oGu

**** Bienvenu(e) sur le forum de désinfection de Zebulon ! **** Je prends en charge ta désinfection: je posterai un protocole dans quelques minutes. Si tu as demandé, en parallèle, de l'aide sur un autre forum, merci d'y signaler que ton problème est maintenant traité sur Zebulon, afin que les procédures ne se croisent pas. Je vois que tu es nouveau/nouvelle ici, en attendant ma procédure, prend bien ton temps pour observer le fonctionnement de ce site : Comment participer au forum ? Procédure de demande d'aide: comment faire ? Comment retrouver mes messages et être tenu(e) au courant des réponses par mail? Je pense également qu'il serait préférable que tu t'inscrives sur le forum plutôt que de te logguer en invité! A suivre...

Lol!! Essaie de les supprimer un à un alors!

Salut! Comme je le craignais, ton infection est trop profonde pour qu'on puisse te débarasser de Virut: on va pas s'amuser à remplacer tous les exe !! Avant de formater, il faut néanmoins nettoyer ton disque externe: le problème c'est qu'on ne peut pas le faire avec des logiciels, vu que Virut les corrompt, et qu'on ne peut pas le faire à partir d'un PC sain car on courerait alors le risque d'infecter la machine saine via ton disque externe. Donc, procède comme suit: Branche ton disque externe à ton PC infecté Ne l'ouvre pas (ni en cliquant sur son icone dans l'explorer, ni en cliquant sur la petite fenêtre qui s'ouvre automatiquement. Clique sur Démarrer Clique sur Rechercher Copie / colle dans la case Rechercher les fichiers ou les dossiers nommés : *.exe Selectionne ton disque dur externe dans la case "Regarder dans" Clique sur Options de recherche Coche Options avancées Coche Rechercher dans les dossiers système Coche Rechercher dans les fichiers et dosiers Coche Rechercher dans les sous-dossiers Coche Rechercher dans les unités de sauvegarde Clique sur Rechercher A la fin de la recherche une liste apparaît: sélectionne tout en faisant CTRL-A Supprime la liste Ton disque est maintenant nettoyé, par contre tu as persu tous les logicielms qu'il contenait et qui avaient été infectés par le ver. Bonne nouvelle ça! Il semblerait que cela soit le CD de restauration de ton PC, en l'exécutant tu remettras ton PC aux paramètres d'usine, comme lors de son achat. Pour réinstaller ta suite de gravure. Cela doit être un CD qui contient, là aussi, certains programmes qui étaient livrés avec ta machine. Works est un Word en moins bien. Ok. Si le CD de restauration ne fonctionne pas, on formatera avec celui-là! Nettoie d'abord ton disque externe pusi on verra! A+.

