Octets envoyés ?!

[invite96a93ba8]

Salut
Oui c'etait en mode sans echec

j'ai fais ce que tu as dis sur le syst de restauration
mais quel est le but de cette manip ? qu'en est il des 11 virus et des 27 fichiers infectés ?

Comment afficher les octets envoyés et reçus lorsque je me connecte a internet sans desinstaller ZA ? puisque je rappelle que la discussion a été crée pour ça "le nombre d'octets envoyés et reçus"

je n'utilise pas beaucoup les CD-DVD, disquettes et autres flash disk, donc le principal risque pour mon PC c'est le web, et dans ce cas est ce que un firewall comme ZA suffit a me proteger ou est ce qu'il faut un anti-virus ? si c'est le derneir cas quel est le mieux ? telecharger et installer un anti-virus gratuit ou alors mettre a jour mon norton 2004 (dont l'abonnement est arrivé a expiration)
-----

[JPL]

j'ai fais ce que tu as dis sur le syst de restauration
mais quel est le but de cette manip ? qu'en est il des 11 virus et des 27 fichiers infectés ?

Toutes les cochonneries étaient dans les fichiers de restauration. En faisant cette manip tu t'en débarrasses définitivement.

[JPL]

Pour la protection de ton ordinateur va voir http://www.futura-sciences.com/compr...ssier627-1.php

[igor51]

Bonsoir à tous,

rien à ajouter à ce qu'a dit JPL.

Reviens dans ce topic disons dans une semaine pour nous dire çà va mieux ou non.

Bonne soirée,

Igor

[invite96a93ba8]

En l'absence de la fenêtre des prop de navigation impossible de savoir si les 4 pages de cette discussions ont venu a bout du problème de départ ou non
Si non merci pour votre aide igor et cyrrus

[invite96a93ba8]

Salut
j'ai un problème, connecté a internet je vois norton m'avertir qu'il y a un virus sur mon PC, et il me demande de faire la mise a jour
Je vois aussi dans la barre des tache une icone ronde rouge avec une croix blanche, windows m'avertit d'une infection pas un spyware et me demande de cliquer pour qu'il trouve le meilleur antispy, c'est ce que je fais et il me sort un certain brave centry qui après un scan me sort pres de 150fichiers infectés, et là il me demande d'acheter uen licence ça tombe mal j'en ai pas envie
je lance kaspersky en mode sans echec j'ai un log voci joint
j'essais aussi d'aller a la restauration du syst : click droit sur poste de travail etc comme l'autre fois sauf que là je ne trouve pas de case a cocher
je lance Ad-Aware SE personal il fait un scan, je lui dis de supprimer ce qu'il a trouvé dans la liste il me dit que certains sont supprimé, depuis les images sur mon PC sont plus nettes, et l'icone rouge a croix blanche dans la bare des tache est toujours là

[igor51]

Bonsoir,

Voici la procédure à faire en entier, si dedans, il y a quelque chose que tu ne comprends pas, n'hésite pas à poser des questions.

Les rapports demandés seront recapitulés à la fin de la procédure et tous doivent être postés en pièce jointe

-------------------------------------------------------
La procédure est assez longue et elle va s'opérer en mode sans échec, tu n'auras donc pas accès à internet, il faut donc que tu conserves cette procédure sur ton ordinateur.

Si tu utilises Internet explorer:

• Clique sur Fichier
• Puis sur Enregistrer sous
• Choisis l'emplacement de la sauvegarde ( ie : Mes documents par exemple )
• Clique sur Enregistrer

Si tu utilises Firefox:

• Clique sur Fichier
• Puis sur Enregistrer sous
• Choisis l'emplacement de la sauvegarde ( ie : Bureau par exemple )
• Clique sur Enregistrer

-----------------------------------------------------

Téléchargement des outils:

££Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
   
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
   
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

££Télécharger la dernière version d'HijackThis

• Installation et utilisation d'HijackThis:
  
• Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.
  
  Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

££Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code" )

Code:

OptionUseRecycleBin

FileDelete %SYSDIR%\actalert.exe
FileDelete C:\Documents and Settings\aze\Local Settings\Temp\1.dllb	
FileDelete C:\Documents and Settings\aze\Local Settings\Temp\5.dllb	
FileDelete C:\Documents and Settings\aze\Local Settings\Temp\7F.tmp	
FileDelete C:\Documents and Settings\aze\Local Settings\Temp\80.tmp	
FileDelete C:\Documents and Settings\aze\Local Settings\Temp\qv3xt3.game	
FileDelete C:\Documents and Settings\aze\Local Settings\Temp\qvxt34.game	
FileDelete C:\Documents and Settings\aze\Local Settings\Temp\qvxt42.game	
FileDelete C:\Documents and Settings\aze\Local Settings\Temp\update.exe/EXE-file	
FileDelete C:\Documents and Settings\aze\Local Settings\Temp\update.exe	
FileDelete C:\Documents and Settings\aze\Local Settings\Temp\update3.exe	
FileDelete C:\Documents and Settings\aze\Local Settings\Temp\v3x1.g22me	
FileDelete C:\Documents and Settings\aze\Local Settings\Temp\v4x3.ga2me	
FileDelete C:\Documents and Settings\aze\Local Settings\Temp\v4x6.gam5e	
FileDelete C:\Documents and Settings\aze\Local Settings\Temp\v5x2.g3ame	
FileDelete C:\Documents and Settings\aze\Local Settings\Temp\v5x4.ga2me	
FileDelete C:\Documents and Settings\aze\Local Settings\Temp\v6xt4.game	
FileDelete C:\Documents and Settings\aze\Local Settings\Temp\vx1t1.game	
FileDelete C:\Documents and Settings\aze\Local Settings\Temp\vx1t3.game	
FileDelete C:\Documents and Settings\aze\Local Settings\Temp\vx3t2.game
FileDelete C:\WINDOWS\system32\dlh9jkd1q1.exe	
FileDelete C:\WINDOWS\system32\kernels88.exe	
FileDelete C:\WINDOWS\system32\messenger.lib.exe	
FileDelete C:\WINDOWS\system32\qvx5gamet2.exe	
FileDelete C:\WINDOWS\system32\qvxga6met3.exe	
FileDelete C:\WINDOWS\system32\qvxga7met4.exe	
FileDelete C:\WINDOWS\system32\spoolsvv.exe	
FileDelete C:\WINDOWS\system32\taskdir.exe	
FileDelete C:\WINDOWS\system32\testtestt.exe	
FileDelete C:\WINDOWS\system32\vxg3am1et3.exe	
FileDelete C:\WINDOWS\system32\vxg4am1et2.exe	
FileDelete C:\WINDOWS\system32\vxg6ame4.exe	
FileDelete C:\WINDOWS\system32\vxga1me4t1.exe	
FileDelete C:\WINDOWS\system32\vxga3me2.exe	
FileDelete C:\WINDOWS\system32\vxga4m1et4.exe	
FileDelete C:\WINDOWS\system32\vxga4me1.exe	
FileDelete C:\WINDOWS\system32\vxga5me3.exe	
FileDelete C:\WINDOWS\system32\vxga8me6.exe

OptionUnloadShell

DllUnregister C:\WINDOWS\comdlj32.dll|1
DllUnregister C:\WINDOWS\system32\adir.dll|1
DllUnregister C:\WINDOWS\system32\zAskop.dll|1	
DllUnregister C:\WINDOWS\system32\zlPoCrypt.dll|1

FileDelete C:\WINDOWS\comdlj32.dll
FileDelete C:\WINDOWS\system32\adir.dll
FileDelete C:\WINDOWS\system32\zAskop.dll	
FileDelete C:\WINDOWS\system32\zlPoCrypt.dll

SystemEmptyTempFolder

SystemEmptyRecycleBin

Enregistre ce fichier dans C:\BFU

• Nom du fichier : otherfix.BFU
• Type : tous les fichiers
• clique sur Enregistrer
• quitte le Bloc note

££TéléchargeSmitfraudFix (by S!Ri) sur ton Bureau.


££Télécharge ATF Cleaner par Atribune.

--------------------------------------------------------

1/ Redémarre en mode sans échec

Au démarrage, tapote immédiatement sur la touche F8 (parfois c'est F5), puis tu verras un écran avec un choix de démarrages : choisis « Mode sans échec » avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur).

NB:Si tu rencontres un problème, va voir ici : http://service1.symantec.com/support...20905112131924


2/ Utilisation du script BFU

Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe (du dossier C:\BFU)

- Clique sur le petit dossier jaune (à droite de la boîte "Scriptline to execute");
- Double-clique sur otherfix.BFU
- Tu devrais maintenant voir ceci dans la boîte "Scriptline to execute" :
C:\BFU\otherfix.BFU

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK (l'exécution est rapide..).
Clique Exit pour fermer le programme BFU.


