canned speech

  1. Canned Speeches
    1. Autre
    2. Conseils Divers
      1. Ad-Aware ça SuX
      2. Antispywares Gratos
      3. SpyHunter et SpywareDoctor ça SuX encore +
      4. Norton ça SuX aussi
      5. Plusieurs Antispywares
      6. Plusieurs Toolbars
      7. Plusieurs Logiciels de Protection qui protège pas
      8. Windows Pas à jour
      9. IE Pas à jour
      10. EoRezoKiPu
      11. Adobe/Java Pas à jour
    3. Scan
      1. HiJackThis
      2. HiJackThis – Misc Tools
      3. OTL
      4. OTLPE
      5. OTLPE et eeepc
      6. OTLPE Désinfection
      7. Scan Antivirus – Ancien
      8. Scan Antivirus – Nouveau avec nano
      9. GetService
      10. SystemLook
      11. Rootkit Revealer
      12. Gmer
      13. RegSearch
      14. Virusscan.jotti.org
      15. VirusTotal
    4. Eradication
      1. MalwareByte Anti-Malware
      2. Fichier Hosts
      3. AboutBuster
      4. ComboFix
      5. CFScript
      6. eScan Antivirus Toolkit
      7. win32delfki – browsela.dll
      8. LSPfix et Réparation Winsock
      9. The Avenger
      10. OTMoveIT
      11. HAXFIX
      12. NAVIPROMO
      13. Kaspersky trial
    5. Eradication Standard
      1. Adware.Navipromo
      2. Vers network
      3. BFU & O4 – collante
      4. 020 – AppInit_DLLs
      5. 020 – Winlogon
      6. Nettoyage Disques amovibles
      7. Bagle
      8. Lop.com
      9. Capture d’écran
      10. SafeBoot
    6. Script Batch
      1. Ntbtlog.txt / BootLog
      2. Recherche de fichiers
      3. check.cmd
    7. Manipulations Windows
      1. Désactiver Service
      2. Verif format PATH (REG_EXPAND_SZ)
      3. Connexion : Netstat / Fport
      4. Recherche fichiers
      5. fichier .reg
      6. Arreter un processus
      7. Fichiers Cachés
      8. Tuer Processus : HiJackThis
      9. netsend !
      10. IEFIX
      11. Réactiver Gestionnaitre de tâches
      12. Désactiver/Activer restauration
      13. Upload.malekal.com
    8. Final Aide
      1. Problème non viral
      2. Prb connexion
      3. MSconfig / lenteurs
      4. Speech de fin
    9. Version CCM
      1. Rogue – 1
      2. Rogue – 2
      3. Security Tool

Table des matières

Autre

Bonjour,

Prière de dire Bonjour… La politesse est un minimum.
Ensuite il est interdit de poster un rapport dans ton premier message, voir la règle : http://forum.telecharger.com/telecharger/securite_virus_et_assimiles/obligato(…)

Merci aussi de donner un minimum d’explication quant aux problèmes rencontré !

Ce sujet n’étant pas conforme aux règles du forum – il est fermé.

__________________

Bonjour,

Règle à respecter : http://forum.telecharger.com/telecharger/securite_virus_et_assimiles/obligatoire__regle_general_a_propos_des_rapports_danalyse-392276/messages-1.html

Edite ton message avec l’icone [img]http://forum.telecharger.com/data/units/telecharger/skins/01net/icon/button_edit.gif[/img], supprime ton rapport HiJackThis et copie/colle le dans le message suivant pour que l’on puisse t’aider.

__________________

[b]EDIT MODO :[/b] Pas de rapport avant qu’il n’en soit demandé un !
Pour plus d’informations sur les règles, cliquez sur ce lien : http://forum.telecharger.com/telecharger/securite_virus_et_assimiles/obligatoire__regle_general_a_propos_des_rapports_danalyse-392276/messages-1.html

______________

Titre Explicite
Bonjour,

Merci de bien vouloir mettre un titre plus explicite à ton sujet.
pour cela :

Edite ton [b]premier[/b] message avec l’icone [img]http://forum.telecharger.com/data/units/telecharger/skins/01net/icon/button_edit.gif[/img], puis change le titre.

Si cela n’est pas fait, le sujet sera fermé !

Pour plus d’informations sur les règles à respecter, consultez [url=http://forum.telecharger.com/telecharger/securite_virus_et_assimiles/forum_telechargercom__regles_dutilisation-385562/messages-1.html]ce sujet[/url]
______________

Titre Majuscule
Bonjour,

Merci de bien vouloir ne pas utiliser de majuscules dans le titre du sujet.
pour cela :

Edite ton [b]premier[/b] message avec l’icone [img]http://forum.telecharger.com/data/units/telecharger/skins/01net/icon/button_edit.gif[/img], puis enlève les majuscules dans le titre.

Si cela n’est pas fait, le sujet sera fermé !

Pour plus d’informations sur les règles à respecter, consultez [url=http://forum.telecharger.com/telecharger/securite_virus_et_assimiles/forum_telechargercom__regles_dutilisation-385562/messages-1.html]ce sujet[/url]

______________

[b]EDIT MODERATEUR :[/b] Merci de bien vouloir créer un nouveau sujet pour exposer ton problème et obtenir de l’aide.
Pour cela, vas dans la partie [url=http://forum.telecharger.com/telecharger/securite_virus_et_assimiles/sujets-1.html]Virus[/url] puis clic sur le bouton rouge en haut à droite « Nouveau sujet » et remplis les informations.

Conseils Divers

Ad-Aware ça SuX

Je te conseille de désinstaller Ad-Aware.
La version gratuite n’offre pas de protection en temps réel, ça reste un scanneur donc l’efficacité est plus qu’à douter, voir :
* [url=http://forum.malekal.com/antispyware-gratuit-sert-rien-t25480.html]Antispywares gratuits : ça sert à rien![/url
* [url=http://forum.malekal.com/adwares-spywares-comment-ne-pas-desinfecter-son-pc-t8046.html]Ad-awares/Spywares : Comment ne pas désinfecter son PC ?[/url]

De plus, tu as déjà SpyBot… un seul antispyware par PC.

SpyHunter et SpywareDoctor ça SuX encore +

SpyHunter et Spyware Doctor sont proposés via de faux blogs de sécurité… Ces faux blogs sont créés par des sociétés affiliées qui multiplient les sites WEB et tentent d’être dans les premiers résultats de Google concernant une des infections présentes sur ton PC.
Ces faux blogs proposent des versions payantes pour soit disant désinfecter son PC, ces sociétés affiliés touchent un % sur la ventes

Ce sont des pratiques douteuses et très limites, et non des méthodes dignes d’antispywares sérieux.
Je te conseille donc de désinstaller SpyHunter et/ou Spyware Doctor s’il est présent sur ton PC.

Pour plus d’informations, voir : http://forum.malekal.com/faux-blogs-de-securite-spyhunter-et-spyware-doctor-t12847.html

En outre, les antispywares gratuits servent à rien, ils ne protègent pas et ne permettent pas la désinfections, lire [url=http://forum.malekal.com/antispyware-gratuit-sert-rien-t25480.html]Antispywares gratuits : ça sert à rien![/url]

Norton ça SuX aussi

Vas dans ajout/suppression de programmes du panneau de configuration.
Dans la liste, cherche tout ce qui peut porter le mot suivant et lance la désinstallation :
CC_ccProxyMSI
CC_ccStart
ccCommon
LiveReg (Symantec Corporation)
LiveUpdate (Symantec Corporation)
Tout ce qui porte le mot Symantec
Tout ce qui porte le mot Norton

Si la désinstallation ne se passe pas bien, utilise le removal : http://service1.symantec.com/Support/tsgeninfo.nsf/docid/2005033108162039

Plusieurs Toolbars

Tu as plusieurs barre d’outils (toolbars), en as-tu besoin ?
Plusieurs barre d’outils peuvent ralentir l’ordinateur ou occasionner des plantages du navigateur.
Je te conseille de faire du ménage pour désinstaller les barres d’outils dont tu ne te sers pas à partir d’ajout/suppression de programmes du panneau de configuration.
Pour plus d’informations, voir l’article [url=http://forum.malekal.com/les-toolbars-c-est-pas-obligatoire-t6173.html]Les Toolbars, c’est pas obligatoire![/url]

Plusieurs protections

Tu as plusieurs logiciels de protections (antivirus ou antispywares).
Pour rappel : [b]un seul antivirus et un seul antispyware par ordinateur[/b]

Cela ne te protège pas forcemment mieux mais ce qui est certains c’est que ça te ralenti l’ordinateur voir peu occasionner des plantages, plus d’infos : http://forum.malekal.com/phenomene-de-sur-multiplication-des-logiciels-de-protection-t4650.html

Fais du ménage dans les programes de protections installés.

Plusieurs Logiciels de Protection qui protègent pas votre paycay

Tu as plusieurs logiciels de protections (antivirus ou antispywares).
Pour rappel : [b]un seul antivirus et un seul antispyware par ordinateur[/b]

Cela ne te protège pas forcemment mieux mais ce qui est certains c’est que ça te ralenti l’ordinateur voir peu occasionner des plantages, plus d’infos : http://forum.malekal.com/phenomene-de-sur-multiplication-des-logiciels-de-protection-t4650.html

Fais du ménage dans les programes de protections installés.

Mise à jour IE

[quote]MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)[/quote]

Internet Explorer pas à jour, il contient des [url=http://forum.malekal.com/le-danger-des-failles-de-securite-t3452.html]failles de sécurités[/url] qui peuvent via des [url=http://forum.malekal.com/les-exploits-sur-les-sites-web-pieges-t3563.html]exploits sur des sites WEB[/url] conduire à l’infection.

Lire ce sujet [url=http://forum.malekal.com/ie6-vs-ie-7-pourquoi-maintenir-son-navigateur-a-jour-t12405.html&p=95936#p95936]IE6 VS IE 7 : Pourquoi maintenir son navigateur à jour ?[/url] et mets Internet Explorer 6 à jour.
En outre, tu peux faire un [url=http://www.malekal.com/scan_vulnerabilite.php]scan de vulnérabilités[/url] afin de vérifier que tes logiciels soient à jour sans failles de sécurités.

Poste un nouveau rapport HijackThis quand c’est fait.

Antispywares Gratos ça sert à keud

Tu as un ou plusieurs Antispywares gratuits.
Les antispywares gratuits servent strictement à rien, ils ne protègent pas des infections et ne permettent pas la désinfection, lire [url=http://forum.malekal.com/antispyware-gratuit-sert-rien-t25480.html]Antispywares gratuits : ça sert à rien![/url].
Je te conseille vivement de les désinstaller, ça libèrera des ressources systèmes.

EoRezokipu

Tu as installé des programmes EoRezo ou PCTuto, sais-tu que le service transmet certaines informations ? comme par exemple ton adresse, numéro de télephone qui ont été saisis lors de l’inscription ?
EoRezo modifie aussi ta page de démarrge vers lo.st, il se peux aussi que ce site transmettent certaines informations.
Enfin il ouvre des popups de publicités vers regiedepub.com
Bref ça installe un adware.

Pour plus d’informations se reporter à cette page : http://forum.malekal.com/les-programmes-eorezo-t18245.html

Si tu souhaites désinstaller, les programmes EoRezo/PCTuto,
Pour XP : vas dans ajout/suppression de programmes du panneau de configuration
Pour Vista/Seven : vas dans Programmes et Fonctionnalités du Panneau de configuration

Puis désinstalle les programmes contenant :
PCtuto / Tuto /
Agence Exclusive ou Agence
Update ou Software Update ou Application Updater.

Change ta page de démarrage si c’est lo.st :
Pour Internet Explorer : Menu Outils puis Options Internet et tu changes ta page de démarrage.
Pour Firefox : Menu Outils puis Options et change la page de démarrage.

Adobe et Java Pas à jour

Ta version d’Adobe Reader comporte [url=http://forum.malekal.com/le-danger-des-failles-de-securite-t3452.html]des vulnérabilités[/url] qui permettent l’infection de ton système.

Tout est expliqué sur cette page : http://forum.malekal.com/exploitation-swf-pdf-et-java-systeme-non-a-jour-danger-t13629.html

Ton PC est donc vulnérable tant que tu n’as pas mis à jour Adobe Reader.