Ok, tout va pour le mieux au niveau des infections. Je vais néanmoins te donner quelques points de vue, avant de passer dans un prochain post à la sécurisation de ta machine: 512 MO RAM, c'est trop peu pour un XP (en fait c'est le minimumrequis pour qu'il puisse, au moins, fonctionner...), surtout pour une utilisation complète. Du coup, deux solution: soit tu investis quelques euros (c'est pas cher maintenant) dans une barette de 512 MO (à 1 GO de RAM, XP tourne très bien), soit tu fais le "ménage" dans les logiciels se lançant au démarrage, qui sont trop nombreux (j'en compte plus de 20: sur ma machine, ils ne sont que 5 ou 6). Soit tu mets en place les deux solutions et tu passeras d'un PC poussif à un XP très rapide! Concernant ton log, quelques remarques: TOOLBARS ! Tu as de nombreuses toolbars: Nous déconseillons, sur nos forums de sécurité, l'utilisation de toolbars: en général elles n'aident en rien et ont des visées essentiellement publicitaires:voir ces liens: La Yahoo! Toolbar analysée par Assiste Les toolbars, c'est pas obligatoire ! (by Malekal) Par ailleurs elles pourrissent les navigateurs en se greffant dessus... Je te conseille de passer par "Ajouter Supprimer des programmes" de ton panneau de configuration" et de désinstaller la Toolbar Adobe et la Google Toolbar. Au passage, regarde les conditions d'utilisation de la toolbar Google: Sous le langage policé ("améliorations de nos prestations, recueil des infos personnelles pour proposer un contenu personnalisé", etc...), il faut en fait comprendre que Google récupère des infos sur ton profil commercial pour mieux te cibler publicitairement... LOGICIELS DEMARRES AU BOOT Parmi tes logiciels se lançant avec Windows, certains sont, de mon point de vue, extrèmement gourmands pour un usage somme toute limité: bien sûr, on sort ici du cadre de la désinfection pure et dure: c'est mon avis perso pour optimiser ta machine, libre à toi de ne pas le suivre! Fais en fonction de l'utilisation que tu préfères de ton PC. Moi, je donne mon point de vue en fonction de ma connaissance des softs et du fait que tu disposes de peu de RAM (sinon, à 1 GO de mémoire, jaurais tout laissé sauf les toolbars). Le moteur d'indexation Google utilise beaucoup de RAM pour indexer tes documents: si tu as de très nombreux docs mal classés, il peut être utile. Dans le cas contraire, un simple logiciel de recherche par mots clés, ne se lançant qu'à la demande par un simple raccourci, devrait suffire, comme Qytecc file Seeker par exemple. Mise à jour automatique de RealPlayer...Bof! Le logiciel se lance à chaque démarrage de XP, cherche si une nouvelle version est sortie (ce qui doit arriver une fois tous les 3 mois!): si c'est le cas il se met à jour, dans le cas contraire il attend sagement dans le systray (en bas à droite) en bouffant des MO au passage ! Inutile de lancer ton lecteur de CD virtuel dès le boot: tu pourras le lancer au besoin par son raccourci (à moins que tu ne fasses une utilisation très intensive des iso !!) Ce machin-là est absolument inutile, Nero tourne aussi bien sans (pour info, c'est un logiciel qui cherche d'éventuels (et improbables!) conflits entre Nero et d'autres softs...) Ah, les optimiseurs de mémoire! Il y a eu de très longues discussions sur la pertinence de ces softs: a priori ils sont plus inutiles qu'autre chose: juge par toi-même: Ils consomment de la ram car ils tournent en permanence: comment prétendre optimiser l'utilisation de la mémoire en en consommant soi-même? La RAM ne se défragmente pas vraiment, c'est plus un mythe qu'autre chose, hélas... Quand le logiciel "libère" de la mémoire, il ralentit la machine et les applications Pour récupérer de la mémoire quand ta machine lambine après plusieurs heures d'utilisation, mieux vaut redémarrer, c'est plus efficace! Un optimiseur supposé de mémoire sera toujours moins efficace qu'une seconde barette ! AdAware n'est plus un logiciel efficace: on propose systématiquement de le désinstaller au profit de malwarebytes Antimalware ou d'Ewido. Si tu as acheté la version payante, garde-le jusqu'à expiration de la licence. Pour faire simple: AdAware (comme Spybot) était un excellent antispyware il y a quelques années: il était l'un des premiers à s'intéresser à cette espèce de virus. Depuis les choses ont évoluées, les menaces deviennent plus techniques, mieux protégées, plus pernicieuses, les scans ne suffisent plus (tu as pu t'en apercevoir avec ta désinfection: il faut utiliser des outils avancés) etc... Or, profitant de son extraordinaire réputation (je suis sûr que c'est cette réputation qui t'a fait opter pour AdAware, non??), AdAware s'est reposé sur ses lauriers et ne s'est pas mis à niveau: sa version gratuite ne propose pas de module résident et son taux de détection est très faible et complètement inopérant face aux nouvelles menaces: en clair il ne nettoie quasi que les cookies icon_wink.gif (j'éxagère un peu !!)! Je connais mal la version payante qui intègre un bouclier, mais vu qu'elle utilise les mêmes signatures virales que la version free (à ma connaissance), je doute de son efficacité. Si tu parcoures nos forums de désinfection (sur Zeb, mais aussi sur Assiste, GNT, Libellules, SpeedWeb, ABCdelasécurité, Malekal-forum et j'en oublie), tu constateras qu'aucun helper n'utilise AdAware dans ces procédures. Bien sûr AdAware a été testé, ces constats ne tombent pas du ciel ou de notre imagination débordante icon_wink.gif ! Si cela t'intéresse je te donne des liens techniques mais abordables, et qui sont accablants pour AdAware (si tu ne te sens pas d'attaque pour tout lire, va directement consulter le bilan en fin d'article): Test de 10 antispy face aux nouvelles menaces (by Malekal) Malwarebytes arrive en tête (7/10), AdAware se classe mal (2/10) ! Les idées reçus sur AdAware et Spybot (by Malekal again!) En fonction de mes commentaires, indique-moi si tu souhaites intervenir sur tel ou tel logiciel, et je t'indiquerai comment faire. Si tu préfères laisser en l'état , pas de souci non plus!! A+

