 )>> http://get.adobe.com/fr/reader/ Note à propos d'Adobe Reader: si tu utilises ce programme pour pouvoir visualiser des documents au format pdf, il y a bien plus léger!! Foxit Reader par ex >> http://telechargement.zebulon.fr/foxit-pdf-reader.html Attention à bien décocher les cases qui conseillent l'installation de Ask Toolbar et ebay si tu optes pour ce dernier, inutile de faire la mise à jour d'Adobe Reader (désinstalle le simplement) Mozilla Firefox (3.0.15) sur ton pc Dernière version en date, la 3.5.4. Télécharge et installe vite la dernière via le Menu "?" de Firefox => Rechercher des mises à jour. Ou depuis le site officiel => http://www.mozilla-europe.org/fr/firefox/ Sur ce pc il y a la version 6.00 d'Internet Explorer: une vraie passoire pleine de failles de sécurité!! même si tu n'utilises pas IE, il arrive qu'on soit obligé de le lancer. Il est nécéssaire de passer à la version 8 Installe le Service Pack 3 car il amène son lot de mises à jour importantes pour la stabilité et la sécurité du pc. Oublie Internet Explorer 6!! C'est une plaie au niveau de la sécurité! Installe IE8 Pour faire ces deux mises à jour importantes, soit tu passes par Windows Update, soit par le site de Microsoft >> http://www.update.microsoft.com/microsoftu...ault.aspx?ln=fr Ne fais pas l'impasse sur ces mises à jour car elle permettent de sécuriser ton pc. (c'est pour ca que j'insiste )
  10. Oui c'est important de poster le rapport Certains fichiers infectés reviennent parfois et il faut que je vois si c'est le cas ou pas et si Antivir est bien parvenu à supprimer les menaces. Laisse les fichiers en quarantaine: on ne la vide qu'en toute fin de désinfection. Tant qu'ils sont en quarantaine, ils sont inoffensifs
  11. Merci pour le fichier _OTM.rar: celui ci est bon ok on va terminer comme ceci >> Supprime le fichier _OTM.zip ainsi que le dossier _OTM.exe qui se trouvent tout deux dans le répertoire C:\ On va scanner de nouveau ton pc avec Antivir, mais après mise à jour cette fois ci puisque tu as accès à internet à présent (important car un antivirus qui n'est pas à jour va laisser passer des menaces). Procède ainsi >> Mets Antivir à jour et configure le en suivant les indications du Tutoriel vidéo d'angelique (les réglages sont identiques même si la la version décrite est en anglais). Fais un scan du pc avec Antivir comme ceci >> Double-clique sur son icône près de l'horloge: cela ouvre l'interface principale. Clique ensuite sur "Contrôler syst." à droite de "Dernier contrôle syst. intégral". /!\ Cela peut être long. Tu peux sauvegarder le rapport en fin de parcours (bouton "Rapport"). Si Antivir détecte des fichiers infectés, mets les en quarantaine: choisis "Déplacer en quarantaine" dans la liste des actions. Tu peux automatiser ce type d'action en cochant la case Appliquer la sélection à toutes les détections. Cela permet de ne pas rester à la surveiller. Ensuite met un vrai parefeu sur ce pc car celui intégré à Windows est une passoire! >> Je vois qu'il y a des restes de Zone Alarm sur le pc. Soit la désinstallation s'est mal passée, soit le programme a été détruit par un malware. On va tenter de nettoyer les restes proprement avant réinstallation: Si ca ne fonctionne pas comme ca, on utilisera un script avec OTM. Rends toi dans ce dossier >> C:\Program Files\Zone Labs\ZoneAlarm\ Repère le fichier nommé zauninst.exe Fais un double clic dessus et suis les informations qui s'affichent. Il va certainement falloir redémarrer le pc après ca. Une fois le pc redémarré, installe le parefeu de nouveau >> Zone Alarm (2 versions ) Lien de téléchargement de la version FREE : http://dl2.zonelabs.com/bin/free/3301_fr/z..._737_000_fr.exe Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za La version pro est payante après une période d'essai. Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1 Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php Ok pour le fichier is-RQG47.exe qui ne présente pas d'infection visiblement.