Mets le à jour et prendre l’habitude de maintenir tous tes logiciels à jour sinon c’est l’infection à cout sûr.

Eventuellement faire un scan de vulnérabilités ou installer un des programmes pour prendre l’habitude de maintenir tous les logiciels à jour et donc ne pas avoir de failles de sécurité : http://www.malekal.com/scan_vulnerabilite.php

HijackThis

Bonjour,

– [url=http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe]Télécharge HiJackThis[/url] de Merijn sur ton bureau.
– Double-clic sur HijackThis
– Génère un rapport en suivant ces indications :
– Exécute le et clique sur Do a scan and save log file.
– Le rapport s’ouvre sur le Bloc-Note
– Colle le rapport ici, pour cela :
– Menu Edition / Selectionner Tout
– Menu Edition / copier
– Ici dans un nouveau message : clic droit / coller
[b]Aide :[/b] N’hésite pas à consulter [url=http://www.malekal.com/tutorial_HijackThis.html]l’aide HiJackThis[/url] –

– [url=http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe]Télécharge HiJackThis[/url] de Merijnsur ton bureau.
– Renomme le fichier HiJackThis.exe en Scanner.exe pour cela, fais un clic droit sur le fichier HiJackThis.exe et choisis renommer dans la liste
– Tape Scanner.exe et Appuye sur la touche Entrée.
– Génère un rapport en suivant ces indications :
– Double-clic sur Scanner.exe
– Exécute le et clique sur Do a scan and save log file.
– Le rapport s’ouvre sur le Bloc-Note
– Colle le rapport ici, pour cela :
– Menu Edition / Selectionner Tout
– Menu Edition / copier
– Ici dans un nouveau message : clic droit / coller
[b]Aide :[/b] N’hésite pas à consulter [url=http://www.malekal.com/tutorial_HijackThis.html]l’aide HiJackThis[/url] –

~~~~

Bonjour,

Suis ce Tutorial : http://www.malekal.com/tutorial_Trend-Micro_SIC.php

– Attache le rapport en pièce jointe dans un nouveau message à partir du bouton « Transférer Pièce jointe ».

– Envoie le fichier SUSPECT.zip sur http://upload.malekal.com

[b]Note :[/b] Pour pouvoir attacher un fichier en pièce jointe dans un message, tu dois être inscrit sur le forum et t’être identifié avec ton utilisateur.
Si tu n’es pas inscrits, inscrits toi à partir du bouton inscription en haut à droite.

Si l’envoi du fichier SUSPECT ne fonctionne pas, continue la procédure.

Puis :

Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]combofix.exe[/url] et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d’utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Tu as le tutorial sur ce lien pour t’aider : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : Si Combofix ne se lance pas en mode normal, tente en [url=http://www.malekal.com/modesansechec.php]mode sans échec avec prise en charge du réseau[/url] : Redémarre en mode sans échec, pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.

OTL

Tu peux suivre les indications de cette page pour t’aider : http://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge [url=http://oldtimer.geekstogo.com/OTL.exe]OTL[/url] sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu’administrateur)

* Lance OTL

* Sous Personnalisation, copie-colle ce qu’il y a dans le cadre ci-dessous :

[quote]netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\System32\\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT[/quote]
* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

Relance OTL.
o sous Peronnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l’operation que tu conserveras sur clé usb par exemple afin d’en coller le resultat:

[quote]:files
C:UsersdellAppDataLocalazthasmw.exe
C:UsersdellAppDataLocalazthasmw.dat
C:UsersdellAppDataLocalazthasmw_nav.dat
C:UsersdellAppDataLocalazthasmw_navps.dat
:reg
[HKLMSoftwareMicrosoftWindowsCurrentVersion]
« azthasmw »=-
:commands
[ResetHosts][/quote]

* redemarre le pc sous windows et poste le rapport ici

SystemLook

Télécharger SystemLook à partir d’un des liens ci dessous sur ton Bureau.
Download Mirror:: http://jpshortstuff.247fixes.com/SystemLook.exe
Download Mirror #2:: http://images.malwareremoval.com/jpshortstuff/SystemLook.exe

* Double-click SystemLook.exe pour le lançer.
* Clic droit|copier le contenu du cadre ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook:

[code]:filefind
atapi.sys
:regfind
winlogon.exe
:reg
HKEY_LOCAL_MACHINE\SOFTWARE\\MicrosoftWindows NT\CurrentVersion\Drivers32 /sub
[/code]

* Click le bouton Look pour commencer le scan.
* Copie-colle dans ta prochaine réponse le rapportcontenu du fichier texte qui s’affiche

Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt

HijackThis : Mics Tools

Sur HiJackThis -> Open the misc tools sections -> open Uninstall manager -> clique sur « Save list » -> enregistre le fichier -> fais-en un copier/coller ici.

Sur HiJackThis –> Open the Misc Tools Section –> Open Hosts file manager –> clic sur Open Notepad
dans les boutons en bas du cadre puis copie/colle le contenu ici
Pour cela :
— Menu Edition puis Sélectionner tout
— Menu Edition à nouveau puis copier
— Dans un nouveau message ici, clic droit / coller

Retour au sommaire

Plusieurs Antispywares

Tu as plusieurs logiciels de protections (antivirus ou antispywares).
Pour rappel : [b]un seul antivirus et un seul antispyware par ordinateur[/b]

Cela ne te protège pas forcemment mieux mais ce qui est certains c’est que ça te ralenti l’ordinateur voir peu occasionner des plantages, plus d’infos : http://forum.malekal.com/phenomene-de-sur-multiplication-des-logiciels-de-protection-t4650.html

En outre, les antispywares gratuits (SpyBot, Ad-Aware etc) servent à rien, ils ne protègent pas et ne permettent pas la désinfections, lire [url=http://forum.malekal.com/antispyware-gratuit-sert-rien-t25480.html]Antispywares gratuits : ça sert à rien![/url]

Fais du ménage dans les programes de protections installés.

Plusieurs Toolbars

Tu as plusieurs barre d’outils (toolbars), en as-tu besoin ?
Plusieurs barre d’outils peuvent ralentir l’ordinateur ou occasionner des plantages du navigateur.
Je te conseille de faire du ménage pour désinstaller les barres d’outils dont tu ne te sers pas à partir d’ajout/suppression de programmes du panneau de configuration.
Pour plus d’informations, voir l’article [url=http://forum.malekal.com/les-toolbars-c-est-pas-obligatoire-t6173.html&p=43480#p43480]Les Toolbars, c’est pas obligatoire![/url]
Retour au sommaire

Windows Pas à jour

Ton Windows n’est pas à jour, il contient des failles de sécurités, les virus passent par ces failles pour infecter ton ordinateur.
Ton Windows est donc [b]vulnérable[/b].
Cela sert à rien de commencer une désinfection tant ton Windows n’a pas été mis à jour sinon les virus vont revenir.

Vas sur cette page et télécharge le service pack 1a : http://www.microsoft.com/windowsxp/downloads/updates/sp1/network.mspx
Mets bien French à droite et clic sur OK pour télécharger le service pack 1a en Français.

Ensuite télécharger et lance Worms Doors Cleaner : http://www.firewallleaktester.com/wwdc.htm
Tu fermes tous les ports (mettre en vert les voyants).

Une fois tout cela de fait, poste un nouveau rapport HijackThis.

Pour plus d’informations sur les failles de sécurités distantes, lire l’article suivant : http://forum.malekal.com/le-danger-des-failles-de-securite-t3452.html

~~

Ton Windows n’est pas à jour, il contient des failles de sécurités, les virus passent par ces failles pour infecter ton ordinateur.
Ton Windows est donc [b]vulnérable[/b] et peut permettre l’infection de ton PC.

Pour plus d’informations sur les failles de sécurités distantes, lire l’article suivant : http://forum.malekal.com/le-danger-des-failles-de-securite-t3452.html

Installe le Service Pack 3 de Windows XP : http://download.microsoft.com/download/c/3/e/c3ea9fa6-d8e6-4832-8795-06dd27be9bc9/WindowsXP-KB936929-SP3-x86-FRA.exe

Installe le Service Pack 2 de Windows Vista : http://www.microsoft.com/downloads/details.aspx?displaylang=fr&familyid=a4dd31d5-f907-4406-9012-a5c3199ea2b3

Fais les mises à jour Windows Update ensuite, voir : http://www.malekal.com/updates_windows.php

Scan Antivirus – Ancien

Ouvre internet explorer –> Outils –> Options internet –> onglet « sécurité » –> Valide « niveau par défaut ».
Toujours sur Internet explorer –> Outils –> Options internet –> onglet « avancé » –> valide « Paramètres par défaut ».

Pour effectuer les scans, désactive ton antivirus, logiciels de protections et logiciels pouvant bloquer les popups (barres Google, barres Yahoo etc..).

[u]Scan en ligne avec Kaspersky :[/u]
– Fais un [url=http://www.kaspersky.com/kos/eng/partner/default/pages/default/main.html?n=1266564759125]Scan en ligne sur Kaspersky[/url] [b]en utilisant Internet Explorer[/b] et pas firefox, ça ne marchera pas!.
– Si tu es perdu, tu peux suivre [url=http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566]cette aide pour les scans en ligne[/url]
– Au moment de choisir la cible à analyser, clics sur le bouton Paramètres d’analyse
– Dans la nouvelle fenêtre, coche étendu au milieu puis clic sur OK.
– Choisis le poste de travail dans la cible à analyser
– Copie/colle le rapport du scan ici

[b]Note :[/b] Si tu reçois le message « La licence de Kaspersky On-line Scanner est périmée », vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Si le scan avec Kaspersky ne fonctionne pas, tu peux faire un scan en ligne avec Panda :
– Fais un [url=http://www.pandasoftware.com/products/activescan.htm]scan avec panda[/url] en [u]désactivant[/u] ton antivirus pendant le scan!
(Si tu es perdu, tu peux suivre [url=http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368]cette aide pour les scans en ligne[/url])
– Copie/colle le rapport panda ici

Retour au sommaire

OTLPE

•Telecharge http://ottools.noahdfear.net/OTLPE_Network.iso

» utilise ton utilitaire de gravure pour graver l’image , il faut utiliser l’option fichier graver iso graver image, ça peut etre different en fonction des utilitaires de gravures , mais le principe reste le meme.Ne pas graver comme disk de données [u]/![/u]

• telecharge et dezippe http://www.hiren.info/download/freeware/BurnCDCC.zip

• Avec l’onglet « browse », sélectionne OTLPE Network.iso

• coche alors « read verify » , « Finalyze » et « autoeject »

* déplace sous speed le curseur pour le mettre à 32X , insere un cd vierge et clic start

[img]http://imagesup.org/images6/1274882337-sans-titre.jpg[/img]
http://imagesup.org/images6/1274882337-sans-titre.jpg

ou bien exemple Nero:

[img]http://imagesup.org/images6/1271317310-nero0.jpg[/img]
http://imagesup.org/images6/1271317310-nero0.jpg

[img]http://imagesup.org/images6/1271317368-nero1.jpg[/img]
http://imagesup.org/images6/1271317368-nero1.jpg

cliquer ouvrir pour demarrer la gravure

• demarrer sur le cdrom crée de Reatogo|OTLPE , voir exemple: http://forum.malekal.com/booter-sur-dvd-t9447.html

[img]http://imagesup.org/images6/1272203242-otlpe01m.gif[/img]
http://imagesup.org/images6/1272203242-otlpe01m.gif

[img]http://imagesup.org/images6/1272203272-otlpe02m.gif[/img]
http://imagesup.org/images6/1272203272-otlpe02m.gif

[img]http://imagesup.org/images6/1272203333-otlpe03m.png[/img]
http://imagesup.org/images6/1272203333-otlpe03m.png

[img]http://imagesup.org/images6/1274538354-reatogo.jpg[/img]
http://imagesup.org/images6/1274538354-reatogo.jpg

• une fois le bureau de reatogo chargé , tu lances OTLPE , l’icone jaune

