virus system fixFermé

Question

Bonjour, 

Mon PC est infecté par un virus "system fix"
J'ai téléchargé des logiciels "trojankiller" et "spyhunter" pour le contrer, mais ceux-ci me dirigent vers le paiement de leurs logiciels (même stratégie que le virus !!!)
J'ai supprimé quelques fichiers virus manuellement. Il a été apparemment maitrisé mais je n'ai pas récupéré tous mes raccourcis (bureau et menu démarrer vides) et l'accès direct aux fichiers sur C: et D: (vides)

J'ai besoin d'aide
merci



Configuration: Windows XP / Firefox 8.0

g3n-h@ckm@n · Accepted Answer

non c'est antivir qui delire sur les vaccins posés par usbfix

juju666 · Answer

Hello vires les 2 machins pourris que tu as téléchargé

&#9654 Télécharge sur le bureau RogueKiller  (par tigzy)   

&#9654 &#9654 Sous Windows XP, double clic gauche   

&#9654 &#9654  Sous Vista/Seven, clique droit, lancer en tant qu'administrateur   

&#9654 Quitte tous tes programmes en cours   
&#9654 Lance RogueKiller.exe.   
&#9654 Un scan se lance, puis tu verra d''indiqué dans la fenêtre  
&#9830 1. Recherche (écrit en vert) 
&#9830 2. Suppression(écrit en rouge)  
&#9830 3. Hosts RAZ (écrit en rouge)  
&#9830 4. Proxy RAZ (écrit en rouge) 
&#9830 5. DNS RAZ (écrit en rouge) 
&#9830 6. Raccourcis RAZ (écrit en rouge) 
&#9830 0. Quitter (écrit en vert) 
&#9654  A ce moment tape 1 et valide   

&#9654 Une fois terminé, un rapport (RKreport1.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse.
&#9654 Utilise l'option 0 pour fermer RogueKiller à ce moment là.

&#9654 Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe

Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=24

onrask · Answer

Bonjour juju666
merci de répondre aussi vite

J'ai supprimé les 2 logiciels
voici le rapport :

RogueKiller V6.1.10 [18/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: KARIM [Droits d'admin]
Mode: Recherche -- Date : 21/11/2011 20:20:39

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 4 ¤¤¤
[SUSP PATH] HKLM\[...]\Run : iOhOHraTYbYM.exe (C:\Documents and Settings\All Users\Application Data\iOhOHraTYbYM.exe) -> FOUND
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

juju666 · Answer

Ok.

Relance le en mode 2, colle le rapport et ferme le, puis mode 0.

onrask · Answer

Voici le second rapport ;

RogueKiller V6.1.10 [18/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: KARIM [Droits d'admin]
Mode: Suppression -- Date : 21/11/2011 20:34:23

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 4 ¤¤¤
[SUSP PATH] HKLM\[...]\Run : iOhOHraTYbYM.exe (C:\Documents and Settings\All Users\Application Data\iOhOHraTYbYM.exe) -> DELETED
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\WINDOWS\VAIO Light Flo Wallpaper TrueColor 1440x900.bmp)
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

juju666 · Answer

ok.

on supprime l'infection qui est juste "désactivée" pour l'instant :

&#9654 Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
&#9654 Effectue la mise à jour et lance Malwarebytes' Anti-Malware

&#9654 &#9654 Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

&#9654 Clique dans l'onglet du haut "Recherche"
&#9654 Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
&#9654 Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

&#9654 Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

&#9654 Clique sur OK puis "Afficher les résultats"
&#9654 Choisis l'option "Supprimer la sélection"
&#9654 Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#9654 Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#9654 Sinon le rapport s'ouvre automatiquement après la suppression

Quelque soit le résultat, copie/colle le rapport dans le prochain message

Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=10

onrask · Answer

J'ai supprimé le fichier infecté.
Après le redémarrage, les fichiers C et D du poste de travail était encore vides ainsi que "tous les programmes" du menu "démarrer"!!!

Voici le rapport de malwarebytes :

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8210

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

21/11/2011 22:46:53
mbam-log-2011-11-21 (22-46-53).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 339031
Temps écoulé: 1 heure(s), 48 minute(s), 16 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

juju666 · Answer

relance roguekiller option 6

onrask · Answer

Après avoir relancé Roguekiller option 6, tout semble redevenu normal

Un grand MERCI à juju666 d'avoir pris le temps de m'aiguiller pour traiter ce problème (sympa et efficace)

Internet, c'est aussi un grand réseau d'entraide.

Voici le rapport

RogueKiller V6.1.10 [18/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: KARIM [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 23/11/2011 10:28:06

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

Attributs de fichiers restaures:
Bureau: Success 74 / Fail 0
Lancement rapide: Success 7 / Fail 0
Programmes: Success 75925 / Fail 0
Menu demarrer: Success 481 / Fail 0
Dossier utilisateur: Success 6825 / Fail 0
Mes documents: Success 954 / Fail 0
Mes favoris: Success 221 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 61303 / Fail 0
Sauvegarde: [FOUND] Success 314 / Fail 0

Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\Harddisk1\DP(1)0-0+5 -- 0x2 --> Restored
[F:] \Device\CdRom0 -- 0x5 --> Skipped

¤¤¤ Infection : Rogue.FakeHDD ¤¤¤

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

juju666 · Answer

voilà. Tu peux supprimer roguekiller et RK_Quarantine.

