pear

# Dans le bloc-note ,copiez-collez ces lignes : Killall:: Driver:: Lavasoft Ad-Aware Service Lavasoft Kernexplorer File:: c:\program files\Lavasoft\Ad-Aware\AAWService.exe c:\windows\Tasks\Ad-Aware Update (Weekly).job c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe c:\program files\Lavasoft\Ad-Aware\kernexplorer.sys Registry:: [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] * Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas ! Enregistrez-le en lui donnant le nom CFScript.txt Ouvrez Combofix * Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe * Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider. * Patienter le temps du scan. Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne toucher à rien tant que le scan n'est pas terminé. Le rapport de ComboFix ne s'affichera qu'à la fin Poster son contenu. Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt [/color]

Je ne comprends pas votre dernier message. Quant à la console, il vous suffit d'appliquer le procédure Combofix.

Conhost .exe n'est pas un virus , C'est un exécutable de Microsoft caché qui s'occupe d'ouvrir une console lors de la mise à niveau de Vista vers Windows 7 il se trouve à : C:\windows\system32\conhost.exe Je n'ai rien trouvé de plus et Zhpdiag non plus. 4026412_exe dnothing.exe dx86.exe x86.exe d86.exe 1)Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes . Cliquer sur l'icône Zhpfix Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur Copiez/Collez les lignes vertes dans le cadre ci dessous: pour cela; Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas Ctrl+c mettre le tout en mémoire Ctrl+v pour inscrire le texte dans le Document Vous ne verrez rien avant d'avoir Cliqué sur le H- O4 - Global Startup: C:\Users\AzZar0\Desktop\Revealer Keylogger Free Edition.lnk . (...) -- C:\Program Files\rkfree\rkfree.exe (.not file.) => Infection Keylog (Keylogger.Logixoft) O43 - CFD: 02/04/2012 - 18:01:54 - [0,714] ---AD C:\ProgramData\rkfree => Infection Keylog (Keylogger.Logixoft) [HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}] => Infection BT (Adware.BHO) C:\ProgramData\rkfree => Infection Keylog (Keylogger.Logixoft) O4 - Global Startup: C:\Users\AzZar0\Desktop\Périphériques et imprimantes - Raccourci.lnk - Orphean Key => Orphean Key not necessary O87 - FAEL: "{3BADC1D9-48E7-478E-B9E5-C0DE81505E92}" | In - Private - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe O87 - FAEL: "{E8ED424F-4DE8-4F33-AF92-A0A1BB01CDA5}" | In - Private - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchya.com SysRestore EmptyFlash EmptyTemp FirewallRaz Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne. Cliquer sur "Tous" puis sur "Nettoyer" . Redémarrer pour achever le nettoyage. Un rapport apparait: Si le rapport n'apparait pas,cliquer sur Copier-coller le rapport de suppression dans la prochaine réponse. 2)Très simple à utiliser,Kaspersky Virus Removal Tool n'est pas un antivirus ou un outil de surveillance, Il n'y a pas non plus de mise-à-jour automatique, il vous faudra donc télécharger la nouvelle version, qui est quotidiennement mise à jour, et l'installer à chaque fois que vous désirez l'utiliser. Sous Xp; Poste de Travail->Propriétés->Restauration Système. Cocher la case "Désactiver la Restauration sur tous les lecteurs". Vous la décocherez par la suite et Redémarrerez après la procédure VRT. Un nouveau point de restauration sera créé au redémarrage. SousVista/ Win7: desactiver-reactiver-la-restauration-systeme-de-windows-7 Redémarrez en Mode Sans Echec Sous Vista/Win7, désactivez l'UAC Télécharger Kaspersky Virus Removal Tool(VRT) Le fichier fait + de 70M°, soyez patient. Cliquer sur le fichier téléchargé pour installer VRT. A On threat détection (si un malware est détecté) Choisissez, en bas Disinfect,delete if cannot disinfected Sélectionner les fichiers ou répertoires à analyser (disque dur, périphériques ou documents spécifiques) puis de lancer le processus Start Scan. A la fin du scan: Cliquer sur"Report" pour voir et enregistrer le rapport à poster. Ensuite taper sur Exit pour désinstaller l'outil Comment poster les rapports Copiez/collez tout ou partie des rapports dans un ou plusieurs messages. Autre solution à privilégier pour un rapport lourd Aller sur le site :Ci-Joint Appuyez sur Parcourir et chercher les rapports sur le disque, Cliquer sur Ouvrir Cliquer sur Créer le lien CJoint, >> dans la page suivante --> ,, une adresse http//.. sera créée Copier /coller cette adresse dans votre prochain message.