N'importe quoi!! Fais tout de même attention à ce que tu écris, laisser sous-entendre que Sacles juge un pare-feu à l'aune de sa nationalité, c'est plus que limite!

Il en existe énormément, les mêmes que sous XP pour les menaces les plus récentes, sauf qu'il est beaucoup plus difficile de désinfecter une machine sous Vista (d'ailleurs tous les outils de désinfection ne sont pas encore compatibles Vista)...Ne prend pas de risque et installe un antivirus au plus vite (je te conseille Antivir en gratuit). Si tu veux une machine qui puisse tourner sans antivirus et sans prendre de risque, installe une distribution Linux.

Bon, ben la messe est dite ! Tu es bonne pour reformater ton PC...A tout hasard je vais me renseigner auprès de mes collègues de l' Espace Sécurité pour voir s'il y a quelque chose à faire contre Virut, mais j'en doute! Cette m***de a même infecté les exe des logiciels de désinfection! Dans tes documents sauvegardés, as-tu des exe ou des logiciels?? Si oui, il faut les supprimer AVANT de reformater. Pour le formatage, on peut utiliser le CD de ton autre PC à deux conditions: Il faut que cela soit un CD d'install et aps un CD de restauration Il faut que cela soit la même version que la version de ton portable (HOME ou PRO). As-tu au moins un cd avec les pilotes ou les logiciels de ton portable?? Parfois ils en livrent un...Sinon faudra aller chercher tout ça sur le site du constructeur. Linux est une option très efficace, mais il faut accepter de changer quelques habitudes: pas de jeux sur Linux, et faut apprendre 3-4 bricoles surprenantes au départ. Par contre par défaut, Linux installe tout ce qu'il te faut: multimédia, traitement de texte, courrier, internet etc...C'est même assez bluffant! Bonne nuit en tout cas! Ogu

Plus de 3000 fichiers infectés... Essaie ESET, mais si ça échoue on va laisser tomber cette méthode et on fera un test sur un échantillonage d'*.exe avec VirusTotal... Si tu le peux, essaie de trouver un CD d'install' Windows (tu as un rpo ou une version familiale HOME ?) auprès de tes amis, collègues, responsable réseau du collège etc...pour pouvoir formater si nécessaire. A moins que tu ne souhaites tenter l'expérience Linux (là, c'est la garantie d'être à jour, et de ne jamais avoir de virus!). A suivre.

Les CD sont de plus en plus rarement livrés avec les machines. N'as-tu pas, au moins, un CD dit "de restauration"? Si, ça change beaucoup de choses (en bien!) au niveau de la sécurité! Etrangement, Firefox n'apparaît jamais dans les processus actifs sur ton rapport, c'est pour ça que j'ai pensé que tu surfais sous IE... Mouais, ça ressemble très fort à du Virut: ces 600 fichiers doivent correspondre entre autres à tous tes exe et à leur clône dans le cache dll...Si ESET échoue aussi, on pourra envoyer un échantillon d'exe se faire scanner par VirusTotal voir s'il retrouve du Virut comme la dernière fois.

Les mystères de l'informatique! Je trouvais bizarre aussi qu'il n'y ait pas de chargement de Sasser dans le registre, mais bon...Peut-être est-ce un reste du ver, ou bien je ne sais quoi (c'est probablement ça d'ailleurs!) Ta version de XP est-elle légale, avec la clé et tout et tout?? Parce que là, tu as plusieurs années de retard dans les mises à jour, du coup tu n'as pas de pare-feu, des failles sécuritaires aprtout, et tu surfes avec le plus mauvais navigateur de la création: IE6, qui laisse tout passer... Pas grave pour l'index.dat: ce que tu peux faire: ouvrir la page comme indiqué, puis ouvrir chaque dossier (avec nom aléatoire genre FTYIP98N) et supprimer son contenu, en laissant l'index.dat. Mais il me faut ABSOLUMENT le rapport Kaspersky ou ESET !

Salut Lezenete! Pas de dêgats sur la machine après la panne?? Bien vu pour la restauration système à nettoyer, visiblement tu sais comment faire! Jamais je n'ai vu un rapport aussi lourd (56 MO !!!!): inutile de me le poster, je passerai la journée à le détailler!! Le mieux, c'est de laisser Kaspersky supprimer ce qu'il juge néfaste, on va lui faire confiance. A limite, si tu peux copier-coller le bilan de ce qui a été infecté, ou nettoyé, je suis interessé. Après ce scan la désinfection sera terminée, on a bien bossé! En toute logique, ta machine sera nickel! Je te posterai ensuite quelques remarques sur ton log HijackThis et j'attendrai tes commentaires. Bon dimanche d'ici là! Ogu

Cela dépend peut-être des antivirus...Sur NOD32 je peux régler le scan par clic droit.

Re! Le message qui fait rebooter ton PC est-il le suivant: Si oui, tu es infectée par Sasser, ce qui est un sacré tour de force car ce virus date du 13/04/04! 4 ans!! On va t'en débarrasser afin que tu puisses bosser tranquile: Télécharge ce patch sur ton bureau: http://securityresponse.symantec.com/avcenter/FxSasser.exe Lance-le et clique sur "scan" J'ignore comment se comporte le fix s'il trouve Sasser, je n'avais même pas de PC à cette époque! Laisse-toi guider, cela ne doit pas être difficile. Poste ensuite le rapport fourni, il se trouvera sur ton bureau Au fait pourquoi n'as-tu pas fait, jusqu'alors, les mises à jour de Windows?? Autrement, les scans ont fait du bon travail, bien qu'encore insuffisant, mais je crains vraiment que tu sois infectée par Virut, les symptômes sont là... En attendant le scan antivirus, il faut nettoyer le cache IE: Menu "démarrer" Clique sur "exécuter" Copie-colle cette ligne dans l'invite et valide avec "ok": C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5 Une fenêtre s'ouvre: supprime tout ce qui se trouve dedans. Il faut à tout prix que tu scannes ta machine pour que je m'en assure, car si c'est le cas, inutile d'aller plus loi, et nous mettrons notre énergie sur le formatage!! On va procéder avec un scan en ligne, ça va peut-être passer, vu que cela fonctionne avec un activeX et non un exe... Essaie d'abord le scan Kasperky, si échec tourne-toi vers le scan ESET NOD32. KASPERSKY Clique sur cette image: Puis lance le scan en cliquant sur ce bouton en bas de page: Accepte la licence en cliquant sur "J'accepte" puis laisse-toi guider: Puis quand le scan se termine, poste le rapport généré ESET Cliquer sur cette image: Cocher la case YES, I accept the Terms Of Use Cliquer sur le bouton Start Cliquer ensuite sur le bouton Install Clique sur Start Le scanner va se mettre à jour. Ne pas cocher la case Remove found threats Clique sur le bouton Scan Le scan va se lancer: Lorsque le scan s'achève, cliquer sur le menu Details Copier/coller le contenu du rapport généré: il se trouve ici > C:\Program Files\EsetOnlineScanner et se nomme log.txt

Pas possible ça! Ta machine est décidemment mystérieuse...laisse tomber la désactivation alors et poursuis...

Yo! Ca ressemble à Sasser, un virus ancestral...très étrange!! Cela te le fait à chaque fois ou pas? Ca vient d'arriver? Pour les mises à jour, le risque c'est de rendre ton PC instable car il ne faut pas faire de maj sur une machine infectée, mais au point où on en est! J'ai réfléchis à un détail qui paraissait secondaire de prime abord: l'alerte sur l'exe de Antivir, suivi de la longue liste d'exe (réputés saisn) dans la liste ComboFix, me fait penser à Virut, qui pourrit TOUT les exécutables de ta machine...On ne guérit pas cette infection, là c'est formatage direct! Bref, avant de s'alerter, on va poursuivre ce qu'on avait commencé, mais je suis moins confiant qu'après les premières étapes, qui avaient bien fonctionnées:les rapports CF montrent que des salo****es reviennent, il doit y avoir un dropper quelque part que j'ai raté... DESACTIVER le TEA-TIMER Ouvre Spybot Va dans le Menu "Mode" --> "Mode avancé" Confirme en cliquant sur le bouton "Oui". Clique ensuite sur "Outil" dans la barre de navigation de Spybot (volet de gauche) puis sur "Résident" Pour activer/désactiver Tea-Timer, il suffit de cocher/décocher dans le panneau central : Résident "TeaTimer" (Protection des réglages système fondamentaux) actif. SDFIX Je te conseille d'imprimer cette procédure pour pouvoir la suivre hors connexion internet, une fois en sans échec. Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. http://download.bleepingcomputer.com/andymanchesta/SDFix.exe Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Puis redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre ton ordinateur Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte. Suis la liste des instructions ci-dessous : Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. Appuie sur Y pour commencer le processus de nettoyage. Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. Appuie sur une touche pour redémarrer le PC. Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis SUPPRIMER UN SERVICE Dans Démarrer > Exécuter et taper Services.msc puis OK Choisir le mode "Etendu" (onglets inférieurs) Grâce à la barre de défilement (à droite) rechercher le service suivant: Microsoft Windows TCP Protocol Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche). Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter, Dérouler le Type de Démarrage pour le modifier en Désactivé Cliquer sur Appliquer puis OK Lancer Hijackthis, choisir Open the Misc.Tools section La fenêtre "Configuration" va s'ouvrir Cliquer sur Delete a NT service... La fenêtre "Delete a Windows NT service" va s'ouvrir Saisir dans la zone de dialogue : Microsoft Windows TCP Protocol Note : s'assurer de ne mettre d'espace, ni avant, ni après ! cliquer OK Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez redémarrer. Cliquer NO Nota: il se peut que HijackThis t'indique "not found in the registry" à la fin de l'opération. Dans ce cas signale-le moi et poste un nouveau log HijackThis que l'on s'assure que ce service ait disparu. SUPPRIMER UN SERVICE #2 Boonty Games est un nid à saleté! Dans le menu Démarrer, clique sur "exécuter" Saisis cmd et valide avec "ok" Dans l'invite qui s'ouvre, copie et colle cette ligne sc delete sc stop BOONTY Valide avec OK Copie-colle maintenant cette commande dans la fenêtre: sc delete BOONTY Valide avec OK Redémarre CCLEANER SLIM Télécharge CCleaner SLIM Installe-le, lance-le et clique sur l'onglet : "Registre" Clique sur "Rechercher des erreurs" puis "Corriger les erreurs" Répond "oui" à la demande de sauvegarde proposéeet enregistre-la dans tes documents Clique sur l'onglet "nettoyeur" puis "lancer le nettoyage" Pas de rapport à fournir ce coup-ci ! CREATION/EXECUTION D'UN CFSCRIPT Rend-toi sur cette page: http://dl.free.fr/getfile.pl?file=/g6thJVAN/CFScript.txt Clique à droite de la page sur "télécharger le ficher" en enregsitre-le sur ton bureau Désactive ton antivirus et ton antispyware Te référant à l'image ci-dessous, déplace le fichier téléchargé, qui se nomme CFScript.txt, sur ComboFix.exe ComboFix sera lancé. Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. ComboFix peut exiger un redémarrage pour compléter son travail. Accepte. Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran. Soumet le fichier en cliquant "OK" Enfin, poste les deux rapports suivants dans ta prochaine réponse : - Combofix.txt (il est stocké ici: > C:\ComboFix.txt) - Un nouveau rapport HijackThis Enfin, une procédure longue: eSCAN La procédure est un peu compliquée, lis-la plusieurs fois et fais-la tranquillement Télécharge eScan Antivirus Toolkit Sauvegarde-le sur ton Bureau. Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2. Étape 2: Voici comment mettre l'outil à jour : 1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit"). 2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes. 3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une touche pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads). 4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants. Ne pas lancer le scan tout de suite ! Étape 3: Redémarre en mode Sans Échec : 1) Redémarre ton ordi 2) Tapote la touche F8 immédiatement, juste après le "Bip" 3) Tu verras un écran avec options de démarrage apparaître 4) Choisi la première option : Sans Échec, et valide avec "Entrée". Parfois, le PC met du temps à se lancer (plusieurs minutes), c'est normal. 5) Choisi ton compte régulier, et non Administrateur Étape 4: Une fois en mode Sans Échec, voici comment utiliser le programme : 1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky 2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran. 3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services. 4.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files. 5.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite ! 6.) Ouvre un nouveau fichier Bloc-notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum. Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse. A ce soir et courage!

Question: quand tu crées le CFScript, le fichier texte ressemble-t-il à ceci: Car la réponse donnée par Combofix est bizarre...j'ai l'impression que tu mets TOUT sur une seule et même ligne??

Simplement: tu fermes Internet Explorer AVANT de cliquer sur Fix Checked puis tu redémarres. Une fois cette manip' effectuée, tu peux à nouveau utiliser ton navigateur, c'est tout !

Si tu ne le retrouves pas, pas grave! Crée le nouveau et poursuis !

Oui, même s'il est probable que ce fichier n'existe plus. Pourquoi ne peux-tu pas coller? As-tu essayé de cliquer simultanément sur CRTL-V pour voir?

Ouais, il semblerait que cela soit un dialer porno. On lui fera la peau lors de la phase antispyware. Edit: j'ai très légérement modifié le CFScript: il ne FAUT PAS de saut de ligne entre File:: et c:\documents and settings\ blablabla...

Sa avance! ??? Connais-tu le programme suivant: C:\Program Files\HOTPC ? VIRUSTOTAL Va sur le site VirusTotal Copie cette ligne: C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\K5A3CH2R\unpr[1].exe Colle cette ligne dans la fenêtre suivante, sur la page VirusTotal:[/color] Clique sur le bouton "Envoyer le fichier" et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. VIRUSTOTAL#2 Recommence la même opération avec, cette fois, cette ligne à analyser: C:\WINDOWS\System32\dllcache\wintcps.exe CREATION/EXECUTION D'UN CFSCRIPT Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement. Supprime le fichier CFScript que nous avons créé tout à l'heure Ouvre un nouveau fichier du Bloc-notes "Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note : File:: c:\documents and settings\les babies\local settings\application data\vdcmki.exe Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt ATTENTION: ce script a été conçu spécifiquement pour le cas de Lezenete, ne pas l'utiliser pour votre propre machine!! Désactive ton antivirus et ton antispyware Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe ComboFix sera lancé. Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. ComboFix peut exiger un redémarrage pour compléter son travail. Accepte. Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran. Soumet le fichier en cliquant "OK" Enfin, poste les deux rapports suivants dans ta prochaine réponse : - Combofix.txt (il est stocké ici: > C:\ComboFix.txt) - Un nouveau rapport HijackThis HIJACKTHIS Relance HijackThis Sélectionne "Do a scan only" Coche la ligne suivante si elle apparaît: Ferme tes navigateurs Clique en bas sur "Fix checked" Redémarre Tu peux à nouveau utiliser ton navigateur SUPPRIMER UN SERVICE Boonty Games est un nid à saleté! Dans le menu Démarrer, clique sur "exécuter" Saisis cmd et valide avec "ok" Dans l'invite qui s'ouvre, copie et colle cette ligne sc delete sc stop BOONTY Valide avec OK Copie-colle maintenant cette commande dans la fenêtre: sc delete BOONTY Valide avec OK Redémarre HIJACKTHIS#2 Recherche de Vundo Va dans C:\Program Files\Trend Micro\HijackThis\ Clique-droit sur hijackthis.exe et choisis "renommer" (il se peut que le .exe n'apparaissent pas) Appelle-le educ_nat_powa (si le .exe n'apparaissait pas, inutile de le rajouter) Clique maintenant sur educ_nat_powa.exe et sélectionne "do a scan and save a logfile" Poste ce nouveau rapport. On va y arriver, t'inquiète pas, mais il y a beaucoup de boulot!

C'est probable que certains de tes documents soient infectés. Mais ils ne pourront pas être activés s'ils sont sur ton disque externe. Par contre tu as bien fait de me le signaler, cela va modifier certaines procédures. En attendant ne connecte pas ton disque à ton PC s'il te plaît. Oui, c'est normal, c'est une formule magique !

Arf, TZR...Pas de bol!

Ok! Alors nous sommes collègues ^^ ! J'enseigne le français en lycée, et toi? Et on utilise ProNotes chez nous ! EDIT: désolé pour le lien erroné: clique ici pour télécharger MSNFix

C'est déjà beaucoup mieux, bon travail , même si Navilog1 n' a pas été très efficace. Mais on va partir sur ces bases! On poursuit! ??? *Qu'est-ce que le programme NBPROF ? *Quand tu as installé Messenger Plus (qui installe un virus si on n'y prète pas garde!), as-tu REFUSE l'installation des "sponsors" ? MSNFIX Télécharge MSN Fix de !aur3n7 sur ton bureau: NE PAS DOUBLE-CLIQUER SUR LE DOSSIER Clic droit sur le dossier, et dézippe-le avec ton dézippeur. Extraire le contenu du dossier dans un dossier à nommer: MSNFIX_ogu , sur le bureau Ouvrir le dossier MSNFIX_ogu et double-cliquer sur MSNFIX.bat Une fenêtre sur fond bleu va s'ouvrir avec un menu. Taper sur la touche R du clavier puis la touche "entrée "pour valider Si une infection est détectée, le message Infection Présente s'affichera Pour lancer le nettoyage, il suffit d'appuyer sur n'importe quelle lettre du clavier puis valider par "Entrée." Une fois le nettoyage terminé, un rapport va s'ouvrir sur le Bloc-Note: copie-le et colle-le ici. Nota: si l'outil te demande de redémarrer, fais-le. NAVILOG1 Relance NaviLog1 Une fois arrivée au menu, choisis Désinfection automatique en appuyant sur touche 2 du clavier, puis sur la touche Entrée. Le fix va se mettre à travailler, cela peut prendre plusieurs minutes... sois patiente ! Sur la fenêtre noire, le message Si des dll nefastes sont presentes, elles vont être desenregistrees peut apparaître. Une petite fenêtre RegSrv32 peut alors apparaître avec le message DllUnregisterServer dans <nom de la dll> a réussi: clique simplement sur OK si des fenêtres de ce type s'ouvrent. Un rapport de désinfection est créé sur le bureau et porte le nom de cleanavi.txt : poste-le CREATION/EXECUTION D'UN CFSCRIPT Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement. Ouvre un nouveau fichier du Bloc-notes "Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note : File:: C:\WINDOWS\system32\mdm.exe Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt ATTENTION: ce script a été conçu spécifiquement pour le cas de Lezenete, ne pas l'utiliser pour votre propre machine!! Désactive ton antivirus et ton antispyware Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe ComboFix sera lancé. Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. ComboFix peut exiger un redémarrage pour compléter son travail. Accepte. Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran. Soumet le fichier en cliquant "OK" Enfin, poste les deux rapports suivants dans ta prochaine réponse : - Combofix.txt (il est stocké ici: > C:\ComboFix.txt) - Un nouveau rapport HijackThis