Tu as d'autres soucis? On peut vérifier par un diagnostic que tout fonctionne correctement si tu veux.

onrask · Answer

ça consiste en quoi ?

juju666 · Answer

Nous allons effectuer un diagnostic de ton PC: 

&#9654 Télécharge ZHPDiag 

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et  "Exécuter ZHPDiag" 

&#9654 Clique sur l'icône représentant un tournevis vert et coche tout, puis sur l'icone représentant une loupe (« Lancer le diagnostic ») 

&#9654 Durant le scan, accepte l'installation de SigCheck

&#9654 Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau.

Voici comment procéder

&#9654 Rends toi sur pjjoint.malekal.com 
&#9654 Clique sur le bouton Parcourir 
&#9654 Sélectionne le fichier que tu veux héberger et clique sur Ouvrir 
&#9654 Clique sur le bouton Envoyer 
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 

&#9654 Copie le lien dans ta prochaine réponse. 

Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=13 

A bientôt.

onrask · Answer

Voici le lien du rapport :

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111126_s11k13h7g14v12

juju666 · Answer

Eh ben on a bien fait !!

Ton MBR est infecté
Tes supports amovibles sont infectés

Et y'a SpyHunter que tu n'as toujours pas désinstallé.

&#9654 Télécharge Reload_TDSSKiller  

&#9654 Lance le   

choisis : lancer le nettoyage  

l'outil va automatiquement télécharger la derniere version puis   

TDSSKiller va s'ouvrir , clique sur "Start Scan"  Clique ici pour l'aide en image  

Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut.   
Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée.   
Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée.   
Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas  
Si Suspicious file est indiqué, laisse l''option cochée sur Skip    
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer  

sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau  

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=15

~~

&#9654 Télécharge ici : USBFIX sur ton bureau

OU lien alternatif : https://toolslib.net

branche tous tes périphériques externes sans les ouvrir (MP3, MP4, clé USB, disque dur externe, GSM, ...)

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=9

onrask · Answer

J'ai téléchargé TDSSKiller par contre rien ne se produit lorsque je clique sur l'application (il ne s'ouvre pas !!!)

juju666 · Answer

https://media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.exe

onrask · Answer

Rapport Kapersky
http://pjjoint.malekal.com/files.php?id=20111127_j8q7e6n7f12

Rapport USBFIX
http://pjjoint.malekal.com/files.php?id=20111127_j10e13w10u9t11

juju666 · Answer

mais heu c'est pas ça que je t'ai demandé avec kaspersky ?!?

onrask · Answer

J'ai suivi ton lien qui me dirigeait vers la page d'accueil kapersky (http://support.kaspersky.com/fr/downloads/utils/tdsskiller.exe)

le logiciel TDSSKiller ne se trouvait pas sur le site ! 

"Kaspersky Virus Removal Tool" est le logiciel que j'ai utilisé et qui s'en approchait (me semblait-il) le plus.

juju666 · Answer

bah chez moi le lien fonctionne :(

onrask · Answer

Effectivement, il fonctionne maintenant ?!!! Dois-je faire un nouveau scan ?

juju666 · Answer

oui ça n'a rien à voir :)

onrask · Answer

J'ai branché mes périphériques externes.
Lorsque je clique sur "reload tdsskiller", je clique ensuite sur "lancer un nettoyage"
Ensuite, une fenêtre avec un fond noir apparait pendant 5 secondes puis une petite fenêtre "extracting" apparait pendant 1 seconde, puis il ne se passe plus rien !!! J'ai beau cherché, je ne trouve aucune application TDSSKiller créé !!!

juju666 · Answer

prends le de là : https://media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.exe

onrask · Answer

Excuse-moi mais, comme auparavant, je ne trouve pas de logiciel à télécharger nommé "TDSSKiller" sur ce site !!!

juju666 · Answer

en principe tu clique sur le lien ça le télécharge.

onrask · Answer

La fenêtre de téléchargement a enfin fini par s'ouvrir !
TDSSKiller est téléchargé. Par contre, lorsque je clique dessus, le petit sablier de Windows apparait brièvement mais le logiciel ne s'ouvre pas (comme si quelquechose l'empêchait de s'ouvrir) !!! :(

juju666 · Answer

hum ...

essaie en mode sans échec ?

Démarrer Windows en « mode sans échec »

- Au démarrage de l'ordinateur presser successivement (intervalle d'une seconde) la touche F8 jusqu'à arriver au menu de démarrage avancé permettant de sélectionner le Mode sans échec.
- Vous naviguez dans le menu jusqu'à l'option « Mode sans échec » grâce aux flèches de direction.
- Validez avec la touche Entrée.

Note : Sur certains ordinateurs, c'est la touche F5 qu'il convient d'utiliser.

onrask · Answer

Ca ne change rien !

juju666 · Answer

▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) : http://download.bleepingcomputer.com/sUBs/ComboFix.exe ▶ Double-clique sur ComboFix.exe ♦ Ne touche à rien (souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC ▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. ▶ Une fois le scan achevé, un rapport va s''afficher : Poste son contenu Notes: ♦ Le rapport se trouve également là : C:\ComboFix.txt ♦ tutoriel combofix

Kikidee · Answer

Merci bcp pour vos réponses ! en parlant de solidarité, le mieux est encore de remercier aussi l'auteur de roguekiller en lui laissant une donation... perso j'étais bien dans la m... avec mon ordi infecté et grâce à vous et à ces logiciels je crois que je m'en suis tirée. Voilà voilà :) merci les gens !

onrask · Answer

Voici le rapport de combofix :

http://pjjoint.malekal.com/files.php?id=20111202_t11z15q12h15e12

A noter qu'avant la fin du scan, j'ai eu une fenêtre d'erreur : 

"Generic Host Process for Win 32 Services a rencontré un problème et doit fermer."

juju666 · Answer

bonsoir ok merci pour lui :)

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Recherche] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=16

onrask · Answer

Voici le rapport de ADWCleaner :

http://pjjoint.malekal.com/files.php?id=20111202_u6f6p14c8q11

juju666 · Answer

salut !

ok pour lancer le nettoyage !

