Comment faire ?Assaillis de TROJANs

Question

Bonjour . 
J'essaye de la faire brève car les alertes d' avira commencent a stresser : 
Ce n'est pas d' hier mon pc rame, or depuis quelques semaines cela va de pire en pis, notamment depuis ces derniers jours. 
Désormais il est commun que j' ai des "lag" de plusieurs secondes pour monter un .txt ridicule, je ne fais même plus attention aux processus , dont certains (connus) tapent joyeusement dans les millions et 80% UC . 
BREF. 
les alertes du jour concernent (si j'oublie personne) 
TR/Agent.caob 
TR/Gendal.31232.BF' 
TR/Gendal.40448.J 
SPR/AutoIt.Gen 
TR/Buzus.ckmt 
Et hier j' ai eu droit a : 
  TR/Crypt.XPACK.Gen2. 

Je suis perdu ^^  
et remise de la palme-du-lourd a TR/Gendal.40448.J pour le plantage des apply et TR/Crypt.XPACK.Gen2 pour persévérance (ouais 62 ou 3 fois en une aprem c'est pas mal)  

Si y'a des héros qui s'ennuient . 

En vous souhaitant bien le bonjour .

hubertaaz · Accepted Answer

Effectivement il y a du boulot.

Installer un autre antivirus comme proposé ne servirait à rien. Il n'est pas dit que l'installation pourrait aboutir et ensuite Antivir n'est pas mal. Par ailleurs, il faut des outils spécifiques pour éradiquer ces infections.

* Pour la durée de la désinfection, désactive le Tea-Timer de Spybot

Je te recommande même de désinstaller Spybot et Ad-aware qui sont à l'heure actuelle complètement dépassés.



* Télécharge USBFix (de Chiquitine29 et C_XX) sur ton Bureau 

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 


* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir 
* Double clique sur le programme USBFix sur ton Bureau. 
* Au menu principal, clique sur "Suppression" 
* Ton Bureau va disparaitre, puis l'ordinateur va redémarrer : c'est normal 
* Laisse travailler l'outil jusqu'au bout 
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse stp

Aide en images : Nettoyage 

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.  
         Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.  
         Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

fayesanor · Answer

bonjour! tu peux le desinstaller et mettre eset comme antivirus, tu te cherches chak mois un nouveau eamil pour avoir une autre licence, tu telecharge glary utilities et ccleaner, tu nettoies bien ton pc, si ca rame toujours, alors la faut bien le formater je pense

hubertaaz · Answer

Bonjour,

Vu l'ampleur apparente du problème, j'espérais que quelqu'un de plus expérimenté que moi en matière de désinfection intervienne.

Comme ce n'est pas le cas, je te propose d'essayer de mesurer l'ampleur des dégâts.

* Télécharge ZHPDiag (de Nicolas Coolman) 
* Laisse toi guider lors de l'installation 
* Il se lancera automatiquement à la fin de l'installation 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse.

muntxaku · Answer

Voila, et Merci de t'y pencher. 
Au passage, étant donné que j' ai du "kill" certains processus j' ai remarqué (non sans joie) la présence de isass.exe  
(parait-il parfois corrélée a un vers , il me le manquait !) 
Encore merci ;)
http://www.cijoint.fr/cjlink.php?file=cj201008/cijnAah0ID.txt

muntxaku · Answer

oOW !  
C'est assez énorme ce truc que j'ai DL .*Sans voix* 

J'ai été obligé de reboot 2 fois pour réussir à le lancer tellement tout était arrêté , je reviens , clikclik, i a jamais été aussi rapide . 
(positif aux urines antidope là c'est sur) 
*énumère :une colonie de malwares , une tribue de trojans sanguinaires , p't' être des vers et autres immondices* 
:) 
Et que dois-je donc faire maintenant pour éviter ça ? (p't' être une cyber hygiène de vie a adopter ? huhu) 
MERCI !

Edit : Oups ! j'ai pas envoyé le .rar aux chasseurs-de-fantômes mea-culpa (pas que j'en veuille pas nonon), j'envoie le paquet cadeau des que j'ai retrouvé le link.
-et trouver comment taguer résolu :) -

hubertaaz · Answer

En matière de désinfection un mieux ne veut pas dire que c'est terminé. 

Il reste des infections et un pc infecté reste une cible de choix pour d'autres infections potentielles. 

Quand nous en aurons terminé je ne manquerai pas de te le signaler. 
Je te donnerai aussi des conseils pour minimiser les risques de ré-infection.

Je voudrais avoir le rapport de suppression de UsbFix comme demandé.
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 


* Télécharge AD-Remover sur ton Bureau. (Merci à C_XX)   

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe   

Miroir:   

https://www.androidworld.fr/   

/!\ Ferme toutes applications en cours /!\   

/!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.   

- Double-clique sur l'icône Ad-Remover située sur ton Bureau.   
- Sur la page, clique sur le bouton « Nettoyer »   
- Confirme lancement du scan   
- Laisse travailler l'outil.   
- Poste le rapport qui apparaît à la fin.   

(Le rapport est sauvegardé aussi sous C:\Ad-report-Clean.log )  



Celui qui pose une question est bête cinq minutes, celui qui n'ose pas l'est toute sa vie.  
(Proverbe chinois)

muntxaku · Answer

Le rapport ,le voila :
________________________

############################## | UsbFix 7.022 | [Suppression]

Utilisateur:********* (Administrateur) # FSC111216081504 [ ]
Mis à jour le 29/08/10 par El Desaparecido / C_XX
Lancé à 18:24:30 | 29/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) Dual CPU T2370 @ 1.73GHz
CPU 2: Intel(R) Pentium(R) Dual CPU T2370 @ 1.73GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
Firewall: Pare-feu Online Armor 4.0.0.44 [Enabled]
Firewall: COMODO Firewall 3.9 [Enabled]
RAM -> 765 Mo 
C:\ (%systemdrive%) -> Disque fixe # 112 Go (39 Go libre(s) - 35%) [System] # NTFS
D:\ -> CD-ROM
G:\ -> CD-ROM

################## | Éléments infectieux |

Supprimé! C:\Delme.bat

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options	askmgr.exe
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSConfig

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{15669a83-3477-11dd-9a6b-001e33012d17}

