F secure anti-virus

[tornado]

Re,

 

 

Bon j'ai essayer de faire comme dns le lien.

Quand il fallait taper dns execution un mot qui ouvre une petite fenetre pour compresser certain dossier,sa n'a pas marché la fenetre disparaissait...

 

Tu veux parler de cleanmgr à taper dans démarrer > exécuter ?

Ce n'est pas grave si cela n'a pas fonctionné, si tu as effectué le nettoyage manuel...

 

Ensuite j'ai lancé un scan sa a mis environs 18h pour faire 20% et ensuite l'ordi a rédémaré tout seul...

 

Sinon pour f-secure je voudrais bien repartir sur le message de Rafale

 

On va un peu près faire ce que Rafale t'a demandé. Sauf qu'on ne va pas tout de suite réinstaller un pare-feu, étant donné le niveau d'infection du système...

 

 

 

Ca ne servirait à rien d'attendre ... on va directement passer à la désinfection, même si la procédure de pré-nettoyage n'a pas pu être appliquée correctement.

 

J'analyse ton rapport , réponse dans 20 min environ...

 

 

 

A+

Modifié le 25 juillet 2006 par tornado

[tornado]

Re,

 

 

Avant que l'on commence la désinfection, peux-tu faire ceci ? :

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Modifié le 25 juillet 2006 par tornado

[psychopathe]

je n'est aucun fichier détecter lors du scan et donc aucun rapport sur le bureau

[tornado]

Re,

 

 

Ok

 

 

Voici ce que tu vas pouvoir faire :

 

La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur :

 

 

- "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure

- Dans types, choisis "Page web complète"

- Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple)

- Ouvre-le et choisis "Enregistrer sous"

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver

 

 

Autre solution : Tu peux également copier la procédure dans un fichier texte (avec la visiblité en moins), ou bien même l'imprimer (si tu as de l'encre à "gaspiller" )

 

======================================================================

 

 

Etape 1 : Téléchargement / installation des outils nécessaires

 

=> Télécharge et installe les logiciels suivants, en suivant les instructions (si il y a)

 

- Ewido anti-malware --> http://www.ewido.net/en/download/

-- Pour commencer, installe Ewido en suivant les instructions données par le logiciel

-- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.

-- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"

-- Ferme Ewido. Ne pas le lancer tout de suite.

- Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html

 

- Nailfix --> http://www.spywareedge.net/nf/nailfix.exe

-- Exécute nailfix.exe

-- Un dossier Nailfix apparaît sur le bureau

-- N'y touche pas pour l'instant

 

- Lopremover --> http://clairvoyant.p2pforum.it/tools/lopremover.zip

-- Dézippe-le sur le bureau

-- Ne le lance pas tout de suite

 

- ATF-cleaner d' Atribune --> http://www.atribune.org/public-beta/ATF-Cleaner.exe

 

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page)

 

 

=> Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

 

 

Etape 2 : Redémarrage en mode sans échec

 

On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication :

 

- Va dans Démarrer > Arrêter l'ordinateur > Redémarrer . Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite ) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

- Le tuto si tu bloques sur quelque chose => http://www.informatruc.com/mode_sans_echec.php

 

 

Etape 3 : Désinstallation (normale) des logiciels infectieux

 

Va dans démarrer > panneau de configuration > Ajouter ou supprimer des programmes. Sélectionne alors les programmes suivants, et désinstalle-les en cliquant sur supprimer :

 

- Messenger plus => à réinstaller sans les sponsors, qui contiennent l'adware Lop

- Flashget => inclut un adware pendant l'installation. Tu pourras éventuellement le remplacer par un autre gestionnaire de téléchargement, sans spyware/adware, comme Free Download Manager

- F-Secure Antivirus => si tu trouves

- ZoneAlarm => si tu trouves

 

Etape 4 : Désactivation / Suppression des services infectieux

 

* Désactivation

 

Va dans Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) recherche le service suivant:

 

System Startup Service

 

Quand le service est trouvé, pointe dessus, double-clique (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter,

puis déroule le Type de Démarrage pour le modifier en Désactivé

Clique sur Appliquer puis OK

 

 

* Suppression

 

Lance Hijackthis, choisir Open the Misc.Tools section

la fenêtre "Configuration va s'ouvrir

clique sur Delete a NT service...

la fenêtre "Delete a Windows NT service" va s'ouvrir

Entre dans la zone de dialogue :

 

SvcProc

 

Note : assure-toi de ne mettre d'espace, ni avant, ni après !

cliquer OK

 

Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer.

Cliquer NO

 

 

Etape 5 : Utilisation d'Hijackthis/Suppression des lignes infectieuses

 

- Lance Hijackthis, clique sur le bouton "do a system scan only", et coche les lignes suivantes (il se peut que certaines lignes aient pu disparaître après les étapes précédentes. Dans ce cas, n'en tiens pas compte) :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ycqfiqffzm.com/14/Am8mXZ3qqkNiJsY3s...to2IHRsEkA.html

 

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

 

O2 - BHO: (no name) - {2400C11F-2563-654B-B89C-064029CB173E} - (no file)

O2 - BHO: (no name) - {F5DE8ADB-4A69-4e56-96AB-823171C8E9D8} - (no file)

 

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: (no name) - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - (no file)

 

O4 - HKLM\..\Run: [Dinst] C:\WINDOWS\dinst.exe

O4 - HKLM\..\Run: [CASH PROGRAM SEEK AUDIO] C:\Documents and Settings\All Users\Application Data\inside more cash program\battons.exe

O4 - HKLM\..\Run: [pklkmhu] C:\WINDOWS\System32\kegfpfk.exe r

O4 - HKCU\..\Run: [bytestart] C:\DOCUME~1\Alexus\APPLIC~1\SENDSO~1\armycake.exe

 

O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm

O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm

 

O15 - Trusted Zone: http://secure.gestrip.com (HKLM)

O15 - Trusted Zone: http://update.randhi.com (HKLM)

 

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} - http://acces.blonde.com/package/op/PackageHtmlCab.CAB

O16 - DPF: {33331111-1111-1111-1111-611111193423} -

O16 - DPF: {33331111-1111-1111-1111-611111193429} -

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab

O16 - DPF: {33331111-1131-1111-1111-611111193428} -

O16 - DPF: {43331111-1111-1111-1111-611111195622} -

O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

 

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)

 

 

- Clique sur le bouton "Fix checked"

 

 

Etape 6 : Modification de l'affichage des fichiers/dossiers

 

A présent, on va modifier l'affichage des fichier et des dossiers, car la plupart du temps, les malwares "s'emparent" du statut de fichiers cachés ou fichier système pour mieux se cacher :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer le bouton radio : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

 

Et clique sur Ok

 

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

Etape 7 : Suppression des fichiers/dossiers infectieux

 

Depuis l'explorateur Windows :

 

=> Supprime les dossiers suivants (en gras) :

 

- C:\Documents and Settings\All Users\Application Data\inside more cash program

- C:\Documents and Settings\Alexus\Application Data\SENDSO~1 (un dossier qui commence par Sendso[...])

 

- C:\Program Files\FlashGet

- C:\Program Files\F-Secure (si la suppression du dossier ne fonctionne toujours pas, ne t'en fais pas, on pourra le faire une fois le pc désinfecté)

 

 

=> Supprime les fichiers suivants, si ils existent encore (en gras) :

 

- C:\eied_s7.cab

- C:\ex.cab

 

- C:\WINDOWS\Nail.exe

- C:\WINDOWS\dinst.exe

- C:\WINDOWS\SvcProc.exe

 

- C:\WINDOWS\System32\kegfpfk.exe

 

 

=> Vide la corbeille

 

 

 

Etape 8 : Utilisation du BFU + le script edgeaccess.bfu

 

- Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

 

EGDACCESS.bfu

 

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

 

 

Etape 9 : Utilisation de Nailfix

 

- Ouvre le dossier NailFix placé sur ton bureau

- Lance nailfix.cmd

- Le bureau disparait pendant un moment, puis réapparait.

- Ne redémarre pas tout de suite

 

 

Etape 10 : Utilisation de Lopremover

 

- Double-clique sur Lopremover.exe (situé sur le bureau)

- Une fois le logiciel lancé, inserez les chiffres dans la case, puis cliquez sur "UNINSTALL"

- Laisse l'outil faire son travail

- Ne redémarre pas pour l'instant

 

 

Etape 11 : Nettoyage des fichiers temporaires + registre

 

On va maintenant nettoyer ton système (avec les différents outils téléchargés), pour supprimer les éventuelles traces de malwares dans les dossiers temporaires (très fréquent) et les traces dans le registre, laissées par la suppression des fichiers. A noter que je te fais passer plusieurs outils, car ils sont complémentaires :

 

 

=> Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement)

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

=> Avec Jv16 powertools (pour le nettoyage du registre uniquement)

 

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

 

(si il ya quelque chose qui t'échappe, sers toi du tuto de la page web )

 

 

Etape 12 : Scan avec Ewido

 

On va maintenant scanner ton système avec un anti-trojan/anti-spyware très performant, pour se débarasser des infections non repérées par Hijackthis :

• Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
   
  
• Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
   
  
• Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
  

Etape 13 : Redémarrage en mode normal

 

- Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5)

 

 

 

Etape 14 : Nouveau rapport Hijackthis

 

 

Génère un nouveau rapport Hijackthis (via "Do a system scan and save a logfile), copie-le, et colle-le dans ta prochaine réponse

 

======================================================================

 

Je récapitule pour les rapports que tu dois coller dans ta prochaine réponse :

 

- Le rapport d'Ewido

- Le nouveau rapport Hijackthis (généré en mode normal)

 

 

 

Du boulot en perspective...bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure.

 

A+

Modifié le 25 juillet 2006 par tornado

[psychopathe]

j'ai trouver le fichier ,le rapport

 

07/25/06 16:32:27 [info]: BlackLight Engine 1.0.42 initialized

07/25/06 16:32:27 [info]: OS: 5.1 build 2600 ()

07/25/06 16:32:27 [Note]: 7019 4

07/25/06 16:32:27 [Note]: 7005 0

07/25/06 16:32:39 [Note]: 7006 0

07/25/06 16:32:39 [Note]: 7011 456

07/25/06 16:32:39 [Note]: 7026 0

07/25/06 16:32:39 [Note]: 7026 0

07/25/06 16:32:49 [Note]: FSRAW library version 1.7.1019

07/25/06 16:44:22 [Note]: 7007 0

 

sinon je n'arrive pas a télécharger Lopremover il y a un cheval de troi

Modifié le 25 juillet 2006 par psychopathe

[tornado]

Re,

 

 

Pour Lopremover, il n'est pas infectieux puisqu'il va t'aider à te débarasser de Lop.

Pour le télécharger :

 

- Désactive la protection résidente d'avast : clic droit sur dans la barre des tâches => arrêter la protection résidente

- Télécharge Lopremover.zip et dézippe-le sur le bureau

- Réactive la protection résidente d'avast : clic droit sur dans la barre des tâches => démarrer la protection résidente

 

 

Sinon, le rapport de Blacklight n'indique rien, donc pas de problèmes

 

 

Bonne chance pour la suite

Si tu as d'autres questions, n'hésites pas...

 

 

A+

[psychopathe]

Merci a tous ! F-secure est definivement parti ! Sans avoir besion de faire la manip que tu m'a prposer a ton dernier message.

Par contre j'ai eu des ptis bug sur des jeux....et ouai ,un probleme résolu en voila un autre !

Dans counter je n'est plus mes favoris (serveur) sa c'est pas trop grave,mais je n'arrive plus du tt a ouvrir un jeux,un message apparait

 

[u]Ca.exe-sortie d'application irrécupérable[/u]

 

Cannot attach fx pack file system

[tornado]

Re,

 

Merci a tous ! F-secure est definivement parti ! Sans avoir besion de faire la manip que tu m'a prposer a ton dernier message. icon_eek.gif

 

Qu'as tu fait pour que F-secure "parte" ?

 

Je n'ai pas vraiment rédigé pour enlever F-secure en particulier, mais surtout pour désinfecter ton système.

Un pc vérolé peut non seulement nuire à l'utilisateur (collecte d'infos personnelles, lenteur du système etc) mais aussi à beaucoup de gens sur Internet (ton pc peut servir à envoyer des mails infectieux ou spams).

 

Donc je te conseille vivement de suivre la procédure, ton pc s'en portera mieux

Je te rassure sur un point, la procédure n'est pas spécialement compliquée, tu dois juste suivre à la lettre les différentes instructions...

 

 

Dans counter je n'est plus mes favoris (serveur) sa c'est pas trop grave,mais je n'arrive plus du tt a ouvrir un jeux,un message apparait

 

Ca.exe-sortie d'application irrécupérable

 

Je ne peux malheureusement pas t'aider sur ce point... c'est peut-être dû aux infections présentes sur ton système, va savoir !

 

 

 

A+

[psychopathe]

merci quand meme je ferais la procedure

De plus j'ai reussi a désinstaller ZA,enfaite il y avait un dossier qui trainait nommé "zonelabs" et c'était sa.....

 

Sinon je tien a dire que ces un tres bon forum !Reponse rapide,politesse,message détailler bref impécable ^^

Modifié le 26 juillet 2006 par psychopathe

[psychopathe]

Salut c'est moi ^^ je me suis décider a faire la manip pour nettoyer mon pc mais encore une fois lorsque je télécharge lopremover bah ya un virus nommé Win32 donc voila c'est pas malin de mettre des virus sur ce logiciel ! (je n'accuse personne)

 

De plus un probleme au niveau de ces dossier C:\BFU : EGDACCESS.bfu et BFU.exe

ilme manque EGDACCESS.bfu,j'ai juste l'aplication

Modifié le 3 août 2006 par psychopathe