Virut.nbk Résolu/Fermé

Question

Bonjour,
SVP de l'aide mes amis  j'ai virus qui circule sur mon  pc "Virut.nbk" mon anti-virus ESET Nod le localise mais il est incapable de le supprimer. j'ai fais le scan avc une version portable de kaspersky il supprime " Virut.ce" mais ne detecte pas "Virut.nbk". Ce virus infecte presque tous mes fichiers system et bloque mon accés internet aprés quelque temp et ma connexion ne revient qu'aprés je redémarre mon pc . aussi il fais redémarrer les 4 autres pc de mon réseaux local.
voici un rapport Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:09:23, on 13/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS	snpstd3.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\avp.exe
D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\avp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9666
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32egwiz.exe,C:\WINDOWS\system32\gcc.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS	snpstd3.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Caffe-Server] C:\Program Files\Caffe\Server.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'Default user')
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: avp - Kaspersky Lab - D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\avp.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

totobetourne · Answer

bonjour

1)Bonjour,

*Télécharge SDFix (créé par AndyManchesta)
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
*Double-clique sur SDFix.exe
*Choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
*Redémarre en mode sans échec
*Ouvre le dossier SDFix qui vient d'être créé à la racine de ton disque dur C:\
*Double clique sur RunThis.bat pour lancer le script. (Le .bat peut ne pas apparaître)
*Appuie sur Y pour commencer le processus de nettoyage.
*Appuie sur une touche pour redémarrer quand SDFix te demander d'appuyer sur une touche pour redémarrer.
*Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
*Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
*Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
*Les icônes du Bureau affichées, le rapport SDFix s'ouvrira. Il porte le nom de Report.txt.
*Copie/colle le contenu


*Si Sdfix ne se lance pas
* Clique sur Démarrer > Exécuter
*Copie/colle ceci: %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
*Clique sur Ok.
*Redémarre et essaie de relance SDFix. 



2)passe cet antimalware, fait comme indique
Telecharges malwaresbytes antimalwares(MBAM) : egalement tres util sur pb de pub mais pas tous malheureusement

Malwarebytes Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tutoriel Malwarebytes Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm 
fais comme indique,mise a jour , scan complet en mode sans echec et les rapports.
COLLE LE RAPPORT APRES SUPPRESSION MERCI.

garde le et lance un scan tout les mois comme indique.

si tu as ad aware tu peux desinstalle car il ne reconnait plus grand chose.




3)refais un rapport hijack et colle le . merci .

totobetourne · Answer

bonjour marie 

ton lien n a pas l air de fonctionner , si tu veux prendre la direction des operations , tu es la bienvenue.
comme je remarque tdss dans le rapport sd fix faut il passer autre chose?

Destrio5 · Answer

Salut,

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix

totobetourne · Answer

on va y arriver.soyons optimiste. toutes les idees sont les bienvenues.

Destrio5 · Answer

Tu as un fichier système de Windows infecté par Virut, je ne te garantis rien.

Je n'ai plus la procédure pour AVPTool mais essaie de désinfecter quand même avec le programme :
ftp://ftp.kaspersky.com/devbuilds/AVPTool/setup_7.0.0.290_13.02.2009_19-20.exe

totobetourne · Answer

destrio et marie je vous regarde car cela semble bien difficile , meme si on enlevait les differentes parties de l infection 
avec cela  c:\windows\explorer.exe . . . est infecté!! cela parait tendu mais bon je suis la pour apprendre egalement.

afideg · Answer

Bonsoir à tous,
Coucou Marie,

Pour ta connection, tente d'abord ceci (c'est simple et rapide)
 http://www.windowsfacile.com/winsock_xp_fix.html 

Et supprime ce crack  D:\Mes Documents\Downloads\convertor\video\Ashampo Movie shrink and burn

Merci
Al.

Destrio5 · Answer

Tu n'as pas eu de rapport avec AVPTool ?

Destrio5 · Answer

---> Fais analyser ce fichier : C:\WINDOWS\Explorer.EXE 

---> Sur VirusTotal et poste le lien de l'analyse :
https://www.virustotal.com/gui/

afideg · Answer

Adam, Peux-tu lancer cette application, stp ? Télécharge DiagHelp.zip < http://www.malekal.com/download/DiagHelp.zip > sur ton bureau < http://img521.imageshack.us/img521/3341/screenshot426fc5.png > - - Ne double-clic pas dessus !! Clic sur l'icône DiagHelp.zip téléchargé sur le bureau > "clic-droit" sur le fichier .zip > "Ouvrir" > un nouveau dossier va être créé sous le nom DiagHelp sur une page qui s'affiche > sur cette page, clic sur "Fichier" > "Extraire tout" > Un assistant d'extraction s'ouvre ==> [Suivant] > [Suivant] (cocher la case devant "afficher les fichiers extraits") > [Terminer] ((( Ou alors, …un nouveau dossier va être créé sous le nom « DiagHelp » sur une page qui s'affiche ; faire clic-droit sur ce dossier « DiagHelp » dans la plage de droite, > comme ceci : https://imageshack.com/ puis « Extraire » ))) À nouveau, une page s'affiche avec le dossier DiagHelp > Ouvre-le et clic sur le fichier "go.cmd" < http://img392.imageshack.us/img392/9054/screenshot416to8.png > ----> et sur cette page, < http://img512.imageshack.us/img512/9692/screenshot427ci2.png > choisis l'option 1 (= tape 1 sur le petit clignotant, puis [Exécuter] Notes: 1)- Lors du scan, une fenêtre "Sysinternals Software Licence Terms" va s'ouvrir > clique sur "Agree" 2)- Si un antivirus détecte Troj/INJECT MF, ou nom approchant, choisis "ignorer" c'est une fausse alerte. 3)- Tu vas certainement recevoir une alerte du pare-feu te demandant si tu acceptes que le processus "sigcheck.exe" puisse se connecter à Internet > "Accepte". 4)- Pendant l'analyse, à la fin du rapport "catchme", il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran! N'oublie pas ! 5- A la fin du scan tu seras dirigé vers la page de l'auteur afin d'expédier le fichier C:\upload_moi_xxxxx.zip ==> Envoie le fichier (c'est chez le concepteur) s’il te plaît. Si tu reçois un message d'erreur ferme simplement la page internet et clique sur la touche [Enter], pour laisser terminer le scan et avoir accès au fichier texte. •- A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... •- Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-notes. Ce dernier se trouve sur C:\resultat.txt - Copie/colle le contenu du bloc-notes qui s'ouvre, pour cela : « Dans le bloc-notes, cliquez sur le menu Edition / Sélectionner tout > à nouveau menu Edition / copier > pour terminer dans un nouveau message ici, faire un clic droit / coller. » - Tutoriel ici : < http://www.malekal.com/DiagHelp/DiagHelp.php > Merci Al.

afideg · Answer

Re,

Quelqu'un sait-il c'est quoi ce truc C:\WINDOWS\System32\drivers\kcxrjmoq.sys -->09/02/2009  ??
Idem ==> C:\WINDOWS\System32\drivers
disio.sys -->09/02/2009  ==> apparemment correct .

ADAM, poste ce fichier comme indiqué ==> Veuillez svp envoyer le fichier C:\upload_moi_SERVEUR.tar.gz à l'adresse http://upload.malekal.com

Ensuite, peux-tu faire analyser ce fichier (en gras) chez VirusTotal 
C:\WINDOWS\System32\drivers\kcxrjmoq.sys ?

Merci
Al.

Destrio5 · Answer

Analyse sur VirusTotal ;)

afideg · Answer

Re,
C'est gênant ce truc (d'autant plus que je fatigue)  

Supprime DiagHelp de ton bureau, et son rapport.

Télécharge OTMoveIt3 (OldTimer) sur ton Bureau : 
http://oldtimer.geekstogo.com/OTMoveIt3.exe 
---> Double-clique sur OTMoveIt3.exe afin de le lancer. 
---> Copie (Ctrl+C) le texte suivant ci-dessous : (en gras)

:files 
C:\Program Files\Circle Developement
C:\WINDOWS\System32\3C.tmp

:Services 
C:\WINDOWS\System32\drivers\kcxrjmoq.sys
C:\Documents and Settings\Cybermedi@\LocalService\Temp\mbr.sys

:reg 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] 
"BootExecute"=""
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kcxrjmoq.sys] 

:commands 
[emptytemp]

---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 
---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3. 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. ==> de toute manière, il faut redémarrer le PC.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log




Ensuite,
Télécharger Look2Me-Destroyer par Atribune  http://www.atribune.org/public-beta/Look2Me-Destroyer.exe 
* Fermer toutes les fenêtres avant de continuer.
* Double-cliquez sur "Look2Me-Destroyer.exe" pour l'exécuter.
* Sélectionner "Run this program as a task."
* Vous obtenez un message, veuillez simplement patienter puis cliquez OK.
* Quand Look2Me-Destroyer s'ouvre à nouveau, cliquez sur "Scan for L2M".
* Vos icônes sur votre bureau vont disparaître, ce qui est normal, pas d'inquiétude.
* Une fois le scan terminé, cliquez sur "Remove L2M".
* Vous recevrez une notification comme quoi le scan est terminé, cliquez OK.
* Votre ordinateur va maintenant s'éteindre.
* Démarrer votre machine, un rapport est disponible: "Look2Me-Destroyer.txt"



Je quitte le PC
à+...
Al.

afideg · Answer

Bonjour ADAM,

Je disposerai de peu de temps ce jour.
Merci pour tes rapports et ta participation.

Ce n'est pas un cas facile; on poursuit donc comme ceci:

A)- Supprimer 
1°- Look2Me, 
2°- OTMoveIt3
3°- Désinstaller ComboFix, comme ceci : 
Supprime le dossier Qoobox. (il est à la racine de ton disque dur c:\) 
Supprime l'application téléchargée sur le bureau (ComboFix.exe)
Fais Démarrer/Exécuter copie-colle la commande suivante (en gras ci-dessous) puis [OK]
"%userprofile%\Bureau\combofix.exe" /u
Ca désinstallera ComboFix, supprimera les points de restauration système (qui sont infectés) et remettra les options de sécurité de Windows par défaut.


B)- Je vois que tu as deux antivirus (AV: ESET Smart Security 3.0, et AV: Kaspersky Anti-Virus). Or, il n'en faut qu'un seul actif sur ton PC. 
Vérifie que ton parefeu FW: ESET Personal firewall soit réactivé après le passage de ComboFix.


C)- Télécharge l'outil Flash_Disinfector de sUBs: 
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe 
Enregistre Flash_Disinfector.exe sur ton bureau. 
Ferme les applications (word, etc) : car explorer.exe va être arrêté puis relancé (on perd les icônes du bureau). 
Double clique sur Flash_Disinfector.exe pour l'exécuter. 
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra : 
Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés. 
Puis clic sur Ok  ==> il y avait infection sur une clé en D:\
Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!] 
Appuie ensuite sur OK, pour faire réapparaître le bureau. 
S'il y a plusieurs clés USB ou disques durs externes à désinfecter, renouvelle l'opération en branchant les clés non traitées une par une.
Il n'y a pas de rapport à poster.


D)- Vas dans "Panneau de configuration" et ouvrir "Système" : 
-> Dans cette fenêtre clique sur l'onglet "Matériel”. 
Puis tu cliques sur [Gestionnaire des périphériques]. 
-> dans la "Barre des menus" en haut, vas sur "Affichage" et clique sur "Afficher les périphériques cachés" (très important) 
• Ensuite cherche dans les tous les périphériques présents celui dont le nom commence par TDSS.... 
-> Si tu en trouves, clic-droit dessus : choisis " Désactiver " et valide la modification . 
Puis ferme le gestionnaire .... 
• S'il t'ai demandé de redémarrer le PC, fais le ... 


E)- Relance SDFix comme au post # 2.


F)- Relance alors MBAM comme ceci:

Branche les disques amovibles (clés USB) sans les ouvrir. 

Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". 
Sélectionne "Exécuter un examen rapide" 
Clique sur "Rechercher" 
L'analyse démarre, le scan est relativement long, c'est normal. 
A la fin de l'analyse, un message s'affiche:
==> Citation :  L'examen s'est terminé normalement. 
Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
==> Clique sur "Ok" pour poursuivre. 
(Si MBAM n'a rien trouvé, il te le dira aussi). 
Ferme tes navigateurs. 
Si des malwares ont été détectés, clique sur "Afficher les résultats".
Sélectionne tout (ou laisse coché) et clique sur "Supprimer la sélection",
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. 
Copie-colle ce rapport et poste-le dans ta prochaine réponse.

NB : si MBAM te demande à redémarrer, fais-le après avoir posté ton rapport.


Merci
Al.

afideg · Answer

Bonsoir

Imprime cette procédure; ou mieux, sauve-la sur le bureau.
Assure-toi que tu aies toujours MBAM sur le bureau !! ==> sinon, il faut le retélécharger comme précédemment.


A)- Désinstaller Spybot S&D
Spybot  et son Tea-Timer  sont totalement dépassés, et ne servent pour le moment qu'à empêcher les outils de désinfections de fonctionner. 
Il faut faire un clic-droit sur le lien ci dessous, puis choisir « Enregistrer la cible du lien sous ». 
http://www.safer-networking.org/files/remove-spybotsd-settings.reg 
Placer le fichier "remove-spybotsd-settings.reg"  sur le Bureau.

Laisse ainsi; ne fais rien d'autre avec pour l'instant.


B)- Désactive la restauration système, comme ceci:
Clic sur « Démarrer »
Clic-droit sur « Poste de travail », puis clic sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration » 
Termine par [Appliquer], répondre “OUI” à la question, attendre, terminer par [OK]


C)- IMPORTANT
Arrêter puis redémarrer le PC
Déconnecte-le du Net (Débranche ton Modem)


D)- Cela devrait déjà résoudre ceci: Malwarebytes' Anti-Malware 

CITATION: «NB : si MBAM te demande à redémarrer, fais-le après avoir posté ton rapport.» 

Or, je lis:
 
Clé(s) du Registre infectée(s): 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kcxrjmoq (Rootkit.Pakes) -> Quarantined and deleted successfully. 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kcxrjmoq (Rootkit.Pakes) -> Delete on reboot. 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kcxrjmoq (Rootkit.Pakes) -> Quarantined and deleted successfully. 
Fichier(s) infecté(s): 
C:\WINDOWS\system32\drivers\kcxrjmoq.sys (Rootkit.Pakes) -> Delete on reboot.

J'espère que l'étape ci-avant en C)- va supprimer cette sous-clé kcxrjmoq et ce driver kcxrjmoq.sys 
(NOTE: MBAM aurait dû te demander de redémarrer le PC, puisqu'il y avait détection dans une clé registre.)


E) Faire un clic-droit sur le fichier "remove-spybotsd-settings.reg" ; puis choisir « Fusionner » et accepter la fusion dans le Registre. 
Arrêter puis redémarrer le PC.

Si tu trouves encore ces trois fichiers, supprime-les manuellement:
 
C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe 
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe 
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe 


F)- Ne reconnecte pas ton PC au Net, et ne réactive pas la restauration système.


G)- Relance MBAM comme ceci: 

Branche les disques amovibles (clés USB) sans les ouvrir. 
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". 
Sélectionne "Exécuter un examen rapide" 
Clique sur "Rechercher" 
L'analyse démarre, le scan est relativement long, c'est normal. 
A la fin de l'analyse, un message s'affiche: 
==> Citation : L'examen s'est terminé normalement. 
Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
==> Clique sur "Ok" pour poursuivre. 
(Si MBAM n'a rien trouvé, il te le dira aussi). 
Ferme tes navigateurs. 
Si des malwares ont été détectés, clique sur "Afficher les résultats". 
Sélectionne tout (ou laisse coché) et clique sur "Supprimer la sélection", 
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse ==> enregistre-le sur le bureau, dénomme-le MBAM. 

NB : si MBAM te demande à redémarrer, fais-le après avoir posté ton rapport. 
Si tu lis encore cette mention "-> Delete on reboot.", alors redémarre le PC. 


H)- Reconnecte le PC au Net 
Et Copie-colle le dernier rapport MBAM qui est sur le bureau et poste-le dans ta prochaine réponse. 


I)- Télécharger ce programme à cette adresse : http://www2.gmer.net/mbr/mbr.exe  
Placer le fichier sur votre bureau 
- Désactiver tous les programmes de protection (antivirus, antispyware etc.) 
- Double-cliquer sur "mbr.exe".
- Une fenêtre de l'invite de commande va s'ouvrir et se refermer, 
- Un rapport à poster sera généré : mbr.log. 



Merci
Al

afideg · Answer

Re,

Et mbr.log  ?

1°- Peux-tu me préciser quelles sont tes protections PC ?

C'est quoi ça O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice ?
Ton NOD32 est-il bien en service ?
Est-ce un antivirus; ou fait-il parefeu en même temps ?

C'est quoi ça O23 - Service: avp - Kaspersky Lab - D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\avp.exe 
As-tu bien un portable ?
KAV est un antivirus seul ==> pourquoi alors NOD32/ESET en doublure ?

Quel est ton parefeu ?
Comme antispyware, tu as maintenant MBAM (après avoir jeté Spybot S&D).



2°- Donne-moi des précisions sur CAFFE, s'il te plaît.
O4 - HKCU\..\Run: [Caffe-Server] C:\Program Files\Caffe\Server.exe
C:\Program Files\Caffe\Server.exe



3°- Je n'aime de lire ces lignes quand je tente de dépanner un PC. Ça fait pagaille & sabotage.
Ça fait surtout perdre des indices précieux. Merci.

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe 
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab 
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab 


Merci
Al.

afideg · Answer

Re,

Mon message ne passe plus

Je l'essaie en pièces détachées:

2°- Relance HJT, coche la case devant ces lignes, et fixe-les

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe 
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab 
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab 

3°- Je ne connais pas NOD32/ESET; mais il faudrait relire ton manuel, et vérifier s'il est correctement configuré.
Mais je pencherais plutôt sur le fait que VIRUT l'ait altéré, et qu'il faille le réinstaller.

4°- Merci pour le rapport encourageant.

afideg · Answer

(suite)

1°- Oui, mais pour l'installer, ton cyber "caffe", tu as dû charger un crack "server.exe"; comme expliqué sur Google à partir des mots "caffe/server.exe" 

C'est le lien qui ne passe pas

ADAM · Answer

Re
Aprés la désintallion  le ESET/nod j'ai redemarré et  réinstallé et le parefeu fonctionne mais la connexion internet a coupé encore une fois alors j'ai utilisé  "WinsockxpFix" pour la réparer comme vous m'avez dis l'autre fois. mais cette fois ci aprés le reboot, l'internet fonctionne mais le firewall e est périmé. 
Le probleme de désactivation pourrait il etre due à ce "WinsockxpFix"

afideg · Answer

Re, "Le parefeu est périmé"; cela voudrait signifier que ta licence est périmée. As-tu lu ma remarque à propos de ton "caffe/server.exe" ? Avais-tu télécharger ce crack comme il est dit sur le lien obtenu par Google par une recherche sur base des mots "Internet Caffe Client/Server pour bien gérer ton cyber café" ? Télécharger OAD (Outil d'Aide au Diagnostic)< http://sosvirus.changelog.fr/OAD.exe > enregistre-le sur ton bureau •- Lancer « OAD.exe » en faisant un double-clic sur le fichier < http://sosvirus.changelog.fr/OAD/1.bmp > , puis « Exécuter » ==> une page bleue s’affiche. •- Saisir la valeur recherchée ( = nom de fichier à rechercher ) : faire un copier/coller de kcxrjmoq puis [Enter] ==> une nouvelle page bleue s’affiche. - Type de recherche : taper 6 (sélectionner l'option 6) puis valide [entrée]< http://sosvirus.changelog.fr/OAD/4.bmp > •- OAD va maintenant rechercher le fichier. Laisse-le travailler jusqu'à ce qu'il en ait terminé. Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes. Patienter. •- Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé. •- Faire un copier/coller de ce rapport dans ton prochain post. •-Note: Certains Antivirus (comme Panda) peuvent émettre une alerte lors de "téléchargement / utilisation".

afideg · Answer

(suite)

Quand tu auras posté le rapport OAD.


A)- Télécharge combofix.exe   http://download.bleepingcomputer.com/sUBs/ComboFix.exe  de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).
Un guide et un tutoriel sur l'utilisation de ComboFix https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Assure-toi que tous les programmes sont fermés avant de commencer.
==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).

• Double-clique combofix.exe afin de l'exécuter.
Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. 
Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. 
Ou bien --> Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. 
Laisse se dérouler le scan.
/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme. Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 50 étapes d’analyse)./i\
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
Copie-colle ce rapport dans ta prochaine réponse.
Le rapport se trouve dans : C:\Combofix.txt (si jamais).



B)- Télécharge System Repair Engineer - SREng (par Smallfrogs) sur ton Bureau :
http://www.kztechs.com/eng/download.html    

Et clic comme indiqué ici https://www.hiboox.com 
Extrais tout son contenu sur ton Bureau
(clic-droit sur le fichier .zip >> "Extraire tout...")
Du dossier sreng2 qui se trouve maintenant sur ton Bureau, double-clique sur SREngPS.exe afin de lancer l'outil

Clique sur "Smart Scan"
Ensuite, clique sur le bouton [Scan]. L'analyse durera quelques instants.
Lorsque complété, clique sur le bouton [Save Reports]
Sauvegarde le rapport sur ton Bureau

Copie/colle le contenu du fichier SREnglLOG.log dans ta prochaine réponse, s'il te plait



Merci
Al.

afideg · Answer

OK
Déjà un souci en moins.

Destrio5 · Answer

"[COLOR=RED] c:\windows\explorer.exe . . . est infecté!!/COLOR"

---> Toujours infecté.

Un scan avec Dr.Web CureIt! et/ou un scan avec AVPTool serait une bonne idée je pense.

afideg · Answer

Merci Destrio, J'hésite encore sur ceci: Drivers 2009-02-15 19:11 . 2009-02-15 19:11 33,920 --a------ c:\windows\system32\drivers\aqwibcfu.sys [aqwibcfu / aqwibcfu][Running/Boot Start] <\SystemRoot\System32\Drivers\aqwibcfu.sys> [mbr / mbr][Stopped/Manual Start] <\??\C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\mbr.sys> [C:\Program Files\Messenger Plus! Live\Detoured.dll] [N/A, ] On va essayer; comme ceci: Télécharge DrWeb ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe La version est automatiquement à jour. Tuto https://www.malekal.com/tutorial-et-guidedr-web-cureit/ Installe-le. ==> branche les USB et Disque dur externes . Ensuite clique sur « cureit.exe » http://img210.imageshack.us/img210/3301/screenshot137xp7.png pour commencer le scan. • Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton « Oui pour tout » à l'invite. **Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; clique sur le "X" pour fermer la fenêtre • Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration; • Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique sur "Ok" • De retour à la fenêtre principale : clique sur le bouton radio "Analyse complète". • Clique sur la flèche verte sur la droite, et le scan débutera. • Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique sur "Désinfecter". • Lorsque le scan sera complété, regarde si tu peux cliquer sur cette icône, adjacente aux fichiers détectés : http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif • Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable • Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport • Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv • Ferme Dr.Web Cureit • • Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage. • Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse. Al.

afideg · Answer

ADAM,

Encore quelques minutes; puis au lit.

Al.

afideg · Answer

Re,

Merci pour ta gentillesse et ta patience devant les évènements.
Peut-être que Destrio5 sera plus solide que moi.

à+...

afideg · Answer

Bonjour ADAM,

Merci
DrWeb n'indique rien au sujet de ==>  « c:\windows\explorer.exe . . . est infecté!! »
Tant pis.

A)- Restauration système empoisonnée.
1°- Désactive ta restauration système, comme ceci: 
Clic sur « Démarrer »
Clic-droit sur « Poste de travail », puis clic sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration » 
Termine par [Appliquer], répondre “OUI” à la question, attendre, terminer par [OK]
2°- Arrêter puis redémarrer le PC
3°- Ensuite réactive ta restauration système, comme ceci:
Clic-droit sur « Poste de travail », puis clic sur « Propriétés », 
Vas sur l’onglet « Restauration système » 
Tu décoches la case « Désactiver la restauration » 
Termine par [Appliquer], attendre, terminer par [OK]


B)- On devine ici l'origine de ton NOD32/ESET
setup.exe C:\Eset Nod32 Smart Security\ESS 32 bit 3.0.669\NodLogin_9.6\NodLogin 9.6 (32 and 64bits)\NodLogin_9.6_32Bits Trojan.Siggen.1068 Irréparable.Q­uarantaine.
Je pense qu'il faudra que tu réfléchisses à la question. (c-à-d. ANTIVIR + KERIO en gratuits).


C)- pv.exe C:\Program Files\Hewlett-Packard\OrderReminder\uninstall Program.PrcVie­w.3741 Irréparable.Quarantaine.
Il faudra probablement relancer la mise à jour des pilotes de ton imprimante après cette désinfection.
Chez moi, je relance son CD d'installation ==> as-tu le CD de ton imprimante ?


D)- Supprime DrWeb et sa quarantaine.


E)- Faire une sauvegarde du registre 
Cliquer sur "Démarrer" > "Exécuter" > copier/coller :  regedit /e Sav.reg , puis clic sur [Ok] 
Le fichier de sauvegarde se trouve ici C:\Documents and Settings\Le nom de ta session\Sav.reg

Télécharge IceSword sur ton Bureau, du lien suivant :
https://www.majorgeeks.com/downloadget.php?id=5199&file=10&evp=0d36c3ec48c6373fd5daac78f0c6a417   ; ensuite comme ceci : http://img299.imageshack.us/img299/815/screenshot418ok7.png  

1) Double clique sur le fichier téléchargé, puis déplace (glisser/coller) le dossier jaune IceSword122_en sur ton Bureau.
2) Double clique sur ce dossier, puis sur IceSword.exe (contenant l’épée dans un carré jaune) afin de lancer l'outil.

3) Agrandis la fenêtre de l'outil en plein écran, en cliquant sur le petit carré (au haut, à droite)
4) Regarde bien cette capture écran http://img223.imageshack.us/img223/4756/screenshot324nb2.png . 
Dans le menu de gauche, vers le haut, appuie sur la touche [Functions] pour les développer; tu peux t'aider du curseur vertical pour faciliter la lecture de son total contenu. 
- Note: Tu peux agrandir le volet de gauche (en déplaçant la ligne de séparation verticale), afin de mieux visualiser son contenu (juste le nécessaire; sinon ce sera au détriment de la lecture de la plage de droite).
 
5) À gauche, au bas, tu dois à présent cliquer sur le bouton [File]
- Tu devras agrandir le volet de gauche, afin de mieux visualiser son contenu (clique sur la ligne qui sépare les deux volets, maintiens le bouton gauche enfoncé puis déplace la ligne vers la droite).
- Toujours dans le panneau de gauche, clique successivement sur C:\ > Program Files > Messenger Plus! Live 
- Clique sur le dossier  Messenger Plus! Live  > son contenu va alors s'afficher dans le panneau de droite.
(Il faut naviguer (clic sur les + devant répertoires ad hoc) dans l'arborescence (volet de gauche) jusquà atteindre le dossier contenant les fichiers infectés à supprimer.)
- Fais un clic droit sur Detoured.dll et clique sur Delete 
• Fais la même chose avec:
- c:\windows\system32\drivers\aqwibcfu.sys
- C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\mbr.sys
... si tu les trouves.

6)- Choisis le bouton radio [Win32 Services], laisse afficher tous les services dans la plage de droite. 
Ensuite retrouve aqwibcfu.sys et  mbr.sys et que tu supprimes. 
(il est possible que ce soit aqwibcfu et mbr sans extension)
Ils se trouvent en:
- c:\windows\system32\drivers\aqwibcfu.sys
- C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\mbr.sys
Si tu vois d'autres services de couleur rouge, rapporte-les moi (comme par exemple ce Service_Passthru qui réapparaît en ComboFix) . 

7)- Quitter IceSword



F)- Termine avec ce "Scan en ligne de Kaspersky" https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr   sous "Internet Explorer" à partir de ce lien https://www.kaspersky.fr/downloads 
(aide-toi de Winsock si nécessaire).
Branche ton Disque Externe (clé USB) éventuellement
- Clique là où la flèche de cette image l’indique  
https://imageshack.com/  
(ouvrir l’image après clic sur « Show Adv Links », tu obtiens le lien direct qui affiche l’image)
- Clique maintenant sur "J'accepte". 
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. 
- Patiente pendant l'installation des "Mises à jour". 
Clic sur « Paramètres d'analyse » 
Coche la case "Étendue" >> Ok 
- Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ». 
- Sauvegarde puis colle le rapport généré en fin d'analyse.
 http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif  
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif  

AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3  >
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html 


Merci
Al.

afideg · Answer

OK A)- Hé bien, je suis éberlué. Vive ANTIVIR Vide sa "quarantine". B)- Le scan Kaspersky que je t'ai demandé de lancer, est un scan en ligne. Il ne s'installe pas sur le PC. Il ne supprime rien non plus ==> il indique "seulement". C)- Comme son nom le laisse deviner, ANTIVIR devient ton antivirus, à garder et à mettre à jour régulièrement avant l'emploi. D)- Il te faudra installer un bon parefeu ==> KERIO (quand ton PC sera remis d'allure) •- Visite ceci: < https://kerio.probb.fr/t250-tuto-sunbelt-personal-firewall-4-6#1012 > ; c'est ton intérêt. Télécharge ce pare-feu KERIO: ( pare-feu, qui reste gratuit après la période d'essai de 21 jours! ) Sur ce site, tu seras aidé spécifiquement à Kerio par mon Ami Boulepate. Tout est bien expliqué. •- Ensuite lancer l'installation de ce pare-feu, comme ceci : - - Impérativement couper la connexion de ton modem (débranche-le), - Ça peut être un routeur et tu es relié par un câble, tu débranches le cable. - Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle). - -- Ensuite, une fois téléchargé, il faut installer ce pare-feu, -- et l'activer (vérifier à ce moment que celui de Windows soit bien désactivé -- si non, fais-le manuellement, comme ceci : - Démarrer ->panneau de config (en affichage classique) -> pare-feu windows et tu le mets sur "désactiver". ) < https://www.vulgarisation-informatique.com/pare-feu-xp.php > - •--- Enfin si tout s'est bien déroulé, rétablir ta connexion à Internet. E)- Donne-moi le log Kaspersky dès que l'analyse est terminée. Al.

afideg · Answer

Re,

Avira Premium Security Suite  est payant (c'est un bon choix) ==> mais l'as-tu payé ?
Ce à quoi je faisais allusion en te citant ANTIVIR (antivirus GRATUIT) c'est Avira AntiVir Personal 

Mais comme tu es un spécialiste de keygen, sans doute as-tu fais ton choix.
Je n'en reparlerai plus.

Al.

afideg · Answer

Re,

Citation: « Si tu veux de l'aide pour " Premium security" je suis là ;). tu sais le keygen c'est pas interdit ici »

Je sais, ce n'est pas non plus interdit à Kaliningrad.
Mais ici, sur forum français, c'est interdit  ==> parce que les helpers en ont marre de dépanner bénévolement les PC pollués par l'inconscience des amateurs "voleurs/tricheurs". C'est une question de point de vue.

Un ami faisait mieux que cela ==> il récupérait les PC jetés dans les parcs à containers, et en prélevait les clés de licence soit avec l'étiquette collée, soit à l'aide d'un petit programme de recherche de clé et mot de passe. (je ne sais pas ce qu'il est devenu; ni ce qu'il en est advenu).
•- mais les fabricants d'outils de désinfection ont compris ==> c'est pourquoi il faut renouveler les licences régulièrement.
•- Windows avait une licence illimitée ==> le dernier Laptop payé à ma petite-fille (18 ans) contient Vista ==> il n'y a même plus le DVD d'installation; Vista réclamant de sauvegarder le système dès que possible sur un DVD. La clé est lisible (mais quid si nécessité de réinstallation ??) --> les fabricants ont tous les tours.

Maintenant, j'ai la suite Kis8 = Kaspersky Internet Security 2009 avec renouvellement de licence.
Là aussi, tu peux "récupérer" une clé licence; mais tu ne feras pas long feu.

Et si tu veux en parler, ça ne sera pas ici ==> ce sera par MP (messagerie privée) pour laquelle tu dois être "Inscrite" sur CCM.

Al.

afideg · Answer

Re,
Attendons la fin de l'analyse.

Tu pourras à ce moment supprimer la liste des "ignoré" ==> tel que c:/windows/system32/mrinfo.exe
Mais ne pas toucher à tous ceux contenant "verrouillé".

Redémarre en Mode sans échec pour le supprimer
http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > 

Al.

totobetourne · Answer

juste je me permet:

"Je comprend parfaitement ce que tu vient de dire et j'en suis completement conscient mais c'est une question de moyens ici. Les prix des logiciels sont trop élevés par rapport au niveau de vie et il n'y a pas des revendeurs agréés meme si tu veux acquérir une licence. Je te garantie que 99% des gens ici utilisent des logiciels piratés car sinon personne ne sera capable d'xploiter son pc si l'etat interdit le piratage".


il faudrait aussi se renseigner sur tout les equivalent des programmes comme bcp qui essaye de craquer microsoft office et tu as oOo a la place de gratuit.

tu as raison 99% des personnes qui utilisent des logiciels pirates se retrouvent sur les forum d infection comme toi.

afideg · Answer

ADAM,

Applique bien le post # 64, s'il te plaît; comme c'est recommandé (il faut redémarrer le PC en MSE avant d'aller supprimer le fichier infecté) ==> et si j'étais toi, je désactiverais également la restauration système le temps de supprimer le fichier (la réactiver après le redémarrage en mode normal).

Comment se comporte le PC actuellement ?
Bonne nuit
Al.

afideg · Answer

Bonjour Adam, Merci. À ce point, nous pouvons tenter de conclure. 1°- Vérifie que la restauration soit toujours "désactivée" (pour le moment). Si NON, désactive-la. 2°- Télécharger OTMoveIt3 by OldTimer. http://oldtimer.geekstogo.com/OTMoveIt3.exe •- Lance OTMoveIt.exe par double-clic, puis [Exécuter] [*]Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira à nettoyer les programmes que l'on a téléchargés). NOTE : Normalement, ton Firewall (parefeu) devrait te demander si _OTMoveIt peut accéder à Internet. Autorise-le. [*]Une liste apparaît dans la partie gauche d' _OTMoveIt. (essaie de la copier pour me la donner) [*]Un message apparaît pour confirmer le nettoyage. Confirme (Begin cleanup process ? ==> accepte par Yes) Ce programme supprime les outils utilisés (y compris lui-même) ainsi que les quarantaines éventuelles. La manoeuvre nécessitera un reboot (=redémarrage) initié par le programme. Sinon, fais-le manuellement. 3°- Fais ensuite un ScanOnline chez Bitdefender : https://www.bitdefender.com/toolbox/ > ou < http://www.bitdefender.fr/scan_fr/scan8/ie.html > ( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX) * En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE" http://download.bitdefender.com/resources/images/new_design/onlinescanner.gif * Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence ) Accepter et installer le contrôle des ActivesX * La fenêtre change encore, clique sur "Click here to scan" * Les signatures se chargent, etc. •- Sauvegarde le rapport comme ceci: Clic sur "Enregistrer sous..." > choisis « bureau » ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier HTML" (*.html) • > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum. ==> le rapport de scan se trouverait également ici : C:\windows\bdoscan8\scanres.txt ou scanres.html Aide MALEKAL_morte < https://www.malekal.com/scan-antivirus-ligne-nod32/ > 4°- Réactive maintenant la restauration système http://www.libellules.ch/desactiver_restauration.php Merci Al.

ADAM · Answer

RE
voila le rapport de scan de BitDefender. pour l e rapport OTMoveIt3  j'ai pas pu le sauvegrder car il ma demander de redémarrer directement et il ya pas l'option d'enregistrer le rapport


Info d'analyse
	

Fichiers scannés
	
59230

Infectés Fichiers
	
1
	

Virus Détectés
	
 
Generic.Virtob.2.68D12CF8


Remarque: le fichier infecté se trouve dans le répertoire c:/porgramfiles/Mozillafirefox

afideg · Answer

Re,
Merci.

Pour OTMoveIt3, pas de problème.
Peut-être une capture écran eut été plus "faisable".

Pour l'infection trouvée par BitDefender, je ne vois pas la ligne dans le rapport.
Mais il faut la supprimer de la même façon que la dernière (postes # 64 & 67).

Merci
Al.

afideg · Answer

Re,

Cit. « Le scan en ligne me dit qu'il a supprimé le fichier infecté déjà. »

Deux observations à ce propos:

1- Voilà pourquoi nous demandons les rapports.
Parce qu'il est parfois écrit que la suppression a échoué.
Parce qu'il nous est intéressant de savoir où se localisait exactement ce fichier infecté (détection de failles).

2- Voilà pourquoi, il ne faut pas utiliser ces scans en ligne inconsidérément.
Et BitDefender a la particularité de supprimer tout ce qu'il trouve (quoique!)
En effet, des suppressions (pour qu'elles réussissent) obligent parfois à certains préliminaires (comme j'avais indiqués).
Dans les nouvelles infections qui circulent, cette particularité risquerait de supprimer des fichiers vitaux où se camouflent les virus.  ==> = formatage garanti; et encore, la réussite n'est pas garantie!


Observe un moment le PC
Et reviens quand tu veux
Je vais mettre ton topic en "Résolu" ==> c'est la "case à cocher" au-dessus à droite de ton premier message.

Tiens, peut-être une alternative ici qui pourrait t'intéresser http://gratuitiel.kazeo.com/Internet-Firewall/Comodo-Internet-Security-3-5-55810-432,a475749.html  ; mais c'est à prendre avec des pincettes; nous ne changeons malheureusement (souvent malheureusement) pas facilement nos habitudes vis-à-vis d'outils qui nous ont généralement toujours donné satisfaction et que nous connaissons (dont nous connaissons aussi les auteurs).


Merci pour ta patience
Merci pour ta gentillesse
Bon vent à toi

Al.