3/ Utilisation d'ATF-Cleaner

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  
  Sous l'onglet Main, choisis : Select All
  
  Clique sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  
  Clique le bouton Empty Selected
  
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  
  Clique le bouton Empty Selected
  
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.



4/ Utlisation de AVG-AS

1. Du mode Sans Échec, lance AVG Anti-Spyware,
   
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
   
3. clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
   
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
   
5. Clique sur "Enregstrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

5/ Redémarre en mode normal

6/ Utilisation d'Hijackthis

• Lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"
• NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran.
• Sauvegarde le rapport sur ton Bureau par exemple.

7/ Utilisation de SmitfraudFix

Double-clique sur SmitfraudFix.exe

Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";

un texte va apparaitre, qui liste les fichiers infectés si présent.

Sauvegarde le rapport sur ton Bureau.

**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace

SmitfraudFix.exe directement à la racine de ton système (généralement C:), et

lance le de la.

Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les pocessus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

http://www.beyondlogic.org/consultin...rocessutil.htm

8/ Porchaine réponse:

Dans ta prochaine réponse, il faut que tu postes :

-Le rapport de AVG-AS
-Le rapport d'Hijackthis
-Le rapport de SmitfraudFix option 1

-----------------------------------------------------

Bonne soirée,

Igor

[invite96a93ba8]

Il y a du boulot a ce que je vois, je crois que cette fois c'est du serieux, en démarrant mon PC en mode normal et au telechargement du bureau et de ces icones plusieurs messages d'erreur apparaissent :

Des fenetres qui me demandnt d'envoyer le rapport d'erreur concernant le programme : alsys.exe, une autre pour szchost.exe
Le disque dur tourne trop et un message avec compte a rebour m'annonce un certain "Arret par Autorité NT\systeme"
car un certain c:....\systm32\service.exe "s'est terminé de manière innattendu"

a la fin du compte a rebour de 1min le PC redemarre.

Actuellement je suis connecté an mode sans echec avec prise en charge du reseau, je vais suivre les etapes que tu as decris a la lettre mais il me semble que la première partie des etapes se deroule en mode normal, c'est apres que je passe en mode sans echec (juste pares ££Télécharge ATF Cleaner par Atribune.)

Donc ma question est est ce que je peux faire toute cette manip en mode sans echec avec prise en charge du reseau ou est est ce que je dois tout faire en mode sans echec seulement ?
Je ne peux strictement rien faire en mode normal de WinXp
ça doit être le bug de l'an 2007 ça

[Cyrrus]

Bonjour freesbeep,

Attristé de voir ton pc dans un tel état, c'est comme tu le dis une sacré infection. Tu peux faire les manips en mode sans échec avec réseau, les bestioles ne seront pas activées, il n'y aura donc pas de gros risques de surinfection.

Bon courage, on va y arriver
Cyrrus

[invite96a93ba8]

Bon courage, on va y arriver
Cyrrus

J'éspère bien,

voci les pièces jointes des rapports AVG et hijakthis
après l'analyse avec AVG j'ai reussis a ouvrir mon PC en mode normal j'ai donc lancé hijakthis
Mais je n'ai pu lancer SmitfraudFix.exe, en fait une fenetre DOS s'ouvre qui porte le nom de
c:\windows\syst32\exe
mais elle reste noire avec le curseur qui clignote
j'ai déplacé l'icone a C: mais c'est la même chose

Autre problème je ne sais pas d'où il vien celui là c'est que quand je tape mon nom d'utilisateur et mon mot de passe pour ecrire un message une fenetre m'affiche que je suis connecté mais lorsque les pages du forums s'ouvrent a nouveau je ne suis plus identifié
heureusement que ce n'est pas le cas avec l'icone "citer" c'est pourquoi j'ai commencé ce message là par une citation de cyrrus
sinon j'ai toujour le cercle rouge dans la barre des tache :"your computer is infected"

[invite96a93ba8]

voila maintenant je suis connecté en tant que freesbeep
c'est quoi la suite ? y a pas un remplaçant pour smitfraudefix ?

[igor51]

Bonjour,

As-tu essayé de passé l'option 1 de Smitfraudfix en mode sans échec? Si non , alors essaie.

