C_XX

Salut ,, Tu as des restes du trojan Vundo. Fait ceci : Télécharge VundoFix ici -> http://www.atribune.org/ccount/click.php?id=4 lance Vundofix.exe Coche la case Run VundoFix as a task, Un pop-up va s'ouvrir , repond ok Il va se refermer et réouvrir au bout d'une 1 minute environ. Quand il est réouvert, clique sur Scan for Vundo Quand le scan est terminé, clique sur Remove Vundo Réponds Yes à la demande de suppression des fichiers. Il te sera demandé de redémarrer ton ordinateur, accepte bien sûr. Colle le rapport situé dans "c:\vundofix.txt" dans ta réponse (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) ****************** bonne chance ++

Re , De rien. Supprime Toolscleaner & C:\Tcleaner.txt si tu as créé le point de restauration , moi aide s'arrête la . bonne continuation +++

Re , Laisse tomber L'upload. → Redémarre en http://www.commentcamarche.net/faq/sujet-5...mode-sans-echec (MSE) Autre tutorials pour MSE: http://www.micro-astuce.com/depannage/dema...mode-sans-echec http://www.coupdepoucepc.com/modules/news/...php?storyid=253 → Re-lance clean -> Choisis l'option 2 ---Clean va travailler.--- → Un rapport Va etre généré , poste le moi ( Le rapport est aussi sauvegardé dans C:\Rapport_clean.txt ) ***************************** _Maintenant , nous allons supprimer les logiciels de désinfection que je t'ai fait téléchargé. En effet , s'en servir est dangereux pour le pc si l'on ne s'y connais pas. De plus ils sont mis régulièrement à jours. → Ferme toutes les applications en cours, puis télécharge http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe (ToolsCleaner2) sur ton Bureau. → Double clique sur ToolsCleaner2.exe > → Clique sur .Recherche → puis sur Suppression quand la liste est trouvée. → Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). Tuto : http://www.commentcamarche.net/faq/sujet-8...-de-force-brute ( merci espion3004 ) ************************ Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la, ce qui créer un point de restauration sain... Désactivation : Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs" > Applique patiente jusqu’à ce que cela soit marqué "désactivé" puis Ok. Activation : Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs" > Applique attends que cela soit à nouveau sur "surveillance" puis Ok. Redémarre l'ordinateur. Tutorial : http://service1.symantec.com/SUPPORT/INTER...020830101856924 **************************** rapport Clean + Toolscleaner. ++

Re , Encore des soucis ? ********************* → Relance hijackthis , en menu principal choisis ' Do a system scan only' Et fixe ces/cette ligne(s) : ( coche la case à leurs gauches ) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe Ferme toutes les fenêtres (hormis Hijackthis), y compris ton navigateur web. → clique sur ' fixchecked ' ****************************** Je te conseillerais de désinstaller le logiciel ' Logitech Desktop Messenger ' si tu ne t'en sert pas. ****************************** → Télécharge clean : http://www.malekal.com/download/clean.zip → Dézippe-le ( clique droit , extraire tout) → Lance clean.cmd ( ou clean ), Choisi l'option 1 et poste moi le rapport. (- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. ) Note : Tu auras peut-être un message qui t'invitera a uploader un fichier , fait-le dès que tu pourras. Tutorial : http://bibou0007.com/outils-specifiques-f7...clean-t1007.htm +++

Re , Parfait. Relance Navilog1 > option2 > poste le rapport. Ensuite créé un nouveau dossier nommé " Hijackthis " place-y Hijackthis.exe ( qui est sur ton bureau ) et pour finir , déplace le dossier ' Hijackthis ' dans : C:\Program Files\ Puis refais un scan Hijackthis -> poste le rapport. 2 rapports au total. ++

Re ,, Ok ) → Télécharge http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe (Navilog1) et enregistre-le sur ton bureau. → Ensuite double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, le fix s'exécutera automatiquement. (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). Laisse-toi guider. Au menu principal, choisis l'option 1 → Pendant le scan ton anti-virus risque de gueuler , ne t'inquiete pas c'est normal Patiente jusqu'au message *** Analyse Termine le ..... *** Puis poste moi le rapport. ( rapport situé a la racine du disque -> C:\Fixnavi.txt ) Ferme Internet Explorer puis fait : Démarrer > panneau de configuration > options internet Onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs : electronic-group egroup Montorgueil VIP Sunny Day Design Ltd → Tu les supprimes.

Re , Pas de soucis A++

Salut, Justement. Le fait qu'il n'y est pas de lignes 02 / 020 dans le rapport peut être le signe d'une infection Vundo. ( bon la c'est pas le cas pour l'absence de ligne ) De plus , Hijackthis peut-être installé n'importe où du moment ou l'on n'efface pas les backup. L'idéal étant dans C:\programme. Je ne vois pas qu'Hijackthis est dans un répertoire temporaire dans le rapport ... A te lire. ++ EDIT : Je le ferais déplacer avant de fixer des lignes EDIT2 : Par principe je fait toujours renommer.

Salut ,, Merci de renommer l'icône ( clique droit > renommer )' http://www.libellules.ch/images/hjt/hjticon.gif (Hijackthis.exe) 'située dans le dossier dans C:\ , en ' HJT.exe ' <<<<<<<<< <souligne>Important</souligne> !!! <<<<<<< Le chemin d'accés du programme doit être ressemblant à celui-ci : C:\Programme\Trend Micro\Hijackthis\HJT.exe → Ne pas renommer l'icone sur le bureau bien entendu .. ************************************** → Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse. → Télécharge http://malwarebytes.gt500.org/ Malwarebytes' Anti-Malware (MBAM)et enregistre le sur ton Bureau. → A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci. → Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation. → Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options <gras>Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées. → MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche : → Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse. → MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement. → A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre. → Si des malwares ont été détectés, leur liste s'affiche. En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. → MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs) → Ferme MBAM en cliquant sur Quitter. → Poste le rapport dans ta réponse Rapport MBAM + un nouveau Hijackthis ( renommé ! ) stp. +++

Re , Ouvre le Bloc-Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.) Copie ce texte -type contre Bagle- en gras d'une traite ( CTRL+C pour copier ) puis colle-le ( CTRL+V dans le bloc-note ) File:: c:\windows\system32\mdelk.exe C:\WINDOWS\system32\anti_troj.exe C:\WINDOWS\SYSTEM32\BAN_LIST.TXT C:\WINDOWS\system32\german.exe C:\WINDOWS\system32\wintems.exe C:\WINDOWS\system32\drivers\hldrrr.exe c:\WINDOWS\system32\drivers\hidr.exe C:\WINDOWS\system32\drivers\SROSA.SYS C:\Windows\system32\koos.exe C:\Windows\system32\kprof C:\Windows\system32\mdelk.exe C:\Windows\system32\poof C:\Windows\system32\x64 Folder:: C:\WINDOWS\system32\drivers\down C:\QooBox\Quarantine\Registry_backups C:\Program Files\m Driver:: drvsyskit srosa hldrrr hidr Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"=- "german.exe"=- "mule_st_key"=- "C:\Documents and Settings\<user>\Application Data\m\flec006.exe"=- [-HKEY_CURRENT_USER\Software\FirstRRRun] [-HKEY_CURRENT_USER\SOFTWARE\DateTime4] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa] "start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa] "start"=- [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa] Sauvegarde ce fichier <souligne>sur ton bureau</souligne> sous le nom de CFScript.txt. Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous : http://serveur1.archive-host.com/membres/u...61/CFScript.gif Cela va relancer Combofix, Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! <gras>Ne touche à rien tant que le scan n'est pas terminé.</gras> Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis. S'il n'y a pas de rédémarrage, poste quand même les rapports. **************************************** + Un nouveau rapport Elibagla stp =) 2 rapports en fait ++ Ps: Quel nom poétique en effet xD

Re , Ok. Visiblement tu as déja utilisé Combofix ... il aurait fallu me le dire ! J'aimerais que tu refasses un scan Elibagla et que tu me postes le rapport stp , pour voir ou on en est ... car ton histoire de ' NIS 2007 qui refuse de lancer son auto protect ' m'inquiète un peu. ++

Re , Tu est infecté par Bagle , on l'attrape principalement par des cracks et des mails piégés. Il empêche l'utilisation des programmes de sécurité ( notamment les anti-virus , anti-spyware etc ... ) Malheureusement , le programme espagnol (^^) sensé l'éliminer n'est plus aussi efficace qu'auparavant. J'aimerais les rapports situés dans C:\infosat.txt si ils s'y trouvent encore stp. Postes les. aussi j'aimerais que tu me dises si tu as encore des soucis ... A+

Re , Le message que tu me dit est normal , il apparait quand on lance le programme. Attend un peu. Si cela ne marche pas , réésaye en mode sans echec : http://www.commentcamarche.net/faq/sujet-5...mode-sans-echec A+

bonjour , Va sur ce site : http://www.zonavirus.com/datos/descargas/95/elibagla.asp En bas de cette page tu trouveras un outil à télécharger, clique sur "Descargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour) installe ce fichier sur le bureau. ensuite double-clic sur Elibagla.exe Vérifie que la case "eliminar ficheros automaticamente" est cochée Clique sur "explorar" puis laisse-le travailler. Puis poste moi le rapport situé dans C:\infosat.txt Bonne chance =) A+

Okk =) Je sais que tu sais ce que tu fais ( xD ) ++

Bonsoir à tous , Je suis d'accord avec Bruce lee , seulement la ligne de démarrage à été fixée. Le dossier incriminé y est toujours , et il y a sans doute des clés de registre vérolées. Perso j'aurais passé LOPXP à la place de Kaspersky... Mais bon je vous laisse faire

Salut ! Elle est officielle ta version de Windows ? Parce que j'en ai pas l'impression..