RESOLU / Eradication malwares

[bruce lee]

re,

 

pour power strip, si tu connais tu ne fais rien.

 

Démarre ATF-Cleaner (ce que je t'ai fait telecharger hier) :

Coche ceci :

 

* Windows Temp

* Current User Temp

* All Users Temp

* Cookies

* Temporary Internet Files

* Prefetch

* Java Cache

* Recycle Bin

 

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

ensuite fais un scan en ligne ici:

 

Fais un scan en ligne avec http://webscanner.kaspersky.fr/

 

Sous Démonstration en ligne , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner Exécuter l'analyse en ligne .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .

Le scan va commencer.Poste le rapport qui sera généré stp.

 

Si il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme

 

décrit sur ce lien=> http://www.inoculer.com/activex.php3

 

@+

[pierreforestier]

re,

 

pour power strip, si tu connais tu ne fais rien.

 

Démarre ATF-Cleaner (ce que je t'ai fait telecharger hier) :

Coche ceci :

 

* Windows Temp

* Current User Temp

* All Users Temp

* Cookies

* Temporary Internet Files

* Prefetch

* Java Cache

* Recycle Bin

 

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

ensuite fais un scan en ligne ici:

 

Fais un scan en ligne avec http://webscanner.kaspersky.fr/

 

Sous Démonstration en ligne , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner Exécuter l'analyse en ligne .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .

Le scan va commencer.Poste le rapport qui sera généré stp.

 

Si il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme

 

décrit sur ce lien=> http://www.inoculer.com/activex.php3

 

@+

 

 

 

---------

Je n'ai pas utilisé power strip.

Voici le rapport Karspersky:

 

vendredi 19 mai 2006 13:25:05

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)

Version de Kaspersky On-line Scanner: 5.0.78.0

Dernière mise à jour de la base antivirus Kaspersky : 19/05/2006

Enregistrements dans la base antivirus Kaspersky : 183138

 

 

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie. vrai

 

Cible de l'analyse Poste de travail

A:\

C:\

D:\

E:\

F:\

G:\

H:\

 

Statistiques de l'analyse

Total d'objets analysés : 88466

Nombre de virus trouvés 3

Nombre d'objets infectés 11

Nombre d'objets suspects 0

Durée de l'analyse 01:05:21

 

Nom de l'objet infecté Nom du virus Dernière action

C:\System Volume Information\_restore{3F75E49B-BFF2-4617-82DA-B6DB54290A02}\RP351\A0582393.lso Infecté: Trojan-Clicker.Win32.Small.js ignoré

 

C:\System Volume Information\_restore{3F75E49B-BFF2-4617-82DA-B6DB54290A02}\RP353\A0582629.exe Infecté: Packed.Win32.Tibs ignoré

 

C:\WINDOWS\system32\ozukrgok.pwi Infecté: Trojan-Clicker.Win32.Small.js ignoré

 

G:\RECYCLER\S-1-5-21-2025429265-1606980848-839522115-1004\Dg1\Application Data\Identities\{AEBD5A20-50F0-446D-901F-727C75FECF9B}\Microsoft\Outlook Express\Boîte de réception.dbx/[From [email protected]][Date Wed, 3 Mar 2004 14:32:01 +0100 (CET)]/UNNAMED/UNNAMED/[From [email protected]][Date Wed, 3 Mar 2004 14:33:10 +0100]/document_full.pif Infecté: Email-Worm.Win32.NetSky.d ignoré

 

G:\RECYCLER\S-1-5-21-2025429265-1606980848-839522115-1004\Dg1\Application Data\Identities\{AEBD5A20-50F0-446D-901F-727C75FECF9B}\Microsoft\Outlook Express\Boîte de réception.dbx/[From [email protected]][Date Wed, 3 Mar 2004 14:32:01 +0100 (CET)]/UNNAMED/UNNAMED Infecté: Email-Worm.Win32.NetSky.d ignoré

 

G:\RECYCLER\S-1-5-21-2025429265-1606980848-839522115-1004\Dg1\Application Data\Identities\{AEBD5A20-50F0-446D-901F-727C75FECF9B}\Microsoft\Outlook Express\Boîte de réception.dbx/[From [email protected]][Date Wed, 3 Mar 2004 14:32:01 +0100 (CET)]/UNNAMED Infecté: Email-Worm.Win32.NetSky.d ignoré

 

G:\RECYCLER\S-1-5-21-2025429265-1606980848-839522115-1004\Dg1\Application Data\Identities\{AEBD5A20-50F0-446D-901F-727C75FECF9B}\Microsoft\Outlook Express\Boîte de réception.dbx Mail MS Outlook 5: infecté - 3 ignoré

 

G:\RECYCLER\S-1-5-21-2025429265-1606980848-839522115-1004\Dg1\Application Data\Local Settings\Application Data\Identities\{AEBD5A20-50F0-446D-901F-727C75FECF9B}\Microsoft\Outlook Express\Boîte de réception.dbx/[From [email protected]][Date Wed, 3 Mar 2004 14:32:01 +0100 (CET)]/UNNAMED/UNNAMED/[From [email protected]][Date Wed, 3 Mar 2004 14:33:10 +0100]/document_full.pif Infecté: Email-Worm.Win32.NetSky.d ignoré

 

G:\RECYCLER\S-1-5-21-2025429265-1606980848-839522115-1004\Dg1\Application Data\Local Settings\Application Data\Identities\{AEBD5A20-50F0-446D-901F-727C75FECF9B}\Microsoft\Outlook Express\Boîte de réception.dbx/[From [email protected]][Date Wed, 3 Mar 2004 14:32:01 +0100 (CET)]/UNNAMED/UNNAMED Infecté: Email-Worm.Win32.NetSky.d ignoré

 

G:\RECYCLER\S-1-5-21-2025429265-1606980848-839522115-1004\Dg1\Application Data\Local Settings\Application Data\Identities\{AEBD5A20-50F0-446D-901F-727C75FECF9B}\Microsoft\Outlook Express\Boîte de réception.dbx/[From [email protected]][Date Wed, 3 Mar 2004 14:32:01 +0100 (CET)]/UNNAMED Infecté: Email-Worm.Win32.NetSky.d ignoré

 

G:\RECYCLER\S-1-5-21-2025429265-1606980848-839522115-1004\Dg1\Application Data\Local Settings\Application Data\Identities\{AEBD5A20-50F0-446D-901F-727C75FECF9B}\Microsoft\Outlook Express\Boîte de réception.dbx Mail MS Outlook 5: infecté - 3 ignoré

 

Analyse terminée.

--------------

 

C'est grave docteur??

[micmac74]

c est ou reg search s il vous plait?

[bruce lee]

re,

 

1/pour commencer suis les instructions de ce lien http://www.libellules.ch/desactiver_restauration.php

 

2/ demarre en mode sans echec

 

3/ supprime ce qui est en gras:

 

C:\WINDOWS\system32\ ozukrgok.pwi <== le fichier

 

4/ redemarre en mode normal

 

 

5/ vide le contenu de ta corbeille.

 

 

6/ Si tu as reussi a tout faire refais un scan avec kaspersky et poste le rapport.

 

micmac74, crée toi ton propre sujet pour la deuxieme fois.

[pierreforestier]

re,

 

1/pour commencer suis les instructions de ce lien http://www.libellules.ch/desactiver_restauration.php

 

2/ demarre en mode sans echec

 

3/ supprime ce qui est en gras:

 

C:\WINDOWS\system32\ ozukrgok.pwi <== le fichier

 

4/ redemarre en mode normal

5/ vide le contenu de ta corbeille.

6/ Si tu as reussi a tout faire refais un scan avec kaspersky et poste le rapport.

 

micmac74, crée toi ton propre sujet pour la deuxieme fois.

 

-----------

Je n'ai pas le fichier que tu me demandes de supprimer!!! (ozukrgok.pwi)

...et j'ai vérifié plusieurs fois!

Que faire?

Merci

[bruce lee]

re,

 

as tu verifié en affichant tout les fichiers comme ceci:

 

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

[cro-magnon]

salut bruce lee

en regardant les post, je me souviens d'un cas qui m'était arrivé :

mon pc se connectait à une adresse ip, et je m'en suis rendu compte parce que mon antivirus (avg) scannait mon courrier sortant vers cette adresse

j'ai contacté les services d'avg par mail

ils m'ont fait faire un rapport hijackthis, et ils m'ont fait fixer toutes les lignes que pierreforestier a en 018 commençant par "protocol bw**", et apres ça, ça a marché nickel

y a ptet pas besoin de tout ça pour une simple webcam, vu que ça peut cacher bien des choses

voilà, je vous laisse

@ ++++

Modifié le 19 mai 2006 par cro-magnon

[bruce lee]

bonsoir a tous,

 

cro-magnon, je crois que tu confonds, la personne que j'essaye d'aider est pierreforestier et non,

micmac74.

Modifié le 19 mai 2006 par bruce lee

[pierreforestier]

bonsoir a tous,

 

cro-magnon, je crois que tu confonds, la personne que j'essaye d'aider est pierreforestier et non,

micmac74.

 

 

Bonjour Bruce Lee!!

J'ai tout essayé pour trouver "ozukrgok.pwi" sans succès ! en mode normal, sans echec, en faisant une recherche etc.... mais rien!

As tu une solution?

Merci encore de ton aide

Cordialement

Pierre

[bruce lee]

bonjour pierreforestier,

 

-Télécharge la dernière version de Killbox ici=>

 

http://www.downloads.subratam.org/KillBox.zip

 

-Redémarre en mode sans échec pour ne pas être gêné par un résident.

 

-Lance Pocketkillbox,choisis l'option Delete on reboot

 

Copie le chemin de fichier entier, en gras ci-bas, et colle le dans la boîte Full Path of File to Delete :

 

C:\WINDOWS\system32\ozukrgok.pwi

 

-Cliquer sur la croix blanche sur fond rouge:

 

« File will be Deleted on Next Reboot » répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » répondre OUI

 

 

 

rend toi ici C:\ !KillBox et ouvre le dossier!KillBox et poste le fichier texte qui s'y trouve s'il te plait.

Modifié le 20 mai 2006 par bruce lee