Voici la suite :

Tu es très infecté et pour ne pas risquer la réinfection lors du redémarrage et/ou de la connexion à internet, il me faut plus d'éléments.

Télécharge DiagHelp.zip sur ton bureau

• Ne double-clic pas dessus !! Fais un clic droit sur le fichier et "extraire tout"
  
• Un nouveau dossier va être créé , il se nomme DiagHelp
  
• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  
• A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note..
  
• Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post.
  

Bonne journée,

Igor

[invite96a93ba8]

trop tard j'ai déjà redemarrer mon PC et déjà reconnecté a internet
j'essais le mode sans echec pour smitfrodix

[igor51]

Re,

fais ce que je t'ai dit dans mon précédent post aussi sinon je ne pourrais pas t'aider.

[invite96a93ba8]

Oui ça vien je fais exactement ce que tu dis en essayant de decrire le mieux les problèmes que je rencontre
voilà les 2 derniers rapports

[igor51]

Re,

une belle infection tu as la.

Télécharge ce fichier (par ejvindh) http://www.uploads.ejvindh.net/rustbfix.exe
http://uploads.ejvindh.andymanchesta.com/Rustbfix.exe

...et sauvegarde-le sur ton Bureau.



Double clique rustbfix.exe afin de lancer l'outil.

Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.

Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).

Poste ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse

Bonne soirée,

Igor

[invite96a93ba8]

oualah 2 rapports

[igor51]

Re,

Tu devrais imprimer ces instructions, ou les copier dans le Blocnote pour les lire lorsque tu

sera en Mode sans échec, car tu n'auras pas accès à Internet pour les lire.


Ensuite, redémarre ton ordinateur en Mode sans échec en faisant ceci :

• Redémarre ton ordinateur
  
• Après avoir entendu un beep de ton ordinaeur, mais avant que l'icone Windows apparaisse, taopte la touche F8;
  
• A la place du chargement normal, un menu avec des options devrait appraitre;
  
• Sélectionne la première option, pour démarrer Windows en Mode sans échec, et ensuite appuie sur "Entrée".
  
• Choisis ton compte courant.
  

Une fois en Mode sans échec, double-clique sur SmitfraudFix.exe

Selectionne l'option #2 - Nettoyage en tapant 2 et appuie sur "Entrée"

pour supprimer les fichiers infectés.


A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.


Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu..


Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage.; si ce n'est pas le cas, redémarre en mode normal manuellement.

Un rapport sera généré, avec les résultats de l'opération de nettoyage; Poste ce rapport dans ta prochaine réponse avec un nouveau log Hiajckthis.

Le rapport peut être trouver à la racine du disque système, souvent C:\rapport.txt


Attention : L'option 2 pourra supprimer le fond d'écran.

Bonne soirée,

Igor

[invite96a93ba8]

vfoilà
mais il ne m'a pas posé de question pour desinfecté le fichier
le cercle rouge a disparu
c'est quoi la suite, les derniers rapports sont bon ?

[igor51]

Bonsoir,

bon je m'arrète la pour ce soir, le réveillon m'attend.

je posterai demain la suite de la procédure car il reste beaucoup de fichier infecté.

Bon réveillon et bonnes fetes,

Igor

[invite96a93ba8]

car il reste beaucoup de fichier infecté.


Igor

je pensais que j'etais au bout de mes peines !!

bonne soirée

[Cyrrus]

Re bonsoir tout le monde,

Avant que la bûche n'arrive :

je pensais que j'etais au bout de mes peines !!

Non, pas encore, mais honnetement je pense qu'on tient vraiment le bon bout et que le bout de tunnel s'annonce...un peu de patience...

Bon réveillon, bonne année
Cyrrus

[igor51]

Bonjour et Bonne année,

Voici la procédure à faire en entier, si dedans, il y a quelque chose que tu ne comprends pas, n'hésite pas à poser des questions.

Les rapports demandés seront recapitulés à la fin de la procédure et tous doivent être postés en pièce jointe

-----------------------------------------------------

La procédure est assez longue et elle va s'opérer en mode sans échec, tu n'auras donc pas accès à internet, il faut donc que tu conserves cette procédure sur ton ordinateur.

Si tu utilises Internet explorer:

• Clique sur Fichier
• Puis sur Enregistrer sous
• Choisis l'emplacement de la sauvegarde ( ie : Mes documents par exemple )
• Clique sur Enregistrer

Si tu utilises Firefox:

• Clique sur Fichier
• Puis sur Enregistrer sous
• Choisis l'emplacement de la sauvegarde ( ie : Bureau par exemple )
• Clique sur Enregistrer

-----------------------------------------------------

Etape 1 Téléchargement

Télécharge jv16:
http://telechargement.zebulon.fr/201...owertools.html
-pour plus de détails=>son tutorial:
http://www.zebulon.fr/articles/base-de-registre-3.php

Télécharge ATF Cleaner par Atribune

Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Etape 2 Démarrage en mode sans échec

Au démarrage, tapote immédiatement sur la touche F8 (parfois c'est F5), puis tu verras un écran avec un choix de démarrages : choisis « Mode sans échec » avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur).

NB:Si tu rencontres un problème, va voir ici : http://service1.symantec.com/support...20905112131924

Etape 3 Modification de l'affichage

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

Etape 4 Suppression des fichiers/dossiers infectés:

Supprime les fichiers en gras si présent


C:\WINDOWS\System32\vsconfig.xml
C:\WINDOWS\System32\adir.dll
C:\WINDOWS\System32\nvapps.xml
C:\WINDOWS\System32\tmp.txt
C:\WINDOWS\System32\tmp.reg
C:\WINDOWS\System32\2.txt
C:\WINDOWS\System32\1.txt
C:\WINDOWS\System32\messenger.lib.exe
C:\WINDOWS\System32\svcp.csv
C:\WINDOWS\System32\game3.exe
C:\WINDOWS\System32\alsys.exe
C:\WINDOWS\System32\game2.exe
C:\WINDOWS\System32\game1.exe
C:\WINDOWS\System32\zlbw.dll
C:\WINDOWS\System32\winsub.xml
C:\WINDOWS\System32\vxg4am1et2.exe
C:\WINDOWS\System32\vxga4me1.exe
C:\WINDOWS\System32\vx.tll
C:\WINDOWS\System32\dlh9jkd1q7.exe
C:\WINDOWS\System32\dlh9jkd1q6.exe
C:\WINDOWS\System32\dlh9jkd1q2.exe
C:\WINDOWS\System32\dlh9jkd1q8.exe
C:\WINDOWS\System32\kernels88.exe
C:\WINDOWS\system32\zlbw.dll
C:\WINDOWS\System32\alsys.exe

C:\WINDOWS\xpupdate.exe

C:\Documents and Settings\aze\Local Settings\Temp\winlogon.exe
C:\Documents and Settings\aze\Local Settings\Temp\szchost.exe
C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dl

Vide la corbeille!

Etape 5 Hijackthis !

Lance Hijackthis, choisis "Do a scan only" et coche les lignes suivantes :

O2 - BHO: C:\WINDOWS\System32\zlPoCrypt. dll - {8A5849C4-93F3-429D-FF34-660A2068897C} - C:\WINDOWS\System32\zlPoCrypt. dll (file missing)
O4 - HKLM\..\Run: [Agent] C:\WINDOWS\System32\alsys.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\aze\LOCALS~1\Temp\ winlogon.exe
O4 - HKCU\..\Run: [Recoveru systems] C:\DOCUME~1\aze\LOCALS~1\Temp\ szchost.exe
O4 - HKCU\..\Run: [Agent] C:\WINDOWS\System32\alsys.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/noc...up1.0.0.15.cab
O16 - DPF: {3B2E9991-0C57-426F-A5E4-784C7A5C6420} (Datasheet control) - http://alldatasheet.com/Datasheet.cab
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsy s2f.dll (file missing)

Ferme toutes les fenêtres sauf Hijackthis et clique sur Fix Checked. Ferme Hijackthis

Etape 6 ATF-Cleaner

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  
  Sous l'onglet Main, choisis : Select All
  
  Clique sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  
  Clique le bouton Empty Selected
  
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  
  Clique le bouton Empty Selected
  
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

Etape 7 AVG-AS

1. Du mode Sans Échec, lance AVG Anti-Spyware,
   
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
   
3. clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
   
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
   
5. Clique sur "Enregstrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

Etape 8 JV16

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"
puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

Etape 9 Redémarre en mode normal

Etape 10 Scan en ligne

• Fais un scan en ligne Kaspersky avec Internet Explorer :
  
• Clique sur
  
• Clique maintenant sur J'accepte.
  
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  
• Patiente pendant l'installation des Mises à jour.
  
• Choisis par la suite l'analyse du Poste de travail
  
• Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Etape 11 Hijackthis

Lance Hijackthis, choisis "Open the misc tools section", coche les deux cases qui sont à coté de "Generate StartupList Log" et clique sur Generate StartupList Log.
Sauvegarde le rapport généré ( sur ton Bureau oar exemple)

Etape 12 Prochaine réponse

Dans ta prochaine, j'attends les rapports suivants:
-Le rapport d'AVG-AS
-Le rapport du scan en ligne avec kasperky
-Le rapport généré pour la Staruplist
-Un nouveau log Hijackthis

Dis moi aussi si les symptomes sont toujours la et si tu as d'autre problème.

Bonne journée,

Igor

[invite96a93ba8]

Voilà les 4 rapports
tout a etait fait en mode sans echec même l'analuse avec kaspersky car en mode normal il bloquait sur un fichier (après 1h30 d'attente)
Mais il y a plus de 1600 fichiers infectés, ce qui fait que kaspersky me sort un rapport de 1.4Mo
soit je te l'envoi par mail, soit par winzip peut être ?
en tous cas si tu vas fouiller ce rapport tu en auras pour toute l'eternité
Les nom des virus se repètent :
Trojan-Downloader.Win32.Tibs.jy
Email-Worm.Win32.Mixor.a
Email-Worm.Win32.Luder.a
et ya 2 objets verouillés
si ça peut t'aider
@+ et bonne année

[igor51]

Bonsoir,

Voici la procédure à faire en entier, si dedans, il y a quelque chose que tu ne comprends pas, n'hésite pas à poser des questions.

Les rapports demandés seront recapitulés à la fin de la procédure et tous doivent être postés en pièce jointe

-----------------------------------------------------

La procédure est assez longue et elle va s'opérer en mode sans échec, tu n'auras donc pas accès à internet, il faut donc que tu conserves cette procédure sur ton ordinateur.

Si tu utilises Internet explorer:

• Clique sur Fichier
• Puis sur Enregistrer sous
• Choisis l'emplacement de la sauvegarde ( ie : Mes documents par exemple )
• Clique sur Enregistrer

Si tu utilises Firefox:

• Clique sur Fichier
• Puis sur Enregistrer sous
• Choisis l'emplacement de la sauvegarde ( ie : Bureau par exemple )
• Clique sur Enregistrer

--------------------------------------------------
Téléchargement

Étape 1:

• Crée un dossier que tu vas nommer Sysclean Package dans C:\Program Files par exemple.
  
  
• Désactive, le temps de la procédure, tous les contrôleurs d'intégrité
  
  (si présents) comme le tea timer de Spybot, Process Guard, Hanti hook,
  
  Winpooch, etc..
  
• Note: Les possesseurs d'Avast antivirus ne doivent pas utiliser Sysclean autrement qu'en mode sans échec car Avast considère sysclean.com comme infecté par le virus VBS:Redlof !!Pour scanner le pc en mode normal(en cas de problème pour accéder au mode sans échec) il faudra désactiver Avast le temps du scan pour éviter tout conflit.(cette remarque peut être valable pour d'autres antivirus!)
  

Étape 2:

• Télécharge Sysclean Package et enregistre le dans le dossier que tu viens de créer.
  

Étape 3: Mise à jour.

• Rends toi à la page suivante:Controlled Pattern Release,et accepte le disclaimer en cliquant sur I Accept.
  
  
• Une nouvelle fenêtre vas s'ouvrir:télécharge le fichier nommé lptXXX.zip (ou X représente la version du fichier,c'est le premier de la liste.),et dézippe le dans le dossier que tu viens de créer.
  

1/ Désactivation de la restauration système

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."

2/ Redémarre en mode sans échec

3/ Suppresion des fichiers

Supprime les fichiers suivants:

C:\WINDOWS\System32\alsys.exe
C:\WINDOWS\SoftwareDistributio n\Download\S-1-5-18\eadf4c6243f4f494bf29c74db1a 1b1fc\update\update.exe

4/ ATF-Cleaner

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  
  Sous l'onglet Main, choisis : Select All
  
  Clique sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  
  Clique le bouton Empty Selected
  
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  
  Clique le bouton Empty Selected
  
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

5/ AVG-AS

1. Du mode Sans Échec, lance AVG Anti-Spyware,
   
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
   
3. clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
   
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
   
5. Clique sur "Enregstrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

6/ SysClean

Étape 5:

• Lance le fichier "Sysclean" par un double clic. Une fenêtre nommée "Trend Micro Sysclean Package" va s'ouvrir.
  
• coche la case "Automatically clean or delete detected files"
  
• Clique sur le bouton Scan
  
• Patiente le scan peut prendre du temps!
  
• Une fois le scan terminé, clique sur le bouton View Log .Sauvegarde le rapport au format texte qui a été généré.
  
• Ferme le programme. Redémarre ton PC en mode Normal. Poste le rapport que tu as sauvegardé dans ta prochaine réponse.
  

7/ hijackthis

lance Hijackthis, choisis "do a scan only" et coche les lignes suivantes

O4 - HKLM\..\Run: [Agent] C:\WINDOWS\System32\alsys.exe
O4 - HKCU\..\Run: [Agent] C:\WINDOWS\System32\alsys.exe

Ferme toutes les fenetres sauf hijackthis et clique sur Fix Checked

8/ Restauration système

• Décoche la case "Désactiver le système de restauration..."

9/ Diaghelp

• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  
• Une fenêtre va s'ouvrir, choisis l'option 2
  
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  
• Post le contenu du bloc-note qui s'ouvre dans ton prochain post.
  

10/ Redémarre ton pc

11/

Dans ta prochaine réponse il me faut

Le rapport d'AVG-AS
le rapport de sysclean
le rapport de diaghelp
un nouveau log Hijackthis



Arrives-tu à démarrer ton pc en mode normal? si non quels problèmes rencontres-tu

Bonne soirée,

igor

[invite96a93ba8]

Salut
Euh bon pas maintenant ça sera pour demain
mais ça va bientôt finir j'éspère ?!

Oui je demarre mon PC a peu près normalement si ce n'est qq fenêtres qui s'affichent toutes seules au demarrage et qui me disent que le programme "xxxx" a rencontré un problème voulez vous envoyer un rapport d'erreur un truc de ce genre demain je noterais le nom de ces programmes.
si non tout semble OK
Tu ne m'a pas repondu au sujet du rapport kaspersky ?
C'est quoi
""""
Désactive, le temps de la procédure, tous les contrôleurs d'intégrité

(si présents) comme le tea timer de Spybot, Process Guard, Hanti hook,
"""
a+

[yoda1234]

C'est quoi
""""
Désactive, le temps de la procédure, tous les contrôleurs d'intégrité

(si présents) comme le tea timer de Spybot, Process Guard, Hanti hook,
"""
a+

Bonjour,

le contrôleur d'intégrité sert à vérifier à ce qu'aucun processus malveillant ne vienne modifier un fichier ou "tuer" un processus légitime.
L'exemple le plus connu est le Tea Timer de spybot S&D.

[igor51]

Bonjour,

pour le rapport de kasperky onva d'abord le dégrossir un peu, car la plupart des bebette se trouvent dans la restauration système.

Si tu veux d'autre explication sur les controleurs d'intégrité (en plus des explications de yoda, n'hésite pas à demander.

bonne journée,

Igor

[invite7143b3c2]

Bonjour à tous,

ouf je viens de lire ce sujet, eh bien c'est du sérieux. Juste pour demander s'il n'aurait pas été plus simple de reformater le PC et d'installer toutes les protections nécessaires ensuite.

[invite275db609]

Bonjour a tous

Juste pour demander s'il n'aurait pas été plus simple de reformater le PC et d'installer toutes les protections nécessaires ensuite.

Dans notre lutte quotidienne, formater est la derniere solution, lorsque l'on sait que l'on ne peut plus rien faire d'autre, ou que le systeme ne sera pas entierement sécurisé apres désinfection.
La plupart des utilisateurs ont des Go de fichiers a sauvegarder, et leur 1ere demande (généralement) est d'eviter le formatage.
Et puis on aime bien savoir d'ou viennent les problemes, sans quoi, nous ne pourrions pas avancer.
Pour conclure, le formatage est la solution ultime, mais de temps a autre, nous n'avons pas le choix, pour la sécurité des utilisateurs.

Bonne journée et bonne année