PB éradication .win32.Bagle.bra

Question

Bonjour,


J'ai infecté mon Portable (XP SP2) avec le virus suivant : Trojan-Downloader.Win32.Bagle.bra (d'après Scan ne ligne de Kaspersky).

Le virus à désactivé mon Antivirus, le pare-feu de windows, la restauration du système, la possibilité de démarrer en mode sans échec, semble rendre inopérants la plupart des outils de détection et de diagnostic que j'ai testé (SaveBootrepair - Combofix - HiJackThis - Gmer...) et ce même si je change leur nom avant de les exécuter. Il a désactivé ma connexion Wifi principal, mais pas celle du "Neuf Spot" (je suis chez SFR).

En revanche, Windows démarre normalement (si j'ose dire), le menu exécuter est encore présent dans le menu démarrer, l'accès au registre aussi, la possibilité d'afficher les fichiers cachés également.

J'ai pu constater la présence de srosa.sys (C/Windows/system32/). Bien sûr, son élimination manuelle ne sert à rien, il revient au démarrage....

J'ai bien cherché dans les forum, mais apparemment l'éradication est difficile et je me permets donc de demander de l'aide....

Je remercie tous ceux qui pourront me guider.

crapoulou · Accepted Answer

Salut,
As-tu ce problème suite au téléchargement d'un crack téléchargé ?
Si oui, élimine le immédiatement !

*********

Télécharge FindyKill (de Chiquitine29 et C_XX) sur ton bureau et installe-le :
= = = = =>>> En cliquant ici <<<= = = = =

! Déconnecte toi et ferme toutes tes applications en cours !

* Double clique sur "FindyKill.exe" pour lancer l’installation et laisse les paramètres d’installation par défaut.
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
* Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l’outil.
* Au menu principal choisis l’option "F" pour français et tape sur [Entrée].
* Au second menu Choisis l’option "1" (recherche) et tape sur [Entrée].

Laisse travailler l’outil et ne touche à rien ...

=> Poste le rapport qui apparaît à la fin, sur le forum ...

(Le rapport est sauvegardé aussi sous C:\FindyKill.txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Note : "Process.exe", une composante de l’outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s’agit pas d’un virus, mais d’un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d’où l’alerte émise par ces antivirus.

ecojef · Answer

salut,

OUi j'avoue, c'était dans un crack (mais c'était juste pour un essai de programme important pour moi). Kaspersky de mon PC, n'avait pourtant rien détecté.

J'essaie tes solutions, en espérant que les programmes fonctionneront car le virus semble assez redoutable pour les neutraliser.

Je te donne les résultats dès que j'ai terminé.

A+

crapoulou · Answer

Ok.
Suis bien les procédures et on devrait arriver à l'éradiquer.
J'espère que tu as commencé par virer le crack !!!
Sinon on bosse dans le vide ;-).

ecojef · Answer

Suite de mes essais...


Pour information j'utilise un autre PC pour communiquer sur le net, par précaution...


FindyKill, je l'avais déjà essayé à partir d'une clé USB. 
Une fenêtre de commande s'ouvre un très bref instant et se referme aussitôt. et puis plus rien.
Apparemment, le programme est détecté et neutralisé.

(Si ça peut aider) : Le seule chose que semble faire FindyKill, c'est la création d'un dossier FindyKill à la racine, mais impossible de l'ouvrir, l'affichage de l'écran flash un coup et rien ne se passe.

ecojef · Answer

Suite FindyKill...


En changeant le nom du dossier FindyKill est en le plaçant sur le bureau j'ai pu l'ouvrir : à l'intérieur, j'ai un dossier "Tools" et deux fichiers Bypass.exe et FindyKil.cmd

Je lance quoi ???

crapoulou · Answer

Ouvre le .cmd.

crapoulou · Answer

Es-tu bien administrateur sur le PC ?
Désactive les logiciels de protection qui sont restés actifs.

crapoulou · Answer

Suis cette procédure pour supprimer toutes les traces de Norton :
= = = =>>> En cliquant ici <<<= = = =
Tu ne fais bien entendu pas l’étape 3 de la réinstallation.

*******

On va essaye d'élaguer avec MBAM s'il passe :

Télécharge Malwarebytes’ Anti-Malware
= = = = >>> En cliquant ici <<< = = = =

- Enregistre le sur le bureau
- Double clique sur le fichier téléchargé pour lancer le processus d’installation
- Lorsqu’il te le sera demandé, mets à jour Malwarebytes anti malware
- Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes
- Une fois la mise à jour terminée, ferme Malwarebytes
- Double-clique sur l’icône de malwarebytes pour le relancer
- Dans l’onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen complet
- Clique sur Rechercher
- Le scan démarre
- A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés.
- Clique sur Ok pour poursuivre.
- Si des malwares ont été détectés, cliques sur Afficher les résultats
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
- Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse.
- Rends toi dans l’onglet rapport/log
- Tu clique dessus pour l’afficher.
- Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout
- Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
- Tu clique droit dans le cadre de la réponse et coller

Si tu as besoin d’aide regarde ce tutorial ICI

crapoulou · Answer

Non vas-y si ça fait plus de 10 minutes.

crapoulou · Answer

Je vais me renseigner un peu ;-).
Le scan en ligne Kaspersky ne te propose pas la suppression ?

*****

Essaye de télécharger Findykill (que je viens de renommer) ici et de recommencer :
http://sd-1.archive-host.com/membres/up/68979205412808752/ecojef.exe

ecojef · Answer

en fait, avec le scan en ligne de Kasperky (https://www.kaspersky.fr/downloads ne permet que de vérifier un fichier. Ce que j'ai fait pour le crack que j'avais récupéré. Et c'est là que j'ai pu donner un nom au virus.

Par ailleurs, je soupsonne, le fichier Srosa.sys, car peu de temps avant que Kaspersky ne cesse de fonctionner et après un redémarrage, j'ai eu un message de mon antivirus, celui installé sur mon Pc, concernant ce fichier, en m'indiquant que c'était associé à msgrmsgr.exe (messenger live). J'ai cru que c'était pour la mise à jour de messenger car je ne l'avais pas encore faite. J'ai certainement cliqué sur "ignorer" pensant que je m'occuperais de cela plus tard... Et voilà comment dans ma précipitation, je me suis fait piéger.... Double hontes pour moi.

Donc, je vais remettre ma connexion Internet sur le Portable infecté et je vais voir si les Scaner Online (Kasperky ou autres peuvent m'aider...)

Sinon, penses-tu qu'en passant par le registre, on peut neutraliser, même partiellement et temporairement, le fonctionnement du vers afin d'installer et de faire fonctionner les programmes d'éardication que tu m'as proposés.

crapoulou · Answer

Oui ce fichier est clairement infectieux.
Désinstalle MSN Messenger qui a été patché, il faudra le résinstaller.

******

Essaye la dernière procédure donnée.

Chiquitine29 · Answer

Bonsoir tous les 2 ,

ecojef essai ceci stp :

Télécharge KillB

Dézippe l archive et double clic sur GO.cmd , dis moi si il démarre ..

ecojef · Answer

pour le moment, j'ai remis ma connexion internet au PC infecté (au moins un truc que le vers ne m'a pas trop bloqué) et je fais un scan en ligne avec F-Secure.

... résultats : au début, je suis parvenu à installer le scripti de démarrage, mais aprèès son lancement, il semble aussi à son tour se bloquer

crapoulou · Answer

Je ne sais pas ce que tu penses T'chiqui, je pense à ZHPDiag... si ça passe on va droit au but :

******

Télécharge ZHPDiag sur ton bureau :

= = = = =>>>En cliquant ici <<<= = = = = =

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique droit sur le raccourci ZHPDiag sur ton Bureau pour le lancer.

/!\ L’outil a créé 2 icônes ZHPDiag et ZHPFix /!\

Clique sur la loupe pour lancer l'analyse.
Laisse l’outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d’analyse.

Pour transmettre le rapport clique sur ce lien :
http://www.cijoint.fr/
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.

ecojef · Answer

voilà au moins un programme qui fonctionne et voilà le log

http://www.cijoint.fr/cjlink.php?file=cj200911/cijJtW4tJ6.txt

ecojef · Answer

Question,

Je vois bien qu'il a pas mal de processus que j'aurais dû fermer avant de lancer les logiciels de diagnostic et d'éradication de tout à l'heure, comme TeaTimer;exe ou avp.exe, mais connaissez vous le programme qui permet de la faire quand ces processus n'apparaissent pas dans le gestionnaire des tâches de Windows ?

ecojef · Answer

j'ai repére en O4, le programme flecOO3.exe, dont il me semble avoir déjà entendu parler sur des forum et qui serait associé au vers..... ???

DllD · Answer

Hello You :-)

Dans un sens c'est dommage d'avoir supprimer le crack, dans un autre non.
Je veux dire que Chiquitine aurait peut être aimé l'avoir s'il s'agit d'une nouvelle souche.

Je suis le sujet... 

Merci.

ecojef · Answer

j'ai noté aussi dans les pilotes se lançant au démarrage (rubrique O41) le lancement de Srosa2.sys

Lyonnais92 · Answer

Bonsoir,

pour faire avancer :

Ouvre ce lien : http://www.cijoint.fr/cjlink.php?file=cj200911/cijAz3ewp9.txt

Ouvre le fichier.

Copie dans le Presse-papier son contenu (sélectionne le avec la souris et fais simultanément Ctrl et C)

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immmédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse. 

===

Tu enchaines comme ça :

clique sur le raccourci FindyKill présent sur ton Bureau et choisis "Exécuter en tant qu'administrateur" .

• Au menu principal choisis l'option " F " pour français et tape sur [Entrée].

• Au second menu Choisis l'option " 4 " (Désinstaller) et tape sur [Entrée] 

===

Tu recommences ce que crapoulou a demandé au post 1 (FindyKill).

ecojef · Answer

j'ai oublié de dire, le programme ZHPFix, ne m'a pas demandé de redémarrer, est-ce que cela aurait été nécessaire, ou est ce que ça aurait réinstaller le ver ?

Lyonnais92 · Answer

Re,

il faut que tu supprimes tout ce qui a été téléchargé et installé avec FindyKill.

Mais avant, je veux vérifier que l'infection n'est pas reparti au reboot.

Fais exactement comme ça :

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur le Tournevis pour activer le menu des options.

Coche les 2 cases non cochées (toutes les cases doivent être cochées)

Clique sur la loupe à gauche pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

ecojef · Answer

Bon, il est tard et je dois aller me reposer....

Peut être que vous avez déjà fait de même...

Donc, je vais vous dire bonsoir et encore merci, je me reconnecterai demain pour terminer le travail (j'ai l'impression que vous êtes presque parvenus à trouver la solution).

Je vais éteindre l'ordinateur, s'il y a encore quelqu'un et que vous pensez que ce n'est pas faire dites le moi tout de suite svp

Encore merci

Lyonnais92 · Answer

Re,

je préfère que tu ne redémarres pas l'ordi.

Par contre, coupe la connexion physique avec Internet.

ecojef · Answer

mais avant je fais ce que tu viens de me dire

Lyonnais92 · Answer

Re,

si tu as posté le rapport ZHPDiag, tu peux éteindre l'ordi.

On va voir tout de suite si l'infection est revenue au redémarrage.

A "demain". C'est peut être crapoulou qui reprendra directement (on a parlé ensemble de ce topic).

ecojef · Answer

voilà le log

http://www.cijoint.fr/cjlink.php?file=cj200911/cijJtW4tJ6.txt

Lyonnais92 · Answer

Bonjour,

il me semble que tu n'as pas fait exactement comme demandé. En particulier tu n'as pas coché les options O45 et O61 dans ZHPDiag.

Comme je ne sais pas à quel moment tu as fait redémarrer l'ordi, j'ai du mal à interpréter le rapport.

On recommence.

Exactement et dans l'ordre.

Sinon, c'est sûr que l'infection va repartir.

===

Tu désinstalles FindyKill en exécutant l'option ad hoc.

Tu vérifies que la désinstallation à fonctionné. Sinon, tu supprimes les fichiers via l'Explorateur Windows.

===
Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur le Tournevis.

Clique successivement sur Aucun puis sur Tous.

Vérifie que toutes les cases sont cochées.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse. 

===
Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur le Tournevis.

Clique successivement sur Aucun puis sur Tous.

Vérifie que toutes les cases sont cochées.

Clique sur la "loupe dans le cahier" à droite du Tournevis pour lancer l'analyse MD5.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse. 

===

Ouvre ce lien : http://www.cijoint.fr/cjlink.php?file=cj200911/cijAz3ewp9.tx­t

Ouvre le fichier.

Copie dans le Presse-papier son contenu (sélectionne le avec la souris et fais simultanément Ctrl et C)

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immmédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse. 

===
Fais redémarrer l'ordi (impératif).

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur le Tournevis. Clique sur Aucun

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

ecojef · Answer

Bonjour à tous

ecojef · Answer

Bonjour Lyonnais92 et merci de reprendre ce topic.

Je vais faire tout ce que tu me demandes, mais il me semble pourtant que j'avais bien suivi la procédure que tu m'avais indiqué hier (cases cochées), la seule chose et que je n'avais peut être pas désinstallé était FindyKill (en fait je ne peux pas vraiment le désinstaller, puisqu'il ne se lance pas, je peux juste effacer le dossier que Findykill crée à la racine quand je clic sur l'executable et effacer l'éxécutable lui même). Sinon le dernier rapport que tu avais reçu (post 38) avait été obtenu avant d'éteindre l'ordinateur.  J'ai seulement arrété mon portable infecté pour aller me coucher et je viens donc de le rallumer (bien sûr les symptômes sont toujours là...)

Peu importe, car je reprends tout. 
Cependant, tu me demandes de faire deux fois de suite un diagnostic avec ZHPDiag et je pense que je vais poster deux fois le même rapport (?). C'est peut être dû à un copier-coller malencontreux, ou c'est normal. Je vais faire exactement ce que tu me dis (je numérote les rapports dans l'ordre), mais ne t'étonnes pas s'il y a deux fois le même.

C'est reparti......

Lyonnais92 · Answer

Bonjour,

non, il y a 2 loupes, une à gauche et une (plus petite) à droite du tournevis.

Ca donne 2 rapports différents.

ecojef · Answer

étape 1 ###############################

Voilà le lien pour le fichier ZHPDiag#4.txt : il s'agit du fichier obtenu après la deuxième analyse sur ZHPDiag. Je n'ai pas le fichier ZHPDiag#3, car après la première analyse, j'ai sauvegardé le mauvais fichier dans le dossier ZHPDiag (en fait ZHPADSRreport.txt) et donc forcément lors de la seconde analyse j'ai écrasé le ZHPDiag.txt existant (je crois que je commence à manquer de sommeil). Mais je pense que ça ne doit pas gêner, enfin je pense....

http://www.cijoint.fr/cjlink.php?file=cj200911/cijISLGJU9.txt 


étape 2 ###############################

Voilà le rapport de ZHPFix avant redémarrage de l'ordi : 

ZHPFix v1.12.21  by Nicolas Coolman - Rapport de suppression du 16/11/2009 16:13:17
Fichier d'export Registre : C:\ZHPExportRegistry-16-11-2009-16-13-17.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
C:\Documents and Settings\jeff\Application Data\hidires\flec003.exe  => Fichier supprimé au reboot

Module mémoire :
(Néant)

Clé du Registre :
O64 - Services: CurCS - sK9Ou0s (sK9Ou0s) - LEGACY_SK9OU0S  => Clé absente
O64 - Services: CurCS - No object (No service) - LEGACY_SROSA  => Clé non supprimée
O64 - Services: CS002 - sK9Ou0s (sK9Ou0s) - LEGACY_SK9OU0S  => Clé absente
O64 - Services: CS002 - srosa (srosa) - LEGACY_SROSA  => Clé supprimée avec succès

Valeur du Registre :
O4 - HKCU\..\Run: [flec003.exe] C:\Documents and Settings\jeff\Application Data\hidires\flec003.exe  => Valeur absente

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\documents and settings\jeff\application data\hidires\flec003.exe  => Fichier supprimé au reboot
c:\windows\system32\ban_list.txt  => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 4
Valeur du Registre : 1
Elément de données du Registre : 0
Dossier : 0
Fichier : 2
Logiciel : 0
Autre : 0


End of the scan


étape 3  ###############################

voici la lien pour le nouveau diagnostic (ZHPDiag#5), donc après redémarrage et en chosissant option (tournevis) : "aucun"

http://www.cijoint.fr/cjlink.php?file=cj200911/cijUBKTvJp.txt

ecojef · Answer

désolé pour la petite loupe, 

on refait comment alors ...... ?

ecojef · Answer

Et pourtant c'était clairement indiqué

vraiment besoin de sommeil moi.....

Lyonnais92 · Answer

Re,

toujours sans redémarrer l'ordi, tu fais ça :

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur le Tournevis.

Clique successivement sur Aucun puis sur Tous.

Vérifie que toutes les cases sont cochées.

Clique sur la "loupe dans le cahier" à droite du Tournevis pour lancer l'analyse MD5.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Lyonnais92 · Answer

Re,

tu te souviens de ce que tu avais téléchargé juste avant Bagle ? EasyRecover ?

Le dernier rapport est après le reboot de ZHPFix ?

Reessaye de retélécharger FindyKill et de le lancer.

Je reviens vers 18 h.

Chiquitine29 · Answer

Salut Ecojef ,

Essai cette version de FindyKill :http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

 --
@+

ecojef · Answer

oui le dernier rapport ZHPDiagMD5#5 et l'avant dernier ZHPDiag#4 ont été obtenu après le passage de ZHPFix et le reboot de l'ordi

ecojef · Answer

Effectivement le Bagle était dans un crack pour EasyRecover de Ontrack (en fait, je voulais juste dépanner une personne dont la clé avait une erreur logique et pour laquelle le logiciel gratuit FileRecovery n'avait pas récupéré la totalité des fichiers).....

ecojef · Answer

merci Chiquitine29, et bonsoir, ta version de FindyKill, s'est lancée. Je lui fais excécuter une recherche et je vous envoie le rapport....

ecojef · Answer

voilà le rapport de FindyKill nouvelle version :
fichier FindyKill#1.txt : http://www.cijoint.fr/cjlink.php?file=cj200911/cij8IXjPRY.txt

petite remarque : FindyKill a bien fonctionné et semble avoir analysé l'ensemble de mes fichiers, mais il s'est arrété en laissant simplement une fenêtre noire avec dans la barre des titres un "scan Progress" à 50%.
Pour le moment, je n'ai pas quitté FindyKill et j'ai copié le rapport sans l'éliminer. 
Si cette remarque est due à un dysfonctionnement, faites le moi savoir.... merci

Chiquitine29 · Answer

Arrete et passe à la phase suppression ..

Lyonnais92 · Answer

Re,

je préfererai que ce soit Chiquitine qui intervienne directement pour FindyKill.

Mon impression est qu'il bloque.

Chiquitine, ZHPFix pourrait probablement supprimer les fichiers du crack si nécessaire.

ecojef · Answer

au fait les fichiers du cracks infectés, vous intéresse, car je pense que je pourrais les retrouver sur Internet, ou dans ma corbeille... enfin je pense. 

Je me rappelle juste que l'archive contenait 3 fichier un en .ifo ; un install.exe et "xbundler main.dll" (je m'en rappelle car j'ai fait une recherche sur le net).

ecojef · Answer

Pour l'instant FindyKill patch mon système....

(J'ai dû l'arréter de force en fermant la fenêtre et un message d'erreur m'a permis de stopper l'application qui ne répondait pas. J'ai relancer FindyKill et commencer la phase de suppression, après les avertissements, le Pc a redémarré et maintenant FindyKill semble tourner correctement (progress à 30 %)

Lyonnais92 · Answer

Re,

on attend FindyKill.

Il y a plusieurs fichiers EasyRecover dans le rapport ZHPdiag.

ecojef · Answer

en fait, j'avais installé la version d'évaluation d'Easy Recover téléchargée sur le site de l'éditeur, donc saine. Et je croyais cracker cette évaluation.... (pas bien)...... pas le crack récupéré sur Internet.


Sinon FindyKill continue de travailler, il a passé la fonction patch sur C et D (unité de restauration du systéme du portable HP) sans encombre (apparemment) et maintenant il clignote très vite avec cette affichage "Patch : %~dpb"

Est ce normal ???

ecojef · Answer

concernant le crack, il n'a pas dû modifier EasyRecovery, et je ne sais plus si j'ai eu le temps de désinstaller l'application.


Sinon, FindyKill a arrété de faire clignoter le message de lmon dernier post et j'en suis à nettoyage de disque

Chiquitine29 · Answer

Re , 

maintenant il clignote très vite avec cette affichage "Patch : %~dpb" 

Est ce normal ???

Non , c est un bug sans gravité , qui vient d etre corrigé .

ecojef · Answer

voilà le rapport (FindyKill#2)

http://www.cijoint.fr/cjlink.php?file=cj200911/cij1UROvZn.txt

Chiquitine29 · Answer

FindyKill à fais un peut de ménage ...

Je te laisse en compagnie de Lyonnais92 et crapoulou , je dois me lever tot demain .

Bonne suite .

ecojef · Answer

merci beaucoup, vous êtes au top.... félicitations

ecojef · Answer

quelques questions pour continuer :

les très nombreux fichiers suprimés par FindyKill et qui étaient dans les dossiers "drivers" et "hidires", étaient vraiment sur mon PC ???; car la plupart des noms ne me disent rien du tout. J'aurais eu d'anciennes infections qui auraient permis de télécharger tous ces fichiers à mes depends et ce malgré le pare-feu et Kaspersky régulièrement mis à jour ? C'est ça ou je me trompe ?


Sinon, est ce que je dois refaire un diagnostic avec un logiciels comme ZHPDiag ou un autre ?

Pour le moment de viens de désinstaller mon Antivirus, qui ne fonctionnait pas (application non valide). La désinstallation s'est bien passée, mais il faudrait que je redémarre le PC pour refaire l'installation. Dois-je le faire maintenant, ou je dois attendre vos instructions ?

Chiquitine29 · Answer

Re , 

Tous fichier cité sur le rapport sont créé par l infection et donc bien present .

Oui tu peux redémarrer et réinstaller ton anti virus , et effectivement un nouveau rapport ZHP sera util pour la suite à donner .

ecojef · Answer

ben, il n'a pas chômé le Bagle.bra.....

ecojef · Answer

voilà le rapport de ZHPDiag (toutes options cochées et analyse par la loupe de gauche) (fichier ZHPDiag#6.txt)

http://www.cijoint.fr/cjlink.php?file=cj200911/cijzK4ze8S.txt




et le rapport avec toutes options cochées et analyse détaillée (MD5 ?) petite loupe de droite (fichier ZHPDiagMD5#2)

http://www.cijoint.fr/cjlink.php?file=cj200911/cijTM0xW8W.txt



Voilà, je laisse  l'un d'entre vous me dire si le bagle.bra est éradiqué et s'il n'y a pu de problème.

Pour le moment, j'ai quelques soucis pour réinstaller Kaspersky, si j'ai besoin d'aide je vous retiens au courant.

Lyonnais92 · Answer

Re,

Chiquitine, merci de ton intervention.

===

il faut traiter cette liste :

################## | PEH ... |

Corrompu : C:\Documents and Settings\jeff\Bureau\à trier\logiciels portable\PortableThunderbird\App	hunderbird\uninstall\helper.exe
[Offset = 000000DC - Valeur = 0x0001]

Corrompu : C:\Documents and Settings\jeff\Local Settings\Temp\LUInit.exe
[Offset = 000000DC - Valeur = 0x0001]

Corrompu : C:\Documents and Settings\jeff\Mes documents\Downloads\HiJackThis.exe
[Offset = 000000C4 - Valeur = 0x0001]

Corrompu : C:\Documents and Settings\jeff\Mes documents\DVDVideoSoft\Cleaner.exe
[Offset = 00000204 - Valeur = 0x0001]

Corrompu : C:\Documents and Settings\jeff\Mes documents\LimeWire\Saved\System Mechanic Pro v7.5.10.5 Multilanguage + Crack\CRACK\CRACK\ioloAV.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Documents and Settings\jeff\Mes documents\LimeWire\Saved\System Mechanic Pro v7.5.10.5 Multilanguage + Crack\CRACK\CRACK\ioloFW.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\HiJackThis.exe
[Offset = 000000C4 - Valeur = 0x0001]

Corrompu : C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
[Offset = 000000C4 - Valeur = 0x0001]

Tu es en train de réinstaller Kaspersky (urgent).

Supprime C:\Documents and Settings\jeff\Mes documents\Downloads\HiJackThis.exe, C:\Program Files\Trend Micro\HijackThis\HijackThis.exe, C:\Documents and Settings\jeff\Local Settings\Temp\LUInit.exe, C:\Documents and Settings\jeff\Mes documents\LimeWire\Saved\System Mechanic Pro v7.5.10.5 Multilanguage + Crack\CRACK\CRACK\ioloAV.exe et C:\Documents and Settings\jeff\Mes documents\LimeWire\Saved\System Mechanic Pro v7.5.10.5 Multilanguage + Crack\CRACK\CRACK\ioloFW.exe

Réinstalle PortableThunderbird, DVDVideoSoft

===
Télécharge Toolbar-S&D (Team IDN) sur ton Bureau :

https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3

    * Lance l'installation du programme en exécutant le fichier téléchargé.
    * Double-clique maintenant sur le raccourci de Toolbar-S&D.
    * Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
    * Choisis maintenant l'option  "2" puis valide en appuyant sur "Entrée".
! Ne ferme pas la fenêtre lors de la suppression !
Un rapport sera généré, poste son contenu ici.

===

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

http://www.malwarebytes.org/mbam/program/mbam-setup.exe
hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

ecojef · Answer

ToolBar -S&D n'est pas accessible sur le site de l'auteur, je l'ai récupéré sur le site cnetfrance, si tu y vois une opposition fais le moi savoir, et merci  pour la reprise de mon pb....

ecojef · Answer

Par ailleurs j'avais réussi à réinstaller et mettre à jour les bases de Kaspersky avant de lire ton dernier post. Kaspersky fonctionne corretement apparemment....

ecojef · Answer

voilà le rapport de Toolbar-S&D :

http://www.cijoint.fr/cjlink.php?file=cj200911/cijt5djT1O.txt



et le rapport de MBAM :

http://www.cijoint.fr/cjlink.php?file=cj200911/cijRjpZQ9l.txt
(j'ai réalisé la suppression du fichier malware détecté)

ecojef · Answer

Bon, je vais me coucher, je pense que je pourrai ajouter "Résolu" à ce topic (je le ferai demain après confirmation des derniers rapport).

Encore bravo à l'équipe : crapoulou ; chiquitine29 et lyonnais92 (dans l'ordre d'apparition)
et je pense que je peux aussi remercier ZHPDiag et FindyKill (nouvelle version) pour avoir pu faire céder Bagle.bra et l'éradiquer.

ecojef · Answer

Bonsoir,

Je voulais juste savoir si quelqu'un de l'équipe pouvait me confirmer l'éradication des malwares à partir des derniers rapports fournis dans le post 72 et clore ce topic.
merci

Lyonnais92 · Answer

Bonsoir,

mets à jour Windows, Internet Explorer, Firefox et ta Console java.

Pour cette dernière :

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

http://raproducts.org/click/click.php?id=1

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. 

===

Purge la restauration système :

Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.

===

Remets un rapport ZHPDiag dans un lien cijoint.

ecojef · Answer

bonsoir,

voilà je pense avoir fait les mises à jour conseillées et je joins le rapport de ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj200911/cijeQPEelq.txt 

Encore un petit problème : j'ai réinstallé LiveMessenger mais le programme refuse de s'exécuter (je n'ai même pas accès à la page d'identication et de connexion) : j'ai juste un message d'alerte m'indiquant que WLM a rencontré un problème et doit fermer, pas de code d'erreurs, juste la possiblité de lire le rapport d'erreurs et l'envoyer à Microsoft.
Je soupçonne ce problème lié à l'éradication du Bagle, car le je rappelle qu'au début de l'infection, Kaspersky m'avait alterté Que Messenger tentait une action (?) associé au fichier Srosa.sys. Et c'est pour cela que j'avais désinstallé Messenger.

A+

Lyonnais92 · Answer

Bonjour,

la désinstallation n'est peut-être pas complète.

Essaye de suivre ce tuto :

http://herve-hds.chez-alice.fr/pb_msn/index.html

(j'ai vérifié le fichier reg proposé en patch, il est sain et correct).

Tu réinstalles ensuite LiveMessenger (le lien en bas du tuto est mort).

Lyonnais92 · Answer

Re,

je pourrais avoir le rapport de javara prévu au post 75 ? Merci.

ecojef · Answer

Bonsoir Lyonnais69

excuse j'ai oublié de te préciser qu'au début je n'ai pas pu utiliser JavaRa car ma version de JRE etait trop ancienne. J'ai donc fait une mise à jour manuel de la console JAVA. Ensuite, si je repasse JavaRa, il me signale que je possède la dernière version et ne crée pas de rapport.

ecojef · Answer

Voilà pour MSN, c'est réglé, effectivement un bon néttoyage en profondeur s'imposait. Merci pour le lien de Herve-Hds (?).

Finalement, tout marche, je n'attends plus que ta confirmation pour clore le topic.

Chiquitine29 · Answer

Salut ecojef ;)

Remets un rapport ZHPDiag dans un lien cijoint

ecojef · Answer

salut Chiquitine 29,

voilà le lien du dernier rapport ZHPDiag#8.txt
http://www.cijoint.fr/cjlink.php?file=cj200911/cijA65SC0K.txt

Lyonnais92 · Answer

Re,

tu n'as pas mis à jour Windows (tu es encore au SP2, il faudrait être au SP3).

ecojef · Answer

c'est vrai, je vais le faire, c'est l'occasion.

ecojef · Answer

Bonjour à tous,

Voilà quelques jours que je n'ai pas eu le temps de me replonger dans la mise à jour de mon système et son nettoyage de tous malwares. Mais je m'y remets.....

Depuis mon dernier post, j'ai fait la mise à jour SP3.

Cependant à la suite, mes navigateurs internet (Internet Explorer, Fire Fox et Chrome) refusaient de démarrer (double clic sur l'icône, un petit sablier pendant 1 seconde et puis plus rien, pas de message d'erreur, et pas de traces de ces programmes dans le gestionnaire des tâches).

Pensant que j'avais encore des traces de virus ou autres malwares, j'ai refait un scan (en mode sans echec) avec MalwaresBytes Anti-Malware. 
Je laisse le rapport d'analyse qui avait détecté 57 fichiers infectés (surtout dans le dossier de restauration). Je les ai supprimés et depuis apparemment je n'ai plus de traces d'infection sur mon ordinateur.

http://www.cijoint.fr/cjlink.php?file=cj200911/cijHRv1OJp.txt


Finalement, pour retrouver la possibilité de naviguer sur Internet, j'ai dû recréer un autre compte utilisateur. 
Ça pourrait marcher, mais j'ai un phénomène qui me semble assez étrange et je n'ai pas encore trouvé de cas similaires dans les forum. Parfois la possibilité de démarrer mes navigateurs se trouve sur mon compte utilisateur, parfois sur mon compte administrateur : Apparemment, si au démarrage du Pc, je me connecte d'abord en administrateur, les navigateurs se lanceront sur le compte utilisateur, et inversement si je me connecte dans un premier temps sur le compte utilisateur.

Donc si vous avez une petite idée du problème et une solution, je vous en serais très reconnaissant.

DllD · Answer

Bonjour à tous :-)

Humm dis moi Lyonnais, que penses-tu de :

C:\WINDOWS\ServicePackFiles\i386\user32.dll (Virus.Mariofev) -> No action taken.
C:\WINDOWS\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\user32.dll (Virus.Mariofev) -> No action taken.
C:\WINDOWS\$NtServicePackUninstall$\user32.dll (Virus.Mariofev) -> No action taken.


?

On dirait de gros FP de la part de MBAM, non (à moins de fichiers patchés) ?

ecojef · Answer

Bonjour DIID,

je te remercie de t'intéresser à mon problème.

Tu veux dire quoi par "un gros FP" (?) de la part de MBAM.

ecojef · Answer

excuse en fait j'ai trouvé la réponse sur d'autre forum. Si je ne me trompe pas "FP" veut dire "faux positif".

Et effectivement d'autres personnes qui ont utilisé MBAM semblent avoir déjà rencontré ce problème avec une histoire de virus.mariofev.

Ma question serait alors, est-ce que le fait d'avoir supprimé ces fichiers soit-disant infectés peut avoir des conséquences sur le fonctionnement de mon PC.

Par ailleurs, mes problèmes d'exécution des navigateurs Web existaient avant la détection par MBAM.

merci

ecojef · Answer

merci, tu as répondu plus vite que moi.

merci encore, et bonne route

A+

ecojef · Answer

e

DllD · Answer

Mais de rien :-)

Je ne pense pas que MBAM ait pu faire un quelconque dégât quant à la stabilité du système puisque, FP ou pas, les fichiers détectés appartiennent à des répertoires 'de secours' grosso modo (si je ne me trompe pas). En d'autres termes ceux ne sont pas des fichiers actifs, juste de remplacement.

Lyonnais92 · Answer

Bonjour,

MBAM a reconnu que ce sont des faux positifs

Relance MBAM, ouvre l'onglet Quarantaine.

Si ces 3 fichiers y sont encore :

C:\WINDOWS\ServicePackFiles\i386\user32.dll (Virus.Mariofev) -> No action taken.
C:\WINDOWS\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\user32.dll (Virus.Mariofev) -> No action taken.
C:\WINDOWS\$NtServicePackUninstall$\user32.dll (Virus.Mariofev) -> No action taken.

Clique sur le premier pour le mettre en surbrillance puis sur restaurer;

Fais de même pour les 2 autres.

===
Va sur l'onglet Mise à jour et effectue la mise à jour.

Reviens sur l'onglet principal et fais un scan rapide.

Poste le rapport.

===

Il faut toujours mettre à jour MBAM avant de lancer un scan.

ecojef · Answer

salut Lyonnais 92,

voilà j'ai suivi tes conseils.
 le rapport MBAM n'indique plus rien :

#####################################"

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3238
Windows 5.1.2600 Service Pack 3

26/11/2009 19:31:40
mbam-log-2009-11-26 (19-31-40).txt

Type de recherche: Examen rapide
Eléments examinés: 144494
Temps écoulé: 18 minute(s), 57 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


#############################################

ecojef · Answer

sinon, pour mon problème de navigateur Web, tu aurais une piste ?

Lyonnais92 · Answer

Re,

tu as pu récupérer tes fichiers ?

On va essayer de nettoyer.

    =>Télécharge (Attribune) 
    -- Met le sur ton bureau

    => Lance ATF-Cleaner :
    * Sous l'onglet Main, choisis : Select All
    * Clique sur le bouton Empty Selected

    * Sous l'onglet Firefox (si présent) : Clique sur select all
    -- Au message "are you sure you want to delete your firefox saved password" clique sur NON
    -- Clique sur Empty selected

    * Sous l'onglet Opéra (si présent) : Clique sur select all
    -- Au message "are you sure you want to delete your firefox saved password" clique sur NON
    -- Clique sur Empty selected

    * Quitte ATF-Cleaner  

===

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

 ->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]

ecojef · Answer

je remets un lien pour télécharger ATF-Cleaner car le tien n'était plus valide. 

http://www.atribune.org/index.php?option=com_content&task=view&id=25&Itemid=25


Sinon, j'ai fait les opérations que tu m'as conseillées, d'ailleurs j'avais déjà fait une réinstallation des navigateurs et une réinitialisation d'internet Explorer.

Malheureusement, le problème persiste.....

En tout cas, ça semble lié à l'installation du SP3. Il y a du avoir une erreur à un moment donné. Il faudrait peut être que je désinstalle le SP3 et le réinstallé.

Qu'en penses-tu ?

Lyonnais92 · Answer

Re,

si tu as le désinstallateur pourquoi pas.

Le réinstaller n'est pas un souci.

Par contre, le SP2 est vulnérable. Pas de connexion Internet pendant cette période (d'ailleurs il serait préférable que tu retélécharges le SP3 avant de le désinstaller).

le lien du SP3 : https://www.commentcamarche.net/telecharger/systemes-d-exploitation/20759-sp3-windows-xp/

ecojef · Answer

OK, je ferai ça ce week-end. Je te dirai alors ce qui en est.

Merci et à bientôt.

ecojef · Answer

Bonsoir à vous tous,

Suite à mes problèmes d'exécution des mes navigateurs Web (voir post 85 pour les détails ; résumé = la première session ouverte ne pouvait pas faire exécuter les navigateurs, par contre les sessions ouvertes ensuite le pouvaient) j'ai désinstallé SP3, puis Internet Explorer 8, puis réinstallé SP3.

Le problème demeure, mais voilà mes observations :
- à la suite de la désinstallation de SP3, l'exécution des navigateurs web se faisait correctement depuis n'importe quelle session. Donc apparemment ce n'était pas un problème avec Internet Explorer 8. (mais j'ai tout de même fait sa désinstallation).

- Lors de la réinstallation du SP3, j'ai eu plusieurs messages d'erreurs, le premier était :
"Le programme d'installation ne peut pas copier le fichier wuaueng.dl_." et ce message me demandait de vérifier le chemin d'accès c:\4097d7c83a4cc3f28a\i386 ou d'utiliser le bouton "parcourir" pour en changer.
puis, j'ai eu le même message pour les fichiers suivant : tscfgwmi.mo_ ; ispnoanw.ht_ et btn2.gi_

Ne sachant pas ou trouver ses fichiers, je n'ai pas utiliser la possiblité de changer le chemin d'accès et j'ai poursuivi l'installation de SP3 sans copier les fichiers en question.

Finalement l'installation s'est poursuivie correctement, le démarrage du PC s'est bien déroulé, mais j'ai retrouvé mon problème d'exécution des navigateurs web lors de la première session ouverte.


Je précise que mon ordinateur, est un portable HP Pavillon dv5000, vendu sans CD d'installation de Windows XP, mais avec un DVD de restauration que j'ai dû graver. Il existe à la racine (:C\) un dossier "I386" qui contient donc les fichiers d'installation de Windows. Par contre je ne vois pas à quoi correspond ce chemin d'accès "c:\4097d7c83a4cc3f28a\i386".

Ma question est comment je peux maintenant recopier les fichiers qui n'ont pas pu être installés. (Où les trouver et où les copier ?)


Merci

Lyonnais92 · Answer

Re,

ça semble bien un problème Windows (peut être lié aux ordis de marque et à leurs procédures spécifiques).

Fais une recherche sur wuaueng.dll, dis moi si tu en trouves, dans quel répertoire et avec quelle taille.

PB éradication .win32.Bagle.bra

89 réponses

Discussions similaires

Newsletters