Trojan = CR/Crypt.FKM.Gen

[igor51]

Bnjour

Cette procédure est uh peu longue mais c'est pour t'évité de supprimé manuellement les 115 fichiers infecté

Étape 1:
Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
Voici comment mettre l'outil à jour :
1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.
Ne pas lancer le scan tout de suite !

Étape 3:
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :
1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky
2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.
3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.
5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.
6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !
7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.
Ferme le programme. Redémarre ton PC en mode Normal. Poste le rapport que tu as sauvegardé dans ta prochaine réponse.


Bonne journée
-----

[invite398c5e9f]

voici le rapport d'escan

antivir detecte toujours un trojan a la demande de reseau internet

[igor51]

Bonjour,

Met à jour Antivir, redémarre en mode sans échec, lance un scan minutieux de ton disque

Poste moi le rapport généré

Bonne journée

[invite398c5e9f]

Voila le nouveau rapport.
Toujours la meme fenetre d'antivir a la connexion de page web.

EDIT : le rapport est trop gros pour etre rajouter en piece jointe. Je te l'envoi par MP.

[igor51]

Bonjour,

tu ne pourras pas me l'enovoyer par MP, essaie de couper le rapport en plusieurs morceaux

Peux-tu me montrer un screeshot de cette fenêtre ?

bonne soirée

[invite398c5e9f]

Voici 3 screens de mon ecran : les deux premiers sont les fenetres antivir qui pop a chaque lancement de ie - attention il y a parfois jusqu'a 4 fenetre de pop différente, le troisieme est un screen d'une petite nouveauté qui date du moment ou j'ai fait le dernier scan en mode sans echec. Sur le troisieme screen, ce sont des fenetres qui s'ouvrent au demarage de mon ordinateur.


Pour le scan antivir ... euh puis je te demander une adresse mail ou te l'envoyer, en effet couper 6Mo en paquet de 200Ko (taille limite des .txt sur ce forum) ca va pas le faire du tout !

[invite398c5e9f]

Bon obligé de flood vu qu'on ne peux pas edite ses messages

Erreur lancement IE 1
Erreur lancement IE 2
Erreur demarage Windows
Erreur 3

Le 4 eme screen, est une fenetre qui apparait de tps depuis le scan antivir.

[invite398c5e9f]

De pire en pire ...

Fenetre pop up antivir a tout va ...
Et deux choses etranges : une icone de supression sur le disque C, et tout un tas de fichier sur le disque C qui sont apparus.

voici les screens :

screen disque C
screen poste de travail

[igor51]

Bonsoir,

merci pour les screens, pour le rapport, on verra plus tard, avant il faut faire quelque chose qui aurait du être fait depuis bien lontemps

Supprime ta version de Combofix

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!

Désactive ton antivirus

Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils, ainsi qu'un Diaghelp option 1

Bonne soirée

[invite398c5e9f]

Hello!

Alors premierement désolé, mais j'ai fait une erreur de manip et j'ai cru enregistrer les log combo fix mais impossible de les retrouver sous le nom qu'il m'avait sembler mettre

Mais je l'ai parcouru en diagonal et je peux te dire qu'il a supprimer tout un paquet de fichier qui se trouvait a la base du disque C:/

Voici le 2 eme que j'ai effectuer juste apres

Accompagner des log hijackthis.


BONNE NOUVELLE : au lancement d'ie je n'ai pas eu de fenetre antivir !!! (et il est active hein :P)

Je ne sais pas si tout est clean, mais en tout cas le plus pénible n'est plus la

[invite398c5e9f]

petite frayeur : j'espere ne pas avoir endomagé par un virus le disque externe de mon pere oui il y avait ma sauvegarde de toutes mes données.

Le disque G est le DD externe

screen

[Cyrrus]

Bonjour Floloa,

Parce que tu es en ligne et parce que une des infection que tu as se transmet de disque à disque je me permets de répondre (exceptionellement) à la place d'Igor.

# Télécharge ce tool de sUBs : http://www.techsupportforum.com/sect...isinfector.exe
# Double-clique dessus et laisse-toi guider.

~~~~~~~~

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

~~~~~~~~~~


Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\autorun.inf
  D:\autorun.inf

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

Vérifie sur tous tes supports amovibles (DD externe, clés usb) qu'il n'y a pas de fichier autorun.inf à la racine du support (D:\autorun.inf pour le lecteur D etc...). Pour cela, n'ouvre pas le support (disque dur, clé usb, etc) en double cliquant dessus mais en faisant clic-droit > Explorer.

Poste le rapport de Ot Move it

[invite398c5e9f]

Hello !

Merci Cyrrus pour cette procédure, malheureusement je vois des fichier autorun.inf sur certains DD malgré l'utilisation de OT_MoveIt.
Voici les screens de ces DD :
Disque C
Disque D
Disque G

En fichier join le rapport de OT_MoveIt

Ensuite pour Igor :

Il arrive encore de temps en temps que j'ai une fenetre antivir m'indiquant un virus. Et j'ai toujours une erreur au lancement de windows. De plus dans le dossier "mes documents" est arrivé toutes une serie de fichier inconnu qui ressemble a ceux qui etait present sur mon disque C.
Dossier Mes documents

[igor51]

Bonsoir

• Télécharge le fichier en pièce jointe.
• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Bonne soirée

[invite398c5e9f]

Message vBulletin
Floloa, vous n'avez pas la permission d'accéder à cette page. Ceci peut être dû à plusieurs raisons :

Vous n'avez pas la permission d'accéder à la page que vous essayez d'afficher. Êtes-vous en train d'essayer de modifier le message de quelqu'un d'autre ou d'accéder à des options d'administration ? Vérifiez que vous êtes autorisé à effectuer cette action dans les règles du forum.
Si vous essayez d'envoyer un message, l'administrateur a peut-être désactivé votre compte, ou celui-ci est en attente d'activation si vous venez de le créer, ou de réactivation si vous avez changé votre email, ou encore peut-être de validation par un modérateur.

je ne peux pas ouvrir (et lire par conséquence) le fichier (encore !).

Merci de m'envoyer le script en MP.

[invite398c5e9f]

Merci pour ton MP Igor.

Voici le rapport Combofix, ainsi qu'un screen de l'erreur que je continue d'avoir au démarage.

erreur au démmarage windows

[igor51]

Bonsoir

reposte moi un log Hijaxkthis

Bonne soirée

[invite398c5e9f]

voici le scan hijackthis.

[igor51]

Bonsoir

Lance Hijackthis, choisis "do a scan only" et coche les lignes suivantes :

O2 - BHO: {a2d130cf-03b8-708b-e344-dd8116890b39} - {93b09861-18dd-443e-b807-8b30fc031d2a} - C:\WINDOWS\system32\lysyppuo.d ll (file missing)
O4 - HKLM\..\Run: [18aafee0] rundll32.exe "C:\WINDOWS\system32\urdfwbpo. dll",b

Ferme toutes les fenêtres sauf Hijackthis et clique sur Fix checked

As-tu encore des problèmes ?

Bonne soirée

[invite398c5e9f]

Plus d'erreur au démarrage de windows en tout les cas. MERCI
Cependant je n'ai eu aucun retour apres cette minuplation:

Hello !

Merci Cyrrus pour cette procédure, malheureusement je vois des fichier autorun.inf sur certains DD malgré l'utilisation de OT_MoveIt.
Voici les screens de ces DD :
Disque C
Disque D
Disque G

Je vois toujours des fichiers autorun.inf a la base de mes disque D et G (externe)

[invite398c5e9f]

Apres un moment d'inactivité sur mon ordinateur, celui ce met naturellement en veille, et un virus est souvent détécté quand je réactive l'ecran.
voici le screen en fichier joint

erreur apres retour de mise en veille automatique

[Cyrrus]

Bonsoir,

Igor étant en train de dompter les pentes enneigées, je prends le relais :

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Clique sur « Appliquer »
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

Bonne soirée
Cyrrus

[invite398c5e9f]

bonjour,

j'ai appliquer ta procédure cyrrus (merci de prendre ce petit relai ) mais je vois tjr les fichiers autorun

[Cyrrus]

Bonsoir,

# Télécharge ce tool de sUBs : http://www.techsupportforum.com/sect...isinfector.exe
# Double-clique dessus et laisse-toi guider.

Je me suis mal exprimé : il fallait ensuite vérifier qu'il n'y est plus d'autorun.inf, et si oui les supprimer.

Poste aussi un nouveau log hijackthis.

Bonne soirée
Cyrrus

[invite398c5e9f]

ce lien ne fonctionne pas, malgré une inscription sur le forum ...

il manquerait pas quelques lettres dans l'adresse electronique que tu m'a fournit :P

[invite398c5e9f]

apres quelques MP

J'ai utilisé le tool que tu m'a conseillé.
les fichier autorun.inf etait toujours présent.
j'ai tenté des les supprimer a la main (selection du dossier > supprimer via touche clavier) > erreur : impossbile de suprimer ...
screen des erreur :
disque C
disque D
disque G


Voici un log du scan hijackthis effectuer apres l'utilisation du tool flash desinfector !

[Cyrrus]

Bonsoir Floloa,

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\autorun.inf
  D:\autorun.inf
  G:\autorun.inf

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse


J'espère quand même que tu ouvres les disques de la façon que j'ai décrite, et non en double cliquant dessus ?

Bonne soirée
Cyrrus

[invite398c5e9f]

clic droit > executer, nous sommes d'accord .

voici les logs, ;mais je vois tjr les fichier sur le disque D et G

[Cyrrus]

Bonsoir,

D'après le log, ils ont été supprimés lors du prochain démarrage. Les vois tu toujours ?

Bonne soirée
Cyrrus