[Résolu] Ordinateur de plus en plus bloqué

[angelique]

 

On va creer un fichier reg pour faire disparaitre ce message au demarrage du pc

 

• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"taskman"=-

 

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:zou.reg type fichier "tous les fichiers"<tres important pour obtenir un fichier reg.

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

 

Double clic sur zou.reg sur ton bureau et accepte la fusion.

[angelique]

Je lirais ton rapport ewido et surtout kaspersky online cette apres midi quand tu les auras posté, Bouffe_Time

 

@ tout à l'heure

[Cartier83]

Ok, la fusion de zou.reg est faite.

 

ewido mouline toujours, mais la jauge le donne pour presque terminé. Je ferais karpersky tout à l'heure. A plus tard :P

Modifié le 25 mars 2008 par Cartier83

[Cartier83]

Bon, ce coup-ci j'ai les boules !!

 

ewido s'est treminé et j'ai eu l'idée (mauvaise) de cliquer d'abord sur "remove infection", et ensuite le bouton "save report" est devenu grisé

Impossible de récupérer un rapport pfffff désolé.

De mémore, il y avait 4 risk medium genre cookies et un risk high : un fichier dans le répertoire c:\WINDOWS\SYSTEM32\ avec un nom composé de lettres aléatoires et une extension DLL.

 

En ce moment, Kapersky tourne. Je poste le rapport dès qu'il est fini.

[angelique]

Bon, ce coup-ci j'ai les boules !!

 

ewido s'est treminé et j'ai eu l'idée (mauvaise) de cliquer d'abord sur "remove infection", et ensuite le bouton "save report" est devenu grisé

Impossible de récupérer un rapport pfffff désolé.

De mémore, il y avait 4 risk medium genre cookies et un risk high : un fichier dans le répertoire c:\WINDOWS\SYSTEM32\ avec un nom composé de lettres aléatoires et une extension DLL.

 

En ce moment, Kapersky tourne. Je poste le rapport dès qu'il est fini.

 

c'est pas grave pour ewido , du moment que tu as remove infections ; j'aurais juste pas la joie de voire ce qu'il a supprimé .

 

j'attends ton rapport kaspersky pour finir le nettoyage

[angelique]

• vide la quarantaine de spybot

 

• bcp de mail de Microsoft outlook sont porteurs de merdes comme tu peux le voir et difficile pour moi d'en faire le tri!!, je serais toi, je viderais tous ;o) idem pour outlook express en passant le message à toute la famille , que une piece jointe ne s'ouvre jamais directement!!! mais il faut toujours l'enregistrer sous dans un repertoire dédié , la scanner avec son antivirus puis sur le site de jotti avant de L'OUVRIR!!!!

http://virusscan.jotti.org/

 

• vide ta corbeille ou utilises atf cleaner (select all , empty selected )

 

• Télécharger OTMoveIt2 par OldTimer.

 

http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

 

* Enregistrer ce fichier sur le Bureau.

* Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).

* Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

C:\Documents and Settings\Ed\Bureau\SmitfraudFix
C:\Documents and Settings\Walter\Bureau\Jeux\joecartoon ( 16 an minimum requis !!! )
C:\Documents and Settings\Walter Gilpin\Application Data\vmntoolbar
C:\Program Files\Visicom Media\FTP Expert 3\vmntoolbar
C:\Program Files\vmntoolbar

* Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Standard List of Files/Folders to Move" (sous la barre bleu clair) puis choisir Coller.

* Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

EmptyTemp

* Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Custom List Of Files/Patterns To Move" (sous la barre jaune) puis choisir Coller.

* Cliquer sur le bouton rouge Moveit!.

* Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum.

* Fermer OTMoveIt2

 

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum.

 

• tu referas un autre scan kaspersky online pour verification , tu posteras le rapport , je sais c'est long

 

nb:: je masque ton precedent message , pour cacher les adresses mails

[Cartier83]

Spybot a été désinstallé. Il refuse d'être ré-installé. Je ne sais pas où est son fichier de quarantaine...

 

Je suis surpris qu'il y ait des messages dans Outlook, je ne l'avais pas installé.

J'ai viré TOUS les messages de Outlook Express. (12 ans de messages!)

 

Voici le log de OTMoveIt2:

 

Je redémarre Karpesky...

 

C:\Documents and Settings\Ed\Bureau\SmitfraudFix\backups moved successfully.

C:\Documents and Settings\Ed\Bureau\SmitfraudFix moved successfully.

File/Folder C:\Documents and Settings\Walter\Bureau\Jeux\joecartoon ( 16 an minimum requis !!! ) not found.

C:\Documents and Settings\Walter Gilpin\Application Data\vmntoolbar\NewCfg moved successfully.

C:\Documents and Settings\Walter Gilpin\Application Data\vmntoolbar\downfile moved successfully.

C:\Documents and Settings\Walter Gilpin\Application Data\vmntoolbar moved successfully.

C:\Program Files\Visicom Media\FTP Expert 3\vmntoolbar moved successfully.

C:\Program Files\vmntoolbar\Cache\NewCfg moved successfully.

C:\Program Files\vmntoolbar\Cache moved successfully.

C:\Program Files\vmntoolbar moved successfully.

[Custom Input]

< EmptyTemp >

Temp folders emptied.

IE temp folders emptied.

 

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03252008_183938

[angelique]

généralement les dossiers de spybot apres desinstallation se trouve là:

 

C:\Program Files\Spybot - Search & Destroy

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy < faut afficher dossiers et fichiers cachés !

 

*sinon tu fais la procedure OTMoveIT avec cette ligne ;o) vu qu'il est desinstallé ::

 

C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
C:\Program Files\Spybot - Search & Destroy

 

On arrive à la fin de tes soucis là

[angelique]

• supprime C:\_OTMoveIt

 

• tu vas etre mis à contribution , tu vas nettoyer ,tout seul à la main

 

donc tu affiches dossiers\fichiers cachés et protégés systeme comme tu l'as deja fait , et chaque ligne du rapport kaspersky ou y'a infected tu vas supprimer le fichier en suivant le chemin

Par exemple tu supprimes le gras:

C:\Documents and Settings\Walter\Application Data\Identities\{52B54260-88EF-11F4-B084-806F4B4ACA1C}\Microsoft\Outlook Expr\Bochnakian.dbx/[From "Alain Bochnakian" <adresse email cachée>][Date Wed, 28 Nov 2001 15:34:21 +0100]/UNNAMED/SEARCHURL.MP3.pif Infected: Email-Worm.Win32.BadtransII skipped

 

autre exemple:

 

C:\Documents and Settings\Walter\Bureau\Jeux\joecartoon

 

autre exemple:

 

C:\Documents and Settings\Walter\Application Data\Identities\{52B54260-88EF-11F4-B084-806F4B4ACA1C}\Microsoft\Outlook Expr\Bochnakian.dbx/[From "Walter Gilpin" <walter.gilpin@vivonne.com>][Date Fri, 31 Dec 1999 18:57:35 +0100]/UNNAMED/gag.exe Infected: not-virus:BadJoke.Win32.KnijpMe skipped

 

tu supprimes le gras, ça devrait le faire??

 

nb: je recache ton precedent rapport kaspersky pour masquer ton email

 

[Cartier83]

Ok, mais j'ai fait tellement de suppressions, notamment dans les emails, que je préfère refaire un karpesky d'abord. Et ne crois pas que j'y prend goût

 

En faisant mon nettoyage, je me suis rendu compte qu'il y avait un truc qui cloche dans documents et settings :

 

Normalement, il y a deux utilisateurs, Ed et Walter qui ont tous les deux des droits d'administrateur ( je sais, c'est pas bien, j'ai lu Malekal et je modifierai ça quand l'ordinateur sera clean ).

Ed est l'utilisateur sur lequel j'ai fait tout le boulot. Or, ses fichiers sont inaccessibles à partir de l'autre session Walter ( qui a aussi les droits admin).

 

En plus, il y a un peu trop de comptes à mon avis :

 

- Administrateur

- Administrateur.Amateur

- All users

- All users.WINDOWS

- Default User

- Ed

- LocalService.AUTORITE NT

- NetworkService.AUTORITE NT

- Walter

 

Bon, je retourne à Karpesky :P