Virus récalcitrant [résolu]

[Gof]

Bonjour Chessjc

 

Bon boulot, plus de traces apparentes de Avast & Bitdefender. Tu ne m'as pas dit comment allait le système à présent ? Je pense que nous avons fini ensemble.

 

Si tout va bien, on procède à la désinstallation des outils. J'attends de tes nouvelles

[Chessjc]

Bonjour

 

le système va bien mieux, à priori plus de soucis au niveau de la navigation. Le message d'erreur au lancement de windows (CFSServ.exe doit fermer) persiste mais je ne sais pas si c'est important.

merci beaucoup pour ton aide

[Gof]

Relance un scan HijackThis

• Clique sur Do a system scan only et coche les lignes ci-dessous :
  

• O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
  O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
  O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
  

• Ferme toutes les fenêtres sauf HijackThis et Fix Checked.
  

 

Redémarre le PC. Confirme que tu n'as pas de soucis

[Chessjc]

ok tout est bon

[Gof]

Bien.

 

 

 

Affichage des fichiers et dossiers cachés.

 

Assure toi d'avoir l'accès aux fichiers et dossiers cachés.

Pour afficher les fichiers et dossiers cachés du systéme :

• Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
  
• Cocher la case : Afficher les fichiers et dossiers cachés
  
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
  
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
  ---> Répondre OUI à la demande de confirmation
  
• Cliquer Appliquer puis OK
  

 

 

Désinstallation des outils.

 

Rends toi dans ton Menu Démarrer > Exécuter et copie-colle : combofix /u.

Valide.

 

Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Favorit]

-Enregistre ce fichier dans : Bureau

-Nom du fichier : remove.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes: ne clique pas sur le fichier maintenant!

 

Sur le bureau tu dois avoir ce remove avec en icône le petit cube registre

Clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte. Supprime le fichier reg.

 

Je t'ai fait installer MBAM, je te suggère de le conserver, tu pourras toujours l'utiliser ponctuellement après l'avoir mis à jour. Si tu ne souhaites pas le conserver, il te suffit de le désinstaller via le Panneau Ajout/Suppression de programmes.

 

Assure toi que les fichiers et répertoires suivants soient supprimés ; ils devraient être absents pour la plupart :

• c:\documents and settings\TOUFFET\Bureau\Combo-Fix.exe
  c:\documents and settings\touffet\local settings\application data\yiici.exe <= ce fichier
  C:\ComboFix-quarantined-files.txt <= le fichier
  C:\rsit <= le répertoire
  C:\mbam-setup.exe <= le fichier
  C:\ComboFix.txt <= le fichier
  C:\Qoobox <= le répertoire
  RSIT.exe <- sur ton Bureau
  C:\Program Files\EoRezo <= ce répertoire
  

Puis, vide ta corbeille.

 

 

 

 

Suppression des points de restauration.

 

Puisque ton pc ne présente aucun disfonctionnement, je te fais désactiver et réactiver ta restauration système de sorte d'effacer tous tes anciens points de restauration. Histoire de repartir sur des bases saines. Suis la manipulation indiquée :

 

Ne t'inquiète pas, en la réactivant, Windows recréera automatiquement un point de restauration qui sera, lui, propre. Procède comme ceci :

-clic droit sur Poste de travail / Propriétés / onglet Système de restauration

- coche la case "Désactiver le système de restauration..."

- clique sur "Appliquer" puis "oui"

- - redémarre, reviens sur ce panneau

- décoche la case "Désactiver le système de restauration..." pour remettre les choses en place.

- clique sur "Appliquer" puis "Ok"

 

 

Réinitialiser options d'affichage.

 

 

Je t'avais fait faire ceci pour avoir accès à tous les fichiers =>

Démarrer, Poste de travail / Menu Outils / Options des dossiers / onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Cliquer sur "Appliquer à tous les dossiers", puis OK

Je te conseille de laisser cette option d'affichage, car cela te permet de voir réellement ce que tu as sur ton disque. Cependant, il faut faire très attention à ne pas effacer inconsidérément un fichier caché, il peut être nécessaire à la bonne marche de ton pc. A toi de voir si tu veux les recacher.

 

Rapporte moi si tout s'est bien passé.

[Chessjc]

A priori tout est parfait ! un grand merci Gof

[Gof]

Bon boulot

 

Je te serais reconnaissant de jeter un coup d'oeil à Malware Complaints.

 

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://malwarecomplaints.info/phpBB3/viewt...p?f=10&t=50

- Après t'être enregistré à l'aide du bouton en haut register

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

---> http://malwarecomplaints.info/phpBB3/viewf...d=d&start=0

 

Plus d'info sur MalwareComplaints ici : http://forum.zebulon.fr/index.php?showtopic=88688

Tu étais pour ta part infecté par une infection de type Navipromo, une infection de détournement de DNS (DNS.Changer), pour les plus importantes.

 

 

Si tu n'as pas de questions, pense à éditer ton premier post pour rajouter "Résolu" dans le titre. Pour cela clique sur "Editer" à la gauche de " Citer " et "Répondre " sur le tout premier post du sujet, puis sélectionne "édition complète". Tu pourras alors changer le titre et y rajouter " Résolu".

 

Bon surf !