* Double-click sur l’icone OTLPE [img]http://imagesup.org/images6/1274093075-icootl.jpg[/img]

» à ceci valider par ok:

[img]http://imagesup.org/images6/1274092569-loqd1.jpg[/img]
http://imagesup.org/images6/1274092569-loqd1.jpg

» à ceci selectionner sa session:

[img]http://imagesup.org/images6/1274092650-loqd2.jpg[/img]
http://imagesup.org/images6/1274092650-loqd2.jpg

* verifier que « Automatically Load All Remaining Users » est sélectionné et press OK

» OTLPE se lançe alors

[img]http://imagesup.org/images6/1272203961-otlpe08.gif[/img]
http://imagesup.org/images6/1272203961-otlpe08.gif

[img]http://imagesup.org/images6/1272203961-otlpe08.gif[/img]
http://imagesup.org/images6/1272203961-otlpe08.gif

o sous Custom Scan box [img]http://imagesup.org/images6/1272203402-custon-scans.jpeg[/img] copie_colle le contenu du cadre ci dessous:

[quote]netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE\%Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%*.exe
%systemroot%\*. /mp /s
%systemroot%\System32\\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\drivers\*.sys /lockedfiles
%systemroot%\System32config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT[/quote]

* clic Run Scan pour demarrer le scan.
* une fois terminé , le fichier se trouve là C:OTL.txt
* copie_colle le contenu du rapport dans ta prochaine réponse.

OTLPE + eeepc

Télécharge eeepcfr.zip et enregistre-le à la racine du disque dur: http://www.eeepc.fr/wp-content/uploads/2008/01/eeepcfr.zip

1) Télécharge et installe Winrar http://download.cnet.com/WinRAR-32-bit/3000-2250_4-10007677.html que tu pourras désinstaller en fin de procédure…

ou winrar 3.51 + crack lol

2) décompresse eeepcfr.zip à la racine du disque dur.clic droit extraire vers eeepcfr

3) Vide complètement la clef USB sur laquelle tu veux mettre OTLPE.

4) Clique avec le bouton droit de la souris sur OTLPE (sur ton bureau) et choisis « Extract to OTLPE » comme indiqué sur l’image.

[img]http://www.lutile.be/images/otlpe2/otlpe1.JPG[/img]

==> Tu obtiens donc un dossier « OTLPE » dans lequel tu peux voir ceci :

[img]http://www.lutile.be/images/otlpe2/otlpe2.JPG[/img]

5) Rends-toi dans le dossier C:eeepcfr et double-clique sur usb_prep8.cmd.

6) Dans la partie Source Path to built BartPE/WinPE Files, clique sur les « … » et ajoute le dossier OTLPE qui se trouve sur ton bureau. Coche la case Enable File Copy comme indiqué sur la capture.

[img]http://www.lutile.be/images/otlpe2/otlpe5.JPG[/img]

7) Clique sur Start, accepte les avertissements et patiente…

=> Ta clef USB est prête et tu peux démarrer la machine dessus pour suivre la procédure

OTLPE Désinfection

• redemarre sur reatogo • une fois le bureau de reatogo chargé , tu lances OTLPE , l’icone jaune

* Double-click sur l’icone OTLPE
* quand demandé « Do you wish to load the remote registry », select Yes
* quand demandé « Do you wish to load remote user profile(s) for scanning », select Yes
* verifier que « Automatically Load All Remaining Users » est sélectionné et press OK

[img]http://imagesup.org/images6/1272203961-otlpe08.gif[/img]
http://imagesup.org/images6/1272203961-otlpe08.gif

o sous Custom Scan box [img]http://imagesup.org/images6/1272203402-custon-scans.jpeg[/img] copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l’operation que tu conserveras sur clé usb par exemple afin d’en coller le resultat:

[quote]
:OTL
O2 – BHO: (no name) – {5C255C8A-E604-49b4-9D64-90988571CECB} – No CLSID value found.
O3 – HKLM..Toolbar: (no name) – – No CLSID value found.
O3 – HKLM..Toolbar: (no name) – {A057A204-BACC-4D26-9990-79A187E2698E} – No CLSID value found.
O3 – HKLM..Toolbar: (no name) – {CCC7A320-B3CA-4199-B1A6-9F516DD69829} – No CLSID value found.
O3 – HKLM..Toolbar: (no name) – {E0E899AB-F487-11D5-8D29-0050BA6940E3} – No CLSID value found.
O3 – HKUAdministrateur_ON_C..ToolbarWebBrowser: (no name) – {4982D40A-C53B-4615-B15B-B5B5E98D167C} – No CLSID value found.
O3 – HKUangelique_ON_C..ToolbarWebBrowser: (no name) – {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} – No CLSID value found.
O3 – HKUangelique_ON_C..ToolbarWebBrowser: (no name) – {21FA44EF-376D-4D53-9B0F-8A89D3229068} – No CLSID value found.
O3 – HKUangelique_ON_C..ToolbarWebBrowser: (no name) – {4982D40A-C53B-4615-B15B-B5B5E98D167C} – No CLSID value found.
O3 – HKUangelique_ON_C..ToolbarWebBrowser: (no name) – {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} – No CLSID value found.
O3 – HKUangelique_ON_C..ToolbarWebBrowser: (no name) – {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} – No CLSID value found.
O4 – HKLM..Run: [EoEngine] File not found
O4 – HKLM..Run: [eorezo] File not found
O4 – HKLM..Run: [smss32.exe] C:WINDOWSSystem32smss32.exe File not found
O4 – HKLM..Run: [SoftwareHelper] C:Documents and SettingsangeliqueApplication DataEoRezoSoftwareUpdateSoftwareUpdateHP.exe (EoRezo)
O4 – HKUangelique_ON_C..Run: [smss32.exe] C:WINDOWSSystem32smss32.exe File not found
O20 – HKLM Winlogon: UserInit – (C:\Windows\System32winlogon32.exe) – C:WINDOWSSystem32winlogon32.exe File not found
[7 C:WINDOWSSystem32*.tmp files -> C:WINDOWSSystem32*.tmp -> ]
[4 C:WINDOWSSystem32drivers*.tmp files -> C:WINDOWSSystem32drivers*.tmp -> ]
[3 C:WINDOWS*.tmp files -> C:WINDOWS*.tmp -> ]
[1 C:Documents and Settingsangelique*.tmp files -> C:Documents and Settingsangelique*.tmp -> ]
:files
C:Documents and SettingsangeliqueApplication DataEoRezo
C:WINDOWSSystem32driversarchmdfl.VIR
C:WINDOWSSystem32driversuhssftw.sys
C:Documents and SettingsangeliqueApplication Dataqvjsge.dat
C:WINDOWStasks{A5F949AE-D847-4A4F-BFFE-EC6FEE95D94C}_NOM_ORDINATEUR_angelique.job
C:WINDOWStasks{749AE37E-EF0C-42DD-8E03-70758D3888C0}_NOM_ORDINATEUR_angelique.job
:reg
[HKLMSOFTWARE_ON_CMicrosoftWindows NTCurrentVersionWinlogon]
« Userinit »= »C:\WINDOWS\System32\\userinit.exe, »
« Shell »= »explorer.exe »
[/quote]

• redemarre le pc sous windows et poste le rapport ici

Scan Antivirus – Nouveau avec nano

Ouvre internet explorer –> Outils –> Options internet –> onglet « sécurité » –> Valide « niveau par défaut ».
Toujours sur Internet explorer –> Outils –> Options internet –> onglet « avancé » –> valide « Paramètres par défaut ».

Pour effectuer les scans, désactive ton antivirus, logiciels de protections et logiciels pouvant bloquer les popups (barres Google, barres Yahoo etc..).

[u]Scan en ligne avec Kaspersky :[/u]
– Fais un [url=http://webscanner.kaspersky.fr/]Scan en ligne sur Kaspersky[/url] [b]en utilisant Internet Explorer[/b] et pas firefox, ça ne marchera pas!.
– Si tu es perdu, tu peux suivre [url=http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566]cette aide pour les scans en ligne[/url]
– Scan le poste de travail
– Copie/colle le rapport du scan ici

[b]Note :[/b] Si tu reçois le message « La licence de Kaspersky On-line Scanner est périmée », vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Si le scan avec Kaspersky ne fonctionne pas, tu peux faire un scan en ligne avec Panda :
– Fais un [url=http://www.nanoscan.com/as/v1/principal.aspx?Lang=en]nano/total scan avec panda[/url] en [u]désactivant[/u] ton antivirus pendant le scan!
– Enregitre toi sur le site en créant un compte à partir du bouton Register Free à droite.
– Après avoir indiqué une adresse mail valide et un mot de passe.. tu vas recevoir un mail.. clic sur le lien pour activer ton compte
– Retourne sur le site et identifie toi dans la partie droite en indiquant ton adresse mail et ton mot de passe
– Coche au milieu l’option Full Scan puis clic sur le bouton Scan now
– Le site va te demander d’accepter l’installation du contrôle Activex.. accepte en cliquant sur le bouton Oui.
– Le programme va télécharger les mises à jour puis le scan va se faire.. Il peut durer une heure.
– Une fois le scan terminé.. clic en bas de la page de rapport sur le bouton Desinfect
– Ensuite dans la partie haute, clic sur le petit bouton Save.. Cela va te permettre d’enregistrer un rapport sur ton bureau.
– Ouvre ce rapport et Copie/colle le rapport panda ici

[b]AIDE :[/b] Si tu es perdu, tu peux suivre [url=http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054]cette aide pour les scans en ligne[/url])

Retour au sommaire

SilentRunners
Télécharge et utilise Silentrunners http://www.silentrunners.org/Silent%20Runners.vbs
Clic droit sur le lien et choisis Enregistrer la cible sous
Double clic sur Silentrunners, patiente un peu rapport sera généré, quant ce sera terminé tu en sera averti, poste ce rapport

GetService

– Télécharge [url=http://www.bleepingcomputer.com/files/spyware/getservice.zip]getservice.zip [/url]
– Extrait le dans un nouveau dossier sur ton bureau
– Double-clic sur Getservice.bat
– Cela va créer un fichier getservice.txt
– Copie/colle le contenu ici

Retour au sommaire

Gmer

Télécharge GMER à partir de ce lien : http://www.gmer.net/files.php – clic sur « Download EXE » et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t’aider : http://www.malekal.com/tutorial_GMER.php

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
[b]IMPORTANT:[/b] Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s’executer.
Clic sur l’onglet « rootkit »
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur « Copy »

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

_________

Télécharge GMER à partir de ce lien : http://www.gmer.net/files.php – clic sur « Download EXE » et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t’aider : http://www.malekal.com/tutorial_GMER.php

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
Une fois lancé, fais un clic droit sur le fond blanc (comme ci-dessus) et clic sur « Only Non MS files »
Clic en bas à droite sur le bouton « Scan » pour lancer le scan.

[img]http://www.malekal.com/fichiers/GMER/GMER_ScanType.png[/img]

Lorsque le scan est terminé, clic sur « Copy »

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

_________

Menu Démarrer / executer et tape : cmd puis clic sur OK.
Tape chacune de ces communes en appuyant sur la touche entrée à chaque fois pour valider la commande :

[quote]gmer -killall
gmer -del service ntldr.sys – supprime le servicep pe386
gmer -del reg « HKLMSYSTEMCurrentControlSetServicesntldr.sys »
gmer -del reg « HKLMSYSTEMControlSet001Servicesntldr.sys »
gmer -del reg « HKLMSYSTEMControlSet002Servicesntldr.sys »
gmer -del file « C:ntldr.sys »
gmer -reboot[/quote]

_________

Export clefs win32 et Active SetupInstalled Components

Télécharge sur ton bureau : http://www2.malekal.com/download/check.cmd
(Si le fichier s’ouvre sur le navigateur, faire un clic droit puis enregistrer la cible du lien sous).

Double-clic dessus, cela va ouvrir le bloc-note avec du texte, copie/colle le contenu entier ici.

[b]NOTE :[/b]
Si tu ne peux pas poster car cela dépasse le nombre de caractères permis sur un message, fais ceci :
Enregistre le fichier texte dans un fichier sur ton bureau (tu peux mettre le nom que tu veux).
Dans un nouveau message, en bas clic sur « Transférer une pièce jointe »
Vas chercher le fichier que tu as enregistré
Clic sur « Attacher fichier », cela va joindre le fichier dans le message.

RegSearch

Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/regsearch.php
– dézippe dans un répertoire dédié tel que C:\Program Files\
– double clique sur RegSearch.exe
– copie colle 85.255.116.132 dans la première ligne de la zone de recherche
– clique sur OK
– après recherche, le bloc-notes ouvre une fenêtre « RegSearch.txt » avec toutes les instances trouvées
– le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch
– copie-colle le contenu de la fenêtre dans un post, ici
– ferme le bloc-notes
– ferme RegSearch par Cancel

upload.malekal.com

Vas sur http://upload.malekal.com
Clic sur le bouton parcourir puis sélectionne dans tes dossiers ce fichier : xxxxxxxxxxxxx
Laisse le répertoire de destination sur Malwares.
clic sur envoyer pour envoyer le fichier.

Recommence l’opération précédente mais avec les fichiers suivants pour les envoyer :
xxxxxxxx

Virusscan.jotti.org

Vas sur le site http://virusscan.jotti.org/
– Clic en haut à droite sur « Parcourir », navigue dans les dossiers et sélectionne ce fichier : pushow4.dll
– Clic sur submit toujours en haut à droite
– Le scan va se lancer, ça va prendre un petit instant
– En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici – [b]ATTENTION[/b] de bien prendre le résultat du scan de ton fichier (le nom du fichier apparaît en haut) et non le scan fait avant le tiens!
[b]Aide :[/b] http://www.malekal.com/scan_Av_en_ligne.html#mozTocId662799

VirusTotal

Scan le fichier suivant xxxxxxxxxxx sur VirusTotal (voir http://forum.malekal.com/virustotal-comment-scanner-un-fichier-t9828.html#p74260)
Poste le rapport de scan ici.

Eradication

Fichier Hosts

Télécharge HOSTS Manager http://www.malekal.com/tutorial_HOSTS_Manager.php
– Ferme Internet Explorer
– Clic ur Clear en bas à gauche
– Clic sur Save en haut à gauche.

NB : Tu peux aussi installer un fichier HOSTS filtrants en suivant les directives du tutorial de ce logiciel.

— Télécharge [url=http://www.funkytoad.com/download/hoster.zip]The Hoster[/url]
— Dézippe ce fichier sur ton bureau
— Hors connexion nagigateur fermé ainsi que toutes les applications en cours
— Double clic sur hoster.exe
— Clique sur Restore Original Hosts ensuite sur Ok

Retour au sommaire

Atapi.sys patch

Sauvegarde tes données importantes, on est pas à l’abri d’un plantage!

~~

1/Télécharger The Avenger par Swandog46 sur votre Bureau.

http://swandog46.geekstogo.com/avenger.zip

l’extraire sur le bureau

2/ Ouvre le bloc-note et copie/colle ce qu’il y a ci-dessous :

[quote]@echo off
copy C:WINDOWSwinsxsx86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8atapi.sys c:atapi.sys
if exist c:atapi.sys echo la copie a reussi
pause [/quote]

– Enregistre le fichier sur ton bureau sous le nom atapi.bat (le .bat à la fin est important)
– Fais un clic droit sur atapi.Bat puis exécuter en tant qu’administrateur
Si tout va bien ça te doit te dire que la copie a réussi.

3/ Lance The Avenger via clic droit executer en tant qu’administrateur puis Copier coller tout le texte du cadre ci dessous

[quote]Files to delete:
c:windowsSystem32\tdlcmd.dll

Files to move:
c:atapi.sys | C:\Windows\System32\drivers\atapi.sys[/quote]

et clic droit coller dans la fenetre d’avenger sous input script here, comme sur la capture

[img]http://imagesup.org/images4/1259500353-sans-titre.bmp[/img]

et clic execute.

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n’êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

* Après le re-démarrage, il crée un fichier log qui s’ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

4/ retente GMER, désactive bien ton antivirus.

The Avenger

• Telecharge:: http://swandog46.geekstogo.com/avenger2/download.php
http://swandog46.geekstogo.com/avenger2/avenger.zip

• dezippe le , Lance l’épée , executer en tant qu’administrateur sous vista [img]http://imagesup.org/images5/1263141433-venger.jpg[/img]

[img]http://img256.imageshack.us/img256/6883/080229185901qa4.jpg[/img]

Debranche tous tes supports USB

Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:

[quote]begin copying here:
Drivers to delete:
Files to delete:
Files to move:
c:hosts | C:\Windows\System32driversetchosts
Folders to delete:
Registry values to delete:
HKEY_LOCAL_MACHINE\SoftwareSomeKey | BadValue
HKLMSoftwareMicrosoftWindowsCurrentVersionRun | BadRunValue
HKLMSystemCurrentControlSetControlSession Manager | BadValue
Registry keys to delete:
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifyBadKey
HKLMSoftwareBadKey
HKEY_LOCAL_MACHINE\SystemCurrent\ControlSetControl\BadKey
Programs to launch on reboot:
C:Documents and SettingsMy UserDesktopHijackThis.exe
%systemdrive%my_fix.bat
c:MyRegFile.reg
regedit.exe /s c:MyRegFile.reg[/quote]

* Après le re-démarrage, il crée un fichier log qui s’ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:avenger.txt

Malwarebyte Anti-Malware

Téléchargez MalwareByte’s Anti-Malware : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Aide: http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d’installation.
. Dans l’onglet « mise à jour », cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l’onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse.
. Copie/colle le rapport ici dans une nouvelle réponse

AboutBuster

Télécharger AboutBuster.zip de RubbeR DuckY depuis [url=http://www.malwarebytes.org/AboutBuster.zip]http://www.malwarebytes.org/AboutBuster.zip[/url]
ou [url=http://www.besttechie.net/tools/AboutBuster.zip]http://www.besttechie.net/tools/AboutBuster.zip[/url]
Décompresser l’archive dans un dossier spécifique, par exemple C:Program Filesaboutbuster

[b]Aide :[/b] [url=http://www.malekal.com/tutorial_aboutbuster.html]Tutorial AboutBuster[/url]

– Redémarre [url=http://www.malekal.com/modesansechec.php]en mode sans échec avec prise en charge du réseau[/url], pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.

Faire un double clic sur AboutBuster.exe (dans le dossier C:Program Filesaboutbuster) pour lancer le programme.
Cliquer sur le bouton « Begin removal »
Un message (« Shut down Internet Explorer ») annonce que toutes les fenêtres d’Internet Explorer vont être fermées. Clic sur « Yes ».
Un scan est exécuté (attendre quelques instants).
Un message (« Scan completed ») annonce que le balayage est terminé. Clic sur « OK ».
Clic sur le bouton « Exit ».
Un message (« Logfile created ») annonce qu’un fichier journal a été créé dans le dossier d’AboutBuster (C:\Program Files\aboutbuster). Clic sur « OK ».

Tu peux aller consulter le [url=http://www.malekal.com/tutorial_aboutbuster.html]Tutorial AboutBuster[/url] pour toutes aides.

[i]Note:[/i]
Si l’utilitaire ne fonctionne pas et indique que le fichier COMCTL32.OCX est manquant,
[b]*-[/b] Le télécharger ici (clic droit sur le lien ci-dessous):
[url=http://www.malwarebytes.org/libraries/COMCTL32.OCX]http://www.malwarebytes.org/libraries/COMCTL32.OCX[/url]
[b]*-[/b] Placer le fichier ainsi téléchargé dans le dossier système:
XP—->C:\Windows\System32\
2k—->C:WinntSystem32
9x et ME—->C:WindowsSystem
[b]*-[/b] Enregistrer le fichier:
Démarrer—->Exécuter, taper
XP—->[b]regsvr32 windowsSystem32\comctl32.ocx[/b]
2k—->[b]regsvr32 winntSystem32\comctl32.ocx[/b]
9x et ME—->[b]regsvr32 windowssystemcomctl32.ocx[/b]

[b]Aide :[/b] [url=http://www.malekal.com/tutorial_aboutbuster.html]Tutorial AboutBuster[/url]

Retour au sommaire

ComboFix

Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]combofix.exe[/url] et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d’utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Tu as le tutorial sur ce lien pour t’aider : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en [url=http://www.malekal.com/modesansechec.php]en mode sans échec avec prise en charge du réseau[/url] du réseau : Redémarre en mode sans échec, pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.

CFScript

Télécharge ce fichier sur ton bureau : http://www2.malekal.com/download/CFScript.txt
(Si le fichier s’ouvre sur le navigateur, faire un clic droit puis enregistrer la cible du lien sous).

C:\Program Files\\Enigma Software Group

Télécharge Combofix sUBs : [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]combofix.exe[/url]
et sauvegarde le sur ton bureau et pas ailleurs!

[b][size=150]DECONNECTE TON PC D’INTERNET[/b][/size]

[b]DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE[/b]

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

[quote]file::
C:\WINDOWS\System32\\wdiabuqa.dll
C:W\INDOW\SSystem32\\rqRKAQHA.dll
Registry::
[-HKEY_LOCAL_MACHINE\Browser Helper Objects\{5B68EEE1-C079-4485-8B96-E8EC21A75761}][/quote]

Enregistre ce fichier sous le nom [b]CFScript[/b]

[*]Fait un glisser/déposer de ce fichier [b]CFScript[/b] sur le fichier ComboFix.exe comme sur la capture

[IMG]http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif[/IMG]

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c’est normal!
Ne touche à rien tant que le scan n’est pas terminé.
[*]Une fois le scan achevé, un rapport va s’afficher: poste son contenu, en précisant où en sont tes soucis

[*]Si le fichier ne s’ouvre pas, il se trouve ici > C:\[b]ComboFix.txt[/b]

[b][size=150]ATTENDS 10MIN ET REBRANCHE INTERNET[/b][/size]

CounterSpy

– Télécharge et Installe CounterSpy : http://www.malekal.com/tutorial_CounterSpy.html
– Une fois installé et l’assistant de configuration executé, démarre CounterSpy afin d’effectuer une mise à jour.
– Redémarre en [url=http://www.malekal.com/modesansechec.php]mode sans échec avec prise en charge du réseau[/url], pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
– Clic sur le bouton « Scan Now » à gauche et laisse le scan se faire.
– A l’issu du scan, tous les éléments trouvés seront positionnés sur Quarantine
– Clic sur le bouton en bas à gauche Take Action pour envoyer tous les éléments détectés en quarantaine.
– Redémarre l’ordinateur
– Copie/colle un nouveau rapport HiJackThis

eScan Antivirus Toolkit

– [url=http://www.malekal.com/tutorial_eScan_antivirus_toolkit.html]Télécharge eScan Antivirus Toolkit[/url]
– Installe le dans le dossier C:\Kaspersky
– Rends toi dans le dossier C:\Kaspersky et double-clic sur kavupd.exe pour le mettre à jour
– Redémarre en mode sans échec, pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
– Ouvre le dossier C:\Kaspersky
– double-clique sur le fichier mwavscan.com
– Coche les options comme indiquées sur [url=http://www.malekal.com/fichiers/eScan/eScan3.png]cette page[/url]
– puis en bas à droite, clic sur Scan Clean pour démarrer le scan

Pendant que le scan opère.. ouvre le bloc-note pour cela :
Menu Démarrer / executer et tape : notepad puis clic sur OK.

– A la fin du scan.. sélectionne tous les éléments dans la partie de fenêtre Virus Log Information
Fais un clic droit puis copier.
Vas sur le bloc-note puis Menu Edition / Coller
Cela afin de copier/coller tous les éléments qui sont dans Virus log Information dans le bloc-note
Enregistre le fichier : Menu Fichier / Enregistrer-sous
Nomme le eScan.log

– Redémarre l’ordinateur
– Copie/colle le contenu de eScan.log

Retour au sommaire

catchme

– Télécharge sur ton bureau [url=http://www.malekal.com/download/DiagHelp.zip]DiagHelp.zip[/url] sur ton bureau – Tuto : [url=http://www.malekal.com/DiagHelp/DiagHelp.php]http://www.malekal.com/DiagHelp/DiagHelp.php[/url]
– !!! Ne double-clic pas dessus !!! Fais un clic droit sur le fichier et extraire tout
– Un nouveau dossier chercher va être créé DiagHelp
– Ouvre le dossier DiagHelp.
– Double-clic sur catchme.exe (le .exe peut ne pas apparaître).