  12. ok c'est beaucoup mieux! Merci pour le fichier! je viens de vider ma boite: expédie moi le fichier _OTM.zip une fois ce qui suit fait stp. On continue comme ceci >> 1°) Démarre LSPFix Coche I know what I'm doing Clique sur Finish puis redémarre ton pc. Branche ta clé usb au pc avant de faire le scan qui suit >> 2°) Utilisation d'OTM Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :first :processes explorer.exe :Services tdidis32.sys appxyw5l :files C:\WINDOWS\system32\mcen.exe C:\WINDOWS\system32\tdidis32.sys C:\WINDOWS\system32\drivers\appxyw5l.sys C:\WINDOWS\system32\xraidsetup.exe boot C:\WINDOWS\system32\xraidsetup .exe C:\imt8.cmd C:\autorun.inf Q:\imt8.cmd Q:\autorun.inf |:\imt8.cmd |:\autorun.inf C:\WINDOWS\tasks\At1.job C:\WINDOWS\tasks\At10.job C:\WINDOWS\tasks\At11.job C:\WINDOWS\tasks\At12.job C:\WINDOWS\tasks\At13.job C:\WINDOWS\tasks\At14.job C:\WINDOWS\tasks\At15.job C:\WINDOWS\tasks\At16.job C:\WINDOWS\tasks\At17.job C:\WINDOWS\tasks\At18.job C:\WINDOWS\tasks\At19.job C:\WINDOWS\tasks\At2.job C:\WINDOWS\tasks\At20.job C:\WINDOWS\tasks\At21.job C:\WINDOWS\tasks\At22.job C:\WINDOWS\tasks\At23.job C:\WINDOWS\tasks\At24.job C:\WINDOWS\tasks\At3.job C:\WINDOWS\tasks\At4.job C:\WINDOWS\tasks\At5.job C:\WINDOWS\tasks\At6.job C:\WINDOWS\tasks\At7.job C:\WINDOWS\tasks\At8.job C:\WINDOWS\tasks\At9.job :reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cf1368ba-a43b-11de-ab58-001fd02192d2}] :commands [emptytemp] [start explorer] Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée puis choisis Coller. Clique sur le bouton rouge Ferme OTM Poste dans ta prochaine réponse le rapport de OTM (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Notes: -Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. -Le script proposé est adapté au cas de Ewee : Vous ne devez en aucun cas l'utiliser sur votre pc! Poste aussi un nouveau rapport RSIT stp (poste juste le rapport log.txt) ainsi que le rapport d'OTM. 3°) Le pc a redémarré: dis moi si tu parviens à te connecter à internet. Si c'est le cas, un autre fichier à faire analyser en ligne stp >> C:\WINDOWS\is-RQG47.exe (voir plus haut pour soumission au VirusTotal).
