oGu

Re; je ne vois rien d'infectieux de prime abord. Fais un scan en ligne kaspersky pour t'en assurer: http://www.malekal.com/scan_Av_en_ligne.php#mozTocId291566 Je te conseille également de désinstaller les programmes relatifs à Boonty Games, ce sont des saloperies que l'on retrouve souvent sur les postes infectés. A+

Yo! L'infection est encore présente: as-tu bien suivi les consignes pour MSNFix?? As-tu téléchargé MSNFix sur cette page: http://sosvirus.changelog.fr/ ?? Recommence et envoie le rapport qu'il te fournit: regarde ce tuto si tu veux contrôler que tu fais les choses correctement: http://www.malekal.com/tutorial_MSNFix.php Désinstalle Avast! proprement, redémarre et installe Antivir. Configure Antivir en suivant ce tuto: http://www.malekal.com/tutorial_antivir.php Fais un scan complet avec Antivir et poste le rapport.

Si tu n'as pas ouvert le fichier, tout va bien.Par contre ton ami est infecté et va continuer à t'inonder: bloque son adresse dans MSN en attendant qu'i lsoit désinfecté. Pour t'assurer que tu n'es pas infecté, poste ici un rapport Hijackthis.

Cela devrait être bon. Suis bien les consignes: IMPRIME la procédure pour y avoir accès durant ton travail sur la console: Redémarre Tapote F8 pendant que ton PC redémarre Ton écran doit devenir noir: sélectionne "Console de récupération" avec les flêches de ton clavier Valide avec "Entrée" A la question posée par la console sur ton système d'exploitation, répond 1 et valide par Entrée A la question posée par la console sur ton mot de passe administrateur, tape simplement Entrée Dans la Console, tape cette ligne en étant VIGILEANT sur les espaces et la syntaxe: enable rpcss service_boot_start Valide avec Entrée Tape ensuite: exit Valide avec Entrée Redémarre en mode "normal" Contrôle dans la console des services si l'Appel de Procédure Distante est réglé sur Démarré et Automatique.

Cela devient compliqué... On va tenter de le démarrer avec la Console de Récupération: c'est assez technique donc sois attentif au tuto de Falkra de Libellules. Installe la Console puis reviens ici une fois que c'est terminé, je t'indiquerai alors les commandes pour démarrer le service RPC. http://www.libellules.ch/installer_console_recuperation.php Une fois ce service opérationnel, on s'attaquera à ta multi-infection.

Merci!

Merci Pear de cette information!! Où avez-vous trouvé la référence à Magic contrôl, mes recherches n'ont rien donné sur le processus ajucodbxp.exe? Je l'ai fixé avec HJT, logiquement il devrait réapparaître or ce n'est pas le cas... On est pas sorti de l'auberge en tout cas...

Ah...es-tu certain qu'il soit éteint?? Dans ton panneau de configuration des services, il te faut démarrer Appel de procédure distante: normalement il ne doit jamais être éteint sous peine de devoir réinstaller Windows ! Règle-le sur "automatique" puis redémarre STP pour voir...Cela ne m'étonnerait pas que tes dysfonctionnements proviennent de là , outre ton infection...

OK. Peux-tu m'en dire davantage?? Quelle est cette fenêtre?? Quel outil la lance?? Ton antivirus ou un truc bidon (un rogue) ?? SpyBot ne t'a-t-il pas indiqué d'infection?? Normalement il détecte Vundo sans l'éliminer.

Salut! Ben ouais, le problème c'est que l'UAC même désactivée continue à "protéger" le système et empêche toute désinfection...Je ne vois pas d'issue au problème du haut de mes petites compétences, mais soyons patient et attendons que les spécialistes en malwares dégotent une solution... As-tu essayé de lancer EliBagla avec un clic-droit: "éxecuter en tant que : administrateur"?

Re, - As-tu déjà essayé de te désinfecter tout seul?? Il y a des traces de Vundo, mais pas autant que d'habitude. - Aurais-tu télécharger un rogue, c'est à dire un faux outil de sécurité? Jette un oeil dans tes programmes installés. Télécharge VundoFix.exe (par Atribune) et enregistre le sur ton bureau. http://www.atribune.org/content/view/24/2/ Redémarre en mode sans échec (tapote la touche F8 au démarage de ton ordinateur) si tu le peux, sinon poursuis la procédure en mode normal. Double-clique VundoFix.exe afin de le lancer. Coche "Run VundoFix as a task". Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique "Ok" Clique sur le bouton Scan for Vundo. Lorsque le scan est complété, clique sur le bouton Remove Vundo. Une invite te demandera si tu veux supprimer les fichiers, clique YES Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK Démarre ton PC à nouveau, en mode normal. Copie/colle le contenu du rapport situé dans C:\vundofix.txt Rend-toi dans le dossier d'installation de HijackThis: C:\HJT Clic-droit sur HijackThis.exe (il se peut que le .exe n'apparaisse pas) et renomme-le en zebulon.exe (ou zebulon tout court si le .exe n'apparaissait pas) Double-clic sur Scanner puis sélectionne "do a scan and save a logfile" Poste le rapport.

Ok bon appetit. Le souci etant que j' ignore comment donner à Linux le droit de supprimer des fichiers sur la partition windows...

Ok Je suis actuellement sous Ubuntu, pour avoir acces au disque C je fais: - en haut dans la barre des taches: places - puis computer - mon disque C apparait alors dans l' explorateur: est ce ton cas ?

Salut Hierry, je ne t'ai pas oublié!! Le souci c'est qu'il faut ruser car Vista nous empêche de désinfecter le système...Je cherche des solutions de mon côté et je suis de prêt les procédures de Gof dans un topic similaire au tien. Quel est le souci avec Ubuntu?? Arrives-tu à booter sur le LiveCD et à démarrer la distribution??

Tu es effectivement infecté par Virus Emoticons: O4 - HKLM\..\Run: [Flash Player2] C:\DOCUME~1\USER\LOCALS~1\Temp\services.exe Télécharge MSN Fix de !aur3n7 sur ton bureau: http://sosvirus.changelog.fr/MSNFix.zip NE PAS DOUBLE-CLIQUER SUR LE DOSSIER Clic droit sur le dossier, et dézippe-le avec ton dézippeur. Extraire le contenu du dossier dans un dossier à nommer: MSNFIX_naxoo , sur le bureau Ouvrir le dossier MSNFIX_naxoo et double-cliquer sur MSNFIX.bat Une fenêtre sur fond bleu va s'ouvrir avec un menu. Taper sur la touche R du clavier puis la touche "entrée "pour valider Si une infection est détectée, le message Infection Présente s'affichera Pour lancer le nettoyage, il suffit d'appuyer sur n'importe quelle lettre du clavier puis valider par "Entrée." Une fois le nettoyage terminé, un rapport va s'ouvrir sur le Bloc-Note: copie-le et colle-le ici. Nota: si l'outil te demande de redémarrer, fais-le. En plus du rapport MSNFix, joint un nouveau rapport HijackThis. Nota: il te faut DESINSTALLER AVAST avant d'installer Antivir.

Salut. Tu as au lancement de ta machine un processus pour le moins étrange, qui n'apparaît dans aucune base de données: ajucodbxp.exe Sais-tu à quoi il correspond ?? O4 - HKCU\..\Run: [ajucodbxp] c:\documents and settings\sgzd\local settings\application data\ajucodbxp.exe ajucodbxp O4 - HKUS\S-1-5-21-656825090-3145050667-1201495041-1006\..\Run: [ajucodbxp] c:\documents and settings\sgzd\local settings\application data\ajucodbxp.exe ajucodbxp (User '?') Que s'est-il passé avant les dysfonctionnements sur ta machine?? As-tu téléchargé quelque chose, fais du peer-to-peer etc...?? ********************************************************************* Suis cette procédure étape par étape. Lance hijackThis, sélectionne "do a scan only" Coche les lignes suivantes: O4 - HKCU\..\Run: [ajucodbxp] c:\documents and settings\sgzd\local settings\application data\ajucodbxp.exe ajucodbxp O4 - HKUS\S-1-5-21-656825090-3145050667-1201495041-1006\..\Run: [ajucodbxp] c:\documents and settings\sgzd\local settings\application data\ajucodbxp.exe ajucodbxp (User '?') Clique en bas sur "Fix checked" Nota: sgzd est-il le nom de ton compte ?? Redémarre. Relance HijackThis et poste un nouveau rapport s'il te plaît.

Salut! Analyse en cours...

Re, j'y ai pensé au liveCD linux: j'ai posé la question à un collègue de l'espace sécurité qui rencontre les mêmes difficultés à éliminer Beagle sous Vista: le souci c'est que rien ne dit que Linux aura les droits nécessaires pour supprimer les drivers Vista... Par ailleurs les drivers étant cachés, j'ignore si Linux pourra les afficher! Tu peux néanmoins essayer de supprimer ce fichier sous Linux: MDELK.EXE qui semble agir comme un dropper... BlackLight n' a rien donné au fait??

Vite fait : oui il faut faire "suivant" après le scan puis le log demande à redémarrer. Pour éventuellement te faire aider d'ici lundi: attend qu'une âme charitable prenne pitié de toi !! A lundi bon WE malgré tout.

Les drivers infectieux sont bien présents... Relance BlackLight, et une fois le scan terminé, surligne avec ta souris les fichiers suivants: c:\Windows\System32\wintems.exe c:\Windows\System32\drivers\hldrrr.exe c:\Windows\System32\drivers\srosa.sys Puis renomme-les avec le bouton "rename" et redémarre. Je ne pourrais plus te prendre en charge avant lundi hélas; si un autre membre veut te prendre en main d'ici là n'hésite pas (je viens de voir que Gof vient d'essayer un fix maison dans un cas similaire au tien: à suivre!) Courage et à + !!

Bon.... Télécharger BlackLight de F-Secure sur ton bureau: ftp://ftp.f-secure.com/f-prot/tools/fsbl.exe Lance-le (il n'y a pas besoin d'installation), accepte la licence,puis clique sur "scan". Poste le rapport ici même (il se trouvera sur ton bureau avec un nom du type fsbl_date)

Le fichier revient sans cesse, il doit se recréer. Ultime tentative avant changement d'outil: files to kill: C:\Windows\System32\drivers\down

Salut. Il faut garder toute la série de Net Framework, les nouvelles versions ajoutant des fonctionnalités suplémentaires mais n'embarquant pas les versions antérieures...ce ne sont pas de véritables mises à jour.

C'est peut-être ce MDELK.EXE qui relance systématiquement bagle. Essaie maintenant avec ce code: files to kill: C:\WINDOWS\SYSTEM32\mdelk.exe C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS C:\Windows\System32\drivers\HLDRRR.exe C:\WINDOWS\SYSTEM32\WINTEMS.EXE C:\WINDOWS\SYSTEM32\BAN_LIST.TXT C:\WINDOWS\system32\drivers\hidr.exe Puis supprime ce fichier à la main: C:\Windows\System32\drivers\down

Je n'ai pas l'impression que Catchme supprime les drivers, ils sont là à chaque nouvelle tentative. Poste-moi un rapport EliBagla que l'on voit les drivers restants. Puis on essaiera avec BlackLight, puis je n'aurais hélas rien de plus à proposer dans un premier temps.