################## | Listing |

[19/12/2008 - 20:51:12 | D ] 	C:\05ba540a72a1018157e205dbecfa
[26/08/2010 - 12:54:14 | D ] 	C:\Addon
[15/02/2009 - 17:36:17 | A | 24990] 	C:\aoedoppl.txt
[15/02/2009 - 17:36:35 | A | 6678] 	C:\aoeWVlog.txt
[27/07/2007 - 15:50:45 | A | 0] 	C:\AUTOEXEC.BAT
[29/08/2010 - 18:15:00 | RASH | 213] 	C:\boot.ini
[05/08/2004 - 14:00:00 | RASH | 4952] 	C:\Bootfont.bin
[28/08/2010 - 15:59:25 | HD ] 	C:\Config.Msi
[27/07/2007 - 15:50:45 | A | 0] 	C:\CONFIG.SYS
[17/03/2009 - 08:19:49 | D ] 	C:\d4a5ff53b1fe837917e1dfd94e
[13/04/2010 - 06:51:30 | D ] 	C:\Documents and Settings
[22/08/2010 - 23:25:52 | D ] 	C:\DriveKey
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.1028.txt
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.1031.txt
[07/11/2007 - 08:00:40 | A | 10134] 	C:\eula.1033.txt
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.1036.txt
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.1040.txt
[07/11/2007 - 08:00:40 | A | 118] 	C:\eula.1041.txt
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.1042.txt
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.2052.txt
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.3082.txt
[07/11/2007 - 08:00:40 | A | 1110] 	C:\globdata.ini
[29/08/2010 - 18:12:15 | ASH | 802336768] 	C:\hiberfil.sys
[02/08/2010 - 09:19:08 | D ] 	C:\HomeGed
[09/02/2010 - 15:53:51 | A | 494611] 	C:\hpfr6500.log
[29/08/2010 - 02:00:21 | A | 115224] 	C:\img2-001.raw
[22/06/2010 - 23:58:25 | A | 230424] 	C:\img2-002.raw
[23/06/2009 - 13:06:18 | A | 230424] 	C:\img2-003.raw
[17/08/2010 - 14:30:01 | D ] 	C:\Inetpub
[07/11/2007 - 08:00:40 | A | 843] 	C:\install.ini
[07/11/2007 - 08:03:18 | A | 76304] 	C:\install.res.1028.dll
[07/11/2007 - 08:03:18 | A | 96272] 	C:\install.res.1031.dll
[07/11/2007 - 08:03:18 | A | 91152] 	C:\install.res.1033.dll
[07/11/2007 - 08:03:18 | A | 97296] 	C:\install.res.1036.dll
[07/11/2007 - 08:03:18 | A | 95248] 	C:\install.res.1040.dll
[07/11/2007 - 08:03:18 | A | 81424] 	C:\install.res.1041.dll
[07/11/2007 - 08:03:18 | A | 79888] 	C:\install.res.1042.dll
[07/11/2007 - 08:03:18 | A | 75792] 	C:\install.res.2052.dll
[07/11/2007 - 08:03:18 | A | 96272] 	C:\install.res.3082.dll
[27/07/2007 - 15:50:45 | RASH | 0] 	C:\IO.SYS
[18/04/2008 - 14:51:32 | A | 15240] 	C:\Lang.txt
[22/04/2008 - 11:53:16 | D ] 	C:\Logs
[27/07/2007 - 15:50:45 | RASH | 0] 	C:\MSDOS.SYS
[28/07/2007 - 03:36:45 | RHD ] 	C:\MSOCache
[05/08/2004 - 14:00:00 | RASH | 47564] 	C:\NTDETECT.COM
[28/08/2008 - 06:54:18 | RASH | 252240] 	C:
tldr
[29/02/2004 - 17:44:34 | A | 52576] 	C:\orange.bmp
[29/08/2010 - 18:12:13 | ASH | 1207959552] 	C:\pagefile.sys
[29/08/2010 - 18:21:44 | RD ] 	C:\Program Files
[29/08/2010 - 18:32:50 | SHD ] 	C:\RECYCLER
[24/02/2009 - 13:41:09 | AH | 268] 	C:\sqmdata00.sqm
[26/02/2009 - 16:12:07 | AH | 268] 	C:\sqmdata01.sqm
[27/02/2009 - 15:14:48 | AH | 268] 	C:\sqmdata02.sqm
[02/03/2009 - 15:58:22 | AH | 268] 	C:\sqmdata03.sqm
[03/03/2009 - 08:33:03 | AH | 268] 	C:\sqmdata04.sqm
[03/03/2009 - 15:54:51 | AH | 268] 	C:\sqmdata05.sqm
[04/03/2009 - 15:34:23 | AH | 268] 	C:\sqmdata06.sqm
[06/03/2009 - 15:04:31 | AH | 268] 	C:\sqmdata07.sqm
[09/03/2009 - 16:08:52 | AH | 268] 	C:\sqmdata08.sqm
[10/03/2009 - 14:20:35 | AH | 268] 	C:\sqmdata09.sqm
[12/03/2009 - 06:29:23 | AH | 268] 	C:\sqmdata10.sqm
[12/03/2009 - 12:51:00 | AH | 268] 	C:\sqmdata11.sqm
[13/03/2009 - 14:39:28 | AH | 268] 	C:\sqmdata12.sqm
[15/03/2009 - 15:47:47 | AH | 268] 	C:\sqmdata13.sqm
[02/07/2009 - 16:23:53 | AH | 232] 	C:\sqmdata14.sqm
[22/09/2009 - 18:25:30 | AH | 268] 	C:\sqmdata15.sqm
[17/02/2009 - 15:53:21 | AH | 268] 	C:\sqmdata16.sqm
[19/02/2009 - 16:02:58 | AH | 268] 	C:\sqmdata17.sqm
[20/02/2009 - 15:25:36 | AH | 268] 	C:\sqmdata18.sqm
[23/02/2009 - 17:13:40 | AH | 268] 	C:\sqmdata19.sqm
[24/02/2009 - 13:41:09 | AH | 244] 	C:\sqmnoopt00.sqm
[26/02/2009 - 16:12:07 | AH | 244] 	C:\sqmnoopt01.sqm
[27/02/2009 - 15:14:48 | AH | 244] 	C:\sqmnoopt02.sqm
[02/03/2009 - 15:58:22 | AH | 244] 	C:\sqmnoopt03.sqm
[03/03/2009 - 08:33:03 | AH | 244] 	C:\sqmnoopt04.sqm
[03/03/2009 - 15:54:51 | AH | 244] 	C:\sqmnoopt05.sqm
[04/03/2009 - 15:34:23 | AH | 244] 	C:\sqmnoopt06.sqm
[06/03/2009 - 15:04:31 | AH | 244] 	C:\sqmnoopt07.sqm
[09/03/2009 - 16:08:52 | AH | 244] 	C:\sqmnoopt08.sqm
[10/03/2009 - 14:20:35 | AH | 244] 	C:\sqmnoopt09.sqm
[12/03/2009 - 06:29:22 | AH | 244] 	C:\sqmnoopt10.sqm
[12/03/2009 - 12:51:00 | AH | 244] 	C:\sqmnoopt11.sqm
[13/03/2009 - 14:39:28 | AH | 244] 	C:\sqmnoopt12.sqm
[15/03/2009 - 15:47:47 | AH | 244] 	C:\sqmnoopt13.sqm
[02/07/2009 - 16:23:53 | AH | 244] 	C:\sqmnoopt14.sqm
[22/09/2009 - 18:25:29 | AH | 244] 	C:\sqmnoopt15.sqm
[17/02/2009 - 15:53:21 | AH | 244] 	C:\sqmnoopt16.sqm
[19/02/2009 - 16:02:58 | AH | 244] 	C:\sqmnoopt17.sqm
[20/02/2009 - 15:25:36 | AH | 244] 	C:\sqmnoopt18.sqm
[23/02/2009 - 17:13:40 | AH | 244] 	C:\sqmnoopt19.sqm
[17/08/2010 - 00:56:39 | D ] 	C:\system
[30/07/2010 - 18:04:44 | SHD ] 	C:\System Volume Information
[18/06/2009 - 14:26:55 | A | 1355] 	C:\Sys_LogWin.log
[08/09/2009 - 16:03:27 | A | 877] 	C:\updatedatfix.log
[29/08/2010 - 18:33:05 | D ] 	C:\UsbFix
[29/08/2010 - 18:33:12 | A | 1113] 	C:\UsbFix.txt
[07/11/2007 - 08:00:40 | A | 5686] 	C:\vcredist.bmp
[07/11/2007 - 08:09:22 | A | 1442522] 	C:\VC_RED.cab
[29/08/2010 - 13:27:15 | HD ] 	C:\VritualRoot
[29/08/2010 - 18:14:37 | D ] 	C:\WINDOWS