Bonjour, Il faut aussi savoir que Spybot utilise une technologie dépassée. Si vous ajoutez à cela les problèmes causés par la vaccination qui ralentit le système et TeaTimer qui peut faire obstacle à une désinfection..... Pour désactiver TeaTimer : Sous Vista, exécuter avec privilèges Administrateur Afficher d'abord le Mode Avancé dans SpyBot ->Options Avancées : - >menu Mode, Mode Avancé. Une colonne de menus apparaît dans la partie gauche : - >cliquer sur Outils, - >cliquer sur Résident, Dans Résident : - >décocher Résident "TeaTimer" pour le désactiver. Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP : C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots Et sous Vista : C:\ProgramData\Spybot - Search & Destroy\Snapshots Vaccination Spybot Si ,dans Spybot S&D vous avez vacciné, allez à l'onglet "vaccination" cliquez sur "Vaccination" dans la colonne sur la gauche : Cliquez sur annuler (la flèche bleue) pour annuler la vaccination. Un cookie traceur n'est pas un malware. Pour nettoyer cela on utilise Ccleaner Téléchargez CCleaner et installez le à l'installation penser à décocher l'installation de Yahoo toolbar discrètement proposée en plus de CCleaner. Lancez le en double cliquant sur CCleaner.exe

Dans l'outil Kasparsky, il y a cette option: Si vous ne l'avez pas dans Dr Web; Vous faites une recherche sur *.locked, vous devriez les avoir tous.

Ce n'est pas ce que j'ai écrit. C'est C:\Windows\system32\restore\rstrui.exe sans point final mais vous écrivez Dans ce cas c'est inutile et embêtant car ce sera moins simple. Sans point de restauration , vous ne pouvez évidemment pas restaurer à une date antérieure Passez au point 2 : Rogue Killer

Il faut une analyse rapide et un examen complet. .La durée dépend des systèmes mais je l'ai rarement vue aussi longue que vous dites.

Voyons la suite.

