PC infecté par Win32.bagle.of Fermé

Question

Bonjour,

Je ne peux plus lancer certains programmes. Lorsque j'essai de lancer mon antivirus, (Kaspersky anti virus 2009) j'ai  un message qui  m'indique que  ce n'est pas une "application Win32 valide".

La semaine derniere, j'ai  fait un scan en  ligne sur Kaspersky online scaner qui  m'a indiqué que mon PC etait infecté par E-mail-worm.Win32.bagle.of. Je n'ai pas eu  le temps  de m'en occuper. Aujourd'hui  je refais un scan en ligne (toujour sur Kaspersky) et la, il  ne me l'indique pas.

Quelqu'un peut-il ma'aider SVP?

Voici  les deux rapports:

Sunday, May 03, 2009 8:13:34 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 3/05/2009
Enregistrements dans la base antivirus Kaspersky : 1923088
 
 
Paramètres d'analyse 
Analyser avec la base antivirus suivante standard 
Analyser les archives vrai 
Analyser les bases de messagerie vrai 
 
Cible de l'analyse Zones critiques 
C:\WINDOWS
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\  
 
Statistiques de l'analyse 
Total d'objets analysés 19566 
Nombre de virus trouvés 1 
Nombre d'objets infectés 1 / 0 
Nombre d'objets suspects 0 
Durée de l'analyse 01:14:34 

Nom de l'objet infecté Nom du virus Dernière action 
C:\WINDOWS\$hf_mig$\KB956572\SP3GDR
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$hf_mig$\KB956572\SP3QFE
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$hf_mig$\KB956841\SP3GDR
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$hf_mig$\KB956841\SP3QFE
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB956572$
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB956841$
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Debug\PASSWD.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Driver Cache\i386
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SchedLgU.Txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Sti_Trace.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\CatRoot2\edb.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\CatRoot2	mp.edb  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\AppEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\DEFAULT.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\Internet.evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\ODiag.evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\OSession.evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SecEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SOFTWARE.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SysEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SYSTEM.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\drivers\atapi.sys  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\h323log.txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wintems.exe  Infecté : Email-Worm.Win32.Bagle.of  ignoré  
 
C:\WINDOWS\wiadebug.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\wiaservc.log  L'objet est verrouillé  ignoré  
 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF81AE.tmp  L'objet est verrouillé  ignoré  
 
Analyse terminée. 

--------------------------------------------------------------------------------------------------------------------

Le rapport de ce jour:

Sunday, May 10, 2009 12:51:46 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 10/05/2009
Enregistrements dans la base antivirus Kaspersky : 1950753
 
 
Paramètres d'analyse 
Analyser avec la base antivirus suivante standard 
Analyser les archives vrai 
Analyser les bases de messagerie vrai 
 
Cible de l'analyse Zones critiques 
C:\WINDOWS
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\  
 
Statistiques de l'analyse 
Total d'objets analysés 19652 
Nombre de virus trouvés 0 
Nombre d'objets infectés 0 / 0 
Nombre d'objets suspects 0 
Durée de l'analyse 01:17:51 

Nom de l'objet infecté Nom du virus Dernière action 
C:\WINDOWS\$hf_mig$\KB956572\SP3GDR
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$hf_mig$\KB956572\SP3QFE
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$hf_mig$\KB956841\SP3GDR
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$hf_mig$\KB956841\SP3QFE
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB956572$
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB956841$
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Debug\PASSWD.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Driver Cache\i386
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SchedLgU.Txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Sti_Trace.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\AppEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\DEFAULT.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\Internet.evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\ODiag.evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\OSession.evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SecEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SOFTWARE.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SysEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SYSTEM.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\drivers\atapi.sys  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\h323log.txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\wiadebug.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\wiaservc.log  L'objet est verrouillé  ignoré  
 
Analyse terminée.

magicsystem · Accepted Answer

bonjour j'ai eu le meme pb que toi  mes moi pire je navai plu de conection internet alor jai trouver la solution:



 Première Méthode : ELIBAGLA

Téléchargez Elibagla (de SATINFO) en bas de cette page : Lien 
Cliquez sur le bouton Descargar Elibagla pour télécharger le fichier, placez-le sur votre Bureau. 
Double-cliquez dessus pour l'ouvrir (Sous Vista, il faut cliquer droit sur Elibagla et choisir Exécuter en tant qu'administrateur). 
Assurez-vous que dans le menu déroulant Unidad, vous avez bien C: (ou la partition contenant le système d'exploitation). 
Vérifiez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée. 
Cliquez sur le bouton Explorar pour lancer l'analyse. A la fin du scan, un rapport est généré, nommé infosat.txt, il est en outre sauvegardé sous la racine : C:\infosat.txt


 Exemple d'un rapport contenant des fichiers infectés : 
Thu Feb 28 21:49:09 2008 
EliBagle v11.08  (c)2008 S.G.H. / Satinfo S.L. 
---------------------------------------------- 
Lista de Acciones (por Acción Directa): 
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. 
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle 
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. 
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. 
Restaurada Clave: "SafeBoot\Minimal y Network" 
Reinicie para Completar la Limpieza. 
 
Thu Feb 28 21:49:48 2008 
EliBagle v11.08  (c)2008 S.G.H. / Satinfo S.L. 
---------------------------------------------- 
Lista de Acciones (por Exploración): 
Explorando Unidad C:\ 
C:\Program Files\ATI Technologies\ATI Control Panel\ATIPTAXX.EXE --> Eliminado Bagle.dldr 
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza) 
C:\WINDOWS\system32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza) 
 
Nº Total de Directorios:   7505 
Nº Total de Ficheros:      82386 
Nº de Ficheros Analizados: 12450 
Nº de Ficheros Infectados: 3 
Nº de Ficheros Limpiados:  3 
&#8594;Exploitation du rapport : 
la mention : Eliminado Bagle signifie que la composante du ver a bien été supprimée.
la mention : Bagle Acceso Denegado signifie que l'accès à ce fichier est refusé, il n'a donc pas été supprimé. 
la mention : Acceso Denegado, Bagle (Reiniciar para completar la Limpieza) signifie qu'il faut repasser l'outil pour en arriver à bout ! 
Elibagla a la capacité de réparer la clé safeboot supprimée par Bagle. Si c'est le cas, la mention suivante apparait dans le rapport : Restaurada Clave: "SafeBootMinimal y Network"
             
         Remarque : il est très important de passer plusieurs fois Elibagla en mode normal, ainsi qu'en  
         mode sans échec si possible afin d'essayer de supprimer le plus de fichiers infectés possible ! 

  Dans notre exemple, Elibagla n'est pas arrivé à bout de l'infection du 1er coup, nous allons voir 
   dans la suite comment d'autres outils peuvent venir compléter la suppression du ver Bagle. 





Deuxieme Méthode : Combofix

Téléchargez le fichier 
Enregister le dans un dossier . 
Puis, renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer. 
Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de rendre ainsi le fix totalement inefficace. 
Déconnectez-vous d'Internet et fermez toutes les applications et programmes. 
Double-cliquez sur CCM.exe pour lancer le fix (Sous Vista, il faut cliquer droit sur CCM.exe et choisir Exécuter en tant qu'administrateur). 
Acceptez le message d'avertissement et acceptez l'installation de la Console de récupération (Sous XP). 
Le rapport sera créé sous la racine : C:\Combofix.txt 



 Troisième Méthode : Malwarebytes'
  
Ce très bon outil a la particularité de détecter la totalité de l'infection Bagle, cependant il n'est  efficace qu'à condition d'utiliser Elibagla juste avant pour neutraliser le fichier infecté 

Téléchargez MalwareBytes' Anti-Malware  sur votre Bureau. 
Installez le logiciel. 
S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici. 
Faîtes les mises à jour (Clic sur Mises à jour puis Recherche de mises à jour). 
Démarrez en mode sans échec. 
Lancez MalwareBytes' Anti-Malware, cliquez sur Exécuter un examen complet puis Rechercher et sélectionnez tous vos disques durs. 
Une fois le scan terminé, cliquez sur supprimer (Si un message demande à redémarrer le PC, acceptez !)  Un rapport sera généré, enregistrez-le de manière à le retrouver

 Vérification
  
Il est conseillé de faire un scan avec un antivirus: avast/kaspersky.......


 merci de nous confirmer

xXx95 · Answer

Salut 

Il existe une solutions que G touver Si ta Restaurations du systeme ,tu clik dessu apré tu cherch 1 point de restaurations (en gras ) épuis voila

Kudenn · Answer

Salut xXx95,

Ca ne marche pas. Lorsque je fais une restauration sur une date anterieur, windows me dit que la restauration ne peut se faire car aucun changement n'a ete detecté. 

Il  y a t-il  d'autres solution?

Kudenn · Answer

Bonjour,

Quelqu'un a t-il  une solution???

Merci  de votre aide

Lyonnais92 · Answer

Bonjour,

supprime déjà le crack que tu avais téléchargé et qui t'a infecté.


Telecharge FindyKill sur ton bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

--> Lance l installation avec les parametres par default

--> Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


--> Double clic sur le raccourci FindyKill sur ton bureau

--> Au menu principal,choisi l option 1 (Recherche)

--> Post le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

Lyonnais92 · Answer

Re,

Relance FindyKill :

(vérifie que les supports amovibles susceptibles d'avoir été infectés sont branchés)

-> choisis cette fois-ci l'option 2 .

/!\ durant la procédure, l'ordinateur va redémarrer !... Laisses travailler l'outil jusqu' à l'apparition du message :
"nettoyage terminé" .

Note : lors du message d'avertissement , cliques sur " Ok " .

--> ensuite poste le nouveau rapport FindyKill.txt qui est généré et attends la suite ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )


PS : Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tape explorer.exe et valide .

Lyonnais92 · Answer

Re,

ré-installe Kaspersky.

=================
Télécharge OTList2 de OLDTimer ici :

http://oldtimer.geekstogo.com/OTListIt2.exe

et enregistre le sur ton Bureau.

Double clic sur OTListIt2.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant "scan all users"

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport.

Copie le dans une nouvelle réponse

Lyonnais92 · Answer

Re,

c'est "l'autre" rapport qu'il me faut (OTListIt.txt) .

Lyonnais92 · Answer

Re,

Ouvre ce lien  (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.

Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

================

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau :

https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

    * Lance l'installation du programme en exécutant le fichier téléchargé.
    * Double-clique maintenant sur le raccourci de Toolbar-S&D.
    * Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
    * Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
    * Poste le rapport généré. (C:\TB.txt)

Lyonnais92 · Answer

Re,

   Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    Relance le programme Smitfraud,
    Cette fois choisit l’option 2, répond oui a tous ;
    Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
===========
Télécharge cet outil de SiRi:

http://siri.urz.free.fr/RHosts.php

Double cliquer dessus pour l'exécuter

et cliquer sur " Restore original Hosts " 

============================
1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://download.cnet.com/Malwarebytes/3000-8022_4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

Lyonnais92 · Answer

Ren

refais tourner OTListIt et poste le rapport.

Kudenn · Answer

J'ai  de gros problemes. Je n'arrive pas à  transmettre le rapport. J'essai ce message simplement pour voir si  ca passe.

Lyonnais92 · Answer

Re,

clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier qui contient le rapport de OTListIt.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Kudenn · Answer

http://www.cijoint.fr/cjlink.php?file=cj200905/cijfv7izr3.txt

Lyonnais92 · Answer

Re,

analyse ton poste de travail avec Kaspersky (après mise à jour de la base virale) et poste le rapport.

Lyonnais92 · Answer

Re,

Il est temps d'installer un parefeu contrôlant les connexions sortantes.

Mon conseil, c'est Online Armor :

https://www.malekal.com/tutorial-online-armor-free/

==================

Telecharge et installe UsbFix de C_XX & Chiquitine29

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisie l' option 1 ( Recherche )

# Laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
         Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
         Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Lyonnais92 · Answer

Re,

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisis l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le Bureau .

# Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

======================

Lance Kaspersky et clique sur "Assistance technique" dans l'angle bas gauche de la fenêtre principale. Puis clique sur "Outils d'assistance" .Une nouvelle fenêtre va s'ouvrir. Tu vas trouver un bouton intitulé "Créer un rapport d'état du système". Clique sur ce bouton pour créer le rapport de AVZ Sysinfo.

A la fin de l'analyse, clique sur "View" (Voir ?) pour ouvrir le rapport. Il est situé dans le répertoire C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP8\AVZ sous le nom sysinfo.zip.

Tutoriel en image (version anglaise) :

http://forum.kaspersky.com/index.php?s=&showtopic=69276&view=findpost&p=678326

Poste moi ce fichier par la même méthode (lien cijoint)

Lyonnais92 · Answer

Re,

le rapport de USBFix n'est pas complet.

La suite au jour.

Lyonnais92 · Answer

Bonsoir,

quand tu auras un peu de temps, fais la suite du post 24 (Kaspersky AVZ)

Kudenn · Answer

Voici  le rapport Kaspersky,

http://www.cijoint.fr/cjlink.php?file=cj200905/cijE2swzYr.zip

Lyonnais92 · Answer

Re,

refais tourner USBFix avec l'option 1 (Recherche) et poste le rapport.

Lyonnais92 · Answer

Re,

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\System32\dllcache\sysinfo.exe 

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant 

================
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisis l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le Bureau .

# Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Lyonnais92 · Answer

Bonsoir,

bon, on va aller demander son avis au concepteur de l'outil.

Lyonnais92 · Answer

Re,

alors il semble que ce soit un problème de l'outil (lors de l'édition du rapport). Par contre l'outil a fonctionné et supprimé les fichiers qu'il fallait.

La suite : nettoyage général puis nettoyage des outils.

Ensuite, on fera le point sur les dysfonctionnements résiduels.

===================

nettoyage général :

Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
mets les à jour, comme indiqué dans les démos ou tutos.

Ne les utilise pas tout de suite.


Antispywares et autres :
 
Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.


Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
.

=======================================

========================================
->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]



========================================
Lance Malwarebytes AntiMalware

Dans l'onglet analyse, vérifie que "Exécuter un scan rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter. 

Poste le rapport dans ta réponse.
========================================

->Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Registre] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Quand l'outil te le demandera, choisis de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================
 -> Purge la Restauration système :

Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.

===================

-> Mets à jour kaspersky et scanne ton ordi. Poste le rapport.


[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

phil670 · Answer

J'étais moi aussi infecté par bagle .

J'ai suivi la procédure  de désinfection .

Elibagle > ne marche pas bien car j'ai une variante de bagle 
Elibagle indique donc qu'il reste des fichiers  infectés

J'ai ensuite utilsé Findykill et usbfix 

Le nettoyage a été efficace .Le rapport écrit ensuite que le PC n'est plus infecté 


Puis ensuite je supprime avast pour installer Antivir bien + efficace d'après les tests sur ce site !
Voir comparaison test avast vs antivir

Méthode scan complète , et bien Antivir m'a encore supprimé  90 fichiers infectés !

rootkill etc... scannés

Comme quoi ne faites pas une confiance aveugle à ces prog faits maison !

dernier rapport

J'ai un fichier impossible de controler , c'est normal ?



Avira AntiVir Personal
Date de création du fichier de rapport : samedi 16 mai 2009  09:01

La recherche porte sur 1396119 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : 

Informations de version :
BUILD.DAT               : 9.0.0.65      17959 Bytes  22/04/2009 12:06:00
AVSCAN.EXE              : 9.0.3.6      466689 Bytes  21/04/2009 12:20:54
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
ANTIVIR0.VDF            : 7.1.0.0    15603712 Bytes  27/10/2008 11:30:36
ANTIVIR1.VDF            : 7.1.2.12    3336192 Bytes  11/02/2009 19:33:26
ANTIVIR2.VDF            : 7.1.3.185   2010112 Bytes  12/05/2009 13:23:47
ANTIVIR3.VDF            : 7.1.3.215    120832 Bytes  15/05/2009 06:57:13
Version du moteur       : 8.2.0.168
AEVDF.DLL               : 8.1.1.1      106868 Bytes  15/05/2009 13:23:52
AESCRIPT.DLL            : 8.1.2.0      389497 Bytes  16/05/2009 06:57:17
AESCN.DLL               : 8.1.2.3      127347 Bytes  16/05/2009 06:57:16
AERDL.DLL               : 8.1.1.3      438645 Bytes  29/10/2008 17:24:41
AEPACK.DLL              : 8.1.3.16     397686 Bytes  15/05/2009 13:23:51
AEOFFICE.DLL            : 8.1.0.36     196987 Bytes  26/02/2009 19:01:56
AEHEUR.DLL              : 8.1.0.129   1761655 Bytes  16/05/2009 06:57:15
AEHELP.DLL              : 8.1.2.2      119158 Bytes  26/02/2009 19:01:56
AEGEN.DLL               : 8.1.1.44     348532 Bytes  16/05/2009 06:57:14
AEEMU.DLL               : 8.1.0.9      393588 Bytes  09/10/2008 13:32:40
AECORE.DLL              : 8.1.6.9      176500 Bytes  15/05/2009 13:23:48
AEBB.DLL                : 8.1.0.3       53618 Bytes  09/10/2008 13:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.0.1       43777 Bytes  03/12/2008 10:39:26
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 13:34:28
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.21    2438401 Bytes  17/02/2009 12:49:32
RCTEXT.DLL              : 9.0.37.0      88321 Bytes  15/04/2009 09:07:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : samedi 16 mai 2009  09:01

La recherche d'objets cachés commence.
'83324' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msimn.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'epmworker.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Generic.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Retrospect.exe' - '1' module(s) sont contrôlés
Processus de recherche 'OSA.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'ecbl-lcl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CapabilityManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'apdproxy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RetroExpress.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpgs2wnf.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Application Launcher.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CanalPlayerHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpgs2wnd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'atiptaxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ALCMTR.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'ALCWZRD.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SOUNDMAN.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'slserv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'retrorun.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CDAC11BA.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'50' processus ont été contrôlés avec '50' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD1
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD2
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD3
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD4
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD5
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '60' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\System Volume Information\_restore{AF797C51-D7D8-42F4-9FE7-CE09093E3F71}\RP1114\A0217545.exe
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/NewDotN.f.1.A

Début de la désinfection :
C:\System Volume Information\_restore{AF797C51-D7D8-42F4-9FE7-CE09093E3F71}\RP1114\A0217545.exe
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/NewDotN.f.1.A
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a407ede.qua' !


Fin de la recherche : samedi 16 mai 2009  10:51
Temps nécessaire:  1:42:54 Heure(s)

La recherche a été effectuée intégralement

  12683 Les répertoires ont été contrôlés
 574111 Des fichiers ont été contrôlés
      1 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      1 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
 574109 Fichiers non infectés
   3683 Les archives ont été contrôlées
      1 Avertissements
      2 Consignes
  83324 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

Lyonnais92 · Answer

Bonjour Kudenn,

clique sur ce lien :

http://www.d2i.ch/pn/depannage/restauration_systeme_xp.html#impossible

Exécute les points 1 puis 2 (si nécessaire) puis 3 si ni 1 ni 2 n'ont résolu le problème.

Lyonnais92 · Answer

Re,

les rapports sont bons (Kaspersky a "nettoyé" la restauration système des éléments dangereux.

Ca n'empêche pas qu'il faut la restaurer.

Tu as essayé ce qui est proposé au post 38 ?

Lyonnais92 · Answer

Bonjour,

c'est bon si tu peux effacer les anciens points de restauration.

Lyonnais92 · Answer

Re,

Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.

Lyonnais92 · Answer

Re,

je ne peux pas lire ce fichier.

Lyonnais92 · Answer

Bonjour,

merci, j'ai pu lire cette version.

Ouvre ce lien :

http://www.commentcamarche.net/forum/affich 2986945 restauration systeme

Essaye ce qui est écrit au post 3.

Si cela ne change rien, essaye ce qui est au post 9.

Après exécution de chaque manip, avant de retester l'activation de la restauration, tu fais redémarrer l'ordi.

Lyonnais92 · Answer

Bonjour,

pour ça, j'ai déjà eu le cas et la solution passe par ceci :

https://support.microsoft.com/fr-fr/help/300433

Pour le moment, tu fais ceci :

    Ouvre le registre (démarrer,exécuter, tu tapes regedit dans la zone de saisie puis OK.)et navigue avec les + et les - jusqu'à la clé

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 

    Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

    Ferme le registre et ouvre l'explorateur Windows.

    Clique droit sur le fichier et choisis Modifier.

    Le bloc-notes s'ouvre avec le contenu de la clé.

    Copie le dans ta réponse.

Lyonnais92 · Answer

Re,

poste les 100 premières lignes et les 100 dernières (environ).

Lyonnais92 · Answer

Re,

je ne t'ai pas demandé la totalité du registre, seulement cette clé :


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 

Tu la cherches avec les + et les -.

Tu la "sélectionnes" (la malette va s'ouvrir) et tu continues la procédure.

Lyonnais92 · Answer

Re,

un coup court, un coup long.
 
Il faut que winlogon soit sur fond bleu.

Quand il l'est :

    Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

    Ferme le registre et ouvre l'explorateur Windows.

    Clique droit sur le fichier et choisis Modifier.

    Le bloc-notes s'ouvre avec le contenu de la clé.

    Copie le dans ta réponse.

Lyonnais92 · Answer

Re,

c'était bien ça.

Ouvre le Bloc Notes.
Copie le texte ci-dessous (entre les * mais sans les *) avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) :

*****************************
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoAdminLogon"="0"
*****************************
Clique sur "Fichier", "Enregistrer sous".
Clique sur Bureau (dans la colonne de gauche)
Dans Nom du fichier tu écris fix.reg
Pour Type tu choisis "tous les fichiers" avec le menu déroulant.
Tu cliques sur Enregistrer.
Tu fermes le Bloc-notes

Sur ton bureau, tu double-clique sur l'icône de Fix.reg
Tu acceptes l'avertissement concernant la fusion
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides.

============

Fais redémarrer l'ordi.

Toujours le problème ?

Lyonnais92 · Answer

Re,

alors on va éditer cette clé :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore

Tu postes son contenu.

Lyonnais92 · Answer

Re,

Ouvre le Bloc Notes.
Copie le texte ci-dessous (entre les * mais sans les *) avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) :

*****************************
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"RestoreStatus"=dword:00000001
*****************************
Clique sur "Fichier", "Enregistrer sous".
Clique sur Bureau (dans la colonne de gauche)
Dans Nom du fichier tu écris fix.reg
Pour Type tu choisis "tous les fichiers" avec le menu déroulant.
Tu cliques sur Enregistrer.
Tu fermes le Bloc-notes

Sur ton bureau, tu double-clique sur l'icône de Fix.reg
Tu acceptes l'avertissement concernant la fusion
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides.

Fais redémarrer l'ordi et réessaye.

Lyonnais92 · Answer

Re,

réédite la clé :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] 
et poste le résultat.

Lyonnais92 · Answer

Re,

essaye en mode sans échec. (n'utilise pas MSConfig pour démarrer en mode sans échec mais F5 ou F8)

Lyonnais92 · Answer

Re,

"formate" dit l'incompétent caché dans l'anonymat.

Et qui ignore la différence entre une réparation Windows et un formatage.

====================

Par contre, ni ton Windows ni ton Internet Explorer ne sont à jour.

Comme l'ordi est stable, ça peut résoudre le problème que de les mettre à jour.

Lyonnais92 · Answer

Salut,

toujours courageusement anonyme !!

on engage, viens prouver ton savoir faire.

Lyonnais92 · Answer

Re,

avant d'en arriver au formatage, on a encore quelques options.

Le première est de mettre à jour Windows et Internet Explorer.

La seconde sera de réparer Windows.

Sauvegarder tes documents est une nécessité de sécurité.

Actuellement, je pense que tu n'es plus infecté. Par contre, une clé de registre a été modifiée et bloque la restauration système (petite question, tu as vérifié que ça fonctionnait avant ?).

En conséquence, je pense qu'une copie de sécurité de tes données ne sera pas infecté.

On peut vivre dans ta situation (c'est une position un pei plis risquée qu'avec la restauration en ordre de marche).

Mets à jour Windows et IE. On verra après.

Lyonnais92 · Answer

Re,

est ce que tu peux limiter la taille de l'espace alloué à la restauration Système ?

Lyonnais92 · Answer

Bonjour,

Alors, limite un peu en dessous de la taille actuelle.

Il se passe quoi ?

Lyonnais92 · Answer

Re,

je ne crois pas, mais tu ne perds rien à essayer.

A partir du moment où tu peux limiter la taille allouée à la restauration système, tu dois pouvoir vivre comme ça.

Les points récents sont là ?

Je me demande si en mettant la taille à zéro cela ne la purgerait pas.

Tu peux prendre un point de restauration manuellement ?

Lyonnais92 · Answer

Re,

donc tu essayes de mettre à zéro la taille de la zone et tu appliques.

Tu vérifies que les points ont été supprimés.

Si oui, tu remets la taille actuelle et tu prends un point propre.

Sinon, tu la laisses à zéro et tu fais redémarrer l'ordi.

Tu regardes si ils sont supprimés. Si oui, mets la taille actuelle et prends un point propre.

Lyonnais92 · Answer

Re,

oui, prendre un point propre c'est prendre un point"ordi désinfecté".

Retient sa date, tu peux revenir sur lui si nécessaire.

Lyonnais92 · Answer

Bonjour,

je crois que l'on n'a pas nettoyé les outils :

Démarrer, Exécuter, tape combofix /u dans la zone de saisie puis clique sur OK.

* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Lyonnais92 · Answer

Re,

fais la suite.

Lyonnais92 · Answer

Re,

supprime Toolscleaner sur ton Bureau et C:\TCleaner.txt.

Fin de la désinfection.

==============

Bon surf.

Lyonnais92 · Answer

Re,

de rien pour l'aide.

PC infecté par Win32.bagle.of

52 réponses

Newsletters