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_FSC111216081504.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |

__________________________________________________

et en effet non , pas fini ><
7 resultats positifs de Avira , dont :

Dans le fichier 'C:\Documents and Settings\Local Settings\Temp\clamav-06f804015a3a4d4a935835b5b90f85af.00000c98.clamtmp'
un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.
Action exécutée : Déplacer le fichier en quarantaine

Dans le fichier 'C:\Documents and Settings\Local Settings\Temp\clamav-06f804015a3a4d4a935835b5b90f85af.00000c98.clamtmp'
un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.
Action exécutée : Déplacer le fichier en quarantaine

Dans le fichier 'C:\Documents and Settings\Local Settings\Temp\clamav-2bee3affe42ada2db9643c35a49259b2.00000c98.clamtmp'
un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.
Action exécutée : Déplacer le fichier en quarantaine


aussi SPR/AutoIt.Gen a l' instant avec SPR/PSW.Messen.HX

J' installe les logiciels conseilles là.

muntxaku · Answer

AD-R dit :

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 ======= 

Mis à jour par C_XX le 26/07/10 à 12:00 
Contact: AdRemover.contact[AT]gmail.com 
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html 

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 21:25:41 le 29/08/2010, Mode normal 

Microsoft Windows XP Professionnel Service Pack 3 (X86)  
*** *@FSC111216081504 ( )  
  
============== ACTION(S) ============== 


0,Fichier supprimé: C:\Documents and Settings\*** *\Application Data\Mozilla\FireFox\Profiles\dxha28gp.default\prefs.js.ask.bak 
0,Fichier supprimé: C:\Documents and Settings\*** *\Application Data\Mozilla\FireFox\Profiles\dxha28gp.default\searchplugins\askcom.xml 
0,Dossier supprimé: C:\Documents and Settings\*** *\Local Settings\Application Data\Conduit 
0,Dossier supprimé: C:\Program Files\Conduit 

(!) -- Fichiers temporaires supprimés. 


-- Fichier ouvert: C:\Documents and Settings\*** *\Application Data\Mozilla\FireFox\Profiles\dxha28gp.default\Prefs.js -- 
Ligne supprimée: user_pref("CT2257514.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...  
Ligne supprimée: user_pref("CT2257514.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT225...  
Ligne supprimée: user_pref("CT2269050.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...  
Ligne supprimée: user_pref("CT2269050.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT226...  
Ligne supprimée: user_pref("browser.search.defaultenginename", "Ask.com");  
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1269415&Sea...  
Ligne supprimée: user_pref("browser.search.order.1", "Ask.com");  
Ligne supprimée: user_pref("browser.startup.homepage", "hxxp://search.conduit.com/?ctid=CT1269415&SearchSource=13");  
Ligne supprimée: user_pref("extensions.fctlite.defaultRule", "t;;uri;;.;;ct;;torrent;;C1;;;;Download torrent anywhere...  
-- Fichier Fermé -- 
  

1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440} 
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440} 
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{090ACFA1-1580-11D1-8AC0-00C0F00910F9} 
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{B4E90801-B83C-11D0-8B40-00C0F00AE35A} 
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd 
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1 
0,Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL 
1,Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874} 
0,Clé supprimée: HKLM\Software\Conduit 
0,Clé supprimée: HKCU\Software\Conduit 
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} 
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} 
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} 

0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440} 
0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{01DFD24D-73EB-497F-8DFD-7EA79365AF4A} 
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440} 
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{01DFD24D-73EB-497F-8DFD-7EA79365AF4A} 


============== SCAN ADDITIONNEL ============== 

** Mozilla Firefox Version [3.6.8 (fr)] ** 

-- C:\Documents and Settings\*** *\Application Data\Mozilla\FireFox\Profiles\dxha28gp.default\Prefs.js -- 
browser.search.selectedEngine, Google 
browser.startup.homepage_override.mstone, rv:1.9.2.8 

======================================== 

** Internet Explorer Version [8.0.6001.18702] ** 

[HKCU\Software\Microsoft\Internet Explorer\Main]  
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome 
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch 
Do404Search: 0x01000000 
Enable Browser Extensions: yes 
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896 
Show_ToolBar: yes 
Start Page: hxxp://fr.msn.com/ 
Use Search Asst: no 

[HKLM\Software\Microsoft\Internet Explorer\Main]  
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896 
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch 
Delete_Temp_Files_On_Exit: yes 
Search bar: hxxp://search.msn.com/spbasic.htm 
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch 
Start Page: hxxp://fr.msn.com/ 

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]  
Tabs: res://ieframe.dll/tabswelcome.htm 
Blank: res://mshtml.dll/blank.htm 

======================================== 

C:\Program Files\Ad-Remover\Quarantine: 27 Fichier(s) 
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s) 

C:\Ad-Report-CLEAN[1].txt - 29/08/2010 (3097 Octet(s))  

Fin à: 21:30:43, 29/08/2010  
  
============== E.O.F ==============  


apparament il a viré des trucs . Mais je pense que en fait, c'est sur mes périphériques que stagnent les virus  Mais j'ose plus les brancher: ça énerve Avira.

hubertaaz · Answer

OK pour Ad-Remover.


* Dans le rapport UsbFix, je vois que tu n'as pas branché ta clé USB (E) ce qui était indispensable.

Idem si tu as d'autres périphériques USB

Relance UsbFix comme indiqué ICI

en tenant compte de ceci : 

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir 

Lorsque ça sera fait tes périphériques USB seront désinfectés et vaccinés 

N'oublie pas de me poster le rapport de suppression de UsbFix



Quand ce sera fait :

* Télécharge cet outil de S!Ri :

http://siri.urz.free.fr/RHosts.php 

Double-clique dessus pour l'exécuter 

et clique sur "Restore original Hosts" 

PS : Tu auras l'impression que rien ne s'est passé, c'est normal. 



Ensuite :

* Télécharge et installe Malwarebytes' Anti-Malware 
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée 
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme) 

* /!\ Déconnecte-toi et ferme toutes tes applications pendant la durée du scan (assez long)

* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher" 
* A la fin de l'analyse, clique sur Afficher les résultats 
* Coche tous les éléments détectés puis clique sur Supprimer la sélection 
* Enregistre le rapport 
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes 
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression (Le rapport peut être retrouvé sous l'onglet Rapports/logs) 


Enfin : 

* Relance ZHPDiag en cliquant sur l'icône située sur le bureau

* Poste-moi le nouveau rapport ZHPDiag.txt sur Ci-Joint comme tout à l'heure


Je t'ai donné plusieurs directives car je vais bientôt me déconnecter.

Je prendrai des nouvelles demain matin au plus tard.

Bon boulot

@+

muntxaku · Answer

muntxaku · Answer

ALORS ! 
Malwarebytes' Anti-Malware 1.46 
www.malwarebytes.org 

Version de la base de données: 4504 

Windows 5.1.2600 Service Pack 3 
Internet Explorer 8.0.6001.18702 

30/08/2010 05:05:06 
mbam-log-2010-08-30 (05-05-06).txt 

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|J:\|) 
Elément(s) analysé(s): 327650 
Temps écoulé: 2 heure(s), 48 minute(s), 16 seconde(s) 

Processus mémoire infecté(s): 0 
Module(s) mémoire infecté(s): 0 
Clé(s) du Registre infectée(s): 0 
Valeur(s) du Registre infectée(s): 0 
Elément(s) de données du Registre infecté(s): 0 
Dossier(s) infecté(s): 0 
Fichier(s) infecté(s): 12 

Processus mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Module(s) mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Clé(s) du Registre infectée(s): 
(Aucun élément nuisible détecté) 

Valeur(s) du Registre infectée(s): 
(Aucun élément nuisible détecté) 

Elément(s) de données du Registre infecté(s): 
(Aucun élément nuisible détecté) 

Dossier(s) infecté(s): 
(Aucun élément nuisible détecté) 

Fichier(s) infecté(s): 
C:\Documents and Settings\***  p\Bureau\BestSpywareScanner_Setup.exe (Rogue.BestSpywareScanner) -> Quarantined and deleted successfully. 
C:\Documents and Settings\***  p\Bureau\chemCAS\usb\140px-Diethyltryptamine.svg.png (Extension.Mismatch) -> Quarantined and deleted successfully. 
C:\system\engine.dll (Malware.Packer.T) -> Quarantined and deleted successfully. 
C:\System Volume Information\_restore{7B73783C-1CAC-4DC6-A70E-15DF8B42CDAA}\RP816\A0434104.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully. 
C:\VritualRoot\Lupo_PenSuite_v6.70_Full.exe\HarddiskVolume1\Documents and Settings\***  p\Bureau\Lupo PenSuite v6.70 Full\Apps\CCleaner Portable\unicows.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully. 
C:\VritualRoot\Lupo_PenSuite_v6.70_Full.exe\HarddiskVolume1\Documents and Settings\***  p\Bureau\Lupo PenSuite v6.70 Full\Apps\FDM Lite\dbghelp.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully. 
C:\VritualRoot\Lupo_PenSuite_v6.70_Full.exe\HarddiskVolume1\Documents and Settings\***  p\Bureau\Lupo PenSuite v6.70 Full\Apps\FDM Lite\msvcp60.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully. 
C:\VritualRoot\Lupo_PenSuite_v6.70_Full.exe\HarddiskVolume1\Documents and Settings\***  p\Bureau\Lupo PenSuite v6.70 Full\Apps\Gnumeric Plus\App\Gnumeric\lib\gnumeric\1.9.3\plugins\fn-tsa\plugin.dll (Trojan.Downloader) -> Quarantined and deleted successfully. 
C:\VritualRoot\Lupo_PenSuite_v6.70_Full.exe\HarddiskVolume1\Documents and Settings\***  p\Bureau\Lupo PenSuite v6.70 Full\Apps\Gnumeric Plus\App\Gnumeric\lib\goffice\0.7.2\plugins\plot_radar\radar.dll (Trojan.Downloader) -> Quarantined and deleted successfully. 
C:\VritualRoot\Lupo_PenSuite_v6.70_Full.exe\HarddiskVolume1\Documents and Settings\***  p\Bureau\Lupo PenSuite v6.70 Full\Apps\Gnumeric Plus\App\Gnumeric\lib\gtk-2.0\2.10.0\loaders\libpixbufloader-png.dll (Trojan.Downloader) -> Quarantined and deleted successfully. 
C:\VritualRoot\Lupo_PenSuite_v6.70_Full.exe\HarddiskVolume1\Documents and Settings\***  p\Bureau\Lupo PenSuite v6.70 Full\Apps\Recuva Portable\unicows.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully. 
C:\VritualRoot\Lupo_PenSuite_v6.70_Full.exe\HarddiskVolume1\Documents and Settings\***  p\Bureau\Lupo PenSuite v6.70 Full\Apps\SMPlayer Plus\mplayer\codecs\msh261.drv (Malware.Packer.Gen) -> Quarantined and deleted successfully. 


rt pour le rapport d'analyse 
http://www.cijoint.fr/cjlink.php?file=cj201008/cijW4EGPgX.txt

hubertaaz · Answer

Bonjour,

Voila un bon nettoyage, tu as bien travaillé!