Relance AdwCleaner, clique cette fois sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=16

onrask · Answer

Voici le nouveau rapport :

http://pjjoint.malekal.com/files.php?id=20111204_t12m11f13z15u7

Pour info : TDSSKiller ne s'ouvre toujours pas et j'ai encore eu la fenêtre d'erreur "Generic Host Process for Win 32 Services a rencontré un problème et doit fermer."

Comment supprimer "internet explorer" et ses composants ? (je ne m'en sers jamais ?

Merci, bon dimanche

juju666 · Answer

on peut pas virer IE c est forgé à windows.

supprime tdss killer et retélécharge le

sandra · Answer

Bonjour
Je ne sais pas si je poste au bon endroit, je suis novice...
Infesté par systemfix voià le rapport que j'obtiens avec MalwarebytesMalwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8309

Windows 6.1.7600 (Safe Mode)
Internet Explorer 9.0.8112.16421

04/12/2011 18:30:24
mbam-log-2011-12-04 (18-30-24).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 355093
Temps écoulé: 38 minute(s), 46 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 23

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\programdata\on3zmh0xberpvo.exe (Rogue.FakeHDD) -> Quarantined and deleted successfully.
c:\system volume information\systemrestore\frstaging\Users\didier\AppData\Local\Temp\0.5311093112082125gtye.exe (Trojan.Inject.adb) -> Quarantined and deleted successfully.
c:\system volume information\systemrestore\frstaging\Users\didier\AppData\Local\Temp\0.9313617883767973gtye.exe (Trojan.Inject.adb) -> Quarantined and deleted successfully.
c:\Users\didier\AppData\Local\Temp\0.5311093112082125gtye.exe (Trojan.Inject.adb) -> Quarantined and deleted successfully.
c:\Users\didier\AppData\Local\Temp\0.9313617883767973gtye.exe (Trojan.Inject.adb) -> Quarantined and deleted successfully.
c:\Users\didier\AppData\Local\Temp\207C.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\didier\AppData\Local\Temp\2865.tmp (Backdoor.IRCBot.kf) -> Quarantined and deleted successfully.
c:\Users\didier\AppData\Local\Temp\4CB1.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\didier\AppData\Local\Temp\5A68.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\didier\AppData\Local\Temp\CA29.tmp (Backdoor.IRCBot.kf) -> Quarantined and deleted successfully.
c:\Users\didier\AppData\Local\Temp\FA40.tmp (Backdoor.IRCBot.kf) -> Quarantined and deleted successfully.
c:\Users\didier\AppData\Local\Temp\malremtool.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\didier\AppData\Local\Temp\msimg32.dll (Trojan.Inject) -> Quarantined and deleted successfully.
c:\Users\didier\AppData\Local\Temp\ombgrpopl81sid.exe.tmp (Rogue.FakeHDD) -> Quarantined and deleted successfully.
c:\Users\didier\AppData\Local\Temp\ubq660lstvwiav.exe.tmp (Rogue.FakeHDD) -> Quarantined and deleted successfully.
c:\Users\didier\AppData\Local\Temp\~!#3322.tmp (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\Users\didier\AppData\Local\Temp\~!#904.tmp (Trojan.Inject) -> Quarantined and deleted successfully.
c:\Users\didier\AppData\LocalLow\Sun\Java\deployment\cache\6.0\6\7f2c98c6-249d9cef (Trojan.Inject.adb) -> Quarantined and deleted successfully.
c:\Windows\assembly	emp\kwrd.dll (PUP.BitMiner) -> Not selected for removal.
c:\Windows\System32\Ax38uPr.com (Trojan.Email) -> Quarantined and deleted successfully.
c:\Windows\SysWOW64\Ax38uPr.com (Trojan.Email) -> Quarantined and deleted successfully.
c:\Windows\Temp\soleed\setup.exe (Trojan.Email) -> Quarantined and deleted successfully.
c:\Users\didier\Desktop\privacy protection.lnk (Malware.Trace) -> Quarantined and deleted successfully.


Merci d'avance pour votre aide!

onrask · Answer

-Lorsque je clique sur "reload tdsskiller", je clique ensuite sur "lancer un nettoyage"
Ensuite, une fenêtre avec un fond noir apparait pendant 5 secondes  (chargement), puis une petite fenêtre "extracting" apparait pendant 1 seconde, puis il ne se passe plus rien !!! J'ai beau cherché, je ne trouve aucune application TDSSKiller créée !!!

-Lorsque je télécharge directement TDSSKiller, l'application ne fonctionne pas !!!

bizarre, bizarre...

juju666 · Answer

Mouais pas normal.

Repasse un zhpdiag pour voir. 
Rapport à héberger.

onrask · Answer

Bonjour
voici le rapport :

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111205_h15x12b10d8y9

Au passage. Comment désinstaller les différentes applications et leur composants ? Roguekiller, ZHPDiag, Combofix, Adwcleaner, USBFix, ZHPFix...


(car ils n'apparaissent pas dans "ajout/suppression de programmes")

MERCI pour tes réponses.

juju666 · Answer

on se charge de ça après t'inquiète pas.

O42 - Logiciel: iLivid - (.Bandoo Media Inc..) [HKLM] -- iLivid    => Infection BT (Adware.Bandoo)

A désinstaller stp

onrask · Answer

C'est fait

onrask · Answer

Bonjour,
j'ai donc désinstallé "Ilivid"

J'ai effectué un scan MBAM. Il trouve un fichier infecté. Il s'agit en fait de l'application de synchronisation de mon DDE ! Je n'ai donc rien fait.

voir le rapport ici :

http://pjjoint.malekal.com/files.php?id=20111208_r11t8w15h14n14

TDSSKiller est toujours indisponible et mon PC rame toujours autant (nous n'avons pas dû réussir à déloger le coupable, non ?)

juju666 · Answer

Salut,

Ok ok donc refais moi un zhpdiag tout frais suite au dégagement de iLivid.

onrask · Answer

rapport ZHPDiag :

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111209_8z5t12k15w9

onrask · Answer

Précisions : lorsque je fais une recherche Google, je suis parfois redirigé automatiquement vers la page "12finder.com" !!!

onrask · Answer

A signaler :

- En surfant sur le web, Antivir a détecté un malware "TR/ATRAPS.Gen" dans le fichier "WInRAR.exe". J'ai cliqué sur "Remove"

 En même temps, une fenêtre me prévenait que "Plugin-container.exe" avait   rencontré un problème et devait fermer.

- Je ne peux pas éjecter mes périphériques (clé USB, DDE) alors que toutes les fenêtres sont fermées !!! (problème récurrent)

... si toutes ces précisions peuvent t'éclairer...

( Peut-être devrai-je éviter de me connecter sur internet en tant qu'administrateur à l'avenir ? )

onrask · Answer

Nouvelle alerte d'Antivir :

Le virus "TR/Dropper.Gen" a été détecté dans le fichier "mbam.exe" !!!

A l'aide !!!

Que dois-je faire ?

juju666 · Answer

&#9654 Télécharge Reload_TDSSKiller  

&#9654 Lance le   

choisis : lancer le nettoyage  

l'outil va automatiquement télécharger la derniere version puis   

TDSSKiller va s'ouvrir , clique sur "Start Scan"  Clique ici pour l'aide en image  

Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut.   
Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée.   
Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée.   
Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas  
Si Suspicious file est indiqué, laisse l''option cochée sur Skip    
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer  

sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau  

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=15

onrask · Answer

Salut,

le problème, c'est que TDSSKiller ne s'ouvre toujours pas alors qu'il a l'air de télécharger automatiquement la dernière version !!!

-Lorsque je clique sur "reload tdsskiller", je clique ensuite sur "lancer un nettoyage"
Ensuite, une fenêtre avec un fond noir apparait pendant 5 secondes (chargement), puis une petite fenêtre "extracting" apparait pendant 1 seconde, puis il ne se passe plus rien !!! J'ai beau cherché, je ne trouve aucune application TDSSKiller créée !!!

-Lorsque je télécharge directement TDSSKiller, l'application ne fonctionne pas !!!

juju666 · Answer

bref.

refais un zhpdiag stp.

onrask · Answer

Voici le rapport ZHPDiag :
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111211_j15v15p6g11u5

juju666 · Answer

&#9654 Télécharger, sur le Bureau, MBRCheck (par a_d_13) en cliquant sur l''un de ces liens:

* http://www.geekstogo.com/forum/files/file/441-mbrcheck/
* https://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe
* http://www.kernelmode.info/MBRCheck.exe

&#9654 Fermer tout et cliquer sur MBRCheck.exe

&#9654 &#9654 S'il te demande de taper "Y or N", tapes Y puis valider en tapant sur la touche entrée de ton clavier,
&#9654 &#9654 S'il te demande de taper sur la touche "entrée" seulement, fais le
&#9654 &#9654 S'il te demande 1, 2  ou 3, Appuie sur 2 

&#9654 Un rapport s''ouvre en fin de scan et sera automatiquement enregistré sur le Bureau. Il sera du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt

onrask · Answer

"Enter the physical disk number to fix" ??????

Je fais quoi sachant que mon DD est partitionné C et D, et que mon DDE est noté H ? (A noter que ma clé USB (noté G) n'apparait pas)

juju666 · Answer

ça doit etre 0

onrask · Answer

Voici le rapport MBRCheck :

http://pjjoint.malekal.com/files.php?id=20111211_r11y15i11k6n7

juju666 · Answer

ok redémarre et refais moi un zhpdiag ?

onrask · Answer

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111211_s11n11u10u8x10

juju666 · Answer

mouarf :(

relance mbrcheck voir

onrask · Answer

http://pjjoint.malekal.com/files.php?id=20111211_o10n14s7u5p7

juju666 · Answer

&#9654 &#9654 Désactive tes protections 
&#9654 Télécharge ici : MBR_Repair (par gen-hackman)
&#9654 Enregistre-le sur ton bureau , 
&#9654 Lance-le , choisis "Repair" 
&#9654 Choisis ton système d'exploitation : "XP"
&#9654 Ton pc va redémarrer 

&#9654 &#9654 à ton retour , relance MBR_Repair puis fais l''option "Verify" 

MBR_Verify.txt se mettra sur ton bureau, poste ici son contenu

onrask · Answer

MBRRepair cherche à aller sur une page internet mais internet explorer ne peut pas afficher la page. J'ai essayé avec firefox, celui-ci me dit que la page n'existe plus !

onrask · Answer

J'ai réessayé et ça a apparemment fonctionné (décidément!!!)
voici le rapport MBR :

http://pjjoint.malekal.com/files.php?id=20111211_y8t6p15h9q11

juju666 · Answer

Analysis of file "MBR.bin":
Could not open file (2)!

pas normal !!

je demande quelque chose aux collègues !

juju666 · Answer

Hello,

Me revoilà !

Ton antivirus (Avira) était-il désactivé lors des manipulations ? 

Car ton Master Boot Record est infecté, on essaie de le remettre à neuf, mais c'est bloqué par quelque chose !

onrask · Answer

Comme tu me l'avais demandé, j'avais désactivé "Antivir Guard" et "Antivir Webguard", ainsi que mon pare-feu Windows.

juju666 · Answer

hello

bizarre bizarre ... je redemande aux collègues patience ...

juju666 · Answer

Re


désactive ton antivirus
désactive Windows defender si présent
désactive ton pare-feu 

Télécharge Pre_scan (de gen-hackman)

Si le lien ne fonctionne pas, utilise celui-ci

&#9830 Enregistre le sur ton bureau  
s'il n'est pas sur ton bureau, coupe-le de ton dossier téléchargements et colle-le sur ton bureau 

&#9654 Exécute Pre_scan. 
Avertissement: Il y aura une courte extinction du bureau pendant que l'outil travaillera --> pas de panique. 
Si l'outil est bloqué, utilise cette version
Si l'outil détecte un proxy  et que tu n'en n'as pas installé  clique sur "supprimer le proxy"

&#9654 Une fois qu'il aura fini, un rapport s'ouvrira. 

&#9830 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier Pre_Scan.txt qui se trouve sur ton bureau (une copie est aussi à la racine : C:\Pre_Scan.txt)

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.


Tutoriel Pre_Scan : http://forums-fec.be/entraide/viewtopic.php?f=55&t=47

onrask · Answer

Salut
l'analyse est terminée mais pour poster le rapport, il ne s'agirait pas du site "cijoint.com" ?  (car  "cijoint.fr" n'aboutit sur rien !)

juju666 · Answer

cjoint.com pardon :)

cijoint.fr est mort ;)

onrask · Answer

Voici le rapport de Prescan :

http://cjoint.com/?0Lmv21irZVk

A noter qu'en début de scan, alors que la petite fenêtre Prescan affichait "Suppression / Mountpoints2" une seconde fenêtre est apparue "Windows - Pas de disque" où il y était mentionné : 

" Exception Processing Message c00000013 Parameters 75afbf7c 4 75afbf7c 75afbf7c "

On pouvait "Annuler", "Recommencer" ou "Continuer"
"Recommencer" ne fonctionnait pas
J'ai cliqué sur "Continuer" et le scan s"est poursuivi jusqu'à son terme.

juju666 · Answer

normalement à C:\ t'as un fichier mbr.dat qui a été créé 

envoie le sur virustotal.com , clique sur reanalyse, et poste le lien vers le rapport.

juju666 · Answer

suite

C:\Kill'em\MBR.bin

voilà :)

onrask · Answer

- Voici le rapport sur l'analyse du fichier MBR.exe :

   http://cjoint.com/?ALmxOhw8Brc

- Voici le rapport sur l'analyse du fichier PhysicalDisk0_MBR.bin :

   http://cjoint.com/?ALmxUC8GMMW

A noter que lorsque je clique sur C:/ , Antivir me notifie que "Autorun.inf was blocked for your security"

Je ne peux toujours pas éjecter mes périphériques car, à priori, "un programme les utilise " alors que j'ai tout fermé !!!

juju666 · Answer

jamais un TDL m'a autant fait chi** !!!

ton pc c'quoi ? un pc de marque ? 
tu as une partition de restauration dessus ?

onrask · Answer

PC portable SONY  VAIO VGN A417M

J'ai à ma disposition un guide de dépannage VAIO pour une réinstallation des applications et du système.

Lors de la 1ère utilisation, le PC m'avait invité à créer un DVD de réinstallation du système. Je l'ai encore en ma possession si besoin.

juju666 · Answer

hello,

oui mais ma question : as-tu une restauration d'usine sur le disque dur ?

onrask · Answer

Voici 2 rapports issus de mon PC Sony VAIO (si ça peut t'aider) :

- Services actifs ou non de mon PC :
   http://cjoint.com/?0LomI1v0HEW

- Journal des erreurs :
   http://cjoint.com/?ALomLDGDcid

Rappel : Le rapport de Prescan est consultable ici : http://cjoint.com/?0Lmv21irZVk 

Pour répondre à ta question (j'espère), j'ai  "un assistant de réinstallation" à partir de mon disque dur. Après l'avoir consulté, le point de vérification le plus ancien est daté du 29 novembre 2011. Or, le dysfonctionnement de mon PC a commencé avant cette date !

Comme je te le l'ai dit, j'ai créé, lors du 1er démarrage de mon PC en 2007, 2 DVD de réinstallation : un pour le système et l'autre pour les applications. Je pense qu'ils vont nous permettre de retrouver une configuration d'usine, non ?

Je reste à ta disposition pour d'autres renseignements.

g3n-h@ckm@n · Answer

bizarre cette clé :

[HKCU\Software\fAfvfSfP [fVf#f" fEfBfU [fh'Å ¶ ¬'³'ê'½f  [fJf< fAfvfSfP [fVf#f"]      

==================

pleins de restes à virer

==================

pas à jour adobe

=================

juju t'as du script à faire :)

juju666 · Answer

salut gen vas y je suis full débordé en ce moment et le cas du mbr me dépasse, je m'avoue vaincu !

salut cozy et courage ...

g3n-h@ckm@n · Answer

hello bon demarrer/executer puis tape regedit deplie avec les petits plus cette arborescence : HKCU Software puis clic droit là dessus : fAfvfSfP [fVf#f" fEfBfU [fh'Å ¶ ¬'³'ê'½f [fJf< fAfvfSfP [fVf#f"] et supprime =========================== deesinstalle adobe reader 7 si ce n'est fait ========================== fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre Lance Pre_script , une page vierge va s'ouvrir. selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) : ___________________________________________________ Kill:: Registry:: [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{0E5CBF21-D15F-11D0-8301-00AA005B4383}"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{AC76BA86-7AD7-1036-7B44-A00000000001}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{AC76BA86-7AD7-1036-7B44-A70900000002}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1] [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA}] [-HKCU\Software\Safer Networking Limited] [-HKCU\Software\fAfvfSfP [fVf#f" fEfBfU [fh'Å ¶ ¬'³'ê'½f [fJf< fAfvfSfP [fVf#f"] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\WINDOWS\system32\sessmgr.exe"=- "C:\WINDOWS\Network Diagnostic\xpnetdiag.exe"=- file:: C:\WINDOWS\RavMonLog folder:: C:\WINDOWS\1C7CC8E2CFCF41E6A8637C7A45CE8A78.TMP C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy attrib:: clean:: Reboot:: ___________________________________________________ colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge. puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer ================================ * Télécharge Defogger (de jpshortstuff) sur ton Bureau * Lance le * Une fenêtre apparait : clique sur "Disable" * Fais redémarrer l'ordinateur si l'outil te le demande * Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" ================================= fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre Lance Pre_script , une page vierge va s'ouvrir. selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) : ___________________________________________________ command:: "%Homedrive%\Kill'em\mbr.exe" -t For /f "tokens=*" %%a in ('type "%Homedrive%\Kill'em\mbr.log"') do ( echo %%~a >> %Homedrive%\Pre_script.txt ) ___________________________________________________ colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge. puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

onrask · Answer

Merci juju d'avoir fait un bout de chemin avec moi. Je constate que la tâche est compliquée !

Salut G3n, 
je vais essayer de suivre au plus près ce que tu vas me conseiller.

- Voici d'abord le 1er rapport de Pre-script : http://cjoint.com/?0LowdSIlTIr

- Voici le rapport de Defogger : http://cjoint.com/?0LoweWDygCG

- Voici le 2nd rapport de Pre-script : http://cjoint.com/?0LowfYRICKR

* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
 Il fallait que je le fasse maintenant ou lorsque tout sera désinfecté ?

Si je peux me permettre une petite question : Pourquoi avoir supprimé Adobe reader ?

g3n-h@ckm@n · Answer

le 1er pre_script ne correspond pas à ce qui etait demandé...

onrask · Answer

J'ai pourtant suivi à la lettre ce que tu m'as demandé ! Je ne vois pas où je me suis planté ? 
Désolé.

Fallait-il brancher ma clé USB et mon DDE ? ou me déconnecter du web? ou désactiver mon antivirus et mon pare-feu ?

Est-ce que je dois refaire le 1er Prescript ?

g3n-h@ckm@n · Answer

oui à tout hasard ;)

onrask · Answer

Voici le 1er rapport de Prescript :

http://cjoint.com/?ALpa0qgol3p

g3n-h@ckm@n · Answer

▶ Télécharge Dr Web CureIt sur ton Bureau : ▶ redemarre en mode sans échec ▶- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ▶- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ▶- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ▶- De retour à la fenêtre principale : clique pour activer selectionne tous les disques ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ▶- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite : tu m'envoies l'archive comme ceci : clique sur ce lien : http://www.cijoint.fr/ ▶ Clique sur Parcourir et cherche le fichier ci-dessus. ▶ Clique sur Ouvrir. ▶ Clique sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt est ajouté dans la page. ▶ Copie ce lien dans ta réponse. ▶- Ferme Dr.Web Cureit ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

onrask · Answer

Salut G3n,
Lorsque j'ouvre Dr.Web Cureit, j'ai 2 possibilités : "commencer le scan" ou "mettre à jour".

Je n'ai pas d'invitation "à l'analyse rapide", ni de menus pour cliquer sur "options", ni d "analyse complète"

Peu-être est-ce une nouvelle version de ce logiciel ?
Est-ce que, si je clique sur "commencer le scan", ce sera la même "procédure à suivre" décrite ci-dessus ?

g3n-h@ckm@n · Answer

salut oui

onrask · Answer

Voici le rapport Dr.Web :

http://cjoint.com/?0LptEkuhbEB

onrask · Answer

A noter que lors de la dernière mise à jour de sécurité de Windows Update pour Windows XP, un fichier n'a pas pu être téléchargé !!!
Il se nomme "KB2633171"

g3n-h@ckm@n · Answer

https://www.google.fr/search?q=KB2633171&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:fr:official&client=firefox-a&gws_rd=ssl

apparemment il y a plusieurs liens ici correspondant à ton souci , peut -être cela peut-il 'aider ?

================

rapport drWeb vu , R.A.S

onrask · Answer

OK
Merci

g3n-h@ckm@n · Answer

tu as réussi à installer ton "KB" ?

onrask · Answer

Salut G3n
Eh bien non
J'ai ce message qui apparait :
"C:/windoxs/system 32/ntkrnlpa.exe est ouvert ou utilisé par une autre application"
Bien sûr, je n'ai aucune application ouverte !


Juste pour ton information : Mon pare-feu windows XP se déconnecte systématiquement pendant plusieurs secondes lorsque je démarre mon PC. Je mettais ça sur le compte de la mise à jour Antivir, mais ce n'est peut-être pas si anodin ?

Ça y est, je commence à devenir parano ! :)

g3n-h@ckm@n · Answer

essaie en mode sans echec avec prise en charge reseau

onrask · Answer

C'est la même chose :(

g3n-h@ckm@n · Answer

tu avais reussi à supprimer la clé de registre demandé plus haut ?

onrask · Answer

oui, sans difficulté

g3n-h@ckm@n · Answer

alors-là je sèche.....

onrask · Answer

Euh..., là, tu m'inquiètes !

D'autant plus que depuis ce matin, il y a une fenêtre toute noire qui apparait régulièrement et ce, pendant quelques secondes !!! Dans son bandeau bleu, il y a écrit : "c:\PROGRA-1\mcafee\SITEAD-1\saUpd.exe"

Par ailleurs, le "WebGuard" d'Antivir se désactive parfois tout seul lorsque j'allume mon PC !!!

Plus de solutions ?!!!

g3n-h@ckm@n · Answer

c'est la mise à jour de mcAfee site advisor

onrask · Answer

Salut G3n

OK mais il doit y avoir un problème car elle apparait très fréquemment.

Est-ce que quelque chose bloquerait les mises à jour de sécurité (Windows Update, McAfee SiteAdvisor) et les antivirus (TDSSKiller) ???

Sur les différents rapports postés, rien a été détecté ?

g3n-h@ckm@n · Answer

fais ce qui est indiqué ici avec winupdatefix

http://www.forum-vista.net/forum/topic15285.html

onrask · Answer

Le lien ne fonctionne plus !

g3n-h@ckm@n · Answer

chez moi si ^^

juju666 · Answer

Je pense qu'il parle du lien de winupdatefix :)

il est dispo ici : https://toolslib.net

onrask · Answer

Merci pour le lien juju.

J'ai exécuté Winupdatefix, malheureusement la fenêtre apparait encore !!!

Je suis désolé de constater que cette saloperie puisse encore une fois vous résister.

Je reste ouvert à vos propositions.

onrask · Answer

Salut,
voici le rapport de Winupdatefix :

http://cjoint.com/?ALAqNpbcFtS

NB - Je voulais supprimer tous les logiciels, ainsi que leurs dossiers, téléchargés depuis le début de ce post car certains prennent de la place (USBFix = 2,2 Go !). Il faut apparemment que je les supprime un par un. Pas d'objection ?

g3n-h@ckm@n · Answer

on s occupe de tout à la fin 

mets les mises à jour sur automatique , va sur windows updade et installe tout ce qu'ils te proposent

onrask · Answer

Toutes les mises à jour Microsoft ont été installées... sauf la fameuse mise à jour de sécurité pour windows XP ("échec")

A noter que durant le balayage contre les logiciels malveillants, Antivir a de nouveau bloqué plusieurs fois le dossier Autorun.inf situé dans C: (???)

g3n-h@ckm@n · Answer

pour éviter les alertes @ autorun.inf , il suffit de désactiver le bloquage par Antivir:
Configuration > cocher mode expert > Guard > recherche > actions si resultat positif et décocher la case bloquer la fonction d'autodémarrage.

onrask · Answer

OK merci
ce n'était donc pas un dossier infecté.

onrask · Answer

Salut 
Meilleurs voeux à tous pour cette nouvelle année

Alors G3n, où en est-on ?

Juju avait diagnostiqué avec ZHPDiag une infection de mon MDR et de mes supports amovibles. Est-ce qu'il faut revérifier ?
On a jamais su pourquoi TDSSKiller n'a jamais voulu démarrer. Je ne suis pas sûr que la fameuse mise à jour de sécurité de windows XP ait réussi à s'installer !

Pour ma part, quelques bugs subsistent :

- je suis fréquemment redirigé lorsque je veux ouvrir un site dans firefox. Il faut que je revienne quelques pages avant pour trouver l'adresse demandé.

- J'ai maintenant régulièrement l'apparition d'une  fenêtre me notifiant que "explorer.exe a rencontré un problème et doit fermer"

- le PC reste encore "au ralenti", voir "se fige": peut-être devrais-je rajouter de la RAM ? Je n'ai que 512 Mo et je peux aller jusqu'à 2 Go. Qu'en penses-tu ?

Quant à MacAfeeSite Advisor, je l'ai réinstallé, ça a l'air de fonctionner.

Reste le "ménage" des applications...

Merci pour tes réponses...

g3n-h@ckm@n · Answer

hello pour ca : 

Je n'ai que 512 Mo et je peux aller jusqu'à 2 Go 

c'est clair que ca fera du bien au pc mais ce n'est pas ca qui justifie les redirections 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

onrask · Answer

J'ai donc refait un scan ZHPDiag dont voici le rapport :

http://cjoint.com/?0AitcP6mAYr

Tout est OK ?

A la fin du scan, Antivir a détecté un fichier (infecté ?) :

"Guard : Malware found
A virus or unwanted program 'BOO/TDss.O' was found in file 'C:\PhysicalDisk0_MBR.bin' "

Est-ce que je dois le mettre en quarantaine comme me le propose Antivir ?

Merci pour tes réponses

g3n-h@ckm@n · Answer

oui 

ensuite clique sur la fleche verte de zhpdiag pour le mettre à jour , coche tout au tournevis , heberge le rapport sur http://pjjoint.malekal.com

onrask · Answer

Euh je l'ai posté ici : http://cjoint.com/?0AitcP6mAYr

Et le fichier, dois-je le mettre en quarantaine ?

g3n-h@ckm@n · Answer

essaie de lire ce que j ecris stp

onrask · Answer

Désolé, je n'étais pas concentré...

Lorsqu' Antivir me l'a proposé, j'ai cliqué sur "Remove". 

J'ai ensuite relancer ZHPDiag, ...mais il a redétecté le même fichier !!! (et ce à chaque nouvelle tentative !)
Il apparait ainsi à chaque fois dans le rapport de mise en quarantaine.

Je te joins malgré tout le rapport de ZHPDiag :

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120108_l14h6r8v12e10

g3n-h@ckm@n · Answer

explique-moi un peu ce que tu fais avec ton pc pendant la desinfection

onrask · Answer

- Scan de ZHPDiag
- A la fin, détection du fameux fichier par Antivir
- Je clique sur "Remove"
- Antivir déclenche un scan

Pendant toutes ces phases, je ne fais aucune autre action sur le PC

g3n-h@ckm@n · Answer

&#9654 Télécharge DelFix sur ton bureau.

&#9654 Lance le, tape suppression puis valide 

Patiente pendant le scan jusqu'à l'ouverture du rapport.

&#9654 Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFix.txt

tu peux le desinstaller

================================

telecharge ici combofix renommé et relance-le

http://dl.dropbox.com/u/21363431/fichiers/Win_.exe

onrask · Answer

Le rapport de Delfix a dû "passer à la trappe" suite au scan de Combofix ! (Il a disparu)
Par ailleurs la désinstallation de Delfix ne fonctionne pas!

Quant au scan de Combofix, tout semble s'être bien déroulé...sauf au moment de la rédaction du compte-rendu où le message d'erreur qui suit est apparu :

"Windows - Pas de disque
Exception Processing Message c0000013 Parameters 75afbf7c 4 75afbf7c 75afbf7c"

J'ai cliqué plusieurs fois sur "Recommencer" mais rien ne se passait. J'ai donc cliqué sur "Continuer"


Voici le rapport de Combofix :

http://pjjoint.malekal.com/files.php?id=20120108_w8v10b97t5

g3n-h@ckm@n · Answer

bon ben quand t'auras fini de faire l'andouille avec ton pc en jouant avec des cracks ou en y branchant des trucs infectés que tu n'as pas branchés au moment voulu on pourra peut-etre travailler convenablement je pense

onrask · Answer

"les trucs infectés", ce sont ma clé USB et mon DDE ??? Je crois les avoir branchés quand tu m'as dit de le faire !??

Quant aux "cracks", Mea culpa, j'ai sûrement encore besoin de compléter mon éducation par rapport à la navigation sur la toile. D'ailleurs, cette expérience y contribuera. J'ai certainement la naïveté de croire que mon PC est bien protégé malgré un surf approximatif !

Je suis attentif à tes conseils afin de prendre les bonnes habitudes.

Je suis disponible pour parfaire la désinfection.
Dans l'attente de tes directives...

onrask · Answer

Je te confirme que le fichier KB ne s'est toujours pas installé

onrask · Answer

Bonjour g3n,

pour 2012, plus de directives ???

juju666 · Answer

salut je crois qu'il t'a oublié ^^

g3n-h@ckm@n · Answer

non je l'ai pas oublié mais quand je vois qu'a peine desinfecté il repourrit le pc aussi sec avant d avoir fini je suis un peu decouragé... 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

juju666 · Answer

j'avoue :o)

onrask · Answer

Tu peux t'adresser directement à moi g3n !!!

J'ai déjà reconnu mes erreurs (sans d'ailleurs avoir compris précisément le moment où j'ai fait la boulette ! Ça ne participe pas à ma rééducation, tant pis !).


Je te prie de croire que je suis sincèrement désolé d'avoir "pourri" ton boulot !
Je comprendrais que tu ne désires plus t'occuper de mon PC. Si c'est le cas, dis-le moi ("directement").
Dans le cas contraire, je suis "aux ordres".

Merci Juju d'avoir joué le médiateur ;o)

g3n-h@ckm@n · Answer

non franchement j'abandonne avec ton pc

onrask · Answer

Au revoir

Virus system fix

135 réponses

Discussions similaires

Newsletters