C'est prématuré Avast est un bon antivirus. Spybot et Ad_Aware sont dépassés et doivent être désinstallés Il faut savoir que Spybot utilise une technologie dépassée. Si vous ajoutez à cela les problèmes causés par la vaccination qui ralentit le système et TeaTimer qui peut faire obstacle à une désinfection..... Préférez lui Malwarebytes' Anti-Malware (MBAM)bien plus efficace bien que ,en version libre ,il ne soit pas résident. Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:! Sous Vista, exécuter avec privilèges Administrateur Afficher d'abord le Mode Avancé dans SpyBot ->Options Avancées : - >menu Mode, Mode Avancé. Une colonne de menus apparaît dans la partie gauche : - >cliquer sur Outils, - >cliquer sur Résident, Dans Résident : - >décocher Résident "TeaTimer" pour le désactiver. Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP : C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots Et sous Vista : C:\ProgramData\Spybot - Search & Destroy\Snapshots Vaccination Spybot Si ,dans Spybot S&D vous avez vacciné, allez à l'onglet "vaccination" cliquez sur "Vaccination" dans la colonne sur la gauche : Cliquez sur annuler (la flèche bleue) pour annuler la vaccination. Désinstaller Spybot Oui. Et vous supprimez tout ce qu'il trouve . Il y a peu de raisons de les voir infectés si vous n'y installez que des données (rapports, Photos, Vidéos etc..) Cela dit c'est sans risque. Non, mais on s'en occupera en fin de désinfection. Et pour essayer d'en terminer avec votre problème initial: Télécharger Webroot AntiZeroAcces Lancez le: Répondre Yes (oui) à la question, en tapant sur Y puis Entrée Si le fix trouve l’infection, des lignes rouges doivent apparaître. Le fix vous informe qu’un des fichiers systèmes a été patché et vous propose de le nettoyer. Tapez Y (oui) et Entrée pour lancer le nettoyage. Si l’opération a réussi, vous devez avoir le message Cleaned en vert. Appuyez sur une touche et redémarrer l’ordinateur. Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles. Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours. Télécharger combofix.exe de Subs et sauvegardez le sur le bureau 1)La console de Récupération Les utilisateurs de Windows Vista,Seven ne sont pas concernés car ils peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Win RE) passer au point 2 Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire. Certaines infections comme braviax empêcheront son installation. La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation). Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise. D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc . Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page: cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur le Bureau: Ne modifiez pas le nom du fichier Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft. Après installation,vous devriez voir ce message: The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher: Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil Pour cela: Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer etc.. Cela est absolument nécessaire au succès de la procédure. Bien évidemment, vous les rétablirez ensuite. 2)Vous avez téléchargé Combofix. Double cliquer sur combofix.exe pour le lancer. Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme! Pour lancer le scan Connecter tous les disques amovibles (disque dur externe, clé USB…). Taper sur la touche 1 pour démarrer le scan. Si pour une raison quelconque, combofix ne se lançait pas, Sous Vista, désactivez l'UAC Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme. Le scan pourrait prendre un certain temps, il y a 50 procédures successives: Patientez au moins 30 minutes pendant l'analyse. Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre. A la fin,,un rapport sera généré Il se trouve à c:\combofix.txt Comment poster les rapports Copiez/collez tout ou partie des rapports dans un ou plusieurs messages. Autre solution à privilégier pour un rapport lourd Aller sur le site :Ci-Joint Appuyez sur Parcourir et chercher les rapports sur le disque, Cliquer sur Ouvrir Cliquer sur Créer le lien CJoint, >> dans la page suivante --> ,, une adresse http//.. sera créée Copier /coller cette adresse dans votre prochain message.

Otm n'est pas un outil de recherche. Il ne fait que ce qu'on lui demande, s'il le peut. Ici, il a bien rempli son office:"All processes killed" Je vous confirme qu'il n'y a pas d'infection visible sur votre machine.

Ce n'est pas si sûr! Vous n'avez pas posté toutes les options de Rogue Killer (le nettoyage). Je reposte la procédure: Télécharger RogueKiller (by tigzy) sur le bureau Quitter tous les programmes Lancer RogueKiller.exe. Patienter le temps du Prescan ... Cliquer sur Scan. Cliquer sur Rapport et copier/coller le contenu Nettoyage Dans l'onglet "Registre", décocher les lignes suivantes: (Lignes à décocher:celles que vous avez volontairement modifiées) Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad Sauf avis contraire, ne touchez pas aux index SSDT Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT (Liste des indexes) Note. Le boutton Suppression ne sera pas accessible tant que le scan n'a pas été fait

Attention! C:\Windows\system32 et %systemroot%\system32 , c'est la même chose Vous devez donc avoir: C:\Windows\system32\restore\rstrui.exe ou %systemroot%\system32\restore\rstrui.exe pas les deux à la fois.

La charte de ce forum n'autorise pas l'aide sur des versions Windows non officielles.

Bonjour, Hijackthis ne vaut plus guère! Lancez cet outil de diagnostic: Zhpdiag 1.31 Double-cliquer sur ZHPDiag.exe pour installer l'outil Sur le bureau ,il y aura 3 icônes Sous XP, double clic sur l'icône ZhpDiag Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur Cliquez sur le bouton en haut, à droite et choisissez Tous Pour éviter un blocage, décochez 045 et 061 Clic sur la Loupe en haut, à gauche pour lancer le scan Postez le rapport ZhpDiag.txt qui apparait sur le bureau Comment poster les rapports Cliquez sur ce bouton en haut, à droite Appuyez sur Parcourir et chercher le rapport , Cliquer sur Envoyer >> dans la page suivante --> Cliquer Pjjoint Uploader ,, une adresse http//.. sera créée Copier /coller cette adresse dans votre prochain message.

OUi Trend Micro et Mbam sont nécessaires contrairement à Hijackthis . Ccleaner est un outil de nettoyage qui est bon si vous ne touchez jamais au régistre( inutile , voire dangereux pour qui ne s'y connait pas) J'ajouterais AdwCleaner pour nettoyer Toolbars et autres indésirables. Changelog AdwCleaner Télécharger AdwCleaner Sous Vista et Windows 7-> Exécuter en tant qu'administrateur Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt NettoyageA faire sans délai Relancez AdwCleaner avec droits administrateur Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

Bonjour, 1)Avant tout, tenter une restauration système à une date antérieure. Lancer la restauration en ligne de commande On peut tenter la Restauration du système, à partir de Invite de commandes en mode sans échec Relancer Windows en tapotant la touche F8 (F5 pour certaines marques de PC)pour choisir une option du Mode sans échec Sélectionnez Invite de commande en mode sans échec validez per la touche Entrée Choisissez votre compte usuel, pas le compte Administrateur ou autre. Tapez cmd puis dans la fenêtre qui s'ouvre: %systemroot%\system32\restore\rstrui.exe validez La restauration devrait se lancer. 2) Démarrer en Mode sans échec avec prise en charge du réseau Télécharger RogueKiller (by tigzy) sur le bureau Quitter tous les programmes Lancer RogueKiller.exe. Patienter le temps du Prescan ... Cliquer sur Scan. Cliquer sur Rapport et copier/coller le contenu Nettoyage Dans l'onglet "Registre", Décocher les éventuels faux positifs, en général les modifications que vous y avez faites. Laisser coché, si vous le voyez , ce qui concerne InetAccelerator.exe, il s'agit d'un malware. Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu Note. Le boutton Suppression ne sera pas accessible tant que le scan n'a pas été fait Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad Sauf avis contraire, ne touchez pas aux index SSDT Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT (Liste des indexes) Téléchargez MBAM ICI ou LA Avant de lancer Mbam Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire Cliquer ici Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc) Exécuter avec droits d'administrateur. Sous Vista , désactiver l'Uac Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation. Enregistrez le sur le bureau . Fermer toutes les fenêtres et programmes Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet) N'apportez aucune modification aux réglages par défaut et, en fin d'installation, Vérifiez que les options Update et Launch soient cochées MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse. cliquer sur OK pour fermer la boîte de dialogue.. Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour: Si le pare-feu demande l'autorisation de connecter MBAM, acceptez. Une fois la mise à jour terminée, allez dans l'onglet Recherche. Sélectionnez "Exécuter un examen complet" Cliquez sur "Rechercher" .L' analyse prendra un certain temps, soyez patient ! A la fin , un message affichera : L'examen s'est terminé normalement. Et un fichier Mbam.log apparaitra Nettoyage Relancez Mbam(Malewares'Bytes) Sélectionnez "Exécuter un examen complet" Cliquez sur "Rechercher" L' analyse prendra un certain temps, soyez patient ! A la fin , un message affichera : L'examen s'est terminé normalement. Sélectionnez tout et cliquez sur Supprimer la sélection , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs. Copiez-collez ce rapport dans la prochaine réponse.

