impossible a redemmarrer !!!

Question

Bonsoir a tous
depuis qqs jours, j'avais parfois quelques petits soucis: trojan bloqués puis vidés;
MalwareBytes trouvé peu ou rien.

Et là , j'ai trouvé qu'il y avait un truc qui clochait; j'ai voulu redemmarer et impossible: au demmarrage , j'ai une "boucle". J'ai un ecran qui arrive avec un long message puis un choix: 
demarrer sans echec
ancienne bonne config
demarrer normelement  


que je fasse n'importe quoi, ça revient au meme ecran et c'est tout 
d'où "la boucle" 
HELP PLEASE que dois je faire ???
merci d'avance 

Configuration: Windows Vista / Firefox 3.6.3

théo02 · Accepted Answer

Bon , j'ai mis le CD 
f 8 pour boot menu  puis j'ai mis la ligne HL-DT...
mais, rien ; la "boucle " reprend .
j'ai ssayé de voir la ligne SAMSUNG , j'ai eu ensuite 2 lignes: 
P.M SAMSUNG SV080...
Bootable add-in cards

c'est là qu'il faut que j'aille


Et au fait , lors de ma boucle , j'ai un moment le choix entre windws XP ou console de récupération , j'ai laissé sans toucher.

ep44 · Answer

Bonjour,


Peut-être une solution :

Télécharge : http://ottools.noahdfear.net/OTLPE_Network.iso
ou
http://oldtimer.geekstogo.com/OTLPE.iso

Une fois fait il te faut graver cette iso sur un CD, il deviendra un CD bootable.

Un aperçu > https://forum.malekal.com/viewtopic.php?t=23453&start=

Boot dessus et une fois OTLPE lancé , tu lances l'icône jaune OTLPE.

Pour booter dessus deux possibilités 

1/ Au lancement de ton ordinateur tu as un écran qui t'indique plusieurs possibilités de démarrage, tu en as un qui qui marqué boot.
Si par exemple tu as "F12 boot menu" il te faut rester appuyer sur F12.
Si tu n'as pas été assez rapide il te faut redémarrer et appuie sur le F.. avant cet écran.
Ensuite tu choisis de lancer le démarrage sur CD-Rom en ayant bien évidemment mis le CD.

2/ Intervenir dans le bios pour modifier la séquence de boot.
En général tu y accède en tapotant sur la touche DEL/Suppr au lancement de ton PC.
Pour cela regarde ceci
https://www.commentcamarche.net/faq/7322-booter-sur-cd-changer-sequence-de-boot

&#9830; "Do you wish to load the remote registry", select Yes
&#9830; "Do you wish to load remote user profile(s) for scanning", select Yes
&#9830; Vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK

&#9830; sous Custom Scan box copie/colle le contenu ci dessous:

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT



&#9830; Clique sur Run Scan pour démarrer le scan.
&#9830; Une fois terminé , le fichier se trouve là C:\OTL.txt
&#9830; Copie/colle le contenu dans ta prochaine réponse


Utiliser https://www.cjoint.com/  pour poster les rapports.
Merci

ep44 · Answer

Je pense que tu dois booter sur celui-ci 
HL-DT-STDVD

ep44 · Answer

As tu graver ton CD correctement ? 
Si un doute utilise CDBurnerXP très simple d'utilisation.
Si tu as des doute sur le boot passe par le bios
Intervenir dans le bios pour modifier la séquence de boot.
En général tu y accède en tapotant sur la touche DEL/Suppr au lancement de ton PC.
Pour cela regarde ceci
https://www.commentcamarche.net/faq/7322-booter-sur-cd-changer-sequence-de-boot

théo02 · Answer

je verifie ça car en effet , j'ai fais ce qu'il fallait, je viens meme d'aller dans mon sequence boot pour mettre CD rom en first.
J'entends le cd qui part puis boot from cd  2 sec puis ça part , on a l'impression que c'est bon puis ... rien.
Je vois ça 
merci

théo02 · Answer

il s'agissait bien d'un prob de gravure...
donc je viens de lancer OTLPE , j'attends
Au fait , c'est special ce logiciel (je suis loin d'etre un pro); apres si tout s'est bien passé, on retrouve SON ordi ?? parce que là ça fait drole....

Encore merci.

théo02 · Answer

Voici le rapport ; enfin j'epere...

https://www.cjoint.com/?eAvZSX4EZw

ep44 · Answer

J'examine ce rapport et je te réponds à la suite, il me faut un peu de temps :)

théo02 · Answer

Mille mercis !!
je dois y aller car je suis sur l'ordi de mon fils qui doit se coucher..

S'il te plait NE M'ABANDONNES PAS !!! on voit ça demain  ;)

ep44 · Answer

Je n'ai trouvé que quelques driver qui semble pas très clair.  

Relances OTLPE,  


&#9830; Double-clique  sur l'icône OTLPE  
&#9830; Ensuite tu auras ces fenêtres :  

&#9830; "Do you wish to load the remote registry", select Yes  
&#9830; "Do you wish to load remote user profile(s) for scanning", select Yes  
&#9830; Vérifie que "Automatically Load All Remaining Users" est sélectionné et press OK  

Sous Custom Scan box copie_colle les lignes ci_dessous.  


:OTL  
[2010/04/26 15:04:51 | 000,574,464 | ---- | M] () -- C:\WINDOWS\System32\drivers\gjpqq.sys    
[2010/04/18 05:22:35 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\gntzlf.sys    
[2010/04/16 03:01:54 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\dpzudt.sys    
[2010/04/13 11:13:50 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\oqzmuta.sys    
 [2010/03/04 15:01:19 | 000,000,016 | ---- | C] () -- C:\Documents and Settings\NetworkService\Application Data\rbuwzv.dat    




Clique sur  "Run Fix "!!!   
&#9830; Une fois terminé , le fichier se trouve là C:\OTL.txt  
&#9830; Copie_colle le contenu dans ta prochaine réponse.  

Essaye aussi de redémarrer sans le CD et voir si ton système ce lance.  

C'est généralement lorsque le disque dur plante qu'on se rend compte qu'on a oublié de le sauvegarder.

théo02 · Answer

hello me revoilà

voilà ce rapport; c'est petit ...

========== OTL ==========
C:\WINDOWS\system32\drivers\gjpqq.sys moved successfully.
C:\WINDOWS\system32\drivers\gntzlf.sys moved successfully.
C:\WINDOWS\system32\drivers\dpzudt.sys moved successfully.
C:\WINDOWS\system32\drivers\oqzmuta.sys moved successfully.
C:\Documents and Settings\NetworkService\Application Data\rbuwzv.dat moved successfully.
 
OTLPE by OldTimer - Version 3.1.38.0 log created on 04272010_145020

ep44 · Answer

Bonsoir, 

Ton premier message disais que tu ne pouvais pas démarrer dans ce mode.
Est-ce suite au passage de OTLPE  que tu as pu ? 

Alors nous allons tout de même faire une contrôle car certain Malwares ne sont pas forcément visible dans le mode ou tu as travailler.

Pour cela :

&#9674;&#9674;&#9674; Télécharge OTL sur ton Bureau. &#9674;&#9674;&#9674;

       &#9830; Double-clique sur l'icône pour le lancer. Assure toi que toutes les autres fenêtres de Windows soient fermées et de le laisser travailler.
       &#9830; Lorsque la fenêtre apparaît, cochez Rapport minimal sous Rapport en haut de la fenêtre.
       &#9830; Coche les cases Recherche Lop et Recherche purity. en bas de la fenêtre:
       &#9830; Sous la zone Personnalisation, copie/colle ceci :

      netsvcs
      %SYSTEMDRIVE%\*.exe
      msconfig
      safebootminimal
      safebootnetwork
      activex
      /md5start
      explorer.exe
      wininet.dll
      mshtml.dll
      wuauclt.exe
      atapi.sys
      /md5stop
      %systemroot%\*. /mp /s



      &#9830;Clique sur le bouton Run Scan. Ne chance aucun paramètre si on ne te l'a pas demandé. L'analyse prendra peu de temps.
       &#9830; Une fois l'analyse terminée, cela ouvrira deux fenêtres du Bloc-notes Windows : OTL.txt et Extras.txt. Ils sont sauvegardés au même endroit que OtL.
       &#9830; Copie/colle (Éditer -> Sélectionner Tout, Éditer -> Copier) le contenu des deux fichiers ici, un par message stp.

théo02 · Answer

Salut 
alors oui a ta question ; c'est apres la manip CD iso + OTL ; maintenant  je démarre normalement.

Avant de te balancer le rapport, je constate un truc bizarre ,ça ne faisait pas ça avant: quand j'ouvre C: je vois des fichiers cachés (c'est bien ça ils sont "clairs" ?)
Ces fichiers me rappellent (pas tous )enfin je crois des soucis que j'avais eu; des trucs bloqués ... ou alors c'est moi...

Sinon je trouve pas le fichier Extras.txt, j'ai cherché partout . Le fichier OTL.text s'est mis sur le bureau.
le voici

https://www.cjoint.com/?eCoKgyTsKx

ep44 · Answer

Bonsoir, 

Normal de ce posé des questions, oui les outils peuvent parfois faire des choses qui te perturbe mais il faut les laisser travailler.

Pour la suite :

 &#9674;&#9674;&#9674;Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)  &#9674;&#9674;&#9674;

Miroir: 
https://www.androidworld.fr/ 

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ 

 &#9830; Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

 &#9830; Double-clique sur l'icône Ad-remover située sur ton Bureau. 
 &#9830; Sur la page, clique sur le bouton « Scanner » 
 &#9830; Confirme lancement du scan 
 &#9830; Laisse travailler l'outil. 
 &#9830; Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

théo02 · Answer

je remets mon message , je croyais pourtant que je venais de te l'envoyer... bref 

le voilà : 

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,C | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 27/04/10 à 22:00
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 22:22:31 le 28/04/2010 | Mode normal | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM)  Service Pack 2 - X86
Nom du PC: SN400066460006
Utilisateur actuel: dupont
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
C:\Documents and Settings\All Users\Application Data\Viewpoint
C:\Documents and Settings\dupont\Application Data\Viewpoint
C:\Program Files\Viewpoint
.
HKCU\Software\Viewpoint
HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKLM\Software\Classes\TypeLib\{4F7D1B07-6203-41F0-947B-A29CC9ECD9B0}
HKLM\Software\Classes\TypeLib\{9DBB28C1-1925-11D3-A498-00104B6EB52E}
HKLM\Software\MetaStream
HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Viewpoint Manager
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
HKLM\Software\Viewpoint
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6.3 (fr) *
.
C:\Documents and Settings\dupont\..\x7nmko8o.default\prefs.js - browser.download.dir: C:\Documents and Settings\dupont\Bureau
C:\Documents and Settings\dupont\..\x7nmko8o.default\prefs.js - browser.download.lastDir: C:\Documents and Settings\dupont\Mes documents\photo pour gravage
C:\Documents and Settings\dupont\..\x7nmko8o.default\prefs.js - browser.search.defaultenginename: Bing
C:\Documents and Settings\dupont\..\x7nmko8o.default\prefs.js - browser.search.defaulturl: hxxp://www.bing.com/search?FORM=IEFM1&q=
C:\Documents and Settings\dupont\..\x7nmko8o.default\prefs.js - browser.search.selectedEngine: Google
C:\Documents and Settings\dupont\..\x7nmko8o.default\prefs.js - browser.startup.homepage: hxxp://www.orange.fr/
C:\Documents and Settings\dupont\..\x7nmko8o.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
C:\Documents and Settings\LocalService\..\9izhznjx.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
.
TROUVÉ: C:\Documents and Settings\dupont\..\x7nmko8o.default\prefs.js - user_pref("extensions.opensearch@ask.com.install-event-fired", true);
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
SearchAssistant: hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
============== SUSPECT(S) ==============
.
C:\Documents and Settings\dupont\Mes documents\Installation logiciels divers\Net.Image.Pro.Plus.Edition.v5.0.5.0.WinALL.RETAIL.Cracked-ARN\arn-ni51.zip
C:\Documents and Settings\dupont\Mes documents\Installation logiciels divers\Net.Image.Pro.Plus.Edition.v5.0.5.0.WinALL.RETAIL.Cracked-ARN\arn.nfo
C:\Documents and Settings\dupont\Mes documents\Installation logiciels divers\Net.Image.Pro.Plus.Edition.v5.0.5.0.WinALL.RETAIL.Cracked-ARN\crack
eatimage.exe
C:\Documents and Settings\dupont\Mes documents\Installation logiciels divers\Net.Image.Pro.Plus.Edition.v5.0.5.0.WinALL.RETAIL.Cracked-ARN
eatsetup.exe
C:\Documents and Settings\dupont\Mes documents\Installation logiciels divers\Photomatix.Pro.v2.1.0 Final.incl.Keygen.-Cafe\Keygen\cafe.nfo
C:\Documents and Settings\dupont\Mes documents\Installation logiciels divers\Photomatix.Pro.v2.1.0 Final.incl.Keygen.-Cafe\PhotomatixPro21.exe
C:\Documents and Settings\dupont\Mes documents\Installation logiciels divers\Photomatix.Pro.v2.1.0 Final.incl.Keygen.-Cafe.rar
.
========================================
.
C:\DOCUME~1\dupont\LOCALS~1\Temp: 11 Fichier(s), 5 Dossier(s)
C:\WINDOWS	emp: 13 Fichier(s), 10 Dossier(s)
Temporary Internet Files: 53 Fichier(s), 5 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 1 Fichier(s)
.
C:\Ad-Report-SCAN[1].txt - 5200 Octet(s)
.
Fin à: 22:32:01, 28/04/2010
.
============== E.O.F - SCAN[1] ==============

théo02 · Answer

Comprends pas: deux fois que mon message se disparait...
peut etre que mon rapport doit etre en piece jointe... 
alors voilà 

https://www.cjoint.com/?eCwS7VKLGN

ep44 · Answer

Oui le faite de poster en pièce jointe pose moi de soucis ;)

Relance AD-Remover et choisis l'option de nettoyage et post le rapport qui en découle.
Une fois fait relance de nouveau AD-Remover et choisi l'option de désinstallation  de l'outil

Ensuite :

&#9674;&#9674;&#9674; Télécharge  Ccleaner &#9674;&#9674;&#9674;

&#9830; Aide toi de ce tuto pour l'utiliser 
http://www.swl1f.net/viewtopic.php?f=14&t=69



&#9674;&#9674;&#9674; Télécharge Malwarebytes &#9674;&#9674;&#9674;

Une aide pour l'installation 
http://www.swl1f.net/viewtopic.php?f=14&t=68


&#9830; Installe le 
&#9830; Lance malwarebytes
&#9830; Coche "Exécuter un examen complet"
&#9830; Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
&#9830; Clique sur Supprimer la sélection
&#9830; Pour poster le rapport Clique sur l'onglet Rapports/Logs, sélectionne celui t'intéresse et clique sur Ouvrir
&#9830; Fait copier coller et poste le rapport 

Utiliser https://www.cjoint.com/  pour poster les rapports.
Merci

théo02 · Answer

j'avais fait le nettoyage; ok  puis redemarrage mais du coup j'en ai perdu  le rapport ...
Au moment du redemarrage, j'ai eu Resident Spy bot qui m'a fait changer des trucs , j'ai accpeté tout (en gardant la possibilité de revenir dessus)
Du coup je peux pas t'envoyer le rapport. 
Je refais ça demain je dois te laisser .

ep44 · Answer

Bonjour, 

Il te faut désinstaller le tea-timer de Spybot S&D
Regarde ici en fin de page.
http://www.swl1f.net/viewtopic.php?f=14&t=152

théo02 · Answer

Bonjour 
je viens de refaire mon AD -remove clean et j'ai trouvé le rapport

Par contre j'ai redemmaré et en redemarrant j'ai le retour de mes 50 chevaux de troie detectés par Avira et que je mets en quarantaine.

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,C | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 27/04/10 à 22:00
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 13:01:17 le 29/04/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM)  Service Pack 2 - X86
Nom du PC: SN400066460006
Utilisateur actuel: dupont
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.

(!) -- Fichiers temporaires supprimés.
.
.
(Orpheline) BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} (CLSID manquant)
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6.3 (fr) *
.
C:\Documents and Settings\dupont\..\x7nmko8o.default\prefs.js - browser.download.dir: C:\Documents and Settings\dupont\Bureau
C:\Documents and Settings\dupont\..\x7nmko8o.default\prefs.js - browser.download.lastDir: C:\Documents and Settings\dupont\Mes documents\photo pour gravage
C:\Documents and Settings\dupont\..\x7nmko8o.default\prefs.js - browser.search.defaultenginename: Bing
C:\Documents and Settings\dupont\..\x7nmko8o.default\prefs.js - browser.search.defaulturl: hxxp://www.bing.com/search?FORM=IEFM1&q=
C:\Documents and Settings\dupont\..\x7nmko8o.default\prefs.js - browser.search.selectedEngine: Google
C:\Documents and Settings\dupont\..\x7nmko8o.default\prefs.js - browser.startup.homepage: hxxp://www.orange.fr/
C:\Documents and Settings\dupont\..\x7nmko8o.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
C:\Documents and Settings\LocalService\..\9izhznjx.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
.
EFFACÉ: C:\Documents and Settings\dupont\..\x7nmko8o.default\prefs.js - user_pref("extensions.opensearch@ask.com.install-event-fired", true);
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
============== SUSPECT(S) ==============
.
C:\Documents and Settings\dupont\Mes documents\Installation logiciels divers\Net.Image.Pro.Plus.Edition.v5.0.5.0.WinALL.RETAIL.Cracked-ARN\arn-ni51.zip
C:\Documents and Settings\dupont\Mes documents\Installation logiciels divers\Net.Image.Pro.Plus.Edition.v5.0.5.0.WinALL.RETAIL.Cracked-ARN\arn.nfo
C:\Documents and Settings\dupont\Mes documents\Installation logiciels divers\Net.Image.Pro.Plus.Edition.v5.0.5.0.WinALL.RETAIL.Cracked-ARN\crack
eatimage.exe
C:\Documents and Settings\dupont\Mes documents\Installation logiciels divers\Net.Image.Pro.Plus.Edition.v5.0.5.0.WinALL.RETAIL.Cracked-ARN
eatsetup.exe
C:\Documents and Settings\dupont\Mes documents\Installation logiciels divers\Photomatix.Pro.v2.1.0 Final.incl.Keygen.-Cafe\Keygen\cafe.nfo
C:\Documents and Settings\dupont\Mes documents\Installation logiciels divers\Photomatix.Pro.v2.1.0 Final.incl.Keygen.-Cafe\PhotomatixPro21.exe
C:\Documents and Settings\dupont\Mes documents\Installation logiciels divers\Photomatix.Pro.v2.1.0 Final.incl.Keygen.-Cafe.rar
.
========================================
.
C:\DOCUME~1\dupont\LOCALS~1\Temp: 0 Fichier(s), 5 Dossier(s)
C:\WINDOWS	emp: 2 Fichier(s), 14 Dossier(s)
Temporary Internet Files: 2 Fichier(s), 5 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 14 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 4299 Octet(s)
.
Fin à: 13:11:07, 29/04/2010
.
============== E.O.F - CLEAN[1] ==============

théo02 · Answer

Hello
je viens de refaire Clean et j'ai le Rapport
Par contre , un redemarrage, j'ai eu le retour de ma cinquantaine de Trojan detectés par Antivir et que je mets en quarantaine. C'est pénible. 
Mais je n'ai pas encore fait CCleaner.

le rapport 
https://www.cjoint.com/?eDnJd8wBRz

ep44 · Answer

Bonsoir,

Peut tu poster le rapport de ton Antivirus

théo02 · Answer

OK je ferai ça 
c'est tt de même drole: tout a l'heure j'ai donc eu ces trojans qui revenaient.
Et là ce soir je rallume et il bloque sur l'ecran où je dois choisir comment rallumer; il ne veut pas rallumer normalement , je dois choisir "dernier bonne config connue".
Ensuite encore un trojan qui passe...
Les trojans de tt l'heure ne sont pas encore vidé (de la quarantaine) , je dois le faire ??

ep44 · Answer

Oui vide les quarantaines, et surtout poste un nouveau rapport de ton Antivirus.

théo02 · Answer

hello 
ça y est j'ai fait mon long scan 
c'est vrai que je l'avais pas faitdepuis des mois 
Ce matin encore des problemes au demarrage: j'ai du encore démarrer "derniere bonne confug connue" 
+ ma serie de Trojan bloqués.  

Mais je reflechis: c'est normal, je bloque mes Trojans je les mets en quarantaine . 
Mais quand je redemarre, il ne veut pas redemarrer en mode normal (parfois oui...) et donc il me renvoie "derniere bonne config connue" donc je retrouve mes Trojans (????? je dis une connerie ??) 

Bref voilà le rapport Scan Antivir  

https://www.cjoint.com/?eEnAuYuLfq

ep44 · Answer

Bonjour,

Non pas de connerie ;)

Peut tu faire ce qui suit stp 

&#9674;&#9674;&#9674; Télécharger TDSSkiller de Kaspersky  sur le Bureau,&#9674;&#9674;&#9674;
    	&#9830; Dézipper l'archive sur le Bureau (Clic droit>Extraire ici),
    	&#9830; Un dossier TDSSkiller doit être créé sur le Bureau. Il doit contenir le fichier TDSSKiller.exe. Si ça n'est pas le cas, créer le dossier et y placer le fichier.
    	&#9830; Cliquer sur Démarrer>Exécuter puis copie/colle exactement ceci : "%userprofile%\bureau	dsskiller\TDSSKiller.exe" -l report.txt -v
    	&#9830; Valider avec la touche entrée.
    	&#9830; Une fenêtre noire se refermera lorsque l'outil aura terminé son analyse. Il n'y a normalement pas de redémarrage.
    	&#9830; Le rapport report.txt généré par l'outil est enregistré dans le dossier TDSSKiller., post ce rapport.

théo02 · Answer

ça marche pas : j'ai bien le fichier sur le bureau 
Je vais dans executer , je colle le truc mais j'ai le message: "... fait reference a un emplacement non dispo..."

le dossier qui est sur mon bureau , je l'ouvre pas c'est bien ça ?

théo02 · Answer

La fenetre n'est pas fermée 
j'ai la ligne :   "type delete to delete it" 

mais j'ai un rapport dans le dossier ; est ce fini ?

voilà le rapport que j'ai : 

22:01:06:265 0640	TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
22:01:06:265 0640	================================================================================
22:01:06:265 0640	SystemInfo:

22:01:06:265 0640	OS Version: 5.1.2600 ServicePack: 2.0
22:01:06:265 0640	Product type: Workstation
22:01:06:265 0640	ComputerName: SN400066460006
22:01:06:265 0640	UserName: dupont
22:01:06:265 0640	Windows directory: C:\WINDOWS
22:01:06:265 0640	Processor architecture: Intel x86
22:01:06:265 0640	Number of processors: 1
22:01:06:265 0640	Page size: 0x1000
22:01:06:265 0640	Boot type: Normal boot
22:01:06:265 0640	================================================================================
22:01:06:281 0640	ForceUnloadDriverW: Old driver(klmd21) unloaded successfully
22:01:06:781 0640	wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
22:01:06:781 0640	wfopen_ex: MyNtCreateFileW error 32 (C0000043)
22:01:06:781 0640	wfopen_ex: Trying to KLMD file open
22:01:06:781 0640	wfopen_ex: File opened ok (Flags 2)
22:01:06:781 0640	wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
22:01:06:781 0640	wfopen_ex: MyNtCreateFileW error 32 (C0000043)
22:01:06:781 0640	wfopen_ex: Trying to KLMD file open
22:01:06:781 0640	wfopen_ex: File opened ok (Flags 2)
22:01:06:781 0640	Initialize success
22:01:06:781 0640	
22:01:06:781 0640	Scanning	Services ...
22:01:07:140 0640	Raw services enum returned 347 services
22:01:07:156 0640	Suspicious serv Cdaudio (h: 0, b: 1)
22:01:07:156 0640	
22:01:07:156 0640	Hidden service detected!
22:01:07:156 0640	Service name:	Cdaudio
22:01:07:156 0640	Image path:	
22:01:07:156 0640	Type "delete" (without quotes) to delete it:

théo02 · Answer

T'es plus là ??
je dois vider ma quarantaine ? apres mon scan Antivir ?

Parce que là , j'aimerais  bien aller me coucher bientot ...

Et le dernier rapport ,  t'en pense koi ??

théo02 · Answer

Hello
nouvelle journée: mon pc a démarré normalement ce matin, jusque j'ouvre Firefox (je devrais d'ailleurs voir si ça l'aurait fait sans ouvrir firefox ou en ouvrant IE) j'ai alors ma série d'un cinquantaine de Trojan que je mets alors en quarantaine (pourtant vidée hier).
J'ai l'impression de voir les memes a chaque fois
Ils sont tous "sur" System32/Drivers...   ; ils sont par ordre alphabétique.

Sinon apres , ça va ...

a plus
merci pour le coup de main

ep44 · Answer

Bonjour, 

Le rapport de tdss n'est pas complet, mais pour le moment ne le refais pas.

Fait ce qui suit stp 

  &#9674; &#9674; &#9674; Télécharge Combofix depuis l'un des liens ci-dessous: &#9674; &#9674; &#9674;

      Lien 1
      Lien 2

      &#9830; IMPORTANT !!! Enregistre ComboFix.exe sur ton Bureau

    &#9830; Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils

    &#9830; Fait un double clic sur combofix.exe et suit les invites.

    &#9830; Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur ton PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage.

 &#9830; Suit les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

     &#9674; &#9674;  Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

&#9830; Une fois fait clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

&#9830; Lorsque l'outil aura terminé, il affichera un rapport, copie le contenu de C:\ComboFix.txt dans votre prochaine réponse.

théo02 · Answer

Hello 
merci d'etre encore là 
L'utilisation de Combofix me fait un peu peur...
J'ai démarré et il me dit qu'antivir est présent et que ça peut etre dangereux...
pourtant il est sur"desactivated"
alors j'ai arreté ...
que dois je faire ??

ep44 · Answer

Le parapluie est-il fermé ?
si oui continue

théo02 · Answer

ok alors j'y vais

théo02 · Answer

J'ai fini le scan
10 min env; il ne m'a rien demandé; il a redemarré puis maintenant j'ai encore la fenetre avec le message "préparation du compte rendu     Ne pas ouvrir de programmes..."
ça fait tout de meme 10 min , c'est long ? j'attends ?

théo02 · Answer

Évidement, il suffisait que je fasse ce dernier message sur l'ordi de mon fils pour que ce rapport arrive...

Au fait au redemarrage , j'ai encore eu deux trucs a bloquer (2 seulement)

Le voilà donc ce rapport:

https://www.cjoint.com/?fbxfWLTbfY

ep44 · Answer

Bonsoir, 

peut-tu faire ceci 

 &#9674;&#9674;&#9674; Télécharge load_tdsskiller de Loup Blanc sur ton Bureau  &#9674;&#9674;&#9674;


Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

&#9830; Lance load_tdsskiller en double-cliquant dessus : l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan

&#9830; A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande

&#9830; Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (le fichier est également présent ici : C:	dsskillereport.txt)

théo02 · Answer

Comment sait on que ce scan est fini ?? 
car la derniere fois tu m'as dit que le rapport n'etait pas complet . 

Je vois que sur C j'ai deja un rapport mais il est surement incomplet.

ep44 · Answer

Bonjour théo02, 

Peux tu te rendre sur ce site 
https://www.virustotal.com/gui/

et faire analyser ce fichier en gras
c:\windows\system32\drivers\klmd.sys 


Poste le rapport qui en découle stp

théo02 · Answer

Merci , le voilà

http://www.virustotal.com/fr/analisis/4e771fc675b1e367a31e457834199e6748ff57cb5dc0972a951dc12f46439f48-1271369319

ep44 · Answer

Très bien je te remercie ;)  

Pour la suite   

  
Sélectionne ceci :


KillAll::  

File::  
c:\windows\system32\drivers\hujfs.sys  

Driver::  
hujfs  



 &#9830; Copie le texte sélectionné (CTRL+C).  
 &#9830; Ouvre le bloc-notes (programme>Accessoires >bloc-notes).  
 &#9830; Veille à ce que Retour à la ligne ne soit pas coché dans Format. 
 &#9830; Colle le texte copié dans ce bloc-notes (CTRL+V).  
 &#9830; Sauvegarde ce fichier sous le nom de CFScript.txt  
 &#9830; Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme ceci   
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif  
 &#9830; Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!  
Ne touche à rien tant que le scan n'est pas terminé.  
 &#9830; Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.  
 &#9830; Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt  


Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.  
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.    



Une fois fait :  

Il te faut relancer le PC avec OTLPE est faire ce qui suit :  

Une fois lancé clique sur l'icone de OTLPE  

&#9830; sous Custom Scan box copie/colle le contenu ci dessous:  

netsvcs  
msconfig  
safebootminimal  
safebootnetwork  
activex  
drivers32  
%ALLUSERSPROFILE%\Application Data\*.  
%ALLUSERSPROFILE%\Application Data\*.exe /s  
%SYSTEMDRIVE%\*.exe  
/md5start  
C:\WINDOWS\system32\drivers\cdaudio.sys  
/md5stop  
%systemroot%\*. /mp /s  
%systemroot%\system32\*.dll /lockedfiles  
%systemroot%\Tasks\*.job /lockedfiles  
%systemroot%\system32\drivers\*.sys /lockedfiles  
%systemroot%\System32\config\*.sav  
CREATERESTOREPOINT

&#9830; Clique sur Run Scan pour démarrer le scan.  
&#9830; Une fois terminé , le fichier se trouve là C:\OTL.txt  
&#9830;Copie/colle le contenu dans ta prochaine réponse  


Utiliser https://www.cjoint.com/  pour poster les rapports.  
Merci   

C'est généralement lorsque le disque dur plante qu'on se rend compte qu'on a oublié de le sauvegarder.

théo02 · Answer

Juste un truc: je coupe Antivir pendant Combofix ??

ep44 · Answer

oui il te faut désactiver tes protections

théo02 · Answer

Ok , voici le rapport Combofix

https://www.cjoint.com/?fcqXqfoGT5

au redemarrage j'ai eu encore a bloquer un trojan; 
j'ai ce truc qui revient souvent: 

c:/windows/system32/drivers/adildr.sys

Proxi.small.agi. Trojan

?????

je fais le truc OTLPE

théo02 · Answer

Voilà le rapport OTL

https://www.cjoint.com/?fcrqRNnVdq

ep44 · Answer

Non tu t'ai trompé d'outil il te faut faire ce que je t'ai demandé plus haut avec OTLPE, utilise le cd que je t'ai fait graver au début de ta prise en charge

théo02 · Answer

Excuse !
j'ai donc mis le cd, redémarré et je suis donc arrivé sur "ce drole de truc" (le bureau qui n'est pas le mien)  ; )  
j'ai lancé OTLPE avec le truc copié 
et voici le raport

https://www.cjoint.com/?fctaVdY2Gz

théo02 · Answer

snif, tu n'es plus là...
j'aurais aimé savoir, et savoir que faire maintenant ,afin de récupérer mon ordi pour bosser ce soir...
j'imagine que tu dois etre bien débordé et que tu n'as pas que ça a faire
Encore merci , au nom de tous les membres "perdus" que tu aides.  ;)

ep44 · Answer

Bonsoir,  désolé repas de famille ce soir je jongle entre le PC est la table :)

Je dois aussi remercier Angélique qui ma guider pour ton sujet ;)
Car l'infection que tu as n'est pas des plus simple à traiter.

Télécharge ce ZIP et met le sur clé usb.
Laisse la clé usb branché sur le PC

Relance le CD de OTLPE

&#9830; une fois le bureau de reatogo chargé , tu lances OTLPE , l'icone jaune

&#9830; Double-click sur l'icone OTLPE
&#9830; quand demandé "Do you wish to load the remote registry", select Yes
&#9830; quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
&#9830; verifier que "Automatically Load All Remaining Users" est sélectionné et press OK

http://imagesup.org/image

&#9830; sous Custom Scan box  copie_colle le contenu du cadre ci dessous et clic RUNFIX

:OTL
DRV - File not found [Kernel | Boot] --  -- (gjpqq)
DRV - [2010/05/02 12:35:20 | 000,574,464 | ---- | M] () [Kernel | Boot] -- C:\WINDOWS\system32\drivers\kgkypmf.sys -- (kgkypmf)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {64D48BF8-CAA7-4F3F-ACEC-689381DD69F6} - No CLSID value found.
O32 - AutoRun File - [2010/03/07 13:53:26 | 000,000,000 | R--D | M] - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010/03/07 18:53:28 | 000,000,000 | R--D | M] - D:\autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2010/03/07 18:53:28 | 000,000,000 | RHSD | M] - F:\autorun.inf -- [ FAT ]
:files
C:\WINDOWS\System32\drivers\kgkypmf.sys
C:\WINDOWS\System32\drivers	bdkcwy.sys
:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole]
"SetCommand"=dword:00000001
"SecurityLevel"=dword:00000001

&#9830; Une fois terminé , le fichier se trouve là C:\OTL.txt  
&#9830; Copie_colle le contenu dans ta prochaine réponse.  
  
Mais avant de quitter le CD fait ce qui suit :
Ouvre la clé usb  
Ensuite fait Démarrer > My computer > Et rend toi ici  C:\Windows\System32\driver
Une fois le dossier drivers ouvert fait un clique droit sur le dossier cdaudio.zip (celui qui se trouve sur ta clé usb) et clique sur open, fait un glisser déposer de ce fichier "cdaudio.sys" dans le dossier driver.
Tu vas avoir un message te demandant si tu veux remplacer clique sur yes


Ensuite redémarre ton PC sur ton système en mode normal.

Une fois fait relance Combofix et poste le rapport

théo02 · Answer

t'es sûr de ton lien ZIP ; je comprends pas trop; je pensais l'enregistrer sur mon bureau puis sur cle mais je sais pas trop. Je fais comment ?

ep44 · Answer

Alors oui tout à fait sur, pour t'expliquer ce qui se passe :

Tu as une infections tdss, cette infection fait pas mal de dégâts ce qui à endommager ce driver légitimes "cdaudio.sys" il faut donc le remplacer comme je t'ai indiqué.

théo02 · Answer

donc je fais quoi; je fais un clic droit "enregistrer la cible du lien sous..." ?

ep44 · Answer

Prend le ici 


tu le télécharge sur ton Bureau et tu le mets ensuite sur ta clé. 
C'est généralement lorsque le disque dur plante qu'on se rend compte qu'on a oublié de le sauvegarder.

théo02 · Answer

bon, je crois avoir tout fait:
j'ai le rapport 
je viens de redemarré normal.

https://www.cjoint.com/?fcw7SHAcw2

théo02 · Answer

Voilà le rapport Combo

je vais me coucher 
a demain et encore merci

https://www.cjoint.com/?fcxyupkX73

ep44 · Answer

Bonjour, 


Très encore un travail pour finir le nettoyage,

1. Ferme tous les navigateurs ouverts.

2. Ferme/désactive tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

3. Ouvre le Bloc-notes et fait un copier/coller du texte situé ci-dessous dans le Bloc-notes:

KillAll::  

Driver::
gjpqq
kgkypmf
klmd21

File::
c:\windows\system32\drivers\klmd.sys



Enregistrez le fichier sous le nom CFScript.txt, au même endroit que ComboFix.exe


http://img.photobucket.com/albums/v666/sUBs/CFScriptB-4.gif

Comme sur l'image ci-dessus, fait glisser CFScript puis dépose-le sur ComboFix.exe

Lorsque l'outil aura terminé, il  affichera un rapport nommé C:\ComboFix.txt que tu posteras



Ensuite 

&#9674;&#9674;&#9674; Télécharge gmer sur le Bureau et dézippe-le (clic droit et extraire ici).&#9674;&#9674;&#9674;

&#9830; /!\important /!\ Désactive ton antivirus et autres protections
&#9830; Double-clique sur gmer.exe sur le Bureau.
&#9830; Clique sur l'onglet "Rootkit/Malwares",

&#9830; Laisse coché les cases suivantes :
System
Sections
Registry

Et la partition de ton system.
puis clique sur scan.

&#9830; A la fin du scan, clique sur le bouton copy.
vDans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
&#9830; Édite ce rapport dans ta prochaine réponse. 
Dit moi aussi comment ce comporte ton PC as tu toujours des soucis ?

théo02 · Answer

Hello
voila le rapport avec Combo

https://www.cjoint.com/?fdnQFKyagb

je ferai le second truc apres le boulot

sinon (on touche du bois) ça tourne bien...

théo02 · Answer

ça y est j'ai le rapport



GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-03 23:05:22
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\dupont\LOCALS~1\Temp\kfrorfow.sys


---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Mozilla Firefox\firefox.exe[2944] ntdll.dll!LdrLoadDll  7C9261CA 5 Bytes  JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                   avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice  \FileSystem\Fastfat \Fat                                                 avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- EOF - GMER 1.0.15 ----

théo02 · Answer

Salut 
ça a l'air d'aller depuis la derniere fois.
Tu voulais rajouter quelque chose ? ou je note comme résolu ?

En tout cas merci encore

ep44 · Answer

Bonsoir 

Oh est bien désolé j'avais zappé ton sujet :)

Effectivement il nous reste quelques petites  choses pour que tu puisse repartir avec un PC clean.

Fait ce qui suit stp et si tout est bon je te donne les dernières instructions.

&#9674;&#9674;&#9674; Télécharge  Ccleaner &#9674;&#9674;&#9674;

&#9830; Aide toi de ce tuto pour l'utiliser 
http://www.swl1f.net/viewtopic.php?f=14&t=69



&#9674;&#9674;&#9674; Télécharge Malwarebytes &#9674;&#9674;&#9674;

Une aide pour l'installation 
http://www.swl1f.net/viewtopic.php?f=14&t=68


&#9830; Installe le 
&#9830; Lance malwarebytes
&#9830; Coche "Exécuter un examen complet"
&#9830; Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
&#9830; Clique sur Supprimer la sélection
&#9830; Pour poster le rapport Clique sur l'onglet Rapports/Logs, sélectionne celui t'intéresse et clique sur Ouvrir
&#9830; Fait copier coller et poste le rapport 

Utiliser https://www.cjoint.com/  pour poster les rapports.
Merci 


Ensuite 

&#9674;&#9674;&#9674; Fait un scan en ligne avec Kaspersky &#9674;&#9674;&#9674;
   
&#9830; Une fois la fenêtre du scanner en ligne ouverte :
&#9830; Prendre connaissance de ce qui est indiqué dans la partie "information" et clique sur "j'accepte".
(Si tu es sur IE, on va te demander de télécharger un contrôle Active X, accepte)
 
&#9830;   Le "téléchargement et la mise à jour du programme" se lance .
 
&#9830; Ensuite la "mise à jour de la base de données" se fait, patiente jusqu'à ce que se soit fini ( ceci peut-être relativement long ).
 
&#9830; Une fois fini, le scanner est prêt.
&#9830; Dans l'onglet "Analyser" clique sur Poste de travail afin de faire une analyse complète du système
Une fois le scan terminé, le résultat s'affiche. 
Le scan peut-être très long mais il faut le laisser travailler.
     
&#9830; Clique sur "enregistrer rapport" pour faire une sauvegarde de ce dernier et post-le.

Poste le rapport de Kaspersky.

théo02 · Answer

Bonjour
me revoilà .
Je viens de faire Malwarebytes complet
  il n'a rien trouvé mais Antivir a bloqué 2 trucs que j'ai mis en quarantaine .
J'ai ensuite vidé cette quarantaine (ce que je n'avais d'ailleurs pas fait; il y avait encore des trucs dedans...)
Des fois j'ai peur de la vider car j'ai cru remarquer que quand je la vidait , au démarage suivant , il y avait des soucis et des trucs qui revenaient ... on verra.

le rapport : 
https://www.cjoint.com/?fmqLnDgkis+

Je vois pour le scan Kaspersky
aplus

ep44 · Answer

Ton lien Ci-joint n'est pas bon

théo02 · Answer

Désolé , j'espere que celui là est bon...

https://www.cjoint.com/?fmu3NsWMkA

ep44 · Answer

oui ;)

Fait le scan avec kaspersky stp 

@+

théo02 · Answer

Je le lance ; ça va etre long apparement...
Je coupe Antivir je suppose ???

théo02 · Answer

hello 
ça y est , il a tourné cette nuit...

https://www.cjoint.com/?fnjOwIq4YH

merci 
 a plus

ep44 · Answer

Bonjour, 

Nous avons des points de restauration infectieux à virer, mais aussi ceci 

C:\Documents and Settings\dupont\Mes documents\Installation logiciels divers\WarezP2P.exe
C:\mp3divx.exe
C:\WINDOWS\system\RESTORE.INS

Pour cela fait ce qui suit :

&#9674;&#9674;&#9674;Télécharge OTM (de Old_Timer) sur ton Bureau,&#9674;&#9674;&#9674;
&#9830; Double-clique sur OTM.exe pour lancer le programme,
&#9830; Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Instructions for Items to be Moved" :


:files
C:\Documents and Settings\dupont\Mes documents\Installation logiciels divers\WarezP2P.exe
C:\mp3divx.exe	
C:\WINDOWS\system\RESTORE.INS

:Commands
[emptytemp]
[Reboot] 

  &#9830;  Clique sur MoveIt! pour lancer la suppression,
  &#9830; Le résultat apparaîtra dans le cadre Results.
  &#9830; Clique sur Exit pour fermer le programme.
  &#9830; Poste le rapport qui est situé ici : C:\\_OTM\MovedFiles
  &#9830; Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.


Utiliser https://www.cjoint.com/  pour poster les rapports.
Merci 

Ensuite 

Pour commencer il te faut désinstaller tout les outils que nous avons utilisés.
Pour cela je vais te faire utiliser un outil que tu devras supprimer à la suite.
Une fois l'outil passé recherche tout de même dans Ajout et suppression de programmes mais aussi dans Program files.

  &#9830; Ferme toutes les applications en cours.
 &#9674;&#9674;&#9674;Télécharge ToolsCleaner2&#9674;&#9674;&#9674; sur ton Bureau.


 &#9830; Double clique sur ToolsCleaner2.exe >
puis Recherche
et sur Suppression
Note : ton bureau va disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau


Ensuite utilise ce logiciel pour faire un peu de ménage sur ton PC, logiciel que tu pourras garder et utiliser régulièrement pour l'entretien de ton système.


&#9674;&#9674;&#9674;Télécharge Cleaner par Atribune.&#9674;&#9674;&#9674; 
 Tu pourras garder ce logiciel pour une utilisation régulière.


      Double-clique ATF-Cleaner.exe afin de lancer le programme.
      &#9830; Sous l'onglet Main, choisis : Select All
      &#9830; Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

     &#9830; Clique Firefox au haut et choisis : Select All
     &#9830; Clique le bouton Empty Selected
      NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

     &#9830; Clique Opera au haut et choisis : Select All
     &#9830; Clique le bouton Empty Selected
      NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
&#9830;
Clique Exit, du menu principal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. 


&#9830;Désactive ta "Restauration du système" puis réactive la afin de créer un point de restauration sain.

Pour cela fait ce qui suit :



 &#9830; sur le Bureau, clique avec le bouton droit de la souris sur Ordinateur > Propriétés.
 &#9830; Sous Tâches, clique sur Protection du système 
 &#9830; Sous Points de restauration automatiques, dé-sélectionne les lecteurs pour lesquels tu souhaites désactiver la restauration du système.(tous)
 &#9830; Clique sur Désactiver la restauration du système.
 &#9830; Clique sur Appliquer > OK. 

tu redémarre ton PC et tu refais la manip 

 &#9830; Sur le Bureau, clique avec le bouton droit de la souris sur Ordinateur > Propriétés.
 &#9830; Sous Tâches, clique sur Protection système. 
 &#9830; Sous Points de restauration automatiques, sélectionne les lecteurs pour lesquels tu souhaites activer la restauration du système (tous)
 &#9830; Clique sur Appliquer > OK. 


Une fois redémarré 
Installe un parefeu qui te protégera correctement :
Je te conseil ZoneAlarm https://www.malekal.com/tutoriel-zonealarm-firewall/

ou Sunbelt (anciennement Kério) regarde ici  http://www.sunbeltsoftware.com/home-home-office/sunbelt-personal-firewall/

    &#9830; N'installe qu'un seul parefeu !!
      et bien sur qu'un seul antivirus
      Si tu double ces protections ton PC auras des ralentissement car les logiciels vont entrer en conflits de priorités et au final mal te protéger.

      Vérifie les mises à jour de java
       &#9674;&#9674;&#9674; Télécharge JavaRa (de Paul McLain et Fred de Vries ) &#9674;&#9674;&#9674;

    &#9830; Décompresse le fichier sur ton Bureau (clic droit > Extraire tout)
    &#9830; Double-clique sur le répertoire JavaRa obtenu.
    &#9830; Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)
   &#9830; Clique sur Search For Updates.
    &#9830; Sélectionne Update Using jucheck.exe puis clique sur Search.
    &#9830; Autorise le processus à se connecter si il te l'est demandé, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes.
    &#9830; Quand l'installation est terminée, reviens à l'écran de JavaRa et clique sur Remove Older Versions
    &#9830; Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok
    &#9830;Ferme l'application.

Note : S'il y a un soucis, poste le rapport :%SystemDrive%\JavaRa.log (%systemdrive% étant la partition où est installée Windows; C:\ en général)


N'oublie pas de faire régulièrement les mises à jour de tes  logiciels avant chaque scan.


Fait aussi les mises à jour de ton système
Windows update : ici  http://www.update.microsoft.com/windowsupdate/v6/default.aspx
Fait toutes les mises à jour que WIndows te propose y compris IE, elles sont importantes pour la sécurité de ton PC mais aussi pour sa stabilité.


    Ensuite quelques conseils

      Un peu de prévention  :
      Il te faut aussi  connaitre les dangers du peer to peer et du web.
      Prend le temps de lire Les liens que je te donne car tu verras que ton PC court de grands risques en utilisant ces logiciels, les téléchargements embarquent des virus, qui peuvent être très difficile à déloger mais aussi ils peuvent engendrer de grave soucis sur ton PC.
      Il y a aussi le côté légal qui ne faut oublier, et il faut prendre connaissance des risques.
      http://www.libellules.ch/...
http://www.zencomputer.fr/securite/eviter_les_infections/
    



  le navigateur

      Essaye le navigateur Firefox plus sur/securisé qu IE
      Firefox n'utilise pas le dangereux protocole ActiveX
   &#9830;Téléchargement:  Firefox http://www.mozilla-europe.org/fr/products/firefox/
 &#9830; Tutorial pour le sécuriser: ici https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/

      Important
      Surfez avec les droits administrateurs sur le net te rend vulnérable, il faut donc utiliser un autre compte que celui de l'administrateur. 



     Pour que ton pc retrouve un peu de jeunesse

    &#9830; Pense à lancer une petite défragmentation afin d'optimiser les temps d'accès du disque dur.
    &#9830; Utilise CCleaner régulièrement, pour un nettoyage régulier.
    &#9830; Gère tes services grâce à ces 2 liens.

Tu pourras  libérer des ressources systèmes et améliorer la sécurité de ton PC.
  ici http://speedweb1.free.fr/frames2.php?page=service3 et  ici  http://speedweb1.free.fr/frames2.php?page=service4

Il faut faire attention à ta navigation sur le net, les habitudes de surf ont fait que ta machine c'est retrouvé avec des malwares qui malheureusement peuvent faire beaucoup de dégâts.

théo02 · Answer

Bonjour a toi
merci encore ; je ne suis pas chez moi mais je rentre ce soir; 
je ferai ça ce soir.
Mille mercis encore
a plus

théo02 · Answer

Voilà le rapport OTM 

https://www.cjoint.com/?fovT0TWuEg

je vois la suite...

théo02 · Answer

j'ai fait TollsCleaner2 mais j'ai vu qu'il n'avait pas pu supprimer Combofix: c'etait ecris erreur de suppression.

ep44 · Answer

OK pour combofix :

Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d'espace entre le / et le uninstall)

théo02 · Answer

Je n'arrive pas a enlever Combofix avec ta manip. Je fais pourtant comme tu me le dis.
Ceci dit je ne vois pas Combofix ailleurs (suppression de programmes; CCleaner pour desinstaller...)
Je ne le vois que sur le bureau apparemment
Sinon ça va .

théo02 · Answer

Désolé, j'ai honte !!
je n'avais pas bien fait ce que tu m'avais dit : je ne mettais pas du tout d'espace alors qu'il y en a un apres Combofix. J'avais qu'à relire mieux ...
En tout cas merci , c'est désinstallé.

ep44 · Answer

Bonjour, 

Parfait alors ;)

Impossible a redemmarrer !!!

74 réponses

Votre réponse

Newsletters