* Tu peux bien entendu débrancher tes périphériques USB externes (qui par ailleurs te bouffent beaucoup de Ram en restant connectées).


* J'aimerais avoir une précision quant à utilisation de ton pare feu. 
Je suppose que Comodo est activé et que Online Armor est désactivé, tout comme le pare feu de XP? (pour les pare feu, il en va de m^me que pour les antivirus, 1 seul en fonction sinon conflits!).


* Je te recommande de désinstaller Spyware Doctor


* La version Java installée sur ton pc (6 update 17) est obsolète et contient des failles de sécurité.
Télécharge et installe la dernière version ici : https://www.java.com/fr/download/


* Il nous reste un peu de ménage, ce que nous allons supprimer est générateur de pop up : 

* Lance ZHPFix depuis le raccourci qui est sur ton bureau . 

*  Une fois l'outil ouvert, clique sur le bouton [ H ] ( "coller les ligne Helper" ) . 

* Copie/colle la ligne suivante en gras et place la dans ZHPFix : 

[HKCU\Software\Totem]

* Clique sur le bouton [ OK ] . 

> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien ! 

*  Clique sur le bouton [ Tous ] . Vérifie que toutes les lignes soient bien cochées . 

*  Enfin clique sur le bouton [ Nettoyer ] . 

*  Laisse travailler l'outil et ne touche à rien ! 

*  Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ! 

*  Une fois terminé, un rapport s'affiche : copie-colle tout son contenu dans ta prochaine réponse. 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPFix\ZHPFixReport.txt )


Il me reste 2 ou 3 petites choses à approfondir.
* En attendant, après avoir fait ce qui précède, dis-moi comment se comporte le pc.

muntxaku · Answer

Bonjour . 
J'ai pas du faire ce qui devait ou comme ce devait, car je n' ai eu qu'une seule ligne à nettoyer : 
en fait en apuyant su "coller "les help , ca à seulement collé [HKCU\Software\Totem] (et je sais pas comment metre en gras) 
ensuite , en effet une p'tite case est apparue , j'ai nettoyé et eu ça comme rapport : 


Rapport de ZHPFix v1.12.3141 par Nicolas Coolman, Update du 27/08/2010 
Fichier d'export Registre : C:\ZHPExportRegistry-30-08-2010-12-04-24.txt 
Run by moinet  p at 30/08/2010 12:04:24 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html 
Contact : nicolascoolman@yahoo.fr 

========== Clé(s) du Registre ========== 
HKCU\Software\Totem  => Clé absente 


========== Récapitulatif ========== 
1 : Clé(s) du Registre 


End of the scan 

Euu j'ai caffouillé en refaisant la manip je voulais etre sur d'avoir bien fait,  
mais au premier coup y' avait bien marqué que l' entrée avait eté nettoyée à la place de "clé absente", d'où son absence au deuxieme coup (oops?). 
Mais j'ai eu une seule ligne "HKCU\Software\Totem"

Par contre j' arrive parfois pas a cliquer ou je veux , meme mon curseur lag . Ceci est par acoups ou vagues qui alternent avec des periodes fluides (exemple là la phrase s' est affichée genre 10 secondes apres que j' en ai terminé de la taper)

muntxaku · Answer

Dans le fichier 'C:\Documents and Settings\*** *p\Application Data\Thinstall\Windows Live Messenger\40000057500002h\msnmsgr.exe.a30f1c.tmp' 
un virus ou un programme indésirable 'TR/Gendal.40448.J' [trojan] a été détecté. 
Action exécutée : Supprimer le fichier 

It's alive ! ><

peut etre rien a voir mais j' ai MSICA.tmp qui insiste pour aller voir svchost.exe  d'apres comodo, avec des noms pareil , j'me méfie :D

hubertaaz · Answer

Il est préférable de poster un nouveau message plutôt que de modifier le précédent lorsque tu ajoutes des éléments nouveau sinon je risque de zapper car je ne suis pas averti des modifications aux messages.

Est-ce que tu as lu mes 2 messages précédents?

Passe à VirusTotal.

muntxaku · Answer

hruuu j'i galeré a trouver mais c'est bon, le scan dit ceci 


File name: w3ctrs.h
Submission date: 2010-08-30 10:50:21 (UTC)
Current status: finished
Result: 0/ 43 (0.0%)
VT Community