Bonjour, Après Rogue killer et Mbam: Ensuite utiliser l'un de ces 2 outils: Kaspersky 1et 2 ou 3)Dr Web ces outils recherchent et décryptent les fichiers cryptés. à la condition que vous leur indiquiez une seule paire: un fichier crypté et une copie du même non crypté à rechercher Pour cela: Sous Vista /7: Une des particularités des éditions "Professionnelle" et "Intégrale" de Vista est la fonction : Shadow Copy. Cette fonctionnalité crée et restitue automatiquement des clichés instantanés des fichiers personnels, en utilisant le support de la création automatique des points de restauration. La restauration système à une date antérieure ne va agir que sur les fichiers système et ne touchera en aucun cas, vos fichiers personnels. Bien sûr, lors de la création des points de restauration, vos fichiers personnels sont aussi enregistrés dans ce cliché, mais cet enregistrement n'est accessible que dans les éditions "Professionnelle" et "Intégrale", via l'onglet "Versions précédentes" dans les "Propriétés" du fichier. Il est alors possible, dans ces éditions de Vista, de récupérer un fichier supprimé accidentellement ou une modification enregistrée par erreur. Cette fonctionnalité est activée par défaut sur toutes les éditions de Vista mais n'est pas exploitable dans les éditions "Basique" et "Familiale". ShadowExplorer va donc vous permettre de pouvoir récupérer la copie d'un fichier perdu ou modifié, même dans les éditions "Basique" et "Familiale". Télécharger ShadowExplorer Clic-droit sur le fichier téléchargé et "Exécuter en tant qu'administrateur". Suivre la procédure d'installation. Toujours Exécuter en tant qu'administrateur, d onc d'un clic-droit sur le programme, par les "Propriétés", onglet "Compatibilité", cocher la case "Exécuter en tant qu'administrateur", et "Appliquer". 1)Déchiffrer les données cryptées par le programme malveillant Trojan-Ransom.Win32.Rector Téléchargez RectorDecryptor sur l'ordinateur infecté Décompressez l'archive.zip Lancez RectorDecryptor.exe cliquez sur le bouton Start scan. La recherche et le déchiffrage des fichiers cryptés se réalise. choisir l’option Delete crypted files after decryption. Le rapport a un nom de type : C:\RectorDecryptor.2.2.0_12.08.2010_15.31.43_log.txt 2)Téléchargez RannohDecryptor Lancez le et cliquez Start scan Pour supprimer des copies de fichiers cryptés avec le nom du «locked-<original_name>. <4 caractères aléatoires>" après un décryptage réussi, utilisez l'option Supprimer les fichiers cryptés après le décryptage Par défaut, le journal d'utilité est enregistré sur le disque système (celui avec le système d'exploitation installé). Nom du fichier journal est UtilityName.Version_Date_Time_log.txt. Par exemple, C: \ RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt 2) Dr.Web fournit un fix dont voici l’adresse: ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe Mettre le fix sur le bureau et pas ailleurs. Lancer Menu Démarrer -> executer -> Tapez successivement cmd cd bureau te94decrypt.exe -k 85 ou dernières versions te94decrypt.exe -k 91 ou 100 ou dernière évolution ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe S'assurer que le virus n'est plus là suite à la restauration (plus de demande de rançon) Sinon il risque de crypter aussi le reste une copie originale d'un des fichiers cryptés est nécessaire 1- télécharger ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe 2- brancher le disque dur externe pour pouvoir accéder à une copie originale d'un des fichiers cryptés 3- lancer Matsnu1decrypt.exe 4- indiquer le chemin d'un fichier original (Select original file) 5- indiquer le chemin du fichier correspondant crypté (Select encrypted file) La comparaison des deux fichiers va permettre à l'outil de trouver la méthode de cryptage Ensuite l'outil va décrypter tous les fichiers cryptés Comme c'est une méthode de décryptage TRES récente, il y a peu; les fichiers étaient tous perdus, dites nous ce que ça donne chez vous

C'est exact. Passez au nettoyage.

D'abord le nettoyage. Vous verrez que vos précautions ne sont suffisantes. 1)Télécharger AdwCleaner Sous Vista et Windows 7-> Exécuter en tant qu'administrateur Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt 2)Nettoyage Relancez AdwCleaner avec droits administrateur Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt 3) Téléchargez MBAM ICI ou LA Avant de lancer Mbam Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire Cliquer ici Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc) Exécuter avec droits d'administrateur. Sous Vista , désactiver l'Uac Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation. Enregistrez le sur le bureau . Fermer toutes les fenêtres et programmes Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet) N'apportez aucune modification aux réglages par défaut et, en fin d'installation, Vérifiez que les options Update et Launch soient cochées MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse. cliquer sur OK pour fermer la boîte de dialogue.. Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour: Si le pare-feu demande l'autorisation de connecter MBAM, acceptez. Une fois la mise à jour terminée, allez dans l'onglet Recherche. Sélectionnez "Exécuter un examen complet" Cliquez sur "Rechercher" .L' analyse prendra un certain temps, soyez patient ! A la fin , un message affichera : L'examen s'est terminé normalement. Et un fichier Mbam.log apparaitra 4)Nettoyage Relancez Mbam(Malewares'Bytes) Sélectionnez "Exécuter un examen complet" Cliquez sur "Rechercher" L' analyse prendra un certain temps, soyez patient ! A la fin , un message affichera : L'examen s'est terminé normalement. Sélectionnez tout et cliquez sur Supprimer la sélection , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs. Copiez-collez ce rapport dans la prochaine réponse.

Si vous avez bien suivi toutes les pistes proposées, je ne peux plus que vous conseiller de chercher une aide plus efficace sur Internet & Réseaux de ce site.

La restauration en Invite de Commande était une solution alternative pour le cas où la première échouerait. Passez à Tdsskiller.

Cela ne signifie pas grand chose compte tenu de ce que vaut désormais hijackthis . Le message que vous avez publié dans votre message initial dit que l'on ne peut pas écrire dans votre fichier Hosts. Ce n'est pas surprenant puisqu'en principe il a pour attribut "lecture seule". Il n'y a pas d'infection visible sur cette machine.

Bonjour, Démarrer en mode sans échec Choisir-> Dernière bonne configuration connue : Cette option démarre Windows en utilisant une configuration précédente identifiée comme correcte. Sinon:tenter une restauration système à une date antérieure. Lancer la restauration en ligne de commande Tenter la Restauration du système, à partir de Invite de commandes en mode sans échec Relancer Windows en tapotant la touche F8 pour choisir une option du Mode sans échec Sélectionnez Invite de commande en mode sans échec validez per la touche Entrée Choisissez votre compte usuel, pas le compte Administrateur ou autre. Tapez cmd puis dans la fenêtre qui s'ouvre: %systemroot%\system32\restore\rstrui.exe validez La restauration devrait se lancer. Si vous n'avez pas de connexion internet, démarrez en mode sans échec avec opton réseau ou installez les logiciels sur clé usb à l'aide d'un pc valide. Télécharger TDSSKILLER - Télécharger le .zip sur le Bureau. - Extraire son contenu (clic droit >> "Extraire tout...") et valider ; - Un dossier tdsskiller sera créé sur le Bureau. Cliquer surStart scan pour lancer l'analyse Lorsque l'outil a terminé son travail d'inspection si des fichiers infectés sont détectés,l'action par défaut est"Nettoyer"(Cure) . Cliquer sur"Continue" Si c'est un fichier suspect, l'action par défaut est Skip( sauter) Cliquer sur"Continue" S'il vous est demandé de redémarrer: Cliquer Reboot Now Sinon cliquer sur Report Envoyer en réponse: *- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt) [systemDrive représente la partition sur laquelle est installé le système, généralement C:] Télécharger RogueKiller (by tigzy) sur le bureau Quitter tous les programmes Lancer RogueKiller.exe. Patienter le temps du Prescan ... Cliquer sur Scan. Cliquer sur Rapport et copier/coller le contenu Nettoyage Dans l'onglet "Registre", décocher les lignes suivantes: (Lignes à décocher, si nécéssaire p.ex faux positifs) Cliquer sur Suppression. Cliquer sur r Rapport et copier/coller le contenu Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad Dans l'onglet Driver, réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT (Liste des indexes) Note. Le boutton Suppression ne sera pas accessible tant que le scan n'a pas été fait Téléchargez MBAM ICI ou LA Avant de lancer Mbam Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire Cliquer ici Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc) Exécuter avec droits d'administrateur. Sous Vista , désactiver l'Uac Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation. Enregistrez le sur le bureau . Fermer toutes les fenêtres et programmes Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet) N'apportez aucune modification aux réglages par défaut et, en fin d'installation, Vérifiez que les options Update et Launch soient cochées MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse. cliquer sur OK pour fermer la boîte de dialogue.. Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour: Si le pare-feu demande l'autorisation de connecter MBAM, acceptez. Une fois la mise à jour terminée, allez dans l'onglet Recherche. Sélectionnez "Exécuter un examen complet" Cliquez sur "Rechercher" .L' analyse prendra un certain temps, soyez patient ! A la fin , un message affichera : L'examen s'est terminé normalement. Et un fichier Mbam.log apparaitra Nettoyage Relancez Mbam(Malewares'Bytes) Sélectionnez "Exécuter un examen complet" Cliquez sur "Rechercher" L' analyse prendra un certain temps, soyez patient ! A la fin , un message affichera : L'examen s'est terminé normalement. Sélectionnez tout et cliquez sur Supprimer la sélection , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs. Copiez-collez ce rapport dans la prochaine réponse.

Bonjour, Peut-être que ceci vous aidera à règler l'autorun: Si NoDriveAutoRun ou NoDriveTypeAutoRun apparait dans HKEY_LOCAL_MACHINE, les entrées correspondantes dans HKEY_CURRENT_USER sont ignorées. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoDriveTypeAutoRun = 0x00000095 HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoDriveTypeAutoRun = 0x00000095 La valeur correcte pour chacune de ces clés est 0x00000095 donc tapez 95 en Hexa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon la valeur pour allocatecdroms doit être 0 Activer ou désactiver l'autorun Explications: 0x1 Désactive Autoplay des lecteurs de type inconnu. 0x4 Désactive Autoplay des lecteurs amovibles. 0x8 Désactive Autoplay des lecteurs fixes. 0x10 Disables Autoplay on network drives. 0x20 Disables Autoplay on CD-ROM drives. 0x40 Disables Autoplay on RAM drives. 0x80 Disables Autoplay on drives of unknown type. 0xff Disables Autoplay on all types of drives. Par défaut, Autoplay est désactivé sur network drives,lecteurs amovibles,disquettes mais pas le lecteur CD-ROM . La valeur par défaut pour Vista 0x95 (149) est la somme de 0x1 (unknown types), 0x80 (unknown types), 0x4 (floppy drives), and 0x10 (network drives). Pour Xp , c'est 0x91 La valeur 0x143 désactive tout sauf les cdroms http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93502.mspx?mfr=true Prévention: Désactiver l'autorun sur tous les lecteur (USB, CD, DVD, SATA, Firewire, etc. Pour cela,sous Xp : Copier/coller ,dans le bloc notes,ce qui suit ,(en vert)sans ligne blanche au début.mais une à la fin. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff "HonorAutorunSetting"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff "HonorAutorunSetting"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" Sous Vista/7 Copier/coller ce qui suiten vertdans le bloc notes,sans ligne blanche au début.mais une à la fin. Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers] "DisableAutoplay"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" Fichier ->Enregistrez sous.. Clic sur bureau à gauche Dans type de fichier->Tous les fichiers Dans Nom-> regis.reg. Allez sur le bureau Cliquez droit sur le fichier ->fusionner Acceptez la modification du Régistre [/color] Autres solutions: 1)Démarrer->Executer->Regedit HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CDRom Pour l'activation de l'autorun :AutoRun = 1 2) Poste de travail->Propriétés-> Matériel-> Panneau de configuration->Système-> Matériel->Onglet Gestionnaire de périphériques. Dans la liste, cliquez sur le + de CD-ROM, sélectionnez le CD-ROM concerné. Cliquez sur le bouton Propriétés, onglet Paramètres. Décochez l'option Notification d'insertion automatique ou recocher pour activer. OK puis encore OK. 3)Démarrer->Exécuter->gpedit.msc Cliquer sur Configuration Ordinateur->Modèles d'administration->Système Double-cliquer sur "Désactiver le lecteur automatique" Vérifier que la valeur par défaut est "Non configuré" ou adaptez la à votre goût. Valider en cliquant sur OK

Zone Alarm est un parefeu .Il vous en faut un ,et en plus 1 antivirus(McAfee) et 1 antimalware (MalewaresBytes) Télécharger AdwCleaner Sous Vista et Windows 7-> Exécuter en tant qu'administrateur Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt NettoyageA faire sans délai Relancez AdwCleaner avec droits administrateur Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt