oGu

Re! Tu peux supprimer C:\Qoobox.zip, + tout ce qui est lié à USBFix maintenant. Conserve Malwarebytes et ESET Online Scanner, qui sont deux outils efficaces qui peuvent cohabiter avec Antivir? Chaque trimestre, scanne ton PC avec ses deux outils, et viens poster s'ils trouvent quelque chose. Pour le "virus" trouvé apr Antivir, c'est sans danger car il est dans la zone de restauration : nettoie-la à nouveau en suivant la méthode de nettoyage du début du message 64 : http://forum.zebulon.fr/index.php?s=&s...t&p=1443186 Veux-tu que l'on essaie de sécuriser ton PC maintenant que ta machine est propre?

USBFIX Connecte TOUS tes supports amovibles comme clés usb, carte flash, disque externe, lecteur mp3, etc. Relance USB Fix et choisis cette fois l'option 2, valide avec la touche Entrée. Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal. Le nettoyage va prendre quelques minutes... Appuies sur OK sur la fenêtre d'informations. Le fix peut avoir besoin de redémarrer l'ordinateur, un message t'en avertit, tu dois donc appuyer sur une touche. Au redémarrage, le fix se relance... laisse l'opération s'effectuer. Un rapport de nettoyage est proposé... appuies sur une touche pour ouvrir ce rapport. Colle le rapport ici stp. USBFIX Même méthode, mais cette fois-ci sélectionne l'option 3 (vacciner) et poste le rapport. OTMOVEIT 3 Relance OtMoveIt 3 et clique sur le bouton "Clean Up"! Un message d'alerte apparaît ("Begin cleanup process ?"): clique sur YES Ferme enfin tout ce que tu étais en train de faire (navigateur, etc...) et clique sur Yes à la demande de redémarrage: Au redémarrage les outils utilisés auront été supprimés, y compris OtMoveIt 3 !

Re! Je ne vois plus rien de méchant, ta machine est propre maintenant! On va donc vacciner tes clés USB puis supprimer les outils que nous avons utilisés : 1- DEFOGGER Double clique sur DeFogger pour démarrer l'outil. La fenêtre de DeFogger apparaît Clique sur le bouton Re-enable pour réactiver les drivers d'émulateurs CD. Clique sur Oui pour continuer Un message 'Finished!' apparaîtra Clique sur OK DeFogger demandera de redémarrer la machine, dis OK 2- OTM Télécharge OTM de OldTimer sur ton Bureau en cliquant sur cette image: Double-clique sur OTM.exe pour le lancer (l'extension .exe peut ne pas apparaître) Copie l'entièreté du code ci-dessous (qui commence par GO OTM GO !) : GO OTM GO ! :Processes explorer.exe :Files c:\windows\system32\drivers\rk_remover.sys C:\Documents and Settings\Favrel\Bureau\TDSS_REMOVER C:\Documents and Settings\Favrel\Bureau\image_tdss.JPG C:\Documents and Settings\Favrel\Bureau\CFScript.txt C:\Documents and Settings\Favrel\Bureau\Load_tdsskiller.exe C:\Documents and Settings\Favrel\Bureau\Defogger.exe C:\tdsskiller :Services rk_remover :Commands [emptytemp] Colle ce code sous la partie jaune de OTM intitulée : "Paste Instructions for Items to be Moved" Clique sur le bouton Moveit! pour lancer le nettoyage : Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results --> Un rapport sera généré dans le dossier C:\ _OTM\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log) Ferme OTM en cliquant sur Exit : Note : Si un fichier ou un dossier ne peut être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter. 3- USBFIX Connecte TOUS tes supports amovibles comme clés usb, carte flash, disque externe, lecteur mp3, etc. Télécharge USBFix de C_XX & Chiquitine29 sur ton Bureau en cliquant sur cette image : Double-clique sur le fichier pour l'installer. Double-clique sur le raccourci pour exécuter l'outil Sélectionne 1 puis laisse l'outil travailler Poste le rapport généré apr USBFix dans ta réponse DESINSTALLER COMBOFIX Copie cette ligne en rouge ComboFix /uninstall Clique sur Démarrer, puis sur Exécuter: une fenêtre d'invite s'ouvre. Colle la ligne rouge que tu as préalablement copiée dans la fenêtre d'invite Appuie sur OK pour valider

Salut! Quelques pistes ici : http://www.libellules.ch/lns_off.php

Salut! Ce genre de logiciel n'est pas utile, et peux même supprimer des clés utiles si l'on n'est pas vigilant. En +, il existe de très nombreux freewares qui font exactement le même travail. Je crains que tu ais perdu 40 euros pour pas grand chose!!

Re! J'ai de bonnes nouvelles :il n'y a plus de traces du rootkit, et un indice important indique qu'il n'est plus là ! NETTOYER LES POINTS DE RESTAURATION Ils présentent des restes d'infection: ils sont donc inutilisables et doivent être supprimés, puis remplacés. Va dans le menu "Démarrer" Clique droit sur l'icone "Poste de travail" Dans l'onglet "Restauration du système", sélectionne "Désactiver la Restauration du système sur tous les lecteurs". Clique sur "Appliquer." Lorsque le message de confirmation apparaît, clique sur "Oui" Clique enfin sur "OK". Redémarre Puis: Va dans le menu "Démarrer" Clique droit sur l'icone "Poste de travail" Dans l'onglet "Restauration du système", décoche la case "Désactiver la Restauration du système sur tous les lecteurs". Clique sur "Appliquer." Lorsque le message de confirmation apparaît, clique sur "Oui" Clique enfin sur "OK". UPLOAD DES FICHIERS J'aimerais récupérer la quarantaine de ComboFix pour travailler dessus. Rends-toi sur ton disque C:\ et clique droit sur C:\Qoobox\, puis choisis "envoyer vers"--->"dossier compressé". Si un message apparaît, réponds OUI. Uploade ensuite le dossier C:\Qoobox.zip sur le site SENDUIT: clique sur ce lien: http://www.senduit.com/ puis sélectionne le zip en cliquant sur "parcourir". Donne-lui une durée de vie de 72 heures en réglant la catégorie "Expire in" sur "3 days". Uploade ensuite le zip en cliquant sur le bouton "Upload". SENDUIT va générer le lien vers le fichier, avec une adresse de type http://senduit.com/xxxxxx: communique-moi ce lien en m'envoyant un message privé. CRÉATION/EXÉCUTION D'UN CFSCRIPT Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement. Télécharge ce CFSCript que j'ai codé pour ta machine en cliquant sur cette image : Sauvegarde ce fichier sur ton Bureau ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser sur un autre PC sous risque de plantage!! Désactive ton antivirus et ton antispyware Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe ComboFix sera lancé. Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. ComboFix peut exiger un redémarrage pour compléter son travail. Accepte. Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran. Soumet le fichier en cliquant "OK" Enfin, poste le rapport suivant dans ta prochaine réponse : - Combofix.txt (il est stocké ici: > C:\ComboFix.txt)

C'est un fichier qui va désinstaller un driver de Daemon Tools, vu qu'il nous empêche de faire la lumière sur l'infection de ton driver atapi.

Salut! Tu as tort, mais c'est ta machine ! Avast a des semaines de retard dans la prise en charge des nouveaux virus : c'est simple, quand on leur envoie un nouveau fichier infectieux, il faut 15 jours pour qu'il soit détecté, là ou Panda, Antivir, Kaspersky mettent 48 à 72 heures. C'est ça qu'on reproche à Avast, et seulement ça. A bientôt!

Salut! Deux choses à faire : restaurer les fichiers supprimés par erreur (ils doivent être dans la quarantaine d'Avast) OU réinstaller les logiciels dont tu parles si les fichiers ont été purement et simplement supprimés, puis remplacer Avast par Antivir, gratuit lui aussi mais bien plus efficace.

Re! On continue : Télécharge ce fichier : http://www.duplexsecure.com/download/SPTDinst-v162-x86.exe Exécute-le, et clique sur "uninstall" quand proposé. Puis : CRÉATION/EXÉCUTION D'UN CFSCRIPT Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement. Télécharge ce CFSCript que j'ai codé pour ta machine en cliquant sur cette image : Sauvegarde ce fichier sur ton Bureau ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser sur un autre PC sous risque de plantage!! Désactive ton antivirus et ton antispyware Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe ComboFix sera lancé. Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. ComboFix peut exiger un redémarrage pour compléter son travail. Accepte. Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran. Soumet le fichier en cliquant "OK" Enfin, poste le rapport suivant dans ta prochaine réponse : - Combofix.txt (il est stocké ici: > C:\ComboFix.txt) Enfin : OTL Télécharge OTL de OldTimer sur ton Bureau en cliquant sur ce lien : http://oldtimer.geekstogo.com/OTL.exe Double clique sur son icône pour le démarrer. Assure toi d'avoir fermé le maximum de fenêtres ouvertes, avant ce qui suit. Sous l'emplacement "Custom Scan" copie colle le contenu de cette boite CODE : %SYSTEMDRIVE%\*.exe /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys /md5stop Clique sur le bouton "Quick Scan". Ne change aucun réglage, sauf si on te le demande. Le scan sera rapide. A la fin du scan, le bloc-notes s'ouvrira, avec dedans OTL.Txt et Extras.Txt. Ce sont deux fichiers de rapports, sauvegardés sur ton Bureau. Copie-colle le contenu de ces fichiers dans ta prochaine réponse.

Salut! Désinstalle Kaspersky, sinon ses drivers risquent d'interférer avec Antivir. Tu peux supprimer ce fichier trouvé par Antivir : C:\32788R22FWJFW\n.pif Puis : OTL Télécharge OTL de OldTimer sur ton Bureau en cliquant sur ce lien : http://oldtimer.geekstogo.com/OTL.exe Double clique sur son icône pour le démarrer. Assure toi d'avoir fermé le maximum de fenêtres ouvertes, avant ce qui suit. Sous l'emplacement "Custom Scan" copie colle le contenu de cette boite CODE : %SYSTEMDRIVE%\*.exe /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys /md5stop Clique sur le bouton "Quick Scan". Ne change aucun réglage, sauf si on te le demande. Le scan sera rapide. A la fin du scan, le bloc-notes s'ouvrira, avec dedans OTL.Txt et Extras.Txt. Ce sont deux fichiers de rapports, sauvegardés sur ton Bureau. Copie-colle le contenu de ces fichiers dans ta prochaine réponse. RAPPORT ANTIVIR Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Fais redémarrer ton ordinateur Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). Nota: sur certains PC, il faut appuyer sur F5 et non sur F8 Nota: si le Mode sans échec ne veut pas se lancer, n'insiste pas et signale-le dans ta prochaine réponse A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte habituel Connecte tes clés USB et ton disque dur externe si tu en as Puis lance un scan Antivir et supprime tout ce qu'il te trouve. Poste le rapport qu'Antivir va générer

Salut! Tout ça me paraît bon! On fignole avec quelques retouches, puis on passera au problème IncrediMail...Par ailleurs ton PC manque un peu de mémoire vive (seulement 18µ de mémoire libre en charge). Profite des rattrapages salariaux de décembre pour investir dans une barrette de 512 MO !! OTM Télécharge OTM de OldTimer sur ton Bureau en cliquant sur cette image: Double-clique sur OTM.exe pour le lancer (l'extension .exe peut ne pas apparaître) Copie l'entièreté du code ci-dessous (qui commence par GO OTM GO !): GO OTM GO ! :Processes explorer.exe :Files C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Program Files\Google\Update\GoogleUpdate.exe C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job C:\Program Files\Softwin\BitDefender10\bdfsdrv.sys C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3BB63FD4-3C00-44D7-94A9-5DE211900DEF}] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\Program Files\eMule\emule.exe"=- "C:\eMule\emule.exe"=- :Services gupdate gusvc BDFSDRV BDRSDRV CLTNetCnService :Commands [start explorer] Colle ce code sous la partie jaune de OTM intitulée: "Paste Instructions for Items to be Moved" Clique sur le bouton Moveit! pour lancer le nettoyage: Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results --> Un rapport sera généré dans le dossier C:\ _OTM\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log) Ferme OTM en cliquant sur Exit: Note : Si un fichier ou un dossier ne peut être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter. MALWAREBYTES ANTI-MALWARE Lance-le en double-cliquant sur son raccourci Connecte tes clés USB et ton disque dur externe Rend-toi dans l'onglet "Mise à jour" et clique sur "Recherche de mise à jour" Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche" Sélectionne "Exécuter un examen complet": Clique sur "Rechercher" Dans la fenêtre qui s'ouvre, coche toutes les cases pour analyser la totalité des disques: Le scan se lance A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs et clique en bas sur "Afficher les résultats" Si des malwares ont été détectés, leur liste s'affiche. En cliquant sur "Supprimer la sélection" , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le Redémarre ton PC ESET ONLINE SCANNER Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce logo: Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur" Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start" Une fois le scanner installé, configure-le en décochant la case "Remove found threats" et en cochant la case "Scan archives" Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats": Une nouvelle fenêtre aparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close" Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse Nota : ce scan peut être très long et prendre plusieurs heures. Et enfin, Incredimachin : INCREDIMAIL Attention:IncrediMail est un programme que l'on déconseille très fortement depuis des années: il collecte des informations personnelles te concernant et en fait un usage commercial; en cela il se rapproche d'un spyware! En l'installant sur ta machine, tu acceptes ces conditions de collecte d'informations. Voici le point 7 de l'EULA (End User License Agreement, en français CLUF, Contrat de Licence Utilisateur Final) que tu valides et acceptes en installant le programme : On constate qu'IncrediMail récupère les informations concernant, entre autres, les pages web que tu visites, le prix de ce que tu achètes en ligne, etc...! Pour en savoir plus à ce sujet,Pierre Pinard (Consultant en sécurité informatique, sur Assiste.fr) a écrit un article édifiant: Article sur les pratiques d'espionnage d'Incredimail On peut y lire que même les instances de l'Union Européenne se sont penchées sur les manquements à la vie privée provoqués par ce logiciel.... Je te conseille de te passer d'IncrediMail et de le remplacer par Thunderbird, un courrielleur gratuit, sécurisé et très complet, édité par Mozilla. Grâce à un autre logiciel, tu vas récupérer tout tes mails, réglages, adresses etc...contenus dans IncrediMail et les importer directement dans Thunderbird: ainsi tu ne perdras rien, et tu auras un courrielleur sain! INSTALLER THUNDERBIRD Télécharge Thunderbird de Mozilla en cliquant sur cette image: Installe-le en double-cliquant sur le fichier téléchargé. RÉCUPÉRER TES MAILS, ADRESSES ET RÉGLAGES DE COURRIER Télécharge la version d'essai de IncrediMail Backup Pro de Koyote Software en cliquant sur cette image: Installe-le et récupère tes données en suivant ce tuto de Falkra: Tuto de récupération des données de courrier Enfin, importe ces données directement dans Thunderbird en suivant cette partie du tuto: Import des données dans Thunderbird Tu peux maintenant profiter de Thunderbird! Pour en savoir plus sur cet excellent courrielleur, clique sur cette image pour accéder au tuto complet rédigé par Falkra: Dis-moi si tu as réussi à tout récupérer avec Thunderbird, et si ce courrielleur fonctionne bien chez toi.

En vidant la quarantaine, Kaspersky supprimera les fichiers, tout simplement. Pour ma question en chinois ^^, je demandais en fait si, quand tu surfes sur Internet, tes recherches, sur Google par exemple, ésont ou non redirigées vers d'autres sites. Mais je pense que si c'était le cas, tu t'en serais aperçue. A demain!

Ok, donc on poursuit! DEFOGGER Télécharge DeFoggerde Jpshortstuff sur ton Bureau en cliquant sur cette image : Double clique sur DeFogger pour démarrer l'outil. La fenêtre de DeFogger apparaît Clique sur le bouton Disable pour désactiver les drivers d'émulateurs CD. Clique sur Yes pour continuer Un message 'Finished!' apparaîtra Clique sur OK DeFogger demandera de redémarrer la machine, dis OK Ne réactive PAS ces drivers avant que je te le dise. TDSSKILLER Télécharge load_tdsskiller de Loup Blanc sur ton Bureau en cliquant sur l'image : Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky. Lance load_tdsskiller en double-cliquant dessus : l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (le fichier est également présent ici : C:\tdsskiller\report.txt) Fais redémarrer ton PC COMBOFIX Mets à la Corbeille la copie de ComboFix présente sur ton Bureau Télécharge une copie à jour de ComboFix de sUBs sur ton BUREAU en cliquant sur cette image: Lance le scan de Combofix en double-cliquant sur Combofix.exe