not reviewed
 Safety score: - 
Compact
Print results 
Antivirus	Version	Last Update	Result
AhnLab-V3	2010.08.29.00	2010.08.28	-
AntiVir	8.2.4.46	2010.08.30	-
Antiy-AVL	2.0.3.7	2010.08.30	-
Authentium	5.2.0.5	2010.08.29	-
Avast	4.8.1351.0	2010.08.29	-
Avast5	5.0.594.0	2010.08.29	-
AVG	9.0.0.851	2010.08.30	-
BitDefender	7.2	2010.08.30	-
CAT-QuickHeal	11.00	2010.08.30	-
ClamAV	0.96.2.0-git	2010.08.30	-
Comodo	5909	2010.08.30	-
DrWeb	5.0.2.03300	2010.08.30	-
Emsisoft	5.0.0.37	2010.08.30	-
eSafe	7.0.17.0	2010.08.29	-
eTrust-Vet	36.1.7826	2010.08.30	-
F-Prot	4.6.1.107	2010.08.29	-
F-Secure	9.0.15370.0	2010.08.30	-
Fortinet	4.1.143.0	2010.08.29	-
GData	21	2010.08.30	-
Ikarus	T3.1.1.88.0	2010.08.30	-
Jiangmin	13.0.900	2010.08.30	-
K7AntiVirus	9.63.2386	2010.08.28	-
Kaspersky	7.0.0.125	2010.08.30	-
McAfee	5.400.0.1158	2010.08.30	-
McAfee-GW-Edition	2010.1B	2010.08.30	-
Microsoft	1.6103	2010.08.30	-
NOD32	5408	2010.08.30	-
Norman	6.05.11	2010.08.30	-
nProtect	2010-08-30.01	2010.08.30	-
Panda	10.0.2.7	2010.08.30	-
PCTools	7.0.3.5	2010.08.30	-
Prevx	3.0	2010.08.30	-
Rising	22.63.00.03	2010.08.30	-
Sophos	4.56.0	2010.08.30	-
Sunbelt	6812	2010.08.30	-
SUPERAntiSpyware	4.40.0.1006	2010.08.30	-
Symantec	20101.1.1.7	2010.08.30	-
TheHacker	6.5.2.1.359	2010.08.30	-
TrendMicro	9.120.0.1004	2010.08.30	-
TrendMicro-HouseCall	9.120.0.1004	2010.08.30	-
VBA32	3.12.14.0	2010.08.30	-
ViRobot	2010.8.9.3978	2010.08.30	-
VirusBuster	5.0.27.0	2010.08.29	-
Additional informationShow all


MD5   : 29211066e577bf4e3bdb89fb0fa8dc50
SHA1  : f08634e87e740d9789adf4a376b786a4d5149d9c
SHA256: ce9404b1bde26fb23b3b9435f73e74d4a891929b01782b7da0afa1fa2bd55fe9
ssdeep: 96:VkDiosqm8Xk8nLUWgktHECom0+a38KYJHrse:jVqmSk86EECB0+a38KYJHrse
File size : 5379 bytes
First seen: 2009-03-23 10:30:12
Last seen : 2010-08-30 10:50:21
TrID: 
file seems to be plain text/ASCII (0.0%)
sigcheck: 
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: Microsoft Windows 2000 Publisher
Microsoft Windows Verification Intermediate PCA
Microsoft Root Authority
signing date.: 5:15 PM 7/21/2000
verified.....: -



je passe a l'autre

muntxaku · Answer

fcp5.cfg
Submission date: 2010-08-30 10:56:37 (UTC)
Current status: finished
Result: 0/ 43 (0.0%)
VT Community

not reviewed
 Safety score: - 
Compact
Print results 
Antivirus	Version	Last Update	Result
AhnLab-V3	2010.08.29.00	2010.08.28	-
AntiVir	8.2.4.46	2010.08.30	-
Antiy-AVL	2.0.3.7	2010.08.30	-
Authentium	5.2.0.5	2010.08.29	-
Avast	4.8.1351.0	2010.08.29	-
Avast5	5.0.594.0	2010.08.29	-
AVG	9.0.0.851	2010.08.30	-
BitDefender	7.2	2010.08.30	-
CAT-QuickHeal	11.00	2010.08.30	-
ClamAV	0.96.2.0-git	2010.08.30	-
Comodo	5909	2010.08.30	-
DrWeb	5.0.2.03300	2010.08.30	-
Emsisoft	5.0.0.37	2010.08.30	-
eSafe	7.0.17.0	2010.08.29	-
eTrust-Vet	36.1.7826	2010.08.30	-
F-Prot	4.6.1.107	2010.08.29	-
F-Secure	9.0.15370.0	2010.08.30	-
Fortinet	4.1.143.0	2010.08.29	-
GData	21	2010.08.30	-
Ikarus	T3.1.1.88.0	2010.08.30	-
Jiangmin	13.0.900	2010.08.30	-
K7AntiVirus	9.63.2386	2010.08.28	-
Kaspersky	7.0.0.125	2010.08.30	-
McAfee	5.400.0.1158	2010.08.30	-
McAfee-GW-Edition	2010.1B	2010.08.30	-
Microsoft	1.6103	2010.08.30	-
NOD32	5408	2010.08.30	-
Norman	6.05.11	2010.08.30	-
nProtect	2010-08-30.01	2010.08.30	-
Panda	10.0.2.7	2010.08.30	-
PCTools	7.0.3.5	2010.08.30	-
Prevx	3.0	2010.08.30	-
Rising	22.63.00.03	2010.08.30	-
Sophos	4.56.0	2010.08.30	-
Sunbelt	6812	2010.08.30	-
SUPERAntiSpyware	4.40.0.1006	2010.08.30	-
Symantec	20101.1.1.7	2010.08.30	-
TheHacker	6.5.2.1.359	2010.08.30	-
TrendMicro	9.120.0.1004	2010.08.30	-
TrendMicro-HouseCall	9.120.0.1004	2010.08.30	-
VBA32	3.12.14.0	2010.08.30	-
ViRobot	2010.8.9.3978	2010.08.30	-
VirusBuster	5.0.27.0	2010.08.29	-


Additional informationShow all
MD5   : 843c2245261f53356a5f85e74921b434
SHA1  : dc05677bc588165441f5ecc8493e7edbf33a9df8
SHA256: 34733c0cdfa5886b79286f29085a1f5aa908356de03dc0310bcdca37d1ef5d78
ssdeep: 3:gRsvk5Qt2NgFp01R0G2UF4VGNIlmz/VydcRy1lPqh8j/D6h1XkO8yd2n:FlEyp01R0SF4VGN+
mzqcFGD6Rjkn
File size : 150 bytes
First seen: 2010-08-30 10:56:37
Last seen : 2010-08-30 10:56:37
TrID: 
QuickBasic BSAVE binary data (100.0%)
sigcheck: 
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
VT Community

hubertaaz · Answer

Bien ces 2 fichiers sont donc sains.

CCleaner est installé sur ton pc. Peux-tu vérifier ici si tu possèdes la dernière version (2.35.1219) Si ce n'est pas le cas, installe la dernière. 

Sers-toi du tuto qui suit pour bien le paramétrer et procéder aux nettoyages.

.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur suivant 
.lis la licence et j'accepte 
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer 
.double-cliques sur l'icône de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option et puis avancé 
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures 
.cliques sur nettoyeur 
.cliques sur windows et dans la colonne avancé 
.coche la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
.cliques sur analyse une fois l'analyse terminé 
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifié en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.cliques maintenant sur registre et puis sur rechercher les erreurs 
.laisses tout cochées et cliques sur réparer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
.il supprime et fermer tu vérifié en relançant rechercher les erreurs 
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
.tu peux fermer Ccleaner 


Lorsque ce sera fait redémarre le pc.

Si le comportement est ok nous pourrons finaliser sinon il faudra passer à l'artillerie lourde car je ne vois plus rien de suspect.

muntxaku · Answer

Bon j' ai tout fait comme indiqué et a c' est l' enfert , ca fait plus d' une heure que j' essaye en vain d' atendre cette page pour pouvoir y poster , je RAME xD.Jamais autant ramé , au reboot mon desk met plus de 50 secondes a s' afficher et reste eperduement vide de toute icone encore au moins une bone minute .
Ensuie c' est la chasse au "kill" dans le gestionnaire histoire de pouvoir ouvrir un browser sans "caller"
Bon j' y connais rien de rien mais j' ai screen les processus en cours ,je sai pas si ca peut servir ( a deguster , j'ai passé 30 min a upload ^^ )
[cherche Vitriol pour recurer]
celui la est pris des que jai reussis a selectioner l' outil T+53 secondes apres le demarrage .
http://www.hidemyass.com/img/vOQYY
et celui de maintenant quand l' ordi est en marche "vitesse croisiere" j'arrive pas a l' upload >><<
Ha si ca y' est
http://www.hidemyass.com/img/LT8jn

hubertaaz · Answer

OK.

Si c'est suite au nettoyage du registre par CCleaner que tu connais ces problèmes. Il faut restaurer le registre tel qu'il était avant ce nettoyage.

Si tu as bien suivi le tuto et particulièrement ceci : 
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 

Tu cliques droit sur la sauvegarde qui est un fichier .reg => fusionner. 
Ça remettra le registre tel qu'il était avant ce nettoyage.

muntxaku · Answer

Non je ne crois pas Ccleaner auraiy pas fait ca si ?  
(au pire j' ai bien enregistré les sauvegardes je peux remettre - jai aussi fait un point de restore)  

Je pense , que vu la chronologie (parce-que ça allait 'achment mieux que il y a 48 heures ! ) f 

     Soit j'ai fais une connerie en faisant la manip du totem (chuuis pas clair là) , en faisant le scan de vérification avec ZHP ou fallait reparer une phrase .et jai pas fait un truc bien ou pas comme il fallait. 


Soit c'est parce que j'avais pas rebranché ma clef usb depuis la lavage a USBfix, su laquelle j' ai MSN ,et surement et le virus ou "un bout de probleme" sy trouver . 
Parceque j'ai su qu'il en restait un une fois que tout etait passé , j' ai juste avira qui est passée depui le dernier "antimalware corrosif"  
et en fait c' est une alerte d' avira . 

Dans le fichier 'C:\Documents and Settings\***p\Application Data\Thinstall\Windows Live Messenger\40000057500002h\msnmsgr.exe.a30f1c.tmp' 
un virus ou un programme indésirable 'TR/Gendal.40448.J' [trojan] a été détecté. 
OU ALORS c'est un complot de la CIA. 

apres je ne connais pas personnelement ce Tr . Genda et si il est capable de faire ca etc .

hubertaaz · Answer

* On peut parfois avoir des problèmes avec CCleaner mais en fonction de ton explication, je pencherais pour ta dernière explication.

* Avant de faire appel à un helper plus chevronné que moi (ne t'inquiète pas il y en a qui suivent ce topic) pourrais-tu relancer ZHPDiag et me poster le rapport ZHPDiag.txt sur Ci-Joint.

/!\ Cette fois branche ta clé USB avant de lancer ZHPDiag /!\

muntxaku · Answer

Ben là par contre il tourne comme un avion le pc , serieux je comprend rien tout a l' heure c'était le rhale de l' agonie , la il pete le feu . 
J'ai deja rematqué cette alternance , là elle est plus marquéequ'à l'habitude, 
J'ai quand même suivis le conseil et remis cc_20100830_143733.reg et cc_20100830_143855.reg , ne me rappelant plus laquelle etait la premiere et laquelle la seconde (aux 2 passages il y a eu des modifs)
Donc pas tout capté , mais bon , il tourne super pourvu que ca dure :p

muntxaku · Answer

Bonjour Moment-de-Grace
Alors voila ce que raconte ZHP.upL comme les les premiers
Ici:   http://www.cijoint.fr/cjlink.php?file=cj201008/cijwIeVh1Q.txt

(moi je te trouve tres callé Hubertaaz -Tu m'diras je pars de loiiiin-)
Merci vs deux :)

muntxaku · Answer

Voici le deuxieme rapprt , (j' ai deux clef ) et y'a pas a dire c' est net , je branche celle ci l' ordi perddes tours , et fait son petit bruit , celui qui "gratte" l' air de dire il réflechit beaucoup ^^
c'est la clef dans laquelle il y a MSN.quand je lance MSN , avira me sort son meddage d' erreur ou elle dit que Gendal rôde des les dossiers temporaire (je crois).Quand je lance elle sonne , met le message dalerte 
j' envoie en quarantaine / supprime / ou/ bloque acces , et là ca plante msn .

Pu***n quesque ça rame dun coup ! huhu
voila le rapport avec la clef en question (desolé ca met du temps à la rame)
http://www.cijoint.fr/cjlink.php?file=cj201008/cij4hOSvNP.txt

muntxaku · Answer

Ok.En tous cas si c'est clean alors je suis bien content .
Ce qui est probable aussi vu la peleté qu'USBfix et MBAM ont enlevé.
Là ,sans usb et sur maxthon ca tourne , je touche du bois.

Bonne soirée donc, et Merci encore .

hubertaaz · Answer

Bonjour, 

Le fait que le rapport ne montre  rien ne veut cependant pas dire qu'il n'y a absolument rien. C'est pour cette raison que l'on demande le comportement du pc quand tout semble ok. 

Il y a d'autres outils dont certains que l'on utilise qu'en dernier recours vu leur "agressivité". 

Le contenu de ta clé USB m'intrigue compte tenu de la réaction de ton pc dès qu'elle est connectée et en particulier la réaction de Avira. 

Banche cette clé USB à ton pc sans l'ouvrir ( fais-le à un moment où tu n'as pas besoin de ton pc au cas où il ramerait de nouveau quoique si tu n'ouvres pas cette clé ça ne devrait pas le faire)

Clique droit sur son icône (E) dans le poste de travail et analyse son contenu avec Avira. Si tu le peux, fait de même avec Malwarebytes. 
Ensuite poste les 2 rapports générés. 

