MALWARE IRREDUCTIBLE

[bruce lee]

bonjour a tous,

 

effectivement il reste des petites bebetes

 

telecharge ceci:

 

CleanUp40 cleanup http://www.stevengould.org/download[...]p/CleanUp40.exe

Tutoriel http://www.tutoriaux-excalibur.com/[...]s_cleaunup!.htm (imprime le).

 

-Télécharge la dernière version de Killbox ici:

 

http://www.downloads.subratam.org/KillBox.zip

 

déconnecte toi du net et ferme toutes les applications en cours.

 

fais:

demarrer/executer/regedit

 

rend toi ici et supprime ce qui est en rouge et surtout rien d'autre!

HKEY_CURRENT_USER\SOFTWARE\P2ECLIENT

 

execute CleanUp40

 

-Redémarre en mode sans échec pour ne pas être gêné par un résident.

 

-Lance Pocketkillbox,choisis l'option Delete on reboot

 

choisis all files

 

Copie le chemin des fichiers entiers, en gras ci-bas, et colle les dans la boîte Full Path of File to Delete :

 

 

C:\WINDOWS\SYSTEM32\emlzvubqkh_nav.dat

C:\Documents and Settings\Sabene\Favoris\Search the Web.url

C:\WINDOWS\HWS.exe

 

-Cliquer sur la croix blanche sur fond rouge:

 

« File will be Deleted on Next Reboot » répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » répondre OUI

 

normalement tu dois etre en mode normal.

 

reconnecte toi au net et refais un scan chez panda et poste le nouveau rapport.

Modifié le 19 mars 2006 par bruce lee

[JUJUM2000]

Bonsoir Bruce Lee,

 

J'ai fait tout ce que tu m'as indiqué et voici mon dernier rapport panda:

 

Incident Statut Analyse

 

Adware:adware/navipromo No Désinfecté C:\WINDOWS\SYSTEM32\emlzvubqkh_navps.dat

Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@2o7[2].txt

Spyware:Cookie/Atwola No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@atwola[1].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@bluestreak[1].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@doubleclick[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@xiti[1].txt

Spyware:Cookie/Toplist No Désinfecté C:\Documents and Settings\Sabene\Application Data\Netscape\NSB\Profiles\t5s61eq3.default\cookies.txt[]

Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@2o7[2].txt

Spyware:Cookie/Atwola No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@atwola[1].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@bluestreak[1].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@doubleclick[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@xiti[1].txt

Virus:Eicar.Mod No Désinfecté C:\Program Files\Trend Micro\Internet Security 12\tmhelp.chm[Test_virus.htm]

@+

[bruce lee]

re,

 

il reste pu qu'une bestiole courage

 

j'ai besoin que tu fasses une petites recherche

 

rend toi ici C:\WINDOWS\SYSTEM32 ouvre le SYSTEM32 et communique moi tout les fichiers que tu vois qui commences par emlzvubqkh

[JUJUM2000]

Salut Bruce Lee,

 

Pour répondre à ta question, j'ai deux fichiers qui répondent à tes critères de recherche:

emlzvubqkh.dat

emlzvubqkh_navps.dat

 

@+

[bruce lee]

saut,

 

ok apparement il en reste pu que deux.

 

-Redémarre en mode sans échec pour ne pas être gêné par un résident.

 

-Lance Pocketkillbox,choisis l'option Delete on reboot

 

choisis all files

 

Copie le chemin de fichier entier, en gras ci-bas, et colle le dans la boîte Full Path of File to Delete :

 

C:\WINDOWS\SYSTEM32\emlzvubqkh_navps.dat

C:\WINDOWS\SYSTEM32\emlzvubqkh.dat

 

-Cliquer sur la croix blanche sur fond rouge:

 

« File will be Deleted on Next Reboot » répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » répondre

 

normalement tu dois etre en mode normal.

 

refais un scan chez panda et poste son rapport.

Modifié le 20 mars 2006 par bruce lee

[JUJUM2000]

Salut Bruce Lee,

 

Voici le dernier rapport de panda après avoir suivi tes indications. Décidément, il est tenace ce virus!

 

@+

 

Incident Statut Analyse

 

Adware:adware/navipromo No Désinfecté Registre Windows

Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@2o7[2].txt

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@advertising[1].txt

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@atdmt[2].txt

Spyware:Cookie/Atwola No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@atwola[1].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@bluestreak[1].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@doubleclick[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@xiti[1].txt

Spyware:Cookie/Zedo No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@zedo[2].txt

Spyware:Cookie/Toplist No Désinfecté C:\Documents and Settings\Sabene\Application Data\Netscape\NSB\Profiles\t5s61eq3.default\cookies.txt[]

Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@2o7[2].txt

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@advertising[1].txt

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@atdmt[2].txt

Spyware:Cookie/Atwola No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@atwola[1].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@bluestreak[1].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@doubleclick[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@xiti[1].txt

Spyware:Cookie/Zedo No Désinfecté C:\Documents and Settings\Sabene\Cookies\sabene@zedo[2].txt

Virus:Eicar.Mod No Désinfecté C:\Program Files\Trend Micro\Internet Security 12\tmhelp.chm[Test_virus.htm]

[tornado]

Salut jumjum2000,

 

 

En l'absence de Bruce lee , je me permets de poursuivre la désinfection... les fichiers que Bruce t'a fait supprimé on disparu, d'après le scan de panda. Cependant, il reste une trace dans le registre de l'adware Navipromo...

 

 

Télécharge et installe les logiciels suivants au préalable

 

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

- Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

 

 

 

2/ Recherche et supprime les fichier en gras via l'explorateur Windows

 

 

- C:\Program Files\Trend Micro\Internet Security 12\tmhelp.chm --> rien de grave, c'est un virus de test, que tu as sûrement volontairement téléchargé...

 

 

 

 

- Vide la corbeille

 

 

 

3/ Lance Jv16 power tools

 

Va dans l'outil registre

Rend-toi ensuite dans "outils" --> choisis "chercheur de registre"

 

- Dans "entrer les mots à rechercher", tape "navipromo" (sans les guillemets). Valide puis sélectionne toutes les branches à analyser.

- Clique sur "démarrer" puis supprime la ou les clés trouvées.

 

 

 

4/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools

 

Easycleaner

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

 

ATF-cleaner

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

 

 

 

Jv16 powertools

 

-Nettoie globalement ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

 

 

5/ Redémarre en mode normal, fais à nouveau le scan de panda, et poste le rapport.

 

 

 

A+

Modifié le 24 mars 2006 par tornado