Mark

Bonjour jcarine ; Merci pour les précisions. Bon disons qu'un PC neuf qui vient avec XP Pro sans aucun disque de Windows (de Microsoft ou un CD de restauration), c'est pas fréquent je crois. Possibilité : tu avais XP Home avec le PC (sans le CD - le vendeur mérite une fessée) et par la suite un "ami" t'aurait installé une copie de XP Pro (non authentique). Mais là je spécule. Tu pourras également dire à celui/celle qui "s'occupe de tout ça" qu'il serait impératif de faire des mises à jour Windows (via "Windows Update") ; c'est crucial, en fait, sur tout ordi. Tel que mentionné précédemment, les mises à jour seront impossibles si la clé de produit n'est pas valide. Je te laisse donc regarder tout ça... Tu peux suivre les instructions de pear par contre, ça pourrait aider jusqu'à ce que tu puisses régler le problème du Windows... @+

Bonjour jcarine, pear, toutes et tous ; Juste une petite remarque / observation : Ce système d'exploitation n'a aucune mise à jour émise depuis 2001. Peut-être une version copiée/crackée, donc impossible de faire les mises à jour. Sans le SP2 (bientôt le SP3), les failles de sécurité sont trop importantes pour espérer avoir un système sécure et stable. jcarine : venir sur un forum d'aide avec un système si vulnérable rend la tâche quasi impossible aux bénévoles... Il peut y avoir des dégâts accumulés en plus des risques extrêmes d'infection. Tu devras vraisemblablement y remédier d'une façon ou d'une autre ; soit tu fais les mises à jour si ta version de XP Pro est légale, soit tu te procures une version de Windows authentique qui pourra être mise à jour et sécurisée. Voilà... je vous laisse bosser @+

@nateco : as-tu fait la manip du post #10 avec l'outil rmvirut ? Cette étape est très importante... Le scan en ligne de Kaspersky ne nettoie rien (et tant mieux avec ce genre d'infection) ; il nous sert à identifier les fichiers infectés. Tu peux faire la manip s'il te plait (post #10) ? Merci... Pour ce qui est d'une réparation éventuelle : tel que mentionné dans mon post précédent, ce sera inutile si un seul fichier infecté (sur les quelques milliers présents) reste derrière. La réparation ne fait que remettre des fichiers système sains et laisse tous les autres en place. Juste pour recadrer : la majorité des cas de Virut récents qui se présentent sur les forums se terminent par un formatage... et ceci est dû au code pourri du virus qui permet rarement une désinfection propre - sans suppression de fichiers système. Il n'est pas impossible d'y arriver, mais les chances sont plutôt minces. Donc passe l'outil de Grisoft (post #10), poste le rapport et puis on verra s'il est possible de sauver ton installation. @++

Bonjour douds, nateco, JoK, Charly ; Charly : nateco a édité/retiré le premier log Kaspersky (celui qui suit mon edit) ; fais-moi signe si tu veux que je remette le premier (sans boîte Codebox), juste pour le visuel... nateco : ne supprime pas de logs déjà postés s.t.p., à moins que Charly ne te le demande. Merci @douds : une réparation Windows ne fait malheureusement pas de bien avec une infection de ce genre ; le problème est que la réparation laisse tous les fichiers/programmes derrière, sains et infectés. Dès la relance après réparation - Bang. Si l'outil d'AVG fonctionne, c'est tant mieux, mais vu l'atteinte au répertoire "System32", je ne serais pas trop optimiste. Un autre problème avec Virut : son code est souvent bugué, donc les antivirus/outils de désinfection n'arrivent pas à réparer et vont souvent supprimer les fichiers... et si ces fichiers sont critiques (fichiers système), alors c'est la fin. Comme Charly le mentionne, les sauvegardes doivent se limiter (sévèrement) aux fichiers non exécutables, non html ET aucune archive (.zip, .rar, etc...) qui contient des exécutables. Surtout pas de sauvegarde de cracks / progs crackés ou fichiers téléchargés par P2P. Si d'autres lecteurs ou partitions présentes, il faut tout formater. @++

sn00ky : manhattan consultera tes liens et activera KAV 7.0, je l'espère. Pour les fichiers Vundo inactifs : oui les supprimer manuellement, gentiment... pas de Karcher s.v.p. Ils sont inactifs donc pas d'énervement. Navilog1 est un outil pour infections NaviPromo, pas Vundo. Si tu avais prescrit un scan avec outil antispyware commercial, ces fichiers auraient possiblement été virés en plus de d'autres indésirables ; mais tu persistes à dire/croire que KAV 7.0 peut faire ce travail seul, donc tu t'es acharné et puis tu t'es tourné vers des outils puissants qui n'étaient pas nécessaires. Pour SDFix : Je connais l'origine de cette description (site vers lequel tu as linké) ; malheureusement pour toi, elle est incomplète et même fausse sur certains points importants. L'outil cible une famille d'infections bien spécifique, qui n'était pas présente sur la bécane de manhattan. Si tu utilises ce genre d'outil "juste pour voir, peut-être que..." etc... ben c'est potentiellement dangeureux. Finalement : Voilà pourquoi nous en sommes là. Tu tiens à rassurer un membre sur tes méthodes alors que tu ne connais pas le fonctionnement des outils prescrits, ni certaines infections ? C'est purement irresponsable de prétendre jouer prudemment alors que tu fais à l'aveugle en grande partie... "Nos méthodes" proviennent directement des développeurs d'outils et experts en Sécu, et sont appliquées conformément à des exigences bien précises - autant que cela est possible. Il y aura toujours des imprévus, mais nous faisons de notre mieux tout en dialoguant avec nos membres. Outre les connaissances techniques, la capacité d'écoute et de dialogue sont de grandes qualités chez un helper... (tu peux en prendre note). Ciao,

Salut manhattan ; Pour KAV : oui la version 7.0 est supérieure, sans aucun doute. Ne peux-tu pas transférer l'abonnement ? La version 7.0 est pourtant disponible depuis un bout (la 8 devrait sortir bientôt). Malheureusement, snooky est un fanatique de KAV mais également peu soucieux des impacts que ses suggestions entraînent... Si tu ne peux pas transférer l'abonnement pour KAV 7.0, alors tu peux acheter la licence après les 30 jours, OU réinstaller KAV 6.0 (ce que je te déconseille - programme qui date), OU tu installeras un bon AV gratuit tel AntiVir (très bien d'ailleurs). @+

Bonjour manhattan Je suis désolé d'interrompre ainsi, mais snooky ne me laisse aucun choix. Il a pourtant été averti à maintes reprises de faire gaffe avec les outils. Je veux minimiser les risques pour ta bécane. Tu peux effectuer les manips qui n'ont pas été rayées (ci-haut). =============== snooky : ceci marque la fin de ta participation dans le sous forum "Analyse de rapports HijackThis,..." Tu passes ton Karcher à nouveau, puisque tu connais très mal certaines infections et que tu les traites de façon dangeureuse sans faire de recherches pertinentes et sans demander conseil. Les membres/visiteurs se fient à cette "assurance" que tu dégages, alors qu'en réalité... ta témérité et manque d'expérience présentent de réels risques auxquels ils ne doivent plus être exposés. Je ne fais qu'un bref retour sur certaines manips proposées à manhattan : - Vundo n'est plus actif depuis le post #7, mais ça tu ne l'as pas compris. - Navilog1 non nécessaire, mais passé à répétition (les fichiers Vundo détectés >> inactifs) - SmitfraudFix non nécessaire. - VundoFix à répétition alors que Vundo n'est plus actif. - SDFix : NON !. Tu ne connais pas la puissance de cet outil, ni ce qu'il cible. Un jouet pour toi, semble-t-il. - ComboFix : pas nécessaire au moment prescrit. Trop complexe et dangeureux pour toi. - VirtumundoBegone : sur un Vundo déjà mort. Encore faut-il le savoir. Un membre peut aider ici, mais il doit le faire avec prudence tout en respectant ses limites. Tu ne connais pas tes limites, ni certains outils que tu prescris, ni plusieurs infections que tu attaques. ============ Voici les quelques options possibles : 1) Tu termines les sujets que tu as pris en charge ici dans la section. Tu ne prends plus de nouveaux sujets dans cette section, et tu ne postes pas dans les discussions déjà prises en charge par un helper ou autre membre (pas de conseils, commentaires, rien...). 2) Tu t'obstines, alors tes droits de poster seront retirés - globalement. Ton choix. @+

J'essaie de mon mieux de valider la pertinence de cette remarque. Tu suggérerais de faire installer le SP2 immédiatement, avec toutes ces infections présentes ? Mais non ce n'est pas ce que tu voulais dire, je le sais bien, mais... un peu plus de précisions de ta part auraient été appréciées je crois (sincèrement), Quand on y pense... à quoi bon débarquer dans cette discussion avec une telle remarque qui ne peut que semer la confusion chez le visiteur ? Un petit MP au helper qui te précède aurait très bien fait l'affaire, en supposant que l'état de l'OS lui avait momentanément échappée (ce dont je doute, mais bon...). Nous n'avions pas discuté de tout ça en privé, toi et moi ? Me semble que oui... ================ Donc pour recadrer : calignas, tu peux suivre les conseils d'Apollo.01 à l'avenir. Fais abstraction du "bruit" et évite surtout d'installer le SP2 avant d'avoir le feu vert (bécane complètement propre...). @+

snooky ; Tu héberges un prog de Doug Knox ? Tu as sa permission ? http://www.dougknox.com/xp/utils/xp_securityconsole.htm Y a un copyright sur tout son matériel. @+

Bonjour cinqz Ton PC est hyper infecté et ton système d'exploitation risque d'être endommagé déjà. Tu n'as que le SP1 d'installé, donc XP est vulnérable à toutes sortes d'infections. Je vois plusieurs Bots (trojans qui peuvent installer des backdoors) en plus de Vundo qui génère des pubs. Sans les plus récentes mises à jour pour XP (SP2 minimum), ton ordi sera facilement réinfecté... Si ton XP n'est pas une version légitime, tu ne pourras pas installer le SP2. Avec les infections présentes, il est quasi incroyable de constater que l'ordi tourne toujours. Face à ces constats, je dois te dire qu'un formatage est la seule solution sûre. Nous pouvons tenter un nettoyage, mais les outils risquent de ne pas tout voir vu la présence probable de rootkits. S'il y a déjà des dégâts à l'OS, nous ne pourrons tout réparer. Je te conseille donc de sauvegarder l'essentiel de tes données et ensuite de formater. Si tu n'as pas de clé valide pour XP, il serait temps de t'en procurer une. Si tu insistes pour une tentative de nettoyage, nous pouvons essayer mais sans rien promettre. Possible que la bécane plante durant la désinfection, vu la multitude d'infections sévères, donc fais tes sauvegardes au préalable. D'ici la conclusion de cette histoire, assure-toi de déconnecter ce PC d'Internet sauf pour venir ici, car il est fort possiblement contrôlé à distance (backdoors) et peut spammer/attaquer à tout moment sans que tu ne le saches ; le terme "zombie" est approprié dans une telle situation... En attente de ta décision..

Bon Samedi, Il s'agit bien d'une partie de mon premier et seul post de la discussion (jusqu'à maintenant). Tu préfères y réfléchir, sn00ky ? Pas de soucis.. Nous sommes à tout le moins d'accord sur un tout petit point non négligeable : Active Virus Shield est un logiciel périmé. Les mises à jour détournées ne sont que les signatures virales. Le moteur d'AVS étant unique et maintenant périmé, aucune mise à jour sur celui-ci ne sera produite par Kaspersky, et encore moins par AOL. Nous parlons d'un antivirus résident, avec boucliers, sur lequel les utilisateurs veulent et doivent avoir confiance. Sans mise à jour du moteur, c'est pour quand les bugs et incompatibiltés ? Tu vas MP tous les fanatiques qui bouffent ton illusion AVS à l'heure même où ça se produira pour leur dire :"Euh les mecs c'est terminé AVS là... faut mettre autre chose sinon soucis avec vos bécanes..." Mouais. Kaspersky par ci et Kaspersky par là. Tu aimes bien Kaspersky, ben moi aussi justement. Parlons des vraies choses alors : AVS était construit avec moteur KAV 6.0 allégé (non ?), et maintenant KAV tourne sous moteur 7.0 avec tous ses modules. Le choix est plus que clair pour fanatiques de KAV : acheter KAV 7.0 (ou KIS selon les besoins). Je fais de la pub pour Kaspersky ? C'est vrai qu'il est bon, avec support et tout et tout @+

Bonjour à toutes et tous ; sn00ky : tu devras m'expliquer quelques trucs, car là moi c'est un peu la confusion... Tu es très enthousiaste, pas de doutes, avec liens vers ton site à l'appui. AVS n'est plus distribué par l'éditeur. Les mises à jour ont été bloquées. Ce soft est donc périmé, mais tu insistes... Je t'invite à lire ceci : http://www.activevirusshield.com/antivirus...of_services.adp ..bien attentivement. Les lois sont sous la gouverne de l'état de Virginie (US). Tu connais le système judiciare américain ? Plus spécifiquement celui de la Virginie ? Lol... à faire dresser les poils... Ton "Skin sans AOL" est tout à fait illégal. La distribution du fichier d'installtion + clé d'activation : illégal ? Ça ne serait que logique. Le détournement des mises à jour sans accord formel de Kaspersky Labs : illégal ? Sûrement... à moins que tu ne possèdes des avis légaux me prouvant le contraire. Laissons de côté les légalités pour un petit moment, quoique... Tu pousses et insistes que nos membres devraient installer AVS, alors que ce dernier n'est plus distribué légalement et n'est plus supporté par ses développeurs. Dans le cas d'un antivirus, le dernier point est plus qu'important. Pourquoi ? Tu es sûrement au courant que des failles éventuelles peuvent être exploitées dans tout soft, que des modifications au niveau d'un système d'exploitation (MAJ de Windows par exemple) peuvent entraîner des modifications au niveau de certains programmes - dont les antivirus - permettant le fonctionnement optimal de ces derniers. Ben là, sans support et sans mises à jour du prog/moteur d'AVS possible... toute prescription de ce dernier évoque un comportement irresponsable... En espérant avoir été clair ? @+

Bonjour Michel, Bruce, riri ; riri : tu fais preuve de beaucoup d'enthousiasme et tu sembles prêt à aider les membres avec tes connaissances. C'est très bien ! Par contre, permets-moi de te signaler que l'optimisation d'un système infecté doit attendre... Pourquoi attendre ? Ben simplement parce que l'optimisation d'un système n'est pas simple, requiert beaucoup de lecture de la part du membre et détourne l'attention qui doit être portée sur la désinfection - avant tout. Michel t'a mentionné, dans un post précédent, qu'il n'y comprenait pas grand chose à liste de PacMan, donc il ne faut pas persister, et offrir des explications et consignes claires plutôt que des liens "généraux". Pour la lenteur du système, il est important de laisser Bruce terminer la désinfection... Tu vois tous ces trucs de WinAntiSpyware 2006 dans le log d'AVG-AS ? Ça peut expliquer bien des choses... Si tu ne traites pas l'infection (ou les infections) dès le départ et tu discutes "optimisation", le membre va vite se décourager et possiblement quitter ou formater... Il est donc essentiel de prioriser tes interventions, et surtout de ne pas créer de confusion. Michel : suis les conseils de Bruce pour l'instant, et après on verra pour l'optimisation. Bonne continuation

Bon Dimanche !, et merci pour les logs Ça semble Ok maintenant. Il semble te rester un petit fichier à renommer par contre (de l'infection CurePCSolutions), qui est celui-ci : C:\Documents and Settings\Romain\Mes documents\Ma musique\iTunes\iTunes Music Library.xml.exe -------------------------------------------------- Ensuite, faisons un peu de ménage dans ces fichiers "en double" résultants de l'infection AWF ; tu peux supprimer les dossiers "bak" suivants, via l'Explorateur Windows : C:\APPS\ActivBoard\bak << C:\Program Files\AntiVir PersonalEdition Classic\bak << C:\Program Files\iTunes\bak << C:\Program Files\QuickTime\bak << C:\Program Files\Logitech\Video\bak << C:\Program Files\MouseWare\system\bak << C:\Program Files\Java\jre1.5.0_06\bin\bak << Si tu as bien désinstallé "SoftPerfect Personal Firewall" par "Ajout/Supression de programmes" (Panneau de Config), alors tu peux supprimer ce dossier également : C:\Program Files\SoftPerfect Personal Firewall << -------------------------------------------------------- Nous allons mettre ta machine Java à jour maintenant : Va dans le Panneau de Configuration et double clique sur l'icône Java (tasse de café) ; - Choisis l'onglet "Mise à jour" (au haut) - Clique sur "Mettre à jour maintenant" - La nouvelle version te sera proposée (5.0 Update 10) : installe-la s'il te plaît - Quitte le panneau de config Java - Du Panneau de Config (de Windows), va dans "Ajout/Suppression de programmes" ; - Désinstalle/supprime toutes versions de Java antérieures à 5.0 Update 10, qui ressembleront à ceci: J2SE Runtime Environment 5.0 Update 6 >> Ne garde que la Update 10 -------------------------------------------------------- Un dernier truc, et non le moindre... il faut mettre Windows à jour ! Tu n'as aucun Service Pack donc ton Windows est quasi 6 ans en retard sur les mises à jour critiques. Sans le Service Pack 2, ton ordi est extrêmement vulnérable aux attaques de toutes sortes. Visite donc Windows Update et installe toutes les mises à jour critiques. Sans ces mises à jour, ce n'est qu'une question de temps (très peu de temps..) avant que tu ne sois infecté à nouveau. Dis -nous comment elle tourne ta bécane à présent Dans une dernière étape, je te ferai supprimer quelques outils que nous t'avons fait utiliser (qui ne sont plus nécessaires), et je te donnerai quelques conseils supplémentaires de sécurisation. @+

Bonsoir William, C'est normal que tu ne puisses ouvrir les fichiers à ce stade-ci. Il reste une manip à faire afin de les récupérer. Régis est absent pour l'instant, mais il te postera ce qu'il faut faire. L'outil CureIt a bien bossé. Pourrais-tu poster un nouveau log HijackThis! en attente de Régis s'il te plaît ? Merci... Bonne continuation.

Me revoilà Je voulais poster hier, mais le forum était HS. Alors voici la suite, sans plus tarder ; ========================= Lance un nouveau fichier du Bloc-notes ("Démarrer" >> "Tous les programmes" >> "Accessoires" >> "Bloc-notes") Copie/colle tout le contenu de la boîte "Code" ci-bas dans ce nouveau fichier (n'inclus pas le mot "Code") ; @echo off If exist "C:\APPS\ActivBoard\bak\MMKeybd.exe" copy "C:\APPS\ActivBoard\bak\MMKeybd.exe" "C:\APPS\ActivBoard" If exist "C:\Program Files\SoftPerfect Personal Firewall\bak\fw.exe" copy "C:\Program Files\SoftPerfect Personal Firewall\bak\fw.exe" "C:\Program Files\SoftPerfect Personal Firewall" If exist "C:\Program Files\Logitech\Video\bak\ISStart.exe" copy "C:\Program Files\Logitech\Video\bak\ISStart.exe" "C:\Program Files\Logitech\Video" If exist "C:\Program Files\Logitech\Video\bak\LogiTray.exe" copy "C:\Program Files\Logitech\Video\bak\LogiTray.exe" "C:\Program Files\Logitech\Video" If exist "C:\Program Files\MouseWare\system\bak\EM_EXEC.EXE" copy "C:\Program Files\MouseWare\system\bak\EM_EXEC.EXE" "C:\Program Files\MouseWare\system" If exist "C:\Program Files\Java\jre1.5.0_06\bin\bak\jusched.exe" copy "C:\Program Files\Java\jre1.5.0_06\bin\bak\jusched.exe" "C:\Program Files\Java\jre1.5.0_06\bin" Ensuite, clique sur le menu "Fichier" (du Bloc-notes) >> "Enregistrer sous..." ; - Nom du fichier : Fix.bat - Type : Tous les fichiers - Enregister dans : (au haut) : Bureau - Clique "Enregistrer" Lis bien ce qui suit, car tu ne pourras pas accéder au forum du mode Sans Échec (écris ou imprime-le s'il le faut) ; Redémarre l'ordi en mode Sans Échec ; au redémarrage, tapote la touche F8 ; un écran de choix de démarrages apparaîtra. Avec les flèches du clavier, choisis le mode "Sans Échec", puis valide avec "Entrée". Choisis ton compte usuel. Du Bureau, lance le fichier Fix.bat (icône = petite fenêtre avec engrenage dedans). Tout se fera très rapidement. Redémarre en mode Normal. ----------------------------------- Télécharge DelDomains.inf (de Mike Burgess) sur ton Bureau. **Si tu utilises FireFox : fais un clic droit sur le lien et choisis "Enregistrer la cible du lien sous..." , puis enregistre sur le Bureau. Fais un clic droit sur le fichier, puis choisis "Installer" du menu contextuel. Le script s'installe rapidement et aucune confirmation ne sera affichée à l'écran; ceci est normal. Télécharge ResetProtocolDefaults.reg et enregistre-le sur le Bureau. **Si tu utilises FireFox : fais un clic droit sur le lien et choisis "Enregistrer la cible du lien sous..." , puis enregistre sur le Bureau. Double-clique sur le fichier téléchargé, et accepte de l'exécuter À l'invite "Voulez-vous vraiment ajouter les informations... au registre ?" : clique "Oui" Redémarre à nouveau pour valider les changements (en mode Normal). Dis-nous si ton parefeu fonctionne maintenant. S'il ne fonctionne toujours pas, alors je te conseille de le désinstaller, puis d'installer Kerio (de Sunbelt), que tu trouveras ici : http://www.01net.com/windows/Internet/inte...ches/22418.html Un très bon tuto ici (merci à Malekal_morte ) : http://www.malekal.com/kerio_firewall.html Repasse l'outil FindAWF, puis poste son nouveau rapport ici, avec un tout nouveau log HijackThis! s'il te plaît. Bon succès

Merci pour le rapport, et les explications L'infection AWF a infecté certains exécutables, dont celui du parefeu. Ce même fichier a été détruit par AVG-AS, donc le parefeu ne fonctionne plus. Par contre, l'infection déplace les fichiers sains vers des répertoires adjacents, donc nous pouvons les récupérer sans réinstaller les programmes. Bruce et moi pourrons maintenant regarder ça ensemble et te poster une manip - très bientôt. Je ne connais pas ce parefeu par contre ; est-il bon ? AntiVir fonctionne bien lui ? Son exécutable a été ciblé par AWF également, mais il semble que tu aies fait une MAJ qui a réinstallé un fichier sain.. La suite bientôt

Bonsoir OMthebest 61 fichiers... ça va te faire un peu de boulot ! L'outil CureIt semble avoir bien fait le travail, et il affiche en Français maintenant ? Wow.. Il a détecté/supprimé quelques petites bestioles (très bien), plus quelques fichiers légitimes qui appartiennent à SmitfraudFix et SDFix (pas grave, car tu n'as plus besoin de ces outils de toute façon..). Il nous reste donc quelques fichiers à déplacer, associés à l'infection AWF. Avant d'attaquer, j'aimerais que tu nous dises si ton parefeu fonctionne... et poste un nouveau rapport HijackThis! également, s'il te plaît. [edit]J'avais pas vu ta question pour le parefeu : tu devrais avoir un icône pour celui-ci près de l'horloge (en bas à droite) ; double-clique sur l'icône afin d'ouvrir le programme. Sinon, clique sur "Démarrer" >> "Tous les programmes", puis lance-le (SoftPerfect Personal Firewall). S'il refuse d'être lancé, ça confirmera qu'il est hors service..[/edit] Merci, et à bientôt !

Hi James I've just received your message. Just so that folks following this will understand, I'll review quickly what we've discussed, along with what you did to resolve this infection Dr.Web did not reply to your support request ; too bad.. In the meantime, we had another victim with the same infection ; files were sent for analysis, and some of our experts were able to crack the code, allowing infected files to be cured. My thanks to them After I contacted you yesterday with a brief description of where we stood, you decided to follow instructions from the other topic (given by me). I would have preferred we do it here, in this topic, but I can live with the outcome ! You ran the antivirus tool (Dr.Web CureIt), which repaired the files, and then you manually removed the double extensions (.exe) attached to those infected files. Your files are now usable again You've also told me that AVG Antivirus now detects the infected files ; one problem though... the files are deleted instead of being repaired. I'm guessing they found their way to the Virus Vault (quarantine), so you were able to recover them from there. Thanks for the heads up on that one =============================== Now, in order to bring some closure to this ordeal, could you please post the CureIt report, as well as a new HijackThis! log ? Let us know how things are going with the computer. Thanks.. Mark.

Rebonjour vous deux Bon, nous avons une technique pour réparer les fichiers atteints par l'infection associée à ce CurePCSolutions. Merci à toi d'avoir uploadé les fichiers, tels que demandés. Pour l'infection AWF, nous pouvons attendre un brin ; il y aura quelques fichiers à déplacer. J'aimerais juste que tu nous dises si ton parefeu fonctionne, car l'exécutable de celui-ci semble avoir été détruit. Fais nous savoir dans ta prochaine réponse Ok la suite maintenant ; =============================== Télécharge Dr.Web CureIt sur ton Bureau: ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe Double clique drweb-cureit.exe et accepte le lancement du "Express Scan" Ce scan rapide permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton "Yes" à l'invite. Lorsque le scan rapide est terminé, Clique sur Options >> Change settings ; Choisis l'onglet "Scan", et décoche "Heuristic analysis". De retour à la fenêtre principale : active (coche) les lecteurs qui doivent être scannés; Choisis tous les lecteurs. Un point rouge t'indiquera les lecteurs sélectionnés. Clique la flèche verte sur la droite, et le scan débutera. Clique Yes to all à l'invite de "cure/move" le fichier détecté. Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés : Si oui, alors clique dessus et ensuite clique sur l'icône "Next", au dessous, et choisis Move incurable, tel que présenté dans cette image : Du menu principal de l'outil, au haut à gauche, clique sur le menu File et choisis Save report list Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv Ferme Dr.Web Cureit Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage. Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse. Un tuto en images complet est disponible ici (merci à Malekal_morte) : http://www.malekal.com/tutorial_DrWebCureIt.php ------------------------------------------------------------------------ Tu peux maintenant tenter de retirer les extensions .exe indésirables, manuellement. Pour le faire, tu n'as qu'à faire un clic droit sur le fichier >> "Renommer", puis enlève la double extension. Valide avec "Entrée", puis essaie d'ouvrir le fichier en le double cliquant. Donc poste le rapport de CureIt, dis nous pour le parefeu et pour les fichiers réparés. Bon succès... @+

Bonsoir vous deux, et désolé pour le délai de réponse. Merci pour l'upload du fichier, OMthebest En regardant les fichiers captés pas SDFix, j'espérais que l'un d'entre eux puissent nous donner une piste quant à la méthode d'encryption. Ce n'était pas le cas. Cependant, certains experts aimeraient bien analyser l'un de ces fichiers encryptés.. Pourrais-tu, s'il te plaît, refaire un upload chez TheSpyKiller, mais cette fois-ci avec l'un de tes fichiers .mp3 qui possèdent la double extension .mp3.exe ? Ça serait vraiment chouette.. Tu n'as qu'à suivre ma manip précédente ; cette fois-ci, comme titre, indique "Encrypted file for AndyManchesta - CurePCSolutions". En cliquant "Parcourir", cible l'un de ces fichiers encryptés (celui de plus faible taille, de préférence..). Ceci pourrait donner suite à une méthode de décodage. ========================== Tu peux poursuivre avec l'outil FindAWF sans soucis. Bonne continuation, et je vous tiens au courant.. @+

Bonjour vous deux Petite intrusion rapide de ma part. OMthebest ; j'ai besoin d'un petit service ! Va sur ce forum : http://www.thespykiller.co.uk/forum/index....1&board=1.0 ...et clique sur "New Topic" (en haut à droite de l'index des discussions). Pas nécessaire de t'enregistrer sur ce forum pour poster. Tape ton pseudo et adresse email. Comme titre ("Subject") de discussion, mets "File for AndyManchesta", et dans le post, colle le lien vers cette discussion-ci, soit : http://forum.zebulon.fr/index.php?showtopic=111010&st=60 Maintenant; clique sur le bouton "Parcourir", au bas de la fenêtre de message, et recherche ce fichier: C:\SDFix\backups\backups.zip ...double-clique dessus, et clique sur le bouton "Post" afin de soumettre ton message (et fichier joint). Merci =================== Suite au upload du fichier, prière de poursuivre avec les manips de Bruce @+

Bon matin Bon Ok, vu que ce n'est pas ta bécane, je ne posterai pas de long discours de prévention/sécurisation. Allons-y avec l'essentiel par contre ; La suite BitDefender est très bonne, donc on la laisse ; assure-toi simplement qu'elle se met à jour correctement (MAJs automatiques). Pour CCleaner ; très bon tool à utiliser fréquemment. Par contre, lorsque je regarde les logs, je constate qu'il y a plusieurs fichiers infectés qui auraient dû être virés par ce dernier. Le mode Sans Échec est à prescrire pour la suppression des "temp" lorsque la bécane est infectée (en Normal sinon). As-tu bien suivi le tuto proposé par Mykerinos ici ? : http://www.tutopat.com/viewtopic.php?t=305 Juste une petite option que j'aime bien modifier avec ce tool par contre : - Lance l'outil et clique sur "Options" (au haut à droite), puis sur l'onglet "Propriétés" - Décoche : "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures". Je regarde ma version ici, et je constate qu'elle est bien différente de celle dans le tuto... Donc ici, l'option dont je te parle se modifie comme ceci : - Lance l'outil et clique sur "Options" (à gauche), puis sur "Avancé" - Décoche : "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures". ------------------------------------------------------------------------------- Pourquoi ont-ils chopé ce truc ? Bonne question... Les meilleures protections ne suffisent pas à tout stopper. La porte d'entrée est souvent le doigt qui se pose sur la souris, au mauvais endroit au mauvais moment.. Même le meilleur parefeu ne peut rien faire lorsqu'une règle est créée, souvent par mégarde ou par témérité. Certains fichiers sont tellement virulents qu'ils peuvent déjouer presque tous les bloqueurs. Par contre, de bonnes protections font beaucoup, et protègent contre plusieurs bestioles. En surfant prudemment, avec de bonnes protections, les risques sont quasi zéro. Les cracks, sites de cracks et fichiers téléchargés par P2P sont à éviter comme la peste... Ceci dit, je te suggère donc de leur installer un anti-spy gratuit avec boucliers ; je pense à Windows Defender, qui n'est peut-être pas le plus fort, mais vu que je fais affaire avec toi et non eux... je préfère y aller avec du gratos plutôt qu'avec un prog qui devient payant et qui risque d'être désinstallé rapidement. Voici le lien : http://www.microsoft.atat.at/switzerland/a...re/default.mspx Si tu l'installes, tu devras désinstaller Spy Sweeper ; deux anti-spy avec boucliers peuvent entrer en conflit. Je leur conseille également SpywareBlaster (en version gratuite) : http://www.javacoolsoftware.com/spywareblaster.html Celui-là "immunise" contre plusieurs bestioles, sans tourner en arrière-plan. Tout ce qu'il faut faire, c'est de le mettre à jour aux deux semaines, environ, puis on le ferme. ---------------------------------------------------- J'arrête là pour les outils. Des problèmes à désactiver la Restauration système ? Hmmm... La petite case "Désactiver la Restauration du système sur tous les lecteurs" est bien cochée ? Étrange.. Pour ce qui est du scandisk et defrag : excellent Je constate également que Windows a été réinstallé dans un répertoire autre que C:\Windows C'est souvent un signe qu'il y a eu des problèmes majeurs avec le système auparavant... faudrait peut-être envisager une réinstallation "propre" (avec formatage) dans un avenir pas trop lointain, si la lenteur persiste. Voilà Si questions ou problèmes, te gênes surtout pas. Et je salue Myk au passage pour l'excellent travail @+

Bien joué Zoin Nous avons posté en même temps, donc je n'avais pas lu ton dernier post.. Merci pour le log HijackThis! On va te faire un petit nettoyage ; ========================== Lance HijackThis! et clique "Do a system scan only", puis coche ces lignes : -------------------------------- O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINXP\system32\ahtjuxwf.dll (file missing) O2 - BHO: (no name) - {9BC958DA-2F9B-4B5B-8E84-D1CB623518D4} - C:\WINXP\Registration\smvcvdd.dll (file missing) -------------------------------- Ferme toutes les autres fenêtres ouvertes, sauf HijackThis!, et clique "Fix checked". Voilà pour l'instant. Tu peux revenir après les Fêtes s'il y a des dysfonctionnements avec le PC. Nous pourrions sécuriser le tout un brin également. Le prog BitDefender qui est installé est-il une suite avec parefeu ou juste un antivirus ? Impossible de savoir en consultant le rapport HijackThis!.. Pour l'instant, tu as les boucliers de Spy Sweeper qui protègent assez bien contre les spywares, mais ça ne durera que deux semaines. On pourra te suggérer d'autres progs Elle tourne bien la bécane ? @+

Rebonsoir vous deux, Merci pour l'upload du fichier ; il est bien chez Uploadmalware Ce dernier représente possiblement une toute nouvelle variante de Vundo, alors le développeur appréciera de l'avoir sous la dent J'espère ne pas avoir trop semé la confusion avec mes interventions plutôt rapides Zoin : si tu ne sais plus trop quoi faire à ce stade-ci, poste un nouveau log HijackThis! et nous pourrons te prescrire la suite avec un peu plus de méthodologie (c'est moi qui ai brisé le tempo..). De toute façon, nous aimerions voir un nouveau log HijackThis! peu importe où tu en es. Merci, et @+ Mark.