  13. 1°) Expédie moi le fichier suivant stp >> Rend toi sur cette page > http://www.senduit.com/ Clique sur le bouton "Parcourir" à droite de File: une fenêtre s'ouvre. Copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> C:\WINDOWS\system32\4ekjtruvvuoh.dll Clique maintenant sur "ouvrir" en bas de la fenêtre. A droite de Expire in, sélectionne 1 Day Clique enfin sur le bouton Upload. Une nouvelle fenêtre va s'ouvrir et te donner le lien d'upload : envoie le moi par MP stp 2°) Téléchargement des outils sur le Bureau. Télécharge LSPFix de Cexx.org sur ton bureau. Télécharge OTM par OldTimer et enregistre ce fichier sur le Bureau. Déconnecte ton pc d'internet physiquement après ca. 3°) Uilisation de LSPFix. Démarre LSPFix Coche I know what I'm doing Sélectionne toutes les instances de la dll suivante (clique dessus une fois) => 4ekjtruvvuoh.dll Clique ensuite sur le bouton en signe de ">>" afin de faire passer la dll du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove". Clique sur Finish puis redémarre ton pc. Note: ne touche pas aux autres Dlls! 4°) Utilisation d'OTM Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :first :processes explorer.exe :drivers tdidis32.sys appxyw5l :files C:\WINDOWS\system32\mcen.exe C:\WINDOWS\system32\4ekjtruvvuoh.dll C:\WINDOWS\system32\tdidis32.sys C:\WINDOWS\system32\drivers\appxyw5l.sys C:\WINDOWS\system32\xraidsetup.exe boot C:\WINDOWS\system32\xraidsetup .exe C:\WINDOWS\tasks\At1.job C:\WINDOWS\tasks\At10.job C:\WINDOWS\tasks\At11.job C:\WINDOWS\tasks\At12.job C:\WINDOWS\tasks\At13.job C:\WINDOWS\tasks\At14.job C:\WINDOWS\tasks\At15.job C:\WINDOWS\tasks\At16.job C:\WINDOWS\tasks\At17.job C:\WINDOWS\tasks\At18.job C:\WINDOWS\tasks\At19.job C:\WINDOWS\tasks\At2.job C:\WINDOWS\tasks\At20.job C:\WINDOWS\tasks\At21.job C:\WINDOWS\tasks\At22.job C:\WINDOWS\tasks\At23.job C:\WINDOWS\tasks\At24.job C:\WINDOWS\tasks\At3.job C:\WINDOWS\tasks\At4.job C:\WINDOWS\tasks\At5.job C:\WINDOWS\tasks\At6.job C:\WINDOWS\tasks\At7.job C:\WINDOWS\tasks\At8.job C:\WINDOWS\tasks\At9.job C:\Program Files\AskBarDis C:\ComboFix C:\Qoobox C:\WINDOWS\system32\WS2Fix.exe C:\WINDOWS\system32\VCCLSID.exe C:\WINDOWS\system32\VACFix.exe C:\WINDOWS\system32\swxcacls.exe C:\WINDOWS\system32\swsc.exe C:\WINDOWS\system32\swreg.exe C:\WINDOWS\system32\SrchSTS.exe C:\WINDOWS\system32\Process.exe C:\WINDOWS\system32\o4Patch.exe C:\WINDOWS\system32\IEDFix.exe C:\WINDOWS\system32\IEDFix.C.exe C:\WINDOWS\system32\dumphive.exe C:\WINDOWS\system32\Agent.OMZ.Fix.exe C:\WINDOWS\system32\404Fix.exe C:\WINDOWS\zip.exe C:\WINDOWS\SWXCACLS.exe C:\WINDOWS\SWSC.exe C:\WINDOWS\SWREG.exe C:\WINDOWS\sed.exe C:\WINDOWS\PEV.exe C:\WINDOWS\NIRCMD.exe C:\WINDOWS\MBR.exe C:\WINDOWS\grep.exe :reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{3041d03e-fd4b-44e0-b742-2d9b88305f98}"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "GEST"=- "mcen"=- [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tdidis32.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\WINDOWS\system32\mcen.exe"=- :commands [emptytemp] [start explorer] Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée puis choisis Coller. Clique sur le bouton rouge Ferme OTM Poste dans ta prochaine réponse le rapport de OTM (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Notes: -Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. -Le script proposé est adapté au cas de Ewee : Vous ne devez en aucun cas l'utiliser sur votre pc! Poste aussi un nouveau rapport RSIT stp (poste juste le rapport log.txt) ainsi que le rapport d'OTM. J'aimerai aussi que tu m'expédie un fichier stp >> Fais un clic droit sur le dossier C:\_OTM Dans la liste qui se déroule, choisis > Envoyer vers > Dossier compressé Un fichier nommé _OTM.zip doit apparaitre dans le même répertoire (C:\) Rend toi sur cette page > http://www.senduit.com/ Clique sur le bouton "Parcourir" à droite de File: une fenêtre s'ouvre. Copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> C:\_OTM.zip Clique maintenant sur "ouvrir" en bas de la fenêtre. A droite de Expire in, sélectionne 1 Day Clique enfin sur le bouton Upload. Une nouvelle fenêtre va s'ouvrir et te donner le lien d'upload : envoie le moi par MP stp Courage!!
  14. ok je te poste un procédure pour nettoyer ca sous peu...
  15. Ok merci! est ce que tu peux aussi faire de même pour C:\WINDOWS\system32\xraidsetup .exe ? Tu as posté deux fois l'analyse du fichier 4ekjtruvvuoh.dll
  16. re! Ok MBAM a fait du bon boulot On va continuer comme ceci => Est ce que tu as accès à internet avec le pc en question à présent ? si oui, fais ce scan rapide stp >> Commence par afficher les dossiers/fichiers cachés => Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Une fenêtre s'ouvre: copie/colle ceci en bas de page à droite de "Nom du Fichier" puis clique sur le bouton Ouvrir : c:\windows\system32\4ekjtruvvuoh.dll Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Fais de même avec celui ci stp >> C:\WINDOWS\system32\xraidsetup .exe
  17. Non ignore le message et continue. Oui, c'est un bon signe Une fois mis à jour, il devrait encore dégotter d'autres malwares! Sauvegarde les deux rapports stp puis fais le scan avec RSIT à la fin, ca me permettra de voir ce qu'il subsiste. Bon courage! je te lira depuis ma pause au boulot
  18. Si tu as installé MBAM, tu peux aussi faire les mises à jour manuellement >> Clique sur ce lien et télécharge le fichier sur le Bureau => http://www.malwarebytes.org/mbam/database/mbam-rules.exe Double-clique sur le fichier pour que MBAM soit mis à jour. Après ca tu peux lancer le scan
  19. Salut et bienvenue sur le forum Quelques liens pour t'aider à commencer : Comment participer à un forum retrouver ses messages et activer la notification par email On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement Pour répondre ou ajouter un post, un rapport, etc, utilise le bouton . (bouton qui se trouve entre "Flash" et "Nouveau") ********* Le pc est effectivement infecté. Si tu as fait la procédure de pré-nettoyage, tu aurais du conserver Antivir car il est très performant. Ton pc est actuellement sans protection.... Ne connecte pas ce pc au réseau tant qu'il n'est pas protégé car il risque la surinfection!! Le rapport que tu as posté n'est pas à jour car la version d'hijackthis utilisée est désuète. Tu peux la désinstaller On va procéder ainsi >> 1°) Un petit scan supplémentaire avec un programme que tu vas pouvoir conserver: si tu le possède déjà, passe l'étape de l'installation et va directement à la mise à jour >> Télécharge Malwarebytes' Anti-Malware (MBAM) Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen complêt" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. 2°) Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit 3°) Réinstalle Antivir!! Poste les 3 rapports.
  20. salut Je n'avais pas vu ta réponse! Etonnant qu'il ne se lance pas sur ton pc car le programme fonctionne sur Windows XP...! (fonctionne uniquement sous Windows XP, Windows Vista et Windows 7) Bon, on va nettoyer les restes à l'aide d'un fichier reg qui va supprimer les clés de registre liées à l'infection. De la même manireè que précédemment, Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Teatimer dans la barre de tâches! Ne fais pas l'impasse sur cette étape, car ca peut faire échouer la procédure de désinfection ! Passe par le menu Démarrer > Panneau de Configuration > Ajouter/Supprimer des Programmes. Désinstalle Ask Toolbar Rend toi sur cette page afin de télécharger le fichier fix.reg sur ton Bureau => http://senduit.com/c7c861 Patiente une seconde: le téléchargement va se lancer automatiquement. Double-clique sur le fichier: au message qui s'affiche, clique sur OK pour faire fusionner le fichier avec le registre. Elimine le fichier une fois l'opération effectuée. Supprime le répertoire suivant => C:\Program Files\Ask.com Peux tu me dire ce que contient ce dossier ? >> C:\a1 ********** Ce qui suit n'est pas obligatoire, mais permettra de sécuriser ton système un peu mieux Le pc est protégé par Avast...Je te conseille de lire ce comparatif très intéressant de Malekal Morte afin de te faire une idée quant à l'efficacité de cet antivirus > http://forum.malekal.com/ftopic3528.php C'est une étude indépendante et sérieuse! Je ne saurais que te conseiller de désinstaller avast et d'installer Antivir afin de protéger ton pc au mieux. Si tu décides d'installer Antivir procède ainsi > -Télécharge Antivir sur le bureau, mais ne le lance pas encore! - Désinstalle Avast et redémarre le pc. - Installe Antivir. - Mets Antivir à jour et configure le en suivant les indications du Tutoriel vidéo d'angelique (les réglages sont identiques même si la version décrite est en anglais). Fais un scan du pc avec Antivir comme ceci >> Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc) Double-clique sur son icône près de l'horloge: cela ouvre l'interface principale. Clique ensuite sur "Contrôler syst." à droite de "Dernier contrôle syst. intégral". /!\\ Cela peut être long. Tu peux sauvegarder le rapport en fin de parcours (bouton "Rapport"). Si Antivir détecte des fichiers infectés, mets les en quarantaine: choisis "Déplacer en quarantaine" dans la liste des actions. Tu peux automatiser ce type d'action en cochant la case Appliquer la sélection à toutes les détections. Cela permet de ne pas rester à la surveiller. Si tu installes Antivir, fais un scan et poste le. Poste aussi un nouveau rapport RSIT stp.
  21. lol! lychen, poste sur le forum adéquat >> http://forum.zebulon.fr/internet-et-reseaux-f5.html Il y a des personnes plus calées que moi qui pourront t'apporter une réponse je pense. Juste par curiosité: est ce que tu as tenté de connecter ton pc en ethernet? est ce que tu rencontres le même problème ?
  22. Essaie ceci >> Passe par le Menu Demarrer >> Executer et tape "services.msc" puis clique sur la touche [OK]. Cherche le service suivant:Service de lancement de WlanCfg et double clique dessus: Dans le champs "Type de démarrage" sélectionne"manuel" puis "Appliquer" puis "ok" Quitte les services. Passe par le Menu Demarrer >> Panneau de configuration >> connexion réseaux >> fais un clic droit sur "connexion réseaux sans fil" >> afficher reseaux sans fil disponibles. Clique sur "Actualisez la liste des réseaux", ton réseau va apparaitre à droite: double clique dessus. Indique ta clé WEP (en dessous de la livebox ou du modem) puis valide. Redémarre le pc et retente de te connecter.
  23. re! J'aimerai que tu m'expédie un fichier stp >> Fais un clic droit sur le dossier C:\_OTM Dans la liste qui se déroule, choisis > Envoyer vers > Dossier compressé Un fichier nommé _OTM.zip doit apparaitre dans le même répertoire (C:\) Rend toi ensuite sur cette page > http://www.sendspace.com Clique sur le bouton "Parcourir": une fenêtre s'ouvre. Copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> C:\_OTM.zip Clique maintenant sur "ouvrir" en bas de la fenêtre. Coche la case "I have read and agree to the terms of service." Clique enfin sur le bouton Upload File . Une nouvelle fenêtre va s'ouvrir et te donner le lien d'upload : envoie le moi par MP stp Ce qui suit n'est pas obligatoire mais fortement conseillé! Le pc est protégé par Avast...Je te conseille de lire ce comparatif très intéressant de Malekal Morte afin de te faire une idée quant à l'efficacité de cet antivirus > http://forum.malekal.com/ftopic3528.php C'est une étude indépendante et sérieuse! Je ne saurais que te conseiller de désinstaller avast et d'installer Antivir afin de protéger ton pc au mieux. Si tu décides d'installer Antivir procède ainsi > -Télécharge Antivir sur le bureau, mais ne le lance pas encore! - Désinstalle Avast et redémarre le pc. - Installe Antivir. - Mets Antivir à jour et configure le en suivant les indications du Tutoriel vidéo d'angelique (les réglages sont identiques même si la version décrite est en anglais). Fais un scan du pc avec Antivir comme ceci >> Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc) Double-clique sur son icône près de l'horloge: cela ouvre l'interface principale. Clique ensuite sur "Contrôler syst." à droite de "Dernier contrôle syst. intégral". /!\\ Cela peut être long. Tu peux sauvegarder le rapport en fin de parcours (bouton "Rapport"). Si Antivir détecte des fichiers infectés, mets les en quarantaine: choisis "Déplacer en quarantaine" dans la liste des actions. Tu peux automatiser ce type d'action en cochant la case Appliquer la sélection à toutes les détections. Cela permet de ne pas rester à la surveiller.
  24. salut MBAM a bien travaillé On va supprimer les restes comme ceci => Désinstalle le programme suivant >> pdfforge Toolbar v1.1.1 Si tu as un support amovible dont la lettre est F dans l'explorateur Windows (quand tu ouvres le Poste de Travail), branche le. De la même manière (très important!) Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc) Télécharge OTM par OldTimer et enregistre ce fichier sur le Bureau. Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :first :processes explorer.exe :files E:\srgo.exe E:\t8s2x.exe E:\b.bat E:\y8.exe E:\f9o8o.exe E:\b00ijwpu.exe E:\uqgvf.exe E:\q9.cmd C:\b00ijwpu.exe C:\uqgvf.exe C:\f9o8o.exe C:\y8.exe C:\b.bat C:\srgo.exe C:\t8s2x.exe C:\q9.cmd C:\Program Files\pdfforge Toolbar F:\q9.cmd F:\srgo.exe F:\t8s2x.exe F:\b.bat F:\y8.exe F:\f9o8o.exe F:\b00ijwpu.exe F:\uqgvf.exe :reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{B922D405-6D13-4A2B-AE89-08A030DA4402}"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Alcmtr"=- "nwiz"=- "NVHotkey"=- "SearchSettings"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62469f8a-696b-11de-95dd-002186fe1cec}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8f058ed4-94a2-11de-961f-002186fe1cec}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9897c81e-956e-11de-9621-806d6172696f}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c639e0fa-88d9-11de-9612-002186fe1cec}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c790c998-b357-11de-963c-c68ec4328d90}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fae5993f-6574-11de-95d3-00225f6a89de}] :commands [emptytemp] [start explorer] Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée puis choisis Coller. Clique sur le bouton rouge Ferme OTM Poste dans ta prochaine réponse le rapport de OTM (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Note: Le script proposé est adapté au cas de tanalahy : Vous ne devez en aucun cas l'utiliser sur votre pc! Poste aussi un nouveau rapport RSIT stp (poste juste le rapport log.txt)
  25. salut Dis moi: est ce qu'un message d'erreur s'affiche lors de ces reboots intempestifs ? Il arrive que ces messages apparaissent très succintement et qu'on ait pas le temps de les lire. Si c'est le cas, fais d'abord ce petit réglage pour pouvoir le lire >> Clique avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés. Clique sur l'onglet Avancé, puis sous Démarrage et récupération, clique sur Paramètres (ou sur Démarrage et récupération). Sous Défaillance du système décoche la case Redémarrer automatiquement Valide ton choix en cliquant sur le bouton OK Ca te laissera le temps de noter le message d'erreur la prochaine fois (par contre tu devras redémarrer le pc manuellement).
×
×
  • Créer...