Bagle.....Help

Résolu/Fermé
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011 - 13 avril 2010 à 23:45
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011 - 20 avril 2010 à 14:18
Hello, qqn?

29 réponses

glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
13 avril 2010 à 23:55
bin oui
comme sur tous les forums il est de bon ton de commencer par un bonjour
ensuite on explique clairement son problème et on demande de l'aide en finissant par un s'il te plait?

;-))
donc que t'arrive t'il? tu as attrapé bagle en exécutant un crack ,c'est ça?
2
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
Modifié par niceuser le 13/04/2010 à 23:58
Bonsooir, navré pour mon entrée en matière mais je ne savais même pas si mon post allais être publié...

Oui via un keygen

Peux-tu m'aider s-il te plaît ?

Merci bcp
0
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
14 avril 2010 à 00:03
allez au boulot ,nous allons essayer de réparer la bêtise

surtout n'essaie pas de demarrer en mode sans echec en passant par msconfig tant que nous n'avons pas "tuer" le chien(beagle)

tu vas utiliser un logiciel spécifique pour cette infection

sous Vista: Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

=> Vas dans "Démarrer" puis Panneau de configuration.
Double-Cliques sur l'icône Comptes d'utilisateurs et sur Activer ou désactiver le contrôle des comptes d'utilisateurs.
=> Cliques sur Continuer.
=> Décoches la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur.
=> Valides par OK et redémarres./list

=> Télécharges maintenant Findykill http://findykill.changelog.fr/Setup.exe sur ton bureau :

=> tutoriel recherche:http://pagesperso-orange.fr/NosTools/tuto_fyk2.html

/!\ Ne fais pas le nettoyage tout de suite /!\

=> Lance l'installation avec les paramètres par défaut
=> Fais un clic droit sur le raccourci FindyKill sur ton bureau
=> Choisis exécuter en tant qu'administrateur
=>Au menu principal,choisi l option 1 (Recherche)
=> Post le rapport FindyKill.txt
1
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
14 avril 2010 à 00:06
Merci beaucoup!!!!!!!

J'ai le rapport mais comment je fais pour te répondre (comme si on chattait et que cela soit instantané?
0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
14 avril 2010 à 00:15
Je n'arrive pas à te poster le rapport.... Il y a comme une barre de loading qui défile....
0
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
Modifié par glops le 14/04/2010 à 00:16
ce n'est pas un chat ici, mais un forum d'entraide ,il est même possible que j'interrompe la communication pour ce soir car il m'arrive aussi de dormir et le lendemain de travailler ;-))
tout ça pour te dire que nous ne sommes pas toujours devant l'ordi à chasser les malwares

poste moi le rapport directement sur le forum dans ta prochaine réponse ou si il est trop long héberge le sur http://www.cijoint.fr et poste moi le lien qui te sera fourni en bas de la fenêtre.
1
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
14 avril 2010 à 00:19
http://www.cijoint.fr/cjlink.php?file=cj201004/cijqOTZEIt.txt

Encore merci!!!
0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
14 avril 2010 à 00:25
Je comprends parfaitement, d'ailleurs je me demande commment vous faites pour être si génereux en consacrant du temps à réparer les bêtises des autres sans contrepartie. Enfin je le comprends car je suis de cette nature aussi mais dans d'autres domaines.

N'empêche que je ne peux même pas t'envoyer une boîte de chocolat ;-))
0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
14 avril 2010 à 00:39
J'en deduis que tu as été te coucher. Peut-on continuer demain ?

Meilleures salutations et bonne nuit / journée
0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
14 avril 2010 à 00:42
Ah oui au cas ou pour gagner du temps:
http://www.cijoint.fr/cjlink.php?file=cj201004/cijhnkCDK5.txt
0
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
14 avril 2010 à 00:41
un beau "bagle"!!
comme tu peux le voir la clé SAFEBOOT est HS donc tjrs pas de redémarrage en MSE par msconfig /!\

nous allons nettoyer avant d'aller dodo ,si tu veux

=> sous vista; Veille à ce que le contrôle des comptes utilisateurs (UAC) soit désactivé.
=> tutoriel nettoyage : http://pagesperso-orange.fr/NosTools/tuto_fyk3.html]
=> Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
=> Fais clic droit sur le raccourci FindyKill sur ton bureau
=>Choisis exécuter en tant qu'administrateur
=> Au menu principal,choisis l'option 2 (Suppression)

/!\ il y aura 2 redémarrage, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué"

/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c'est normal !

=> ensuite post le rapport "FindyKill.txt" ou heberge le sur http://www.cijoint.fr

=> :!: FindyKill te proposera d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097
=> Ce dossier a été créé par FindyKill et est enregistré sur ton bureau.
=> Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de FindyKill dans ses recherches.
=> Il faut sélectionner "FindyKill" dans le menu déroulant
=> Merci d'avance pour ta contribution !!

[*] Note : le rapport FindyKill.txt est sauvegardé a la racine du disque/list
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
14 avril 2010 à 10:38
Salut
nous allons maintenant faire un nouveau diagnostic de cet ordinateur


=> Télécharge ZHPDiag de N.Coolman: https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
=> Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
=> Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
=> Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
=> Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


Fais ceci dès que tu seras sur ton ordi
1
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
14 avril 2010 à 11:08
Merci
0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
14 avril 2010 à 22:37
http://www.cijoint.fr/cjlink.php?file=cj201004/cijMrHDuWW.txt

Salut, voilà le rapport. C'est quand même assez perso ce qu'il contient... Ce n'est pas risqué de laisser ces infos sur le net... ?

Ah oui le rapport FindyKill indiquait ceci:
################## | MD5 ... |

Supprimé ! "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
-> Size : 778240 | Crc32 : 205cf04d | Md5 : c3a869fa99d3e5bb570ceda6327d9a4d

Est-ce que cela affecte Nero ??

Merci encore
0
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
14 avril 2010 à 23:18
hello!
si findykill l'a supprimé c'est qu'il le condidère comme nefaste ,je viens de faire des recherches et sauf erreur ce fichier est lié à un trojan
ou ne devrais pas nuire au fonctionement de nero si il est absent
si toutefois,il s'avérait que nero ne fonctionnait plus ,dis le moi afin que je fasse remonter l'info.

le rapport de zhpdiag montre d'autre infection notamment par l'ADware "MyWebSearch" et "Funwebproducts"
voici ce que tu vas faire pour t'en débarrasser

=> Télécharge Malwarebytes antimalware : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
=> Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
=> Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
=> Lance une analyse complète en cliquant sur "Exécuter un examen complet"
=> L'analyse peut durer un bon moment.....
=> Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
=> Un rapport va s'ouvrir dans le bloc note... héberge le sur http://www.cijoint.fr avant de me poster les liens
=> Il est possible que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
1
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
14 avril 2010 à 23:29
Je dois lancer le scan en mode sans échec non ? Donc restart et F8.... Bios ?
0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
Modifié par niceuser le 15/04/2010 à 09:32
http://www.cijoint.fr/cjlink.php?file=cj201004/cijZdUb0FY.txt

http://www.cijoint.fr/cjlink.php?file=cj201004/cijEvBysxu.txt

Merci
0
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
15 avril 2010 à 10:47
bonjour

c'est normal que Kaspersky signale que malwarebytes est en train d'ouvrir les fichiers infectés pour les scruter

si tu regardes bien kaspersky n'a supprimé que ce queMBAM et findyKill avait mis en quarantaine et ce qui se trouvait dans les points de restauration
cela aurait pu empêcher un retour en arrière , je n'avais pas encore demandé kaspersky ;-)

ces opérations auraient été réalisées de toute manière à la fin de la désinfection, en supprimant la quarantaine de MBAM, findykilll et sa quarantaine et les points de restau.

tu vas maintenant me refaire un zhpdiag commme précédemment et me poster le lien pour le rapport, suivi par un hijackthis:
=> ceci afin de préparer la finalisation de ce nettoyage

=> Télécharges hijackthis: http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe sur ton bureau
=> Installes le programme
=> lances HijackThis (sous vista clique droit et Exécuter en tant qu'administrateur)
=> Cliques sur "Do a system scan and save a logfile"
=>le bloc-notes va s'ouvrir => héberge le rapport sur http://www.cijoint.fr et poste moi le lien qui te sera fourni.

1
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
15 avril 2010 à 13:17
Bonjour,

Merci, je ne pourrais le faire que ce soir comme tu le sais. Je ne lui ai rien demandé à Kapersky (pour info j'avais desinstallé mon ancien anti-virus avant findyKill et installé Kapersky après les 2 opérations findyKill).

J'ai lançé MBAM et je ne suis pas resté devant mon ordi vu le trmps que cela prenait... Je n'ai découvert l'intervention de Kapersky qu'après coup...

Quand tu dis "cela aurait pu empêcher un retour en arrière " qu'entends-tu exactement ?

Est-ce que au final la désinfection sera aussi propre que si Kapersky n'était pas intervenu (c-à-d en supprimant les quarantaines de MBAM, findykilll et des points de restau.) ??

Merci encore et bonne journée
0
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
16 avril 2010 à 13:02
bonjour


nous allons passer à la sécurisation et optimisation de cet ordinateur
d'abord permets moi de te rappeler le danger des cracks et keygen en tout genre pris sur les réseaux P2P ou des sites spécialisés
tu viens d'en faire l'expérience
ce coup-ci nous avons pu désinfecter ,mais sache que ce n'est pas toujours le cas et que desinfections comme virut qui se balade sur ces réseaux conduisent tres souvent au formatage


des logiciels sensibles comme adobe reader et java ne sont pas à jour sur ton PC
ceci est une grosse faille de sécurité
je te conseille donc de désinstaller les anciennes versuions par la fonction Ajout/suppressione programmes du panneau de config et d'installer les dernières versions
https://www.java.com/fr/download/ java6 update 20
https://get2.adobe.com/fr/reader/otherversions/ adobe 9.3.1

pense à bien décocher les cases qui proposent des barres d'outils ou des scan en ligne (Mc Afee)

verifie aussi que tes plugins et activeX flashplayer soient à jour

________________________________________________________________

ensuite:

=>lance HijackThis
=> clique sur "do a system scan only"
=> coche les cases devant ces lignes :

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: - {e6e6311a-328c-4def-ab6a-3c9f3c13f76e} - C:\WINDOWS\system32\vy.dll (file missing)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe => Microsoft®NT CTF Loader
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/057678335588c8c05e21/netzip/RdxIE601_fr.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab



=> Ensuite clique sur Fix Checked
=>ferme hijackthis

les 04 sont les programmes lancés au démarrage de windows

note:ceci correspond à des programmes qu'il n'est pas utile de lancer au démarrage de windows mais ne supprime pas ces logiciels,c'est de l'optimisation
seules les lignes en gras doivent être obligatoirement fixées.
les 016 sont les activeX

______________________________________________________________

note:ZHPFix peut être activé soit à partir de ZHPDiag en cliquant sur l'icône http://tinypic.com/images/goodbye.jpg
soit à partir du raccourci sur le Bureau.
Il se lance par double clic sous Xp, par clic droit et "exécuter en tant qu'administrateur sous Vista et Seven.

=> Lance ZHPFix en fonction de ton système d'exploitation.
=> Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
=> Copie/colle toutes les lignes ci dessous et place les dans la fenêtre de ZHPFix

O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\WhenU
O44 - LFC:[MD5.8408D386BA2C2705C51E0966D468C912] - 10.04.2010 - 11:22:54 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\PERFC009.DAT [72066] => Microsoft NT Shutdown Errors
O44 - LFC:[MD5.15C31031CF5C28660610C9F03A1B21BE] - 10.04.2010 - 11:22:54 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\PERFH009.DAT [442800] => Microsoft NT Shutdown Errors
O44 - LFC:[MD5.137C9474BA83DCA1A4442966507FD7C8] - 10.04.2010 - 11:22:54 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\perfc00C.dat [85834] => Microsoft NT Shutdown Errors
O44 - LFC:[MD5.6680ADF5B4A444C8D32D10A1E661FC49] - 10.04.2010 - 11:22:54 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\perfh00C.dat [512530]

=> Clique sur « Tous », puis sur « Nettoyer »
=> Copie/colle la totalité du rapport dans ta prochaine réponse ou mieux héberge le sur http://www.cijoint.fret poste moi le lien fourni

_____________________________________________________________

pour supprimer les fichiers temp et nettoyer le registre

=>Télécharges et installes https://www.ccleaner.com/ccleaner/download/slim ccleaner :

=> Lance ccleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures".
=> Dans le menu nettoyeur , clique sur "Analyse.
=> Ensuite clique sur le bouton "Lancer le nettoyage" et laisse le faire.
=> Maintenant dans l'onglet "Registre" , clique sur "Chercher des erreurs"
=> Réponds a OUI a la question qui te sera posée.
=> Enfin , répare les erreurs en cliquant sur " Réparer les erreurs sélectionnés "
=> recommence la recherche et la suppression des erreurs jusqu'à ce qu'il ne reste plus rien.
=> http://www.libellules.ch/phpBB2/ccleaner-t30432.html un tutoriel pour t'aider :

=>Tu peux conserver ce logiciel et l'utiliser régulièrement

______________________________________________________________
pour supprimer les outils qui ont servi à la désinfection et qu'il ne sert à rien de garder car ils sont mis à jour régulièrement

noteZHPFix peut être activé soit à partir de ZHPDiag en cliquant sur l'icône http://tinypic.com/images/goodbye.jpg
soit à partir du raccourci sur le Bureau si l'icône n'apparait pas.
Il se lance par double clic sous Xp, par clic droit et "exécuter en tant qu'administrateur sous Vista et Seven.

=> Lance ZHPFix en fonction de ton système d'exploitation.
=> Clique sur l'icône représentant la lettre A=>http://tinypic.com/images/goodbye.jpg
=> une liste des outils va apparaitre coche les cases des outils à désinstaller ou clique sur "Tous" en bas
=> clique ensuite sur nettoyer
=> copie colle le rapport généré à la fin dans ta prochaine réponse

______________________________________________________________

voilà tu as du travail pour un petit moment fais ceci tranquillement rien ne presse j'attends les rapports demandés

A+

glops31 /-----------\ Une désinfection inachevée est inutile... /------------
----------------------/ Qui prend conseil est près de bien faire.\------------
1
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
Modifié par niceuser le 17/04/2010 à 16:59
Bonjour,

Voilà le boulot fait mais qq pbm rencontrés que je te détaille dans l'ordre de ce que tu m'as demandé.

1) MàJ Java => Ok mais je n'ai pas fait d'update, j'ai tout désinstallé et réinstallé, le problème est que:
j'ai passé par le panneau de conf puis Ajout / Suppression de programmes et j'ai désinstaller "java runtime environement" et "java"
=> Lors de la réinstallation tout c'est bien passé mais dans "Ajout / Suppression de programmes " il n'y a désormais plus que "java6 update 20"
Ou est passé java runtime environement" ?

2) Adobe Acrobar Reader l'insall a stoppé avec ce message (j'ai fais 2 tentatives, résultat idem,)
http://www.cijoint.fr/cjlink.php?file=cj201004/cijdzYmARc.doc
A noter que il y a qq semaine j'ai voulu via msconfig décoché des prg qui se lançaient au démarrage de Windows et j'ai reçu comme message que je n'était pas administrateur ce qui est on contradiction avec la gestion des profils...

3) HijackThis => "do a system scan only" => OK, j'ai cocher les 02 et 03 que tu avais mis en gras puis qq 04 et Fix Checked.

4) ZHPFix: H (« coller les lignes Helper ») => OK mais je l'ai fait 3 fois car j'attendais que cela me génère un fichier .txt et puis finalement j'ai fais ctrl A, C, V et voici le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201004/cijqWz5nQE.txt
Est ce que ça pose un pbm de l'avoir fais 3 fois ?

5) Ccleaner: je l'avais depuis longtemps et n'avais pas installer la barre yahoo ou autres mais j'ai qnd même désinstaller ma version et pris la slim.
OK tout a été fait. J'aurais qnd même une ou 2 questions sur le param. avancé (car le tuto se base une vieille version).

6) ZHPFix_A: OK voilà le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201004/cij9aAErLG.txt
et les questions:
http://www.cijoint.fr/cjlink.php?file=cj201004/cijyRmjYRI.doc

Voilà j'ai voulu le faire hier mais je manque tellement de sommeil...

Merci d'avance pour tes conclusions, éclaircissements et pour la suite.

Meilleures salutations
0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
17 avril 2010 à 20:22
Ps:
http://www.cijoint.fr/cjlink.php?file=cj201004/cij7MXadF3.doc
0
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
13 avril 2010 à 23:49
c'est un peu cours,tu ne trouves pas?
0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
Modifié par niceuser le 13/04/2010 à 23:53
Désolé, je ne maitrise pas le forum, tu peux m'aider? J'ai déjà les rapports FindyKill
0
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
Modifié par glops le 14/04/2010 à 00:47
je vois que tu as posté le rapport de nettoyage avant même que je te demande de faire la manip ,pendant que je rédigeais ou que je me baladais sur d'autres sujets.

es tu sûr que tu as besoin de moi? lol
0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
14 avril 2010 à 00:55
J'ai qnd même parcourus les réponses concernant ce sujet avant de poser la question. C'est l'interprétation des rapports qui n'est pas complètement à ma portée et qui demande une analyse personalisée, sinon il y aurait un tutorial avec qq variantes non ?

Chouette tu n'est pas couché!
0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
14 avril 2010 à 10:50
Voilà je reste bien sagement ici... ;-)

Je ne doute pas que tu connaisses la procédure, c'était juste pour info car il y a dans ce traitement des éléments que j'aimerais mieux comprendre ou qui me semblent ne pas avoir été traités.

Je le repète je ne connais pas très bien les forums et je ne sais pas (d'une manière générale) qui me réponds et si je dois prendre toutes les réponses pour argent comptant (j'ai vu des réponses à des qustions complètement à côté, voire dangereuse) je me demandes donc si n'importe qui peux dire n'importe quoi ou s'il faut un certain status pour "avoir le droit" de traiter une infection et être sur que la personne qui la traite est capable de la faire aussi bien qu'un autre.... Question légitimes non? (surtout qnd on vien de ce prendre un bagle....

Mais heureusement je me sens entre de très bonne main, m'excuse pour mes qq maladresses de novice impatient, je suis juste un peut paniqué c'est tout...

J'espère que tu auras un peu de tmps ce soir, sinon j'attendrai mais la qustion est: y'à t'il des mesures à prendre en urgence en attendant ? Et dans le rapports que je t'ai posté, un "élément" de Ahead (donc Nero mon soft de gravure et ....de backup...) à été supprimé et donc à court terme je me demande si cela peux affecter la gravure (je dois faire des backup ce soir...

Meilleures salutations et bonne journée
0
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
15 avril 2010 à 00:03
non fais le en mode normal
0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
Modifié par niceuser le 15/04/2010 à 09:38
http://www.cijoint.fr/cjlink.php?file=cj201004/cijZdUb0FY.txt

http://www.cijoint.fr/cjlink.php?file=cj201004/cijEvBysxu.txt

Voilà! Il a tourné longtemps... Je te joins aussi le rapport Kapersky (qui s'est affolé pendant le

scan par Malwarebytes).

Le commentaire du 15 avr 2010 à 07:52 est à ignorer (il contient les mêmes rapport que ci-

dessus, je les posté en 4ème vitesse ce matin...)

Merci d'avance

Ps: Ma question sur le mode sans échec était liée au fait que je croyais qu'il était plus facile

d'éliminer des éléments qui ne sont pas en activité.

A noter aussi qu'au tout début lors de la phase 2 de FindyKill (Suppression / Nettoyage) mon

ordi était connecté, je n'ai coupé la connexion qu'à 60% du process...
0
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
15 avril 2010 à 19:56
ok,j'ai cru que tu avais fait un scan ,j'ai lu top vite dsl

en fait il a travaillé en même temps que MBAM et a supprimé les fichiers au fur et à mesure que MBAM les ouvrait
si je ne m'abuse..

pas de problème kaspersky a travaillé proprement ,on en attendait pas moins de lui. aucun souci pour la suite ;)

ton norton a t'il bien fonctionné pour tes back up?

à plus tard

0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
15 avril 2010 à 22:39
Hello,

Voilà je suis enfin en ligne.

Je fais un zhpdiag, suivi par un hijackthis comme tu me l'a demandé (malgré le malentendu sur le fait que je n'ai pas fais de scan Kapersky) ?

Tu écris "si je ne m'abuse.. " => Y'a t-il un doute ?

Tu écris aussi "ton norton a t'il bien fonctionné pour tes back up?" => ?? Tu voulais dire Nero de Ahead ?

Let me know.

Merci et à quand tu peux
0
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
15 avril 2010 à 22:50
bonsoir

Y'a t-il un doute ? 
=> non

je voulais dire nero bien sûr,lorsqu'on utilise Kaspersky il y a longtemps qu'on a mis norton aux oubliettes ;-))

c'est parti pour zhpdiag et hjt

A+

0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
15 avril 2010 à 23:21
http://www.cijoint.fr/cjlink.php?file=cj201004/cijriO5ptL.txt

http://www.cijoint.fr/cjlink.php?file=cj201004/cij59LyvDw.txt

(cijoint.fr n'a pas aimé le.log de hjt, j'ai donc du changer l'extention en .txt...)

(http://free.antivirus.com/hijackthis/ => la taille est de 392Ko versus 793, j'ai pris la tienne mais comment ça ce fait ?)

A tte
0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
16 avril 2010 à 11:38
Bonjour,

Pas de nouvelles ?

Salutations
0
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
17 avril 2010 à 21:20
effectivement ZHP n'a pas tout vu


=> Télécharge ToolsCleaner: http://pc-system.fr/
=> enregistre le sur ton Bureau
=>Double-clique sur ToolsCleaner2.exe et laisse le travailler
=> Clique sur Recherche et laisse le scan se terminer.
=> Clique sur Suppression pour finaliser.
=>Tu peux, si tu le souhaites, te servir des Options facultatives.
=> Clique sur Quitter, pour que le rapport puisse se créer.
=>Le rapport (TCleaner.txt) se trouve à la racine de ton disque dur (C:\)...colle le dans ta prochaine réponse
0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
17 avril 2010 à 21:52
Bonsoir,

Je suis en ligne, je fais ToolsCleaner tt de suite.

Mais quid de tous les autres pbm ci dessus ? (17 avr 2010 à 16:53 )

A tte
0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
17 avril 2010 à 22:13
Il n'a tjrs pas supprimé FindyKill...
http://www.cijoint.fr/cjlink.php?file=cj201004/cijNSdIxYf.txt
0
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
17 avril 2010 à 22:20
OK,nous allons l'auto-détruire ;-)

[*] Double clic sur le raccourci FindyKill présent sur ton bureau

[*] Choisi option 5 ( Désinstaller )



sinon quels problèmes?,je n'en vois qu'un moi =>tu n'as pas pu installer adobe reader
re-désinstalle le ,nettoie le registre avec ccleaner et tente de le réinstaller

tu as désinstallé les anciennes versions et installer la dernière 6 update 20, c'est tout ce dont tu as besoin,quel est le souci?
0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
17 avril 2010 à 23:41
Ok je l'ai détruit (c'était l'option 4 dans cette version), mais il y a tjrs le .rar:
http://www.cijoint.fr/cjlink.php?file=cj201004/cij7MXadF3.doc
Je l'ai effacé ainsi que les sous dossiers encore présents dans prg files.

Puis j'ai effacé les setups de FyK, ZhpDiag et ToolsCleaner qui étaient sur le bureau.

Je vais réessayer acrobat reader.

Concernant Java "java runtime environement" était dans la liste des programmes installés, visible dans "Ajout / Suppression de programmes " je l'ai supprimé ainsi que l'ancienne vers. de Java. En installant la nouvelle 6 up 20, "java runtime environement" ne s'est pas réinstallé.

Est ce que ttes les quarantaines sont vidées ?

En nettoyant le registre cclener m'a demandé si je voulais garder les fichiers .reg, j'ai dis oui. Je doi les garder ?

On en est à la fin, c-à dire supprimé les pts de restau et en recréer un nouveau "post infection" ?

Besoin de dernier scan de contôle ?

Merci
0
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
18 avril 2010 à 00:01
"java runtime environement" ne s'est pas réinstallé. => obsolète puisque remplacé par la dernière version

si je voulais garder les fichiers .reg, j'ai dis oui =>c'est une sauvegarde en cas d'erreur,personnellement je fais confiance à ccleaner et je ne sauvegarde pas ,mais chacun fait comme il veut ;-)

par contre il faut bien les supprimer sinon => pas de nettoyage du registre
donc tu sauvegardes ou pas mais ensuite tu supprimes tout et tu refais la manip plusieurs fois jusqu'à ce qu'il ne trouve plus rien

le message sera aucune erreur trouvée

on supprime tout les anciens points de restauration pour éviter de remettre les malwares qui s'y trouve dans le pC
Kaspersky si tu te rappelles en a supprimé beaucoup,mais pas tous

ensuite le fait de créer un point de restau manuellement est pour savoir le retrouver facilement et savoir que c'est celui qui a suivi la désinfection grâce au nom qu'on lui donne
windows créera un point en automatique mais il le nomme à sa façon

un scan de contrôle si tu veux,oui

est ce que tout fonctionne sur ton PC t comment se comporte t'il?



0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
Modifié par niceuser le 18/04/2010 à 00:37
Mon PC va bien! Grace à toi merci !

Alors je fais l'étape pt de restau et c'est fini ?

Puis le scan de ctrl avec Kaper ou MBAM ou les 2 ?

Tu considères que la désinfection est réussie à 100% et que plus rien n'est en quarantaine nul part, bref que tt est ok?
0
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
18 avril 2010 à 01:04
je m'aperçois que je ne t'avais pas donné la manip pour les points de restauration voilà qui est réparé,je comptais le faire plus tard mais tes questions m'ont perturbé..lol ;-))
plus sérieusement j'attendais de voir si tout allait bien,la restauration permettant de revenir en arrière au cas où le PC plante(on est jamais à l'abri)
quitte à remettre les malwares et à recommencer la désinfection.

=>donc fais d'abord un kaspersky

tu peux vider la quarantaine de MBAM
________________________________________________________________

TRES IMPORTANT

Pour éviter de re-infecter ton ordinateur, tu vas maintenant supprimer les points de restauration et en créer un nouveau , pour cela:
=> Il faut désactiver et réactiver la restauration système suis ce tutoriel pour t'aider: http://www.libellules.ch/desactiver_restauration.php
=> Il faut ensuite créer un point de restauration manuellement, pour t'aider suis ce tutoriel:https://www.micro-astuce.com/depannage/creer-restauration-systeme.php

________________________________________________________________

L'ordinateur est maintenant débarrassé de tous les malwares ,il faut retenir qu'aucun antivirus ou Antispyware ne le protègera à 100% ,la prudence est de rigueur sur le net ,tu trouveras des information à propos de la sécurité sur internet en lisant ce fichier pdf: https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf provenant du site de malekal_morte ,il fait parti d'un projet anti-malware et je t'invite à le diffuser autour de toi.

j'attends le rapport Kaspersky et ensuite si tout va bien tu pourras mettre le topic en "résolu"

0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
18 avril 2010 à 01:15
Oups je l'ai fait un peu tot.... En effet tu m'avais dit bien plus haut que Kapersky avait supprimé la quarantaine de MBAM...
Ce que je vient de faire: Déinstaller MBAM puis le réinstaller (pas vraimant de sens mais est-ce que en faisant cela ça aurait vidé l'éventuelle quarantaine résiduelle ?)

Puis la phase point de restau a été faite...

Je fait un scan complet Kapersky puis MBAM et je te post les rapports.
0
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
18 avril 2010 à 01:28
ça aurait vidé l'éventuelle quarantaine résiduelle ?=>bin oui evidemment, ;-) mais pour vider la quarantaine de MBAM il suffit d'ouvrir le programme et sous l'onglet quarantaine supprimer tout ou partie des fichiers présents
garde MBAM, c'est un très bon logiciel.
0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
18 avril 2010 à 10:31
Bonjour,

J'ai fais un scan complet avec Kapersky mais avec la nouvelle interface je suis un peu perdu alors je poste 2 rapports, dis moi si ce sont les bons. Fais ctrl F dans un des deux rapport et tu verras le virus HEUR.... Qu'en est il ???????
Puis scan MBAM

Voici les rapport:

Kapersky:
http://www.cijoint.fr/cjlink.php?file=cj201004/cijRuqmVC7.txt
http://www.cijoint.fr/cjlink.php?file=cj201004/cijLVhlU79.txt

MBAM:
http://www.cijoint.fr/cjlink.php?file=cj201004/cijmEyPA0I.txt
Quarantaine MBAM:
http://www.cijoint.fr/cjlink.php?file=cj201004/cij8dE1c8s.doc

Merci
0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
18 avril 2010 à 11:03
Ps:

Accessoirement toujours le même problème avec l'install de Acrobat Reader malgré tes recommandations, 3ème tentative:
http://www.cijoint.fr/cjlink.php?file=cj201004/cijAfO6Csu.doc
0
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
18 avril 2010 à 12:02
aucun des deux rapports postés ne sont des rapports de scan de kaspersky ,ce sont des journaux d'évènements
=>regarde les dates sur la gauche

le scan MBAM est clean
pourquoi n'as tu pas encore vidé la quarantaine de MBAM?

pour "Adobe Reader",je comprends pas, désinstalle adobe reader et essaie d'installer un lecteur de PDF comme https://www.sumatrapdfreader.org/download-free-pdf-viewer.html

0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
18 avril 2010 à 18:26
Salut,

Tu m'avais dis que Kapersky avait vidé la quarantaine de MBAM (voir plus haut).

Comment avoir le rapport de scan complet de Kapersky ? (il est mentionné dans les journaux d'évènements ?

Je ne peux pas désinstaller adobe reader puisqu'il n'est pas installé... et je n'aimerais pas d'autre lecteurs j'aimerais comprendre ou est le pbm.

Je vide la quarantaine de MBAM

Merci encore et toujours
0
glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
Modifié par glops le 18/04/2010 à 18:47
t'es du genre "méticuleux" toi :-)

il va faloir faire des recherches par toi même ,Google est ton ami comme on dit souvent...
je ne suis pas utilisateur de kaspersky et j'ai d'autres désinfectiions sur le grill,ici et sur d'autres forums ;-))

je 't'ai dit parce-que c'est visible sur le rapport que tu avais fourni qu Kaspersky avait supprimé ce que malwarebytes trouvait au moment où il faisait son scan

ensuite je t'ai dis ceci;
en fait il a travaillé en même temps que MBAM et a supprimé les fichiers au fur et à mesure que MBAM les ouvrait

bon et même si kaspersky n'avait pas tout supprimé et qu'il rste des fichiers à supprimer dans la quarantaine De MBAM,où est le problème tu la vides et basta...

pour le problème de Adobe reader ,je sais pas que te dire tente de poser la question dans une autre section du forum ,bureautique par exemple

pour moi il n'y a plus de malware ,bagle est éradiqué,mon travail s'arrête ici

sauf si Kaspersky a trouvé qq chose => tu mets en résolu si tu es d'accord.......content d'avoir pu t'aider

Bye ;-)


glops31 /-----------\ Une désinfection inachevée est inutile... /------------
----------------------/ Qui prend conseil est près de bien faire.\------------
0
niceuser Messages postés 51 Date d'inscription lundi 12 avril 2010 Statut Membre Dernière intervention 21 avril 2011
Modifié par niceuser le 19/04/2010 à 10:03
Bonjour,

Tout d'abord je tiens à te remercier vivement pour ton aide précieuse !

En effet je suis méticuleux et perfectioniste... ;-) Ca a ses avantages et ses inconvenients... ;-)

J'ai qnd même une petite question vue dans les journaux d'évènements de Kaper:
La présence de HEUR m'inquiète, qu'en penses-tu ?

1er journal:

14.04.2010 23:15:58 Interdit: HEUR:Exploit.Script.Generic Internet Explorer http://wvwv.canadianmedworld.com/show_ch/fsf7gpohdscddoofc.php?hv=6&lv=0&rv=0//data0000
14.04.2010 23:15:58 Détectés: HEUR:Exploit.Script.Generic Internet Explorer http://wvwv.canadianmedworld.com/show_ch/fsf7gpohdscddoofc.php?hv=6&lv=0&rv=0//data0000
14.04.2010 23:15:05 Interdit: HEUR:Exploit.Script.Generic Internet Explorer http://wvwv.canadianmedworld.com/show_ch/fsf7gpohdscddoofc.php?hv=6&lv=0&rv=0//data0000
14.04.2010 23:15:05 Détectés: HEUR:Exploit.Script.Generic Internet Explorer http://wvwv.canadianmedworld.com/show_ch/fsf7gpohdscddoofc.php?hv=6&lv=0&rv=0//data0000

2ème journal:

État : Infecté (événements : 1)
14.04.2010 23:15:05 Infecté virus HEUR:Exploit.Script.Generic http://wvwv.canadianmedworld.com/show_ch/fsf7gpohdscddoofc.php?hv=6&lv=0&rv=0//data0000 Elevées

Je vais chercher le rapport de mon scan complet Kapersky et je te le posterais.

Pour le reste (adobe reader) je me débrouille, croyant que ça aurait pu être lié a ce que j'ai attrapé je t'ai posé la question mais si ça n'a rien à voir, il est évident que c'est à moi de m'en occuper.

Bref il n'y a que HEUR qui m'inquiète... à ce stade

Je te remercie encore énormenment, te souhaite une bonne journée et dès que tu m'auras répondu sur HEUR, je mets en résolu.
0