Une fenêtre va s’ouvrir, vas dans l’onglet Script.
Copie/colle ceci :

[quote]files to kill:
C:\WINDOWS\System32\\drivers\srosa.sys
C:\WINDOWS\System32\\drivers\hidr.exe[/quote]
Clic sur Run.

Redémarre l’ordinateur

win32delfki – browsela.dll

— Télécharge et enregistre sur ton bureau [url=http://users.telenet.be/marcvn/tools/win32delfkil.exe]win32delfkil[/url] de Marckie et place sur ton bureau.
–Double-clique sur win32delfkil.exe, et clique sur installeren
dans le dossier win32delfkil, lance fix.bat.
— Le pc va redemarrer tout seul, c’est normal.
une fois fait, poste ici le contenu du fichier C:\windelf.txt

Retour au sommaire

LSPfix

— Télécharge [url=http://www.cexx.org/LSPFix.exe]LSPfix[/url]
— Lance LSPfix
— Déconnecte-toi d’Internet et ferme toutes les fenêtres d’Internet Explorer.
— Coche la case « I know what I’m doing »
— Sélectionne toutes les instances des dll suivantes (s’il y en a, sinon ferme LSPfix) :

***

–> fais les glisser du panneau de gauche « keep » au panneau de droite « Remove ».
Clique sur le bouton « Finish ».
(Si elles sont déjà dans le panneau « Remove » alors clique directement sur le bouton « Finish ».)

# Cliquez sur le menu Démarrer puis executer et tapez : cmd
# Cliquez sur OK
# Dans la fenêtre noire, saisir la commande suivante validez par entrée : netsh winsock reset catalog
# Un message doit vous dire que l’opération doit necessiter de redémarrer l’ordinateur
# Redémarrez l’ordinateur

Retour au sommaire

OTMoveIT

Télécharger [url=http://oldtimer.geekstogo.com/OTM.exe]OTMoveIt3 par OldTimer[/url]

* Enregistrer ce fichier sur le Bureau.

* Faire un double clic sur OTMoveIt3.exe pour lancer l’exécution de l’outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu’administrateur).

* Copier les lignes de la zone « Code » ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

Code:

[quote]:processes

explorer.exe

:files

c:\windows\system\32870159

:reg

:commands

[emptytemp]

[start explorer]

[reboot][/quote]

* Retourner dans la fenêtre de OTMoveIt3, faire un clic droit dans la zone « Paste List Instruction for Items to be Moved » (sous la barre bleu clair) puis choisir Coller.

* Cliquer sur le bouton rouge Moveit!.

* Fermer OTMoveIt3

Reviens sur le forum, et poste le rapport généré. Celui-ci se trouve ici : C:\_OTMoveIt\MovedFiles, poster le rapport le plus récent.

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

HAXFIX

Télécharger [url=http://users.telenet.be/marcvn/tools/haxfix.exe][color=blue][b]haxfix.exe[/b][/color][/url] de Marckie

[*]Double cliquer sur haxfix.exe pour installer haxfix. (l’installation standard est c:\program Files\haxfix)
[*]Cocher « Create a desktop icon »
[*]Cliquer « Next »
[*]Quand l’installation est terminée, s’assurer que « Launch HaxFix » est coché
[*]Cliquer « Finish »

Une « fenêtre DOS » à fond rouge s’ouvre avec les options suivantes:
1. Make logfile (créer un rapport)
2. Run auto fix (lancer la réparation en mode automatique)
3. Run manual fix (lancer la réparation en mode manuel)
E. Exit Haxfix (quitter Haxfix)

[*]Selectionner l’option 1. Make logfile en tapant 1 puis taper « Entrée »
[*]Haxfix va analyser le système. Quand il a fini, un rapport s’ouvrira: haxlog.txt > (c:\haxlog.txt)

Colle ce rapport ici.

Ensuite.

[*]Ouvrir le dossier C:\Program Files\\haxfix et double-cliquer sur fix.bat
(ou double-cliquer sur l’icone du bureau fix.bat )
[*]Fermer toutes les autres fenêtres, car Haxfix re-démarerra le système.
[*]Selectionner l’option 2. Run auto fix en tapant 2 puis « Entrée »

si une infection est trouvée, Vous aurez un message demandant de fermer toutes les autres fenêtres ouvertes.

[*]Fermer toutes les autres fenêtres sauf la fenêtre à fond rouge de haxfix puis taper « Entrée »
[*]La machine sera re-démarrée
[*]En fin de re-démarrage un rapport s’ouvrira > (c:\haxfix.txt)
[*]Poster le contenu de ce rapport ainsi qu’un nouveau rapport HiJackThis

Colle également un nouveau log HiJackThis.

_______________

Télécharger [url=http://users.telenet.be/marcvn/tools/haxfix.exe][color=blue][b]haxfix.exe[/b][/color][/url]
et le sauvegarde sur le bureau.
[list]
[*]Double cliquer sur [b]haxfix.exe[/b] pour installer haxfix. (l’installation standard est c:\program Files\haxfix)
[*]Cocher « Create a desktop icon »
[*]Cliquer « Next »
[*]Quand l’installation est terminée, s’assurer que « Launch HaxFix » est coché
[*]Cliquer « Finish »[/list]

Une « fenêtre DOS » à fond rouge s’ouvre avec les options suivantes:
1. Make logfile (créer un rapport)
2. Run auto fix (lancer la réparation en mode automatique)
3. Run manual fix (lancer la réparation en mode manuel)
4. Run wnlogow fix (lancer la réparation pour wnlogow)
E. Exit Haxfix (quitter Haxfix)

[*]Selectionner l’option [b]3. Run manual fix[/b] en tapant [b]3[/b] puis « Entrée »

ce message apparait:
[quote]echo Insert the haxdoorkey,
and then press Enter: [/quote]
[*]taper ceci : [b]xdudtt[/b]
Puis appuyer sur « [b]Entrée[/b] ».

Si l’infection est identifiée, tu verras un message te demandant de fermer toutes les fenêtres (« Close all windows »).
Ferme les toutes, sauf la fenêtre DOS avec fond rouge (l’outil), et appuie sur « Entrer ».
Ton PC va redémarrer.
Après le redémarrage, poste (copie/colle) le contenu du rapport, situé ici : C:\haxfix.txt

Colle également un nouveau log HiJackThis.

NAVIPROMO

– Ouvre le bloc-note et [u]copie/colle ceci[/u] dedans :

[quote]cd %windir%
cd SYSTEM32
attrib -s -r -h xmuwlrqkn.exe
del xmuwlrqkn.exe
attrib -s -r -h msclock32.dll
del msclock32.dll
attrib -s -r -h msplock32.dll
del msplock32.dll
attrib -s -r -h xmuwlrqkn_navps.dat
del xmuwlrqkn_navps.dat
attrib -s -r -h xmuwlrqkn.dat
del xmuwlrqkn.dat
attrib -s -r -h __delete_on_reboot__msclock32.dll
del __delete_on_reboot__msclock32.dll
del attrib -s -r -h
del %windir%Prefetch*
[/quote]

Toujours sur bloc-note / Fichier / enregistre-sous / nomme le fix.bat et place le sur ton bureau

— Redémarre en mode sans échec, pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

— Double-clic sur fix.bat qui se trouve sur ton bureau.

Retour au sommaire

Kaspersky trial

– Télécharge la version d’évaluation de Kaspersky Antivirus : http://www.kaspersky.com/fr/trials?chapter=186498689 – tutorial : http://www.malekal.com/tutorial_Kaspersky_trial.html
– Après l’installation, lors de la configuration via l’assistant :
– Active la version d’évaluation des licences de 30 jours
– Lance une mise à jour automatique
– Active la protection de base
** Ne lance pas un scan une fois le programme installé et configuré **

– Redémarre en mode sans échec, pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

– Démarre Kaspersky à partir du Menu Démarrer / Tous les programmes / Kaspersky Anti-virus
– Une icone avec un K grisé va apparaître en bas à droite à côté de l’horloge
– Fais un clic droit sur cette icône puis « Analyser le Poste de travail »
– Le scan de l’ordinateur va démarrer
– Une fois le scan terminé, supprime tous les malwares détectés
– Créé un rapport à partir du bouton Enregistrer-sous en bas de la fenêtre, enregistre le fichier sous le nom Kaspersky.txt sur ton bureau

— Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l’ordinateur
[b]Attention :[/b] dans le cas où l’ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l’option /SAFEBOOT à l’aide de msconfig : voir à nouveau cette page : [url=http://www.malekal.com/modesansechec.php]cliquez-ici[/url]

Double-clic sur le fichier Kaspersky.txt qui se trouve sur ton bureau
Copie/colle le rapport ici

[b]Aide :[/b] N’hésite pas à consulter ce : http://www.malekal.com/tutorial_Kaspersky_trial.html

Retour au sommaire

Script Batch

Ntbtlog.txt / BootLog

Supprime ce fichier si existant :
C:\Windows\System32\\Ntbtlog.txt ou C:\Windows\Ntbtlog.txt

Ensuite : Menu Démarrer / executer et tape msconfig puis clic sur OK
Clic dans l’onglet Boot.init
coche l’option BOOTLOG et clic sur OK.
redémarre l’ordinateur.

Ouvre le fichier C:\Windows\System32\\Ntbtlog.txt ou C:\Windows\Ntbtlog.txt
Colle le contenu ici.
ATTENTION, Si le fichier est volumineux, tu auras peut-être besoin de faire plusieurs messages.

Recherche de fichiers

Sélectionne les lignes dans ce cadre :
[quote]cd
dir « %PROGRAMFILES% » > resultat.txt
dir « %PROGRAMFILES%fichiers communs » >> resultat.txt
dir « %PROGRAMFILES%common files » >> resultat.txt
dir C:\*.exe >> resultat.txt
dir /a /s /o:n /b c:\*.exe |find « Documents » >> resultat.txt
notepad resultat.txt[/quote]
–> clic droit / copier

– Ouvre le bloc-note et clic sur menu edition puis coller
– Enregistre le fichier sur ton bureau cherche.cmd
– Double clic sur cherche.cmd –> Cela va t’ouvrir une fenêtre, attends.. cela peut durer longtemps.
– Le bloc-note va s’ouvrir, copie/colle le contenu ici

Retour au sommaire

Manipulations Windows

Désactiver Service

– Demarrer / executer / tape services.msc
– Cherche AlfaCleanerService dans la liste
– Double clic dessus, positionne le type de démarrage sur désactiver

Retour au sommaire

Verif format PATH (REG_EXPAND_SZ)

Ouvre le bloc-notes
– Menu Démarrer, Tous les programmes, Accessoires, Bloc notes
ou
– Menu Démarrer, Exécuter : tape notepad

Copie-colle ce qui suit dans le bloc-notes :

[quote]C:\Windows\System32\\reg.exe query « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Environment » /s >> look.txt
start notepad look.txt[/quote]

Ensuite, fichier / enregistrer-sous et comme nom tu mets look.bat
Double-clique sur Look.bat. Cela va t’ouvrir un fichier au format TXT Look.txt

Copie et colle ici le contenu de Look.txt.

Retour au sommaire

Connexion : Netstat / Fport

– Menu Démarrer / executer et tape cmd puis clic sur OK
– Dans la nouvelle fenêtre, tape netstat -ano > C:\cnx.txt

– Ouvre le poste de travail et le disque C
– double-clic sur cnx.txt
– Copie/colle le contenu ici

– Télécharge [url=http://www.foundstone.com/resources/freetooldownload.htm?file=fport.zip]fport.zip[/url]
– Décompresse le dans le dossier C:\Fport (créer le dossier Fport sur le disque C)
Ensuite : Menu Démarrer / execute et tape cmd
– Dans la nouvelle fenetre tape : c: et valide par entrée
puis tape cd fport et valide par entrée
Enfin tape : fport > C:\cnx.txt

Ouvre le poste de travail puis le disque C
double-clic sur cnx.txt et copie/colle le rapport ici

Recherche fichiers

Ouvre le bloc-note et copie/colle le contenu du cadre ci-dessous :

[quote]cd
dir /a /s /o:n /b c:\*.vbs > %systemdrive%\resultat.txt
dir /a /s /o:n /b c:\*DRVBACKUP* >> %systemdrive\%resultat.txt
dir /a /s /o:n /b c:\*DRVBACKUP* >> %systemdrive\%resultat.txt
dir /a /s /o:n /b ICMON.exe >> %systemdrive\%resultat.txt
dir /a /s /o:n /b ICNTMON.exe >> %systemdrive\%resultat.txt
notepad %systemdrive%resultat.txt[/quote]

– Une fois le contenu collé dans le bloc-note
– Enregistre le fichier (Menu fichier puis enregistrer-sous) sous le nom go.cmd sur ton bureau
– Double-clic sur go, une fenetre va s’ouvrir… Cela va durer plusieurs minutes, ne touche à rien.
– Le Bloc-note va s’ouvrir, copie/colle le rapport ici.

fichier .reg

Ouvre le bloc-note et copie/colle le contenu du cadre ci-dessous :
[quote]
REGEDIT4
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\EnumRoot\LEGACY_MCHINJDRV]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sstqq][/quote]

– Une fois le contenu collé dans le bloc-note
– Enregistre le fichier (Menu fichier puis enregistrer-sous) sous le nom fix.reg