NB : Je vais m'absenter jusqu'au environs de 9H. 

Si moment de grace  intervient, suit ses indications. 

Bonne journée à vous deux. 

@+ 
Celui qui pose une question est bête cinq minutes, celui qui n'ose pas l'est toute sa vie.  
(Proverbe chinois)

moment de grace · Answer

bonjour

effectivement; il y a un soucis avec cette cle..

quand elle est branchée, zhp montre en plus ceci

[MD5.83ED7EC5B3233248208FA955719CB599] - (.Pas de propriétaire - Pas de description.) -- E:\PortableApps\Appetizer\Appetizer.exe   [926208

http://www.virustotal.com/file-scan/report.html?id=2a8fa108afe96e0119c71c95c8a95ce24a28305d01eaf3ac73913a6cdaa37cda-1257326843

et

C:\Program Files\Notepad++Portable\App\Notepad++\Notepad++.exe   [625152]  
[MD5.505C9D7F87FA976043593AC593F64D99] - (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\***  p\Mes documents\install_avastPortable1.0.133.exe 

qui ne doit pas plaire à antivir

  
muntxaku

en plus de ca

Clique droit sur son icône (E) dans le poste de travail et analyse son contenu avec Avira. Si tu le peux, fait de même avec Malwarebytes.
Ensuite poste les 2 rapports générés. 

rajoute nous ceci stp

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

? Télécharge List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

ou

http://www.archive-host.com

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em"


une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport C:\List'em.txt

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Même opération pour le rapport more.txt qui se trouve sur ton bureau


si soucis avec ci joint. fr 

=> utiliser https://www.cjoint.com/
=>  utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html

muntxaku · Answer

Bon j' ai edsayé de tout faire comme il devait être :
environement : 
Comodo hors service , et Avira aussi .
Analyse du periphérique (E) par avira, et par MBAM 
L' USB etant eteinte , juste branchée au lancement de l' analyse.

(J'trouve plus le rapport d' avira , mais avira n' a rien trouvé ), le rapport ne montrait rien .
Par contre MBAM a trouvé (un ou 2? voir rapports) des sources infectieuses sur Lupo , j' ai eté les erase dans la quarantaine une fois le scan terminé.

J' ai DL List Them mais c' est ...très long :D

Je post son rapport des que son scan est terminé .

Rapport aviraz : perdu dans le tas d'autres (oué le desk déborde un peu là) 
Rapports de MBAM (avant et après le delete des malwares en quarantaine)
https://www.cjoint.com/?iFpkaxZmaJ
https://www.cjoint.com/?iFpkTUgqlX

muntxaku · Answer

J'espère que j'ai fais comme il fallait , je suis pas certain de bien avoir pigé ce scan mis à part "le check" des processus 
Le rapport là : https://www.cjoint.com/?iFrgcnTZOV

moment de grace · Answer

en attendant le retour d'hubert

 No action taken.

l'as tu supprimer ?

......................

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis l'option CLEAN
ton PC va redemarrer, 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta reponse

muntxaku · Answer

Bonjour!

Je viens de terminer le scan  (J'ai pas eu hier soir suffisamment de disponibilité pour le faire)

Voila son rapport (Kill'em.txt  enregistré sur le bureau)

(j'ai fais le scan , y'avais une usb -apprioris saine- de branchée , je précise juste)

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.0.2 ¤¤¤¤¤¤¤¤¤¤ 
 
User : ***  p (Opérateurs de configuration réseau) 
Update on 30/08/2010 by g3n-h@ckm@n ::::: 15.00
Start at: 06:02:24 | 01/09/2010

Intel(R) Pentium(R) Dual  CPU  T2370  @ 1.73GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : Pare-feu Online Armor[ Enabled ]4.0.0.44
FW : COMODO Firewall[ (!) Disabled ]3.9

C:\ -> Disque fixe local | 111,78 Go (41,97 Go free) [System] | NTFS
D:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM | 4,03 Mo (0 Mo free) [U3 System] | CDFS
J:\ -> Disque amovible | 973,72 Mo (81,05 Mo free) [E4EUH] | FAT
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\WINDOWS\System32\smss.exe ----56 Ko
C:\WINDOWS\system32\csrss.exe ----2592 Ko
C:\WINDOWS\system32\winlogon.exe ----3364 Ko
C:\WINDOWS\system32\services.exe ----1444 Ko
C:\WINDOWS\system32\lsass.exe ----2392 Ko
C:\WINDOWS\system32\svchost.exe ----1644 Ko
C:\WINDOWS\system32\svchost.exe ----1448 Ko
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe ----3996 Ko
C:\WINDOWS\system32\svchost.exe ----21496 Ko
C:\WINDOWS\system32\svchost.exe ----1488 Ko
C:\Program Files\Tall Emu\Online Armor\OAcat.exe ----80 Ko
C:\WINDOWS\system32\spoolsv.exe ----1484 Ko
C:\WINDOWS\Explorer.EXE ----12076 Ko
C:\WINDOWS\system32\ctfmon.exe ----1980 Ko
C:\Program Files\Avira\AntiVir Desktop\sched.exe ----668 Ko
C:\Program Files\Avira\AntiVir Desktop\avguard.exe ----17540 Ko
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe ----200 Ko
C:\WINDOWS\system32\svchost.exe ----216 Ko
C:\WINDOWS\System32\alg.exe ----156 Ko
C:\WINDOWS\system32\inetsrv\inetinfo.exe ----1744 Ko
C:\WINDOWS\system32\svchost.exe ----216 Ko
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe ----84 Ko
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe ----4308 Ko
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe ----1436 Ko
C:\Program Files\Evernote\Evernote3.5\evernote.exe ----33032 Ko
c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe ----1212 Ko
C:\Documents and Settings\***  p\Local Settings\Application Data\Google\Chrome\Application\chrome.exe ----19884 Ko
C:\Documents and Settings\***  p\Local Settings\Application Data\Google\Chrome\Application\chrome.exe ----27876 Ko
C:\Documents and Settings\***  p\Local Settings\Application Data\Google\Chrome\Application\chrome.exe ----2364 Ko
C:\Documents and Settings\***  p\Local Settings\Application Data\Google\Chrome\Application\chrome.exe ----3072 Ko
C:\Documