oGu

Sinon, avec le Live CD Ubuntu qui écrit sur le NTFS...

S'il n'y a pas inscrit "restauration" ou "recovery", c'est que c'est bon. Pas de problème! Il n'y a pas de questions idiotes ^^ ! Tu n'as pas accès à un autre PC, au boulot, chez la voisine etc...? Dans ce cas, essaie de télécharger de ton PC alors... Tu débranches le cable Ethernet, ou tu éteins ta box si tu es en Wifi. Logiquement, oui. A+!

Tiens, tu utilises ProNote: t'es prof? Si oui, on est collègue ^^ ! D'ailleurs édite ton rapport, ton identité apparaît (nom-prénom). On poursuit: AZUREUS et PEER-TO-PEER Je note que tu as un logiciel de peer-to-peer: eMule Merci donc de relire: La Charte du forum L'article de Tesgaz sur les dangers du peer-to-peer et des cracks Le test d'eMule par Malekal Va faire un tour sur le forum de désinfection: le peer-to-peer est l'un des principaux vecteurs de virus via les cracks, keygens, fakes... le virus Bagle qui t'a infecté, tu l'as d'ailleurs téléchargé sur les réseaux en voulant trouver un crack, probablement pour un de tes nombreux jeux que tu fais tourner en NO-CD avec Daemon Tools: suis-je dans le vrai?? Merci donc de désinstaller eMule avant de poursuivre!! REPARATION DU MSE Télécharge sur ton Bureau puis exécute SafeBootKeyRepair de sUBs VIRUSTOTAL Va sur le site VirusTotal Copie cette ligne: C:\WINDOWS\iun6002.exe Colle cette ligne dans la fenêtre suivante, sur la page VirusTotal, en faisant CTRL-V: Clique sur le bouton "Envoyer le fichier" et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. CREATION/EXECUTION D'UN CFSCRIPT Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement. On va shooter quelques bricoles, EoRezo entre autre, qui est infectieux. Ouvre un nouveau fichier du Bloc-notes "Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note : KillAll:: Folder:: C:\Program Files\EoRezo C:\Documents and Settings\bob\Application Data\EoRezo File:: C:\Documents and Settings\All Users\Application Data\abqtarch DirLook:: C:\Program Files\Bases Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt ATTENTION: ce script a été conçu spécifiquement pour le cas de cet utilisateur, ne pas l'utiliser pour votre propre machine!! Désactive ton antivirus et ton antispyware Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe ComboFix sera lancé. Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. ComboFix peut exiger un redémarrage pour compléter son travail. Accepte. Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran. Soumet le fichier en cliquant "OK" Enfin, poste le rapport suivant dans ta prochaine réponse : - Combofix.txt (il est stocké ici: > C:\ComboFix.txt) QUESTION ? Tu connais ce programme? C:\program Files\Carte Blanche Il sert à quoi? HIJACKTHIS Ton HijackThis est mal installé: procède comme suit : Télécharge et installe la dernière version d' HIJACKTHIS [v2.0.2] en cliquant sur l'image: Enregistre HJTInstall.exe sur ton bureau Double-clique sur HJTInstall.exe pour lancer le programme Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis Accepte la licence en cliquant sur le bouton "I Accept" Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Ouf alors! Sans CD, c'est une galère monstre. Tu es sûr que c'est un vrai CD d'install' et pas un CD de Restauration ou Recovery CD (lis ce qu'il y a inscrit dessus, ou sur la jacquette ^^) Si c'est un vrai CD: on va réparer ton XP avec le CD, (et on va installer le SP2 au passage, tu prends des risques à surfer avec un XP troué!!): Telecharge le SP2 d'une autre connexion valide, d'un autre pc: Déconnecte-toi du net physiquement Répare XP en suivant ce TUTO. Installe enfin le SP2 en double-cliquant sur le fichier préalablement téléchargé avant de te reconnecter au net Remercie Angélique pour la procédure ^^ !

Ben non, FixWareOut n'est pas une baguette magique! Mais au moins, maintenant, ton PC ne se connecte plus sur des serveurs ukrainiens... Il reste des infections: MALWAREBYTES ANTIMALWARE (MBAM) Télécharge Malwarebytes Antimalware en cliquant sur cette image: Installe-le puis lance-le Connecte éventuellement tes clés USB et disques externes. Dans l'onglet "mise à jour", cliquer sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rend-toi dans l'onglet "Recherche" Sélectionne "Exécuter une analyse approfondie" Clique sur "Rechercher" Le scan se lance A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs Si des malwares ont été détectés, leur liste s'affiche. En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le SDFIX Je te conseille d'imprimer cette procédure pour pouvoir la suivre hors connexion internet, une fois en sans échec. Télécharge sauvegarde sur ton Bureau SDFix (créé par AndyManchesta), en cliquant sur cette image: Double clique sur SDFix.exe et choisis Install pour l'extraire à la racine de C:\. (donc: C:\SDfix ) Puis redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre ton ordinateur Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte. Suis la liste des instructions ci-dessous : Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmdpour lancer le script. Appuie sur Y pour commencer le processus de nettoyage. Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. Appuie sur une touche pour redémarrer le PC. Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum Si Sdfix ne se lance pas (ça arrive!) Démarrer->Exécuter Copier/coller ceci: %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe Cliquer ok, et valider. Redémarrer et essayer de nouveau de lancer Sdfix.

Disposes-tu d'un CD d'install' XP?

Mmmh...Es-tu sûr d'avoir copié-collé l'intégralité du rapport? HIJACKTHIS Va dans C:\Program Files\Trend Micro\HijackThis\ Clique-droit sur hijackthis.exe et choisis "renommer" (il se peut que le .exe n'apparaissent pas) Appelle-le antivundo.exe (si le .exe n'apparaissait pas, inutile de le rajouter) Clique maintenant sur yugm.exe et sélectionne "do a scan and save a logfile" Poste ce nouveau rapport.

Ce n'est pas ce fichier qui a été supprimé? Tant mieux! Mais il faut que tu en sois sûr (sûrE?) ! HIJACKTHIS Télécharge et installe la dernière version d' HIJACKTHIS [v2.0.2] en cliquant sur l'image: Enregistre HJTInstall.exe sur ton bureau Double-clique sur HJTInstall.exe pour lancer le programme Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis Accepte la licence en cliquant sur le bouton "I Accept" Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Forcèment, si Avast a supprimé le fichier légitime et vital svchost.exe, il ne trouve maintenant plus rien...Te rappelles-tu si le "virus" supprimé était celui-ci? Si oui, lis ça: http://forum.zebulon.fr/faux-positif-d-ava...sv-t145797.html

???? Tu n'es pas infecté par SmitFraud!! Lis ma procédure!!

On va réparer ton XP avec le CD, tu dois connaître, c'est plus simple que la console (eton va installer les SP au passage, tu prends des risques à surfer avec un XP troué!!): Telecharge le SP2 d'une autre connexion valide, d'un autre pc: Déconnecte-toi du net physiquement Répare XP Installe le sp2 avant de te reconnecter au net Remercie Angélique pour la procédure ^^ ! Non hélas, marche po !

Salut! Tu es infecté par Zlob, qui s'installe via de faux-codecs issus de faux sites porno... Une fois installé, il modifie le fond d'écran, affiche des alertes disant que l' ordinateur est infecté et modifie la page de démarrage pour rediriger l'internaute vers des sites afin de faire télécharger des rogues, c'est à dire des faux logiciel...Attention à ne pas traîner sur des sites chelous infectés! Par prudence (risque de perte de connexion internet), imprime cette procédure. FIXWAREOUT Télécharge FixWareOut clique sur "next" clique ensuite sur "install" active "run fixit" clique enfin sur "finish" Une fenêtre noire s'ouvre appuis sur une touche afin de démarrer le scan. clique ensuite sur "ok" pour toutes les pop-ups qui s'ouvriront Le système va redémarrer et créer un rapport ici: C:\fixwareout\report.txt Colle-le ici-même dans ton message. Si jamais tu venais à perdre ta connexion Internet après cette manipulation --> Clique sur Démarrer, puis sur Exécuter Tape cmd.exe et appuie sur Entrée Tape ensuite exactement la commande suivante : ipconfig /flushdns Va dans le panneau de configuration Double-clique sur Connexions réseau et accès à distance Sur connexion internet, faites un clic-droit et choisis propriétés Ouvre Protocole Internet TCP/ IP et clique sur propriétés Coche les cases comme sur l'image, les DNS avec 208.67 peuvent ne plus être présents !

C'est un problème courant, causé par Windows et non par ta messagerie. Essaie ceci dans un premier temps. Ferme ton courrielleur Clique sur Démarrer / Exécuter Copie cette ligne: RegSvr32 urlmon.dll Puis clique sur OK. Si cela ne corrige pas le problème, répéte l'opération avec : RegSvr32 Mshtml.dll RegSvr32 Actxprxy.dll RegSvr32 Oleaut32.dll RegSvr32 Shell32.dll RegSvr32 Shdocvw.dll RegSvr32 Actxprxy.dll RegSvr32 Browseui.dll Si le problème persiste, copie ce texte: REGEDIT4 [HKEY_CLASSES_ROOT\http\shell] @="open" [HKEY_CLASSES_ROOT\http\shell\open] [HKEY_CLASSES_ROOT\http\shell\open\command] @="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome" [HKEY_CLASSES_ROOT\http\shell\open\ddeexec] @="\"%1\",,-1,0,,,," "NoActivateHandler"="" [HKEY_CLASSES_ROOT\http\shell\open\ddeexec\Application] @="IExplore" [HKEY_CLASSES_ROOT\http\shell\open\ddeexec\Topic] @="WWW_OpenURL" Colle-le dans ton notepad (= bloc-note) Enregistre-le sous l'appelation liens-brisés.reg Puis double-clique sur le fichier que tu viens de créer et répond "ok" à la question posée. Internet Explorer redevient dès lors -hélas! -le navigateur par défaut. Si tu utilises Firefox configure Firefox manuellement comme indiqué ici:

Salut! Et oui, FP d'Avast depuis peu, les sujets à ce propos se multiplient! Disposes-tu de la consolé de récup' ou d'un CD XP pour réparer??

A tout hasard Flipo: le fichier considéré par Avast comme un virus était-il le fichier svchost.exe? Car depuis peu Avast! le supprime en le considérant comme un rootkit, alors que ce fichier est essentiel au bon fonctionnement du PC... Peux-tu essayer de confirmer?

Ok. IL y a bien une trace de Bagle, mais je ne retrouve pas les éléments basiques du rootkit. Lis attentivement ma procédure avant de te lancer. COMBOFIX SUPPRIME ComboFix.exe présent sur ton Bureau dans un premier temps. Puis télécharge à nouveau ComboFix de sUBs Au moment de l'enregistrer SUR TON BUREAU (il est impératif de le mettre sur le Bureau), renomme ComboFix en Combo-Fix (avec un tiret, donc) ATTENTION: il est impératif de renommer ComboFix AVANT de le télécharger sur ton Bureau. Si pour quelque raison que se soit, tu n'arrives pas à renommer l'outil, signale-le moi et ne va pas plus loin. Télécharge ensuite les fichiers de Console de Récupération Ici si tu disposes de XP Home/Familial Là si tu disposes de XP Pro Comme indiqué sur l'image, déplace le fichier Microsoft que tu viens de télécharger et dépose-le sur ComboFix: ComboFix va maintenant installer automatiquement la Console de Récupération Windows sur votre ordinateur, et celle-ci s'affichera en tant que nouvelle option au démarrage de votre ordinateur. La Console pourra être utile en cas de coup dur. C'est une simple précaution, qui a déjà sauvé nombre de machines! Scanne enfin ta machine avec ComboFix de sUBs en suivant rigoureusement ce tuto (sauf la partie Console de récupération que l'on a déjà effectuée !!): http://www.bleepingcomputer.com/combofix/f...iliser-combofix jusqu'à arriver à la création du rapport que tu posteras.

Salut! Bagle, on le voit rarement par HijackThis. Peux-tu s'il te plaît poster le rapport ComboFix (il est stocké ici: > C:\ComboFix.txt) ?

Salut! DESACTIVER le TEA-TIMER Ouvre Spybot Va dans le Menu "Mode" --> "Mode avancé" Confirme en cliquant sur le bouton "Oui". Clique ensuite sur "Outil" dans la barre de navigation de Spybot (volet de gauche) puis sur "Résident" Pour activer/désactiver Tea-Timer, il suffit de cocher/décocher dans le panneau central : Résident "TeaTimer" (Protection des réglages système fondamentaux) actif. SDFIX Je te conseille d'imprimer cette procédure pour pouvoir la suivre hors connexion internet, une fois en sans échec. Télécharge sauvegarde sur ton Bureau SDFix (créé par AndyManchesta), en cliquant sur cette image: Double clique sur SDFix.exe et choisis Install pour l'extraire à la racine de C:\. (donc: C:\SDfix ) Puis redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre ton ordinateur Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte. Suis la liste des instructions ci-dessous : Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmdpour lancer le script. Appuie sur Y pour commencer le processus de nettoyage. Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. Appuie sur une touche pour redémarrer le PC. Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum Si Sdfix ne se lance pas (ça arrive!) Démarrer->Exécuter Copier/coller ceci: %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe Cliquer ok, et valider. Redémarrer et essayer de nouveau de lancer Sdfix.

Salut Michte ! Oui, SMR est un clône un peu plus évolué que DMR. Peux-tu m'indiquer les exe de ces deux softs que je les rajoute dans la liste? D'ailleurs si d'autres ont testé des logiciels en droits restreints et qui fonctionnent bien avec, indiquez-le moi et je les rajouterai !

Yo! Caramel1, en attendant de confirmer que ce n'est pas du NaviPromo, tu peux sortir de la quarantaine le fichier trouvé par Antivir, qui est légitime visiblement. A+ vous 2!

Tant mieux! Saine ou pas, Flash Disinfector agit très vite. Ta carte est propre maintenant,en ademttant qu'elle ait été infectée. Oui, c'est normal. Ben si tu veux lire tes flux RSS avec Outlook, répond oui.

Ce que je te propose -mais Desh pourra te guider- c'est: de tenter de désinfecter ton PC avec le live CD Avira, qu'il te faudra graver en ISO. Mais ça m'étonnerait que cela soit suffisant! de graver sur DVD les documents de ton DD externe, mais soyons clairs, uniquement tes documents persos (photos, films, textes, mp3), EN SUPPRIMANT les exe, logiciels etc...qui peuvent être infectés (difficile de dire quel virus vu que nous n'avons aucun rapport à analyser!) de booter ensuite sur un Live CD, Ubuntu par exemple: aucun risque que les virus s'attaquent au boot CD. Pour répondre à ta question: aucun problème pour booter avec un CD Linux sur un XP infecté. sous Linux, tu formates ton disque externe: les virus ne résisteront pas au formatage, rassure-toi. Puis, tu récupère tes documents sous XP, qui sont inaccessibles à l'heure actuelle, via l'explorateur Linux: et tu les copies sur ton disque externe fraîchement formaté Pour finir, tu réinstalles XP vu que ton système a salement souffert. Si ton XP a plusieurs disques ou plusieurs partitions, il serait sage également de les formater, certains virus se propageant de disques en disques. Ainsi tu récupères tous tes documents, tu te débarasses des virus, et tu te retrouves avec un XP tout neuf. Mieux, tu peux installer Ubuntu à la place de XP si le Live CD t'a plu!

Salut à vous deux! Une piste (plus simple et moins risqué au niveau viral que le DD externe): booter sur un Live CD Linux, récupérer les données persos sur le DD externe, puis formatage, vu que le XP à l'air bien endommagé (au point que la réparation ne marche pas!!). Attention, si le disque externe est infecté, il faut le nettoyer, mais si possible sans le brancher sur un autre XP qu'il pourrait infecter à son tour. Va falloir être rusé! Autre piste: démarrer sur un CD de boot permettant certaines réparations, comme Ultimate Boot CD, ou démarrer sur le CD de scan Avira pour nettoyer et le PC, et le DD externe. Dans tous les cas, il faut chercher la solution dans un CD de boot, amha. C'est tout de même rare qu'un trojan fasse autant de dégâts: en général les concepteurs de virus se débrouillent pour que le PC soit fonctionnel et que leur malware puisse remplir sa tâche. Manduline, aurais-tu fais un scan Spybot (ou autre) avant le plantage et les reboots en chaîne? Edit: que viens faire "Staline "dans le titre du topic??

Salut! Ben si, ça ressemble à du hijacking avec redirection...Les adresses des serveurs DNS ont été modifiées, très probablement. Par contre je ne suis pas sûr que tu trouveras de l'aide efficace pour Mac sur ce forum...

Salut! Je crois que cet exécutable s'installe sur les sytèmes toulonnais pour fêter la montée du RCT en Top14! Plus sérieusement, ce processus est louche... Suis ces deux étapes et poste les rapports correspondants: HIJACKTHIS Télécharge et installe la dernière version d' HIJACKTHIS [v2.0.2] en cliquant sur l'image: Enregistre HJTInstall.exe sur ton bureau Double-clique sur HJTInstall.exe pour lancer le programme Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis Accepte la licence en cliquant sur le bouton "I Accept" Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement VIRUSTOTAL Va sur le site VirusTotal Copie cette ligne rouge: C:/documents and settings/all users/start menu/programs/administrative tools/recycle bin/kdja.exe Colle cette ligne dans la fenêtre suivante, sur la page VirusTotal, en faisant CTRL-V: Clique sur le bouton "Envoyer le fichier" et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.