– Désactive tes logiciels de protection
– Double-clic sur fix.reg
– Accepte l’inscription des données

Arreter un processus

– Démarrer / executer / tape taskmgr et clic sur le bouton OK
– clic sur le bouton gestionnaires de taches
– cliques sur l’onglet processus en haut
– Dans la liste, si tu vois, un des fichiers :

—> tu clics dessus, et tu clis sur le bouton en bas à droite « fin de
tâches »

Retour au sommaire

Fichiers Cachés

— Ouvre le poste de travail
— Clic sur le menu outils en haut à droite puis options des dossiers
— Dans la nouvelle fenêtre, clic sur l’onglet Affichage en haut
— Coche dans la liste « Afficher les fichiers cachés »
— Décoche « masquer les fichier proteger du systeme d exploitation (recommandée) »
— Tu vas recevoir un message qui te dit que cela peut endommager le système, n’en tiens pas compte.

Voir aide : http://forum.malekal.com/afficher-les-fichiers-caches-systemes-t18239.html

Retour au sommaire

Tuer Processus : HiJackThis

– HiJackThis -> Open the misc tools section -> Open Process Manager
Sélectionne dans la liste : C:\WINDOWS\System32\\msrdusrc.exe puis clic surle bouton Kill Process en bas à gauche.

netsend !

Désactive le service d’affichage des messages :
Démarrer –> Exécuter –> tape services.msc puis Entrée
Dans la liste, cherche la ligne « Affichage des messages » puis double-clique dessus.
Règle le « type de démarrage » sur « Désactiver »
Pour le statut du service, clique sur le bouton Arrêter
puis clique sur Appliquer.

Retour au sommaire

IEFIX

– Télécharge [url=http://www.malekal.com/download/telecharger.com/IEfix.reg]IEfix.reg[/url] – (si le fichier s’ouvre sur le navigateur, faire un clic droit sur le lien puis enregistrer la cible du lien sous)
– Désactive [b]Tous[/b] les logiciels de protection, anti-spywares etc… et ferme Internet Explorer
– Double-clic sur IeFix.reg
– Réactive tes logiciels de protection
– Ouvre internet explorer et change ta page –> Menu Outils / Options des dossiers puis tape l’adresse du site dans page de démarratge

Réactiver Gestionnaitre de tâches

Pour ton problème d’accès au gestionnaire de tâches, essaye ça :
– Démarrar / executer / regedit
– Déroulez à gauche l’arborescence HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\VersionPolicies\System
– A droite double clic sur la clef DisableTaskMgr et lui assigner la valeur 0
– valide et reboot

– Télécharge [url=http://www.malekal.com/download/Activer_regedit_taskmgr.reg]Activer_regedit_taskmgr.reg[/url]
– Désactive tous les logiciels de protection : AVG Anti-Spyware, Doctor Spyware, SpySweeper etc..
– Double-clic sur Activer_regedit_taskmgr.reg et accepte l’inscription des données
– Redémarre l’ordinateur

Retour au sommaire

Désactiver/Activer restauration

Désactive puis réactive la restauration du système :
– [url=http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924]Mode d’emploi Windows XP[/url]
– [url=http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830091903924]Mode d’emploi Windows ME[/url]

Retour au sommaire

Eradication Standard

Adware.Navipromo

Adware.Navipromo/Magic.Control :

Tu as installé un programme qui se rémunère en ouvrant des publicité sur ton PC.

Cette infection se propage :
* Par des cracks : http://forum.malekal.com/live-player-navipromo-t12214.html#p156107
* des codecs pour visualiser des vidéos pornographiques : http://forum.malekal.com/webmediaplayer-vecteur-malwares-t827.html#p155653
* des programmes dits gratuits. En installant ce logiciel, tu as explicitement accepté de recevoir des publicités sur ton PC, en acceptant le [url=http://fr.wikipedia.org/wiki/Licence_de_logiciel]Le CLUF/Eula[/url] lors de l’installation du logiciel. Ces logiciels sont mis en avant via des bannières de publicités : http://forum.malekal.com/les-bannieres-popups-de-publicites-dangereuses-sur-la-toile-t3412.html – Il faut éviter d’installer les logiciels proposés via des bannières de publicités.
[b]Attention aux programmes/fichiers que vous exécutez sur votre ordinateur![/b]

Pour supprimer les popups de publicité :

Suis la procédure avec navilog1 décrite ici : http://www.malekal.com/Adware.Magic_Control.html
Poste le rapport ici

Vers network

[color=red][b]A LIRE[/b][/color], ton ordinateur est infecté car il n’est pas à jour et non protégé par un firewall. Dans le cas où tu te connectes avec un modem, il est [b]IMPORTANT[/b] que tu installes [url=http://www.malekal.com/tutorial_zonealarm.html]ZoneAlarm[/url] avant de commencer les manipulations. En effet, si tu ne le fais pas, après avoir nettoyé ton ordinateur, dès que tu vas te reconnecter à internet, tu vas te réinfecter, il faudra alors recommencer à zéro. Donc :

[b]—>[/b] Installe [url=http://www.malekal.com/tutorial_zonealarm.html]ZoneAlarm[/url]

Une fois ZoneAlarm installé, tu peux commencer ces manipulations, à effectuer [u]entièrement[/u]
Merci de bien vouloir :
– Lire [b]attentivement[/b] les instructions demandées et prendre son temps pour les effectuer convenablement, sinon la désinfection ne sera pas complète.
– Si certains éléments ne sont pas trouvés, merci de le signaler mais de [b]poursuivre[/b] les manipulations jusqu’au bout.
– A l’issu de la procédure, merci de bien copier/coller [b]TOUS[/b] les rapports demandés.
– N’hésitez pas à consulter les liens d’aides, ils sont là pour vous guider !

— Menu Démarrer puis executer, dans le champs tape : SC delete ****
— Menu Démarrer puis executer, dans le champs tape : SC delete ****
— Menu Démarrer puis executer, dans le champs tape : SC delete ****

Retour au sommaire

BFU & O4 – collante

Affiche les extensions des fichiers, ce sera plus simple :
— Ouvre le poste de travail
— Clic sur le menu outils en haut à droite puis options des dossiers
— Dans la nouvelle fenêtre, clic sur l’onglet Affichage en haut
— Décoche l’option « Masquez les extensions des fichiers dont le type est connu »

Créé un nouveau dossier directement sur le C: et nomme-le BFU. Pour cela :
— Ouvre le poste de travail
— Double-clic sur le disque C
— Menu Fichier en haut puis Nouveau et nouveau dossier
— Tapez BFU dans le nom du nouveau dossier

Ouvre le bloc-note et copie/colle le contenu du cadre ci-dessous :

[quote]RegDelValue HKLMSoftwareMicrosoftWindowsCurrentVersionRun|NI.UWA6PV_0001_N86M0507[/quote]

– Une fois le contenu collé dans le bloc-note
– Enregistre le fichier (Menu fichier puis enregistrer-sous) sous le nom fix.bfu [b]dans le dossier C:BFU[/b]

Télécharge [url=http://www.merijn.org/files/bfu.zip][b][color=blue]Brute Force Uninstaller (de Merijn)[/color][/b][/url] et tu mets le fichier dans le dossier C:BFU.

Rends toi dans le dossier C:BFU :
— Ouvre le poste de travail
— Double-clic sur le disque C
— Double-clic sur le dossier BFU
— Sur le fichier BFU.zip, fais un clic droit / Extraire ici ou Extraire tout.

[b]Important[/b] : Tu dois maintenant avoir deux fichiers dans le dossier C:BFU : [b]fix.bfu[/b] et [b]BFU.exe[/b].

Démarre le « Brute Force Uninstaller » en double-cliquant [b]BFU.exe[/b] (du dossier C:BFU)
– Clique sur le petit dossier jaune, à la droite de la boîte [b]Scriptline to execute[/b], et double-clique sur :

[b]fix.bfu[/b]

– Dans la boîte « Scriptline to execute », tu devrais maintenant voir ceci : [b]C:BFUfix.bfu[/b]
Clique sur [b]Execute[/b] et laisse-le faire son travail.
Attendre que [b]Complete script execution[/b] apparaîsse et clique sur [b]OK[/b].
Clique [b]Exit[/b] pour fermer le programme BFU.

020 – AppInit_DLLs

Ouvre le bloc-note et copie/colle le contenu du cadre ci-dessous :

[quote]REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
« AppInit_DLLs »=- [/quote]

– Une fois le contenu collé dans le bloc-note
– Enregistre le fichier (Menu fichier puis enregistrer-sous) sous le nom fix.reg
– Désactive tous les logiciels de protection (AVG Anti-Spyware, spybot, Spyware Doctor etc..) qui peuvent être installé sur ton ordinateur
– Double-clic sur fix.reg et accepte l’inscription des données.

Retour au sommaire

020 – Winlogon

Ouvre le bloc-note et copie/colle le contenu du cadre ci-dessous :
[quote]REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winwea32][/quote]

– Une fois le contenu collé dans le bloc-note
– Enregistre le fichier (Menu fichier puis enregistrer-sous) sous le nom fix.reg

Ensuite télécharges et installes :
[url=http://www.bleepingcomputer.com/files/spyware/KillBox.zip]KillBox[/url] de Option^Explicit
[url=http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm]Aide Killbox[/url]

_____

– Redémarre en mode sans échec, pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

– Double-clic sur fix.reg et accepte l’inscription des données.

Ouvres killbox
– Sélectionne « delete on reboot »
– Clique sur le petit dossier jaune à droite et sélectionne ce fichier : C:WINDOWSSYSTEM32winwea32.dll
– Clique sur la croix rouge et et blanche
– Répond yes et laisse redémarrer ton pc.
N’hésite pas à consulter l'[url=http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm]Aide killbox[/url]

[b]NOTE:[/b] Si tu reçois le message « PendingFileRenameOperations Registry Data has been removed by external process! » et que l’ordinateur ne redémarre pas, redémarre le manuellement —> Menu Démarrer / arreter / redémarrer l’ordinateur

Après redémarrage, relance Killbox puis clic sur le menu fichier -> Log -> Actions History Log
Poste le rapport ici

Retour au sommaire

Nettoyage Disques amovibles

Téléchargez Flash_Disinfector de sUBs : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Si ton antivirus fait une alerte, désactive la protection pour pouvoir exécuter ce fichier.

Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
Les disques amovibles que tu as insérés dans l’ordinateur quand celui-ci était infecté ont été infectés à leur tour.

Le simple faite d’ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s’en protéger etc…. à partir de ces liens :

* [url=http://forum.malekal.com/infection-sur-disques-amovibles-t3350.html]Les infections par disques amovibles[/url]

* [url=http://forum.malekal.com/explications-infections-disques-amovibles-clefs-usb-etc-t5544.html]Les infections par disques amovibles 2[/url]

* [url=http://forum.malekal.com/securite-maitriser-ses-medias-amovibles-t16895.html]Sécurité : Maitriser ses médias amovibles[/url]
Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela suis le tutorial USBFix.
Suis bien le tutorial dans l’ordre : Désactive bien Autorun/Autoplay, insère tes clefs USB et disque dur externe que tu as pour les nettoyer.
L’adresse du tutorial : http://www.malekal.com/tutorial_USBFix.php

~~
[b]SURTOUT ne pas double-cliquer sur le disque dans le poste de travail[/b]

  • Ouvre le poste de travail
  • Clic sur le menu outils en haut à droite puis options des dossiers
  • Dans la nouvelle fenêtre, clic sur l’onglet Affichage en haut
  • Coche dans la liste « Afficher les fichiers cachés »
  • Décoche « masquer les fichier proteger du systeme d exploitation (recommandée) »
  • Tu vas recevoir un message qui te dit que cela peut endommager le système, n’en tiens pas compte.
  • Ouvrez le poste de travail
  • Pour chaque disque dans le poste de travail : Fais un clic droit sur le disque dur – [b]surtout ne double-clic pas dessus!!![/b]
  • Choisis ouvrir dans le menu déroulant.
  • Cherche un fichier autorun.inf et des fichiers suspects
  • Si présents, supprimez le en faisant un clic droit puis supprimer.
  • Répétez l’opération sur tous les disques se trouvant dans le poste de travail.

Bagle

Salut,

Bagle est une infection qui se propage par des cracks sur peer to peer (Emule etc).
Voila ce qui arrive quand on télécharge n’importe quoi….
Il supprime les antivirus, firewall, empèche le redémarrage en mode sans échec… et ralentit considérablement l’ordinateur.

S’il y a bien une infection que l’on attrape stupidement, c’est celle-ci.

Plus d’infos sur l’infection Bagle : http://forum.malekal.com/bagle-beagle-trojan-tooso-r-t4442.html

Ce forum ne désintecte plus les infections Bagle car il y en a marre des crackeurs…. C’est le contraire de la première élémentaire de sécurité que de télécharger des cracks alors que vous ne savez pas ce qu’il y a au bout.

Tu peux tenter d’utiliser FindyKill : http://www.malekal.com/tutorial_FindyKill.php

Lop.com

Salut,

Infection lop.com qui s’installe avec des programmes gratuits, cet adware a pour but d’ouvrir des popups de pubs afin de rémunérer les auteurs du programmes via ces popups de pubs.

Les programmes les plus répandus sont :
– soit installé le sponsors MSN 3 plus! : http://www.malekal.com/msnplus_adaware.php
– Un programme de P2P piégé style BitDownloader : http://forum.malekal.com/attention-aux-logiciels-bittorrent-et-popups-cid-t2841.html

Désinstalles un des programmes mentionnés ci-dessus, si tu as… Fais un peu plus attention à l’avenir à ce que tu installes.
Surtout éviter les programmes qui se disent gratuits, via des bannières de publicités : http://forum.malekal.com/les-bannieres-popups-de-publicites-dangereuses-sur-la-toile-t3412.html

Sois le tutorial Lop S&D et poste les rapports options 1 et 2 : http://www.malekal.com/tutorial_Lop_SD.php

Désactive ton antivirus, fais un clic droit sur l’icone en bas à droite à côté de l’horloge, tu dois avoir une option désactiver ou quitter.
Télécharge et execute : http://clairvoyant.p2pforum.it/tools/lopremover.zip
Laisse toi guider ensuite en tappant la suite de chiffres demandée.

Vas dans ajout/suppression de programmes du panneau de configuration et lance la désinstallation de MSN plus 3! OU Windows Live! il devrait te proposer de désinstaller le sponsors, accepte et suis les instructions.

Pour plus d’informations sur la désinstallation du sponsors, rapporte toi à cette page : [url=http://www.malekal.com/msnplus_adaware.html]MSN Plus! 3 et les adaware[/url]

___________

Sur HiJackThis, coche cette ligne :

O4 – HKLM..Run: [warn default inter for] C:Documents and SettingsAll UsersApplication DataTime Dead Warn DefaultLicense trust.exe
O4 – HKCU..Run: [frag list] C:DOCUME~1PROPRI~1APPLIC~1RDRDEN~1EXITDOG.exe

–> clic sur fix checked

[*]Télécharge [url=http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe][b][color=blue]OTMoveIt[/color][/b][/url] de [color=red][b]OldTimer[/b][/color].
[*]Sauvegarde le sur ton Bureau.
[*]Double-Clique sur [b]OTMoveIt.exe[/b] pour le lancer.
[*]Copie le chemin des fichiers suivants en selectionnant [b]TOUT[/b] et en appuyant sur [b]CTRL+C[/b] (ou, après avoir sélectionner, clique-droit et choisis [b]Copier[/b]) :[/list]
[quote]C:\Program Files\rdrdentbat
c:Documents and SettingsproprietaiteApplication Datardrdentbat
c:Documents and SettingsAll UsersApplication DataTime Dead Warn Default[/quote]
[*]Retourne dans [b]OTMoveit[/b], fais un clique-droit dans la fenêtre « [b]Paste List of Files/Folders to be moved[/b] » et choisis [b]Coller[/b].
[*]Clique sur le [b]bouton rouge Moveit![/b].
[*]Ferme [b]OTMoveIt.[/b]
[i][b]Note[/b] : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c’est le cas, choisis [b]Yes[/b][/i].

Poste nous le rapport de [b]OTMoveIT[/b] dispo ici : C:_OTMoveIt[b]MovedFiles[/b]

Redémarre l’ordinateur

Retour au sommaire

MSconfig / lenteurs

Un seul antivirus et un seul logiciel de protection (spybot, AVG Anti-Spyware, a-squared, adaware etc..). La multipilication ne te protègera pas plus mais ralentir ton ordinateur.

[b]Pour les lenteurs au démarrage :[/b]
Désactive les programmes inutiles au démarrage pour gagner en performance et un démarrage plus rapide :
– Menu Démarrer puis executer
– Tape msconfig dans le champs et clic sur OK
– Dans la nouvelle fenetre clic sur l’onglet démarrage en haut à droite
– Décoche tous les programmes qui te semblent inutiles (selon l’utilisation que tu fais de l’ordinateur)
– Clic sur OK

Plus d’informations sur msconfig : http://www.malekal.com/msconfig.html

Regarde aussi du côté de :
Hyper Start : http://forum.malekal.com/hyper-start-t965.html
Startup Delayer : http://forum.malekal.com/startup-delayer-t973.html

[b]Pour les lenteurs globales du système :[/b]
Si les lenteurs persistent, regarde cette adresse : http://www.malekal.com/maintenance_ordinateur.html
– Je te conseil de mettre à jour un maximum de pilotes.
– Nettoye ton ordinateur avec CCleaner : http://www.malekal.com/tutorial_CCleaner.html
– Nettoye ta base de registre avec regcleaner : http://www.malekal.com/regcleaner.html
– Désinstaller tout pack codec
– Si tu es sous Windows XP SP2, faire ceci : Menu Démarrer / executer / regsvr32 -u shmedia.dll et tu clics sur OK
– Faire un test de ton disque : Menu Démarrer / executer / cmd et tu clics sur OK. Dans la nouvelle fenêtre, tape chkdsk /F /R c:
Il va te dire qu’il ne peut pas scanner une partition montée et va te proposer de scanner au redémarrage, accepte et redémarre l’ordinateur.
– Vérifie que l’ultra-dma est activé : http://forum.malekal.com/activer-l-ultra-dma-t798.html

– Vérifier la température de ton ordinateur : http://www.malekal.com/tutorial_temperature.html
– Faire un test de tes barettes avec MEMTest et éventuellement checker le disque dur : http://www.malekal.com/diagnostiquer_ordinateur.php

Retour au sommaire

Problème non viral

Ton problème n’est pas d’origine viral.
Tu devrais créer un sujet dans la partie matériel du forum et aussi de suivre les recommandations de cette page : [url=http://www.malekal.com/maintenance_ordinateur.html]Maintenance et résolution de problèmes[/url]

Capture d’écran

Sur ton clavier, Touche Impr Ecr (en haut à droite) pour faire la capture écran.
Ouvre Pain : Menu Démarrer / programmes / Accessoires / Paint
Dans Paint, Menu Edition / coller pour coller l’image.
Tu enregistres le fichier : Menu Fichier / enregistrer-sous sur ton bureau par exemple.

Tu vas sur un de ces sites :
http://rapidshare.de/ un maximum de 30 Mo / fichier.
http://www.image-upload.com/
http://www.image-dream.com/
http://www.yourfile.net/
http://www.hiboox.com/

Tu envoyes l’image que tu as enregistré et tu notes l’adresse WEB de l’image.
Dans un nouveau message, tu copies/colles l’adresse WEB

Retour au sommaire

Prb connexion

Fais ceci :

Menu Démarrer / executer et tape : cmd puis clic sur OK.
Dans la nouvelle fenêtre noire, tape (sans faute!) :
ipconfig /all > c:testcnx.txt puis appuye sur la touche entrée du clavier
ping www.google.fr >> c:testcnx.txt puis appuye sur la touche entrée du clavier
ping 209.85.135.103 >> c:testcnx.txt puis appuye sur la touche entrée du clavier
Ferme toutes les fenêtres.

Ouvre le poste de travail –> Disque C –> double-clic sur testcnx.txt
Copie/colle le contenu entier ici dans un nouveau message.

SafeBoot

–> http://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe

Final Aide

Je te conseil [b]très vivement[/b] d’installer le [url=http://www.01net.com/telecharger/windows/Utilitaire/dll_librairies/fiches/29989.html]service pack 2 pour Windows XP[/url] et mettre ton ordinateur à jour à partir de Windows Update (Outils / Windows Updates dans Internet Explorer) – ceci afin de corriger des bugs et être mieux protégé. C’est important !

C’est OK, tu n’es plus infecté en suivant les dernières manipulations ci-dessous et lire [b]ATTENTIVEMENT[/b] ce qui suit 🙂

Finir le nettoyage :
– Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d’espace entre le / et le uninstall)

– Sécurise la navigation avec Firefox Sécurité (NoScript + AdBlock) : http://www.malekal.com/securiser_Firefox.php
– Désactive puis réactive la restauration du système :
– [url=http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924]Mode d’emploi Windows XP[/url] – [url=http://forum.malekal.com/desactiver-et-reactiver-la-restauration-systeme-sous-vista-t5385.html]Mode d’emploi pour désactiver/réactiver la restauration système pour Windows Vista[/url]
– Tu peux ensuite désinstaller tous les programmes que l’on a utilisé.

Quelques points essentiels sur la sécurité de ton PC :

– La sécurité, c’est toi qui l’a fait et non les programmes que tu installes, si tu ne connais pas un minimum sur la manière dont les infections se propagent, tu seras réinfecté car ce sera facile de te piéger.
– On ouvre pas n’importe quel fichier [b]quelque soit le prétexte[/b]. Derrière n’importe quel fichier un malware peut se cacher, on réfléchit quand on te propose un fichier sur un site, on bannit les cracks et P2P.
– On maintient son système à jour et TOUS ses logiciels à jour pour combler les vulnérabilités : [url=http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-a-jour-t15960.html]Scan de vulnérabilités[/url].

Pour aller plus loin : [url=http://forum.malekal.com/securiser-son-ordinateur-version-courte-t381.html]Sécuriser son ordinateur (version courte)[/url]

___________________________________

je t’invite à lire ce PDF (cliquer sur la bannière si dessous), ce PDF explique comment les infections se propagent, les bonnes habitudes à avoir pour ne plus se faire infecter et comment sécuriser ton ordinateur, lis tout attentivement, [b]n’hésite surtout pas à l’envoyer à tous tes amis par mail pour les sensibiliser[/b] :

[url=http://www.malekal.com/ProjetAntiMalwares.php][img]http://www.malekal.com/fichiers/projetantimalwares/reagir_miniban.gif[/img][/url]

Tout pour sécuriser ton PC est résumé dans la page [url=http://forum.malekal.com/securiser-son-ordinateur-version-courte-t381.html]Sécuriser son ordinateur (version courte)[/url]

Retour au sommaire

shmedia.dll

Menu Démarrer / executer et tape : regsvr32.exe /u shmedia.dll
Clic sur OK, vérifie qu’un message dit que l’opération a réussi.
Clic sur OK et redémarre l’ordinateur

Upload.malekal.com

Vas sur http://upload.malekal.com
clic sur parcourir et sélectionne le fichier : xxxxxxxxxxxx (clic sur poste de travail à gauche puis Disque C –> Dossier Windows –> Dossier System32 –> xxxxxxx )
Ne touche pas au champs « Choisir le dossier de destination »
Clic sur envoyer fichier

Version CCM :

Salut,

Télécharge et installe Malwarebyte : [http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php]
Mets le à jour, fais un scan, supprime tout et poste le rapport ici.

puis :

Tu peux suivre les indications de cette page pour t’aider : [http://www.malekal.com/2010/11/12/tutorial-otl/]

* Télécharge [http://oldtimer.geekstogo.com/OTL.exe] sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu’administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu’il y a dans le cadre ci-dessous :
<ital>netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\System32\\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT</ital>
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site [http://pjjoint.malekal.com] pour me donner les deux rapports : OTL.Txt et Extras.Txt.

~~~

Salut,

Passe un coup de TDSSKiller : http://forum.malekal.com/tdsskiller-kaspersky-t28637.html
Poste le rapport ici.

puis :

Tu peux suivre les indications de cette page pour t’aider : [http://www.malekal.com/2010/11/12/tutorial-otl/]

* Télécharge [http://oldtimer.geekstogo.com/OTL.exe] sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu’administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu’il y a dans le cadre ci-dessous :
<ital>netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\System32\\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT</ital>
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site [http://pjjoint.malekal.com] pour me donner les deux rapports : OTL.Txt et Extras.Txt.

Salut,

Tu peux t’aider de cette vidéo illustrative qui résume les opérations suivantes à effectuer : http://www.youtube.com/watch?v=DAdlXU2Ajuk

Redémarrez l’ordinateur en mode sans échec avec prise en charge du réseau, pour cela : avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.

* Sur Internet Explorer : Relancez Internet Explorer
* Cliquez sur le menu Outils puis Options Internet
* Allez dans l’onglet Connexions
* En bas cliquez sur Paramètres Réseaux
* Décochez en bas l’utilisation du proxy s’il est coché.

Sauvegarde tes documents importants.

Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : [http://download.bleepingcomputer.com/sUBs/ComboFix.exe] et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d’utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici 🙂

Tu as le tutorial sur ce lien pour t’aider : [http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix]

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

~~~

Salut,

Télécharge ça : [http://www.sur-la-toile.com/RogueKiller/]
Tu le renommes en winlogon ou iexplore s’il est bloqué. Lances en option 2.
Poste le rapport ici.

Ensuite :
Télécharge et installe Malwarebyte : [http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php]
Mets le à jour, fais un scan, supprime tout et poste le rapport ici.

puis :

Tu peux suivre les indications de cette page pour t’aider : [http://www.malekal.com/2010/11/12/tutorial-otl/]

* Télécharge [http://oldtimer.geekstogo.com/OTL.exe] sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu’administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu’il y a dans le cadre ci-dessous :
<ital>netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\System32\\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT</ital>
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site [http://pjjoint.malekal.com/] pour me donner les deux rapports : OTL.Txt et Extras.Txt.

~~

Salut,

Tu peux t’aider de cette vidéo illustrative pour suivre la procédure : http://www.youtube.com/watch?v=AftekgpqUHE

Télécharge et execute Rkill : http://download.bleepingcomputer.com/grinler/rkill.com

Cela doit désactiver l’infection mais cela ne l’éradique pas.

Ensuite :
Sauvegarde tes documents importants.

Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : [http://download.bleepingcomputer.com/sUBs/ComboFix.exe] et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d’utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici 🙂

Tu as le tutorial sur ce lien pour t’aider : [http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix]

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
Les disques amovibles que tu as insérés dans l’ordinateur quand celui-ci était infecté ont été infectés à leur tour.

Le simple faite d’ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s’en protéger etc…. à partir de ces liens :

[http://forum.malekal.com/explications-infections-disques-amovibles-clefs-usb-etc-t5544.html]

Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela suis le tutorial USBFix.
Suis bien le tutorial dans l’ordre : Désactive bien Autorun/Autoplay, insère tes clefs USB et disque dur externe que tu as pour les nettoyer.
Poste les rapports sur http://pjjoint.malekal.com/ et donne les adresses.

L’adresse du tutorial : [http://www.malekal.com/tutorial_USBFix.php]

Salut,

Puis :

– Télécharge [http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe] ton bureau.
– Double-clic sur HijackThis
– Génère un rapport en suivant ces indications :
– Exécute le et clique sur Do a scan and save log file.
– Le rapport s’ouvre sur le Bloc-Note
– Colle le rapport ici, pour cela :
– Menu Edition / Selectionner Tout
– Menu Edition / copier
– Ici dans un nouveau message : clic droit / coller

<gras>DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE</gras>

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

<code>driver::
taphss
file::
C:\WINDOWS\System32\\drivers\taphss.sys
C:\WINDOWS\System32\\lpadg32.dll</code>

Enregistre ce fichier sous le nom <gras>CFScript</gras>

[*]Fait un glisser/déposer de ce fichier <gras>CFScript</gras> sur le fichier ComboFix.exe

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c’est normal!
Ne touche à rien tant que le scan n’est pas terminé.
[*]Une fois le scan achevé, un rapport va s’afficher: poste son contenu sur http://pjjoint.malekal.com/ et donne le lien ici dans un nouveau message.

* Télécharge [http://oldtimer.geekstogo.com/OTL.exe] sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu’administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu’il y a dans le cadre ci-dessous :
<ital>netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\\Application Data\\*.
%ALLUSERSPROFILE%\\Application Data\\*.exe /s
%APPDATA%\\*.
%APPDATA%\\*.exe /s
%SYSTEMDRIVE%\\*.exe
%systemroot%\\*. /mp /s
%systemroot%\\System32\\\*.dll /lockedfiles
%systemroot%\\Tasks\\*.job /lockedfiles
%systemroot%\\System32\\\drivers\\*.sys /lockedfiles
%systemroot%\\System32\\config\\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT</ital>
* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site [http://pjjoint.malekal.com/] pour me donner les deux rapports : OTL.Txt et Extras.Txt.

* Télécharge OTLPEnet : http://oldtimer.geekstogo.com/OTLPENet.exe sur ton Bureau (Taille 120,9 Mo)
* Quand le téléchargement sera fini, Double Clic sur <gras>OTLPENet.exe</gras> et assures-toi d’avoir insérer un CDR vierge dans ton graveur CD/DVD. Une fenêtre va s’ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton <gras>Oui</gras>.
* Patiente le temps de la décompression et de la gravure du CD.
* Redémarre ton PC en utilisant le CD Boot venant d’etre créé.
* Ton système doit montrer un bureau REATOGO-X-PE
* En fonction de votre type de connexion Internet, tu dois être en mesure d’accèder au Net, si bien que tu peux accéder à ce sujet plus facilement.
* Double-clic sur l’îcone OTLPE
* Dans la Première messagebox RunScanner clique sur Yes.
* Dans la seconde, Assures toi que la case « Automatically Load All Remaining Users » soit coché et clique sur ok.
* OTL doit se lancer maintenant

o sous Custom Scan box copie_colle le contenu du cadre ci dessous:

<ital>netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
disk.sys
ndis.sys
mountmgr.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
i8042prt.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\System32\\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT</ital>

* Presse Run Scan pour démarrer le scan.
* Quand c’est terminé, le fichier est sauvegardé sur ton disque dur C:\OTL.txt
* Copies sur fichier sur une clé usb si tu n’as pas accès à Internet.
* Poste la contenu du rapport OTL.txt dans ton prochaine réponse.

Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l’operation que tu conserveras sur clé usb par exemple afin d’en coller le resultat:

<ital>:OTL
O4 – HKCU..\Run: [{79AE6E60-58E1-6AA7-6DAD-B74E8E4BE179}] C:\Users\Cathy\AppData\Roaming\Erzok\taum.exe ()
:files
C:\Users\Cathy\AppData\Roaming\Erzok\
:reg
[HKLM\Software\Microsoft\Windows\CurrentVersion]
« azthasmw »=-</ital>

* redemarre le pc sous windows et poste le rapport ici

* Telecharge:: [http://swandog46.geekstogo.com/avenger2/download.php]
-> [http://swandog46.geekstogo.com/avenger2/avenger.zip]

* dezippe le , Lance l’épée , executer en tant qu’administrateur sous vista

Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:

<ital>begin copying here:
Drivers to delete:
tpxqfgp
Files to delete:
c:\windows\System32\\drivers\tpxqfgp.sys
c:\windows\System32\\config\systemprofile\Application Data\vqdlkr.dat</ital>

* Après le re-démarrage, il crée un fichier log qui s’ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

Relance Combofix et poste le rapport ici.

* Sur Internet Explorer : Relancez Internet Explorer
* Cliquez sur le menu Outils puis Options Internet
* Allez dans l’onglet Connexions
* En bas cliquez sur Paramètres Réseaux
* Décochez en bas l’utilisation du proxy s’il est coché.

Les barres d’outils sont là pour t’affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d’en utiliser.
Lire :
[http://forum.malekal.com/les-toolbars-est-pas-obligatoire-t6173.html Les toolbars c’est pas obligatoire!]

Pour désinstaller Combofix :
– Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d’espace entre le / et le uninstall)

Adobe Reader est pas à jour et contient des vulnérabilités qui peuvent mettre l’infection de ton PC.
Lire explications : [http://forum.malekal.com/exploitation-swf-pdf-et-java-systeme-non-a-jour-danger-t13629.html]

Fais plus attention à l’avenir….

Maintiens tes logiciel à jour c’est important, utilise ce programme : [/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite]
Absolument à faire.

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

<gras>Un peu de lecture pour éviter les infections :</gras>
– connaitre et éviter les infections : [http://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf]
– sécuriser son PC : [http://forum.malekal.com/comment-securiser-son-ordinateur.html]
– lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

<gras>Ce qu’il ne faut pas faire :</gras>
Je télécharge n’importe quoi – je m’infecte :
http://www.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
http://www.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n’importe où – je m’infecte : http://www.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : http://www.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

<gras>Fonctionnement de quelques catégories de malwares :</gras>
http://www.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
http://www.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N’hésite pas.

Pour les antivirus gratuits, le mieux c’est Avast! V5 ou Antivir :
http://www.malekal.com/tutorial_AvastV5.php
http://www.malekal.com/tutorial_antivir.php

CCleaner :
http://www.commentcamarche.net/forum/affich-18040556-impossibilite-d-acceder-un-a-site#4

MSN :
http://www.commentcamarche.net/forum/affich-17672790-bug-msn#2

Test Antivirus :
http://www.commentcamarche.net/forum/affich-18045885-quelle-est-le-meilleur-anti-virus-gratuit-en#37

Spybot :
http://www.commentcamarche.net/forum/affich-18208417-pb-spybot-administrateur-different#1

Antivirus :
http://www.commentcamarche.net/forum/affich-18210511-antivirus-spyware-etc#1

Anti-popup bof : http://www.commentcamarche.net/forum/affich-19863070-avira-antivir-10-quel-composant-installer#15

RegistryBooster : http://www.commentcamarche.net/forum/affich-20507405-registry-booster

~~

Salut,

Sujet traité 1 million de fois.

Spybot sert à rien : [/forum/affich-18208417-pb-spybot-administrateur-different#1 http://www.commentcamarche.net/…]

Pour le reste, les antivirus ne font pas tout que tu es Avast! ou Antivir ou un autre, si tu fais n’importe quoi et tu suis pas les autres recommandations de sécurité élémentaires (comme maintenir à jour Windows et tes logiciels), tu seras infecté.

La meilleur protection c’est de connaître les menaces et ainsi pouvoir les éviter :
– connaitre et éviter les infections : [http://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf]
– sécuriser son PC : [http://forum.malekal.com/comment-securiser-son-ordinateur.html]

Voir partie Astuces du site aussi, y a plein de docs : [http://www.commentcamarche.net/faq/]

Tes fichiers systèmes explorer.exe et winlogon.exe

Télécharge ça : http://sd-2.archive-host.com/membres/up/151390612248709323/WinlogonExplorer.zip
Tu le mets sur C:\
Ce sont des fichiers sains.

Grave le CD OTLPE : [http://forum.malekal.com/otlpe-live-t23453.html#p195540]
Ensuite tu démarres sur OTLPE.
Le but étant d’arriver sur un système d’exploitation tier qui permet l’accès à tes fichiers Windows et remettre les fichiers sains.

Donc une fois arrivé sur le système OTLPE :
tu copie C:\explorer.exe vers C:\Windows\explorer.exe
C:\Winlogon.exe vers C:\Windows\System32\\winlogon.exe

Tu redémarres sur ton Windows et tu refais un SystemLook comme tout à l’heure.

(Visited 119 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *