virus JS/wonka

[emaxis]

Bonjour,
voila j'ai malencontreusement cliquer sur un lien que je croyais sûr mais ce n'etait pas le cas et mon antivirus McAfee a detecté un cheval de troie JS/wonka et n'a pas pu le supprimer. J'ai fais une analyse complete de mes disques durs et cette fois il n'a rien detecté.
Pour le moment je n'ai aucun symptome mais comment savoir si il est toujours la ?
Merci d'avance
-----

[igor51]

Bonjour !!

Pour etre sur qu'il n'y est plus rien, suis cette procdédure >> http://forums.futura-sciences.com/thread69698.html et poste les rapports en pièces jointes


Bonne journée,

Igor

[emaxis]

Merci beaucoup de ta réponse
J'ai fais ce que tu m'as dis, voici le rapport en piece jointe

Merci d'avance

[invite275db609]

Bonjour emaxis (coucou Igor )

Tu as oublier le rapport de AVG-AntiSpyware ... peux-tu le poster stp ...

Bonne journée

[A voir en vidéo sur Futura]

[emaxis]

Ah oui désolé le voila :

[yoda1234]

Fil déplacé dans la section du forum adéquate.

[igor51]

Bonjour,

analyse en cours, réponse dans un certain temps

[igor51]

Re,

voici la procédure à faire en entier, elle va s'opérer en mode sans échec donc Je te conseille de conserver la forme de cette procédure en sauvegardant grâce à ton navigateur:

Si tu utilises Internet explorer:

• Clique sur Fichier
• Puis sur Enregistrer sous
• Choisis l'emplacement de la sauvegarde ( ie : Mes documents par exemple )
• Clique sur Enregistrer

Si tu utilises Firefox:

• Clique sur Fichier
• Puis sur Enregistrer sous
• Choisis l'emplacement de la sauvegarde ( ie : Bureau par exemple )
• Clique sur Enregistrer

Tu peux aussi choisir de l'imprimer

1/ Téléchargemet des outils :

1. Télécharge LSPfix:
http://www.cexx.org/lspfix.htm

Télécharge ATF Cleaner par Atribune.

-Télécharger jv16:
http://telechargement.zebulon.fr/201...owertools.html

-pour plus de détails=>son tutorial:
http://www.zebulon.fr/articles/base-de-registre-3.php

- Mettre le logiciel en français Preferences > Language > Français > OK.

Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml
- Clic en bas sur "I accept"
- Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.
2/ Démarrage en mode sans échec :

Au démarrage, tapote immédiatement sur la touche F8 (parfois c'est F5), puis tu verras un écran avec un choix de démarrages : choisis « Mode sans échec » avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur).

NB:Si tu rencontres un problème, va voir ici : http://service1.symantec.com/support...20905112131924

3/ affichage de tous les fichiers/dossiers :

Pour afficher les fichiers et dossiers cachés du systéme :

1. Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
2. Cocher la case : Afficher les fichiers et dossiers cachés
3. Décocher la case : Masquer les extensions des fichiers dont le type est connu
4. Décocher la case : Masquer les fichiers protégés du système d'exploitation
   ---> Répondre OUI à la demande de confirmation
5. Cliquer Appliquer puis OK

4/ Suppression des prgrammes:

Clique sur Démarrer> Panneau de configuration> Ajout Suppression de programmes

Désinstalle:

NewNet, NewDotNet, tout ce qui a trait à ce domaine.

Si tu ne le trouves pas dans Ajout Suppression de programmes, suis la procédure 4 de cette page:
http://www.newdotnet.com/removal.html


NB

Si après la procédure, tu n'a plus d'accès à l'internet: démarre LSPfix, coche "I know what I'm doing" puis clique sur "Finish".


5/ Utilisation d'hijackthis :

Lance hijackthis, choisis "Do a scan only" et coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - <default> - (no file)
O2 - BHO: {A20CC53E-61FE-4788-85FF-A0F9C9B4C2A9} - {93989C8B-BD5F-4783-A470-EB07F08E83C7} - C:\WINDOWS\system32\winapic32. dll
O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - (no file)
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2. DLL,ClientStartup -s
O4 - Global Startup: msmsgs.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O18 - Protocol: bw+0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw+0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw-0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw-0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw00 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw00s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw10 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw10s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw20 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw20s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw30 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw30s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw40 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw40s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw50 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw50s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw60 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw60s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw70 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw70s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw80 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw80s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw90 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bw90s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwa0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwa0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwb0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwb0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwc0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwc0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwd0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwd0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwe0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwe0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwf0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwf0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPl ugProtocol-8876480.dll
O18 - Protocol: bwg0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwg0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwh0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwh0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwi0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwi0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwj0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwj0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwk0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwk0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwl0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwl0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwm0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwm0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwn0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwn0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwo0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwo0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwp0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwp0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwq0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwq0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwr0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwr0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bws0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll

Fin de la première partie (j'ai plus de place)

[igor51]

Suite et fin de la procédure

O18 - Protocol: bws0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwt0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwt0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwu0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwu0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwv0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwv0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bww0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bww0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwx0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwx0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwy0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwy0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwz0 - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O18 - Protocol: bwz0s - {26E5015D-4888-424C-B921-DB5E9A6201EE} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPl ugProtocol-8876480.dll
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)

Ferme toutes les fenetres sauf Hijackthis!, et clique sur "Fix Checked"

6/ Suppression manuelle des fichiers/dossiers:

Supprime les fichiers/dossiers en gras suivants si présents :

C:\WINDOWS\system32\winapic32.dll << le fichier
C:\WINDOWS\system32\nvsvcd.exe << le fichier
C:\Program Files\NEWDOT~1\ << le dossier
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\msmsgs.exe << Ce n'est pas msn

Vide la corbeille

7/ Utilisation d'ATF-Cleaner

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

8/ Utilisation de AVG-AS

• Du mode Sans Échec, lance AVG Anti-Spyware et clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
  
• AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
  
• Clique sur "Enregstrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

9/ Utilisation de JV16 power tool

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"
puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

10/ Redémarre en mode normal

11/ Utilisation de Blacklight

- Lance-le en double-cliquant sur le fichier blbeta.exe
- Accepte la licence, et clique enfin sur "Scan" puis Next et exit.
- Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe

Aide : Tu peux consulter le tutorial de F-Secure BlackLight

12/ Fais un scan en ligne :

Fais un scan en ligne avec Kaspersky WebScanner
Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.
On va te demander de télécharger un contôle active x, accepte .
Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".
Le scan va commencer.

13/ Prochaine réponse

Dans ta prochaine réponse, poste les rapports suivants :

-le rapport de Blacklight
-le rapport de AVG-AS
-Le rapport de kasperky
-un nouveau log hijakcthis

Dis moi aussi si tu as encore des problèmes après tout çà.

Viola, si tu as des questions surtout n'hésite pas.

Bonne soirée ,

Igor

[emaxis]

Salut, alors déja merci beaucoup pour le temps que tu me consacres et la rapidité de tes réponses

J'ai tout fait, voici les rapports

Sinon jusqu'à l'analyse de Kaspersky, je n'avais pas eu de probleme mais à la fin de celle-ci, une page s'est ouverte me disant que j'etais infecté pas serwab et qu'il fallait que j'installe un logiciel pour m'en protéger. Nouveau virus ?!

J'attends ton verdict

[invite275db609]

Bonsoir

Le P2P est vecteur de malwares, si tu ne veux plus avoir de probleme d'infection, tu devrais désinstaller Emule rapidement ... (voila un petit article pour t'expliquer un peu plus : http://forum.zebulon.fr/index.php?showtopic=85544 )

Tu as une infection egdaccess, mais Igor va te regler ca très vite

Bonne soirée ...

[igor51]

Re,

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Pour cela :
-- Ouvre le poste de travail
-- Double-clic sur le disque C
-- Menu Fichier en haut puis Nouveau et nouveau dossier
-- Tapez BFU dans le nom du nouveau dossier

Télécharge Brute Force Uninstaller (de Merijn) et tu mets le fichier dans le dossier C:\BFU.

Rends toi dans le dossier C:\BFU :
-- Ouvre le poste de travail
-- Double-clic sur le disque C
-- Double-clic sur le dossier BFU
-- Sur le fichier BFU.zip, fais un clic droit / Extraire ici ou Extraire tout.

Tu dois maintenant avoir dans le dossier BFU, deux fichiers : Bfu.exe et Bfu.zip

Ensuite :
FAIS UN CLIC-DROIT ICI de Metallica et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utilises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers".

Important : Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe.
Si ce n'est pas le cas, recommence les opérations, doucement, cela ne sert à rien d'aller plus loin tant que tu n'as pas ces deux fichiers.


Ensuite télécharges et installes :
KillBox de Option^Explicit
Aide Killbox

sélectionne entièrement la liste ci-dessous :

C:\windows\system32\myqrfzpnlj .exe
c:\WINDOWS\system32\myqrfzpnlj .dat
C:\windows\system32\myqrfzpnlj .exe
c:\WINDOWS\system32\myqrfzpnlj _nav.dat
c:\WINDOWS\system32\myqrfzpnlj _navps.dat
C:\Documents and Settings\emaxis\Mes documents\92406.exe/WISE0017.BIN
C:\Documents and Settings\emaxis\Mes documents\92406.exe
C:\Documents and Settings\emaxis\Mes documents\92406.exe

---> et tu fais clic droit / copier

Ouvres killbox
- Sélectionne "delete on reboot"
- Clique sur le menu "File" -> "Past from clip board"
- Clique sur All Files
- Clique sur la croix rouge et et blanche
- Répond yes et laisse redémarrer ton pc.
N'hésite pas à consulter l'Aide killbox

NOTE: Si tu reçois le message "PendingFileRenameOperatio ns Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur


Lors du redémarrage, redémarre en mode sans échec :

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

EGDACCESS.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

Redémarre en mode normal:

(WinXP, Win2K)
Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Dézipper la totalité de l'archive smitfraudfix.zip

Utilisation ----- option 1 - Recherche :
Double cliquer sur smitfraudfix.cmd
Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.
Poster le rapport sur le forum.

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Refais un scan avec blacklight aussi.


Dans ta prochaine réponse, il faut que tu poste :

Le rapport de blacklight
le rapport de smitfraufix


Bonne soirée,

Igor

edit : coucou synthexe

[emaxis]

re, merci encore de ton aide

voila les rapports

[igor51]

Bonsoir,

bizarre sa n'a pas marché..on va y aller à la main.

1/ Démarre en mode sans échec :

Au démarrage, tapote immédiatement sur la touche F8 (parfois c'est F5), puis tu verras un écran avec un choix de démarrages : choisis « Mode sans échec » avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur).

NB:Si tu rencontres un problème, va voir ici : http://service1.symantec.com/support...20905112131924

2/ Assure toi d'avoir accès à tous les fichiers/dossiers

Pour afficher les fichiers et dossiers cachés du systéme :

1. Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
2. Cocher la case : Afficher les fichiers et dossiers cachés
3. Décocher la case : Masquer les extensions des fichiers dont le type est connu
4. Décocher la case : Masquer les fichiers protégés du système d'exploitation
   ---> Répondre OUI à la demande de confirmation
5. Cliquer Appliquer puis OK

3/ Supprime les fichiers suivants en gras :

C:\windows\system32\myqrfzpnlj .exe
c:\WINDOWS\system32\myqrfzpnlj .dat
C:\windows\system32\myqrfzpnlj .exe
c:\WINDOWS\system32\myqrfzpnlj _nav.dat
c:\WINDOWS\system32\myqrfzpnlj _navps.dat
C:\Documents and Settings\emaxis\Mes documents\92406.exe

Vide la corbeille !!!

4/ Passage de smitfraufix

Double cliquer sur smitfraudfix.cmd
Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran
et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté.
A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
Redémarrer en mode normal et poster le rapport sur le forum.

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention : l'option 2 de l'outil supprime le fond d'écran !

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

5/ Redémarre en mode normal

Poste le rapport de l'option 2 de Smitfraufix, un nouveau rapport de Blackligh, ainsi qu'un nouveau log hijackthis

As-tu toujours des problèmes ?

Bonne soirée

Igor

[emaxis]

Salut,
j'ai fais l'étape 2 de smitfraudfix et il ne m'a pas demandé de corriger le fichier infecté.

Sinon je n'ai pas de probleme pour le moment

Voici les rapports

Merci

[igor51]

Bonsoir,

Bon, on a presque fini

Tout d'abord vérifie que ce fichier soit bien supprimé :

c:\windows\system32\myqrfzpnlj .exe (si tu éprouves des problèmes à supprimer le fichier, fais le en mode sans échec, au redémarrage vérifie que le fichier soit bien absent)

Ensuite,

Lance Hijackthis, choisis " Do a scan only" et coche la ligne suivante :

O4 - HKLM\..\Run: [myqrfzpnlj] c:\windows\system32\myqrfzpnlj .exe myqrfzpnlj

Enfin,

Fais un scan en ligne avec Kaspersky WebScanner
Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.
On va te demander de télécharger un contôle active x, accepte .
Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".
Le scan va commencer.Poste le rapport qui sera généré stp, ainsi qu'un nouveau log hijakcthis

Bonne soirée,

Igor

[emaxis]

Re,
Voici les rapports

Merci

[igor51]

Re,

plus rien d'infectieux dans tes rapports:

Supprime le dossier C:\killBox, ainsi que tout ce que je t'ai fait installé

Si tu n'as plus de problème, je t'encourage fortement à lire et à comprendre le dossier de prévention fait par JPL ici >> http://www.futura-sciences.com/compr...ssier627-1.php

Et je te conseille de faire ces manipulations pour parfaire le nettoyage de ton pc :

-Télécharger jv16:
http://telechargement.zebulon.fr/201...owertools.html

-pour plus de détails=>son tutorial:
http://www.zebulon.fr/articles/base-de-registre-3.php

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"
puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

ainsi que ceci :

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."
  
  Et voila, un nouveau point de restauration qui est a priori propre

si tu as des questions, n'hésite pas.

Bonne soirée,

Igor

[emaxis]

Salut,
merci enormement pour ton aide et le temps que tu m'as consacré, grace à toi j'ai un PC tout propre
J'ai tout mis en place pour sa sécurité, espérons que ça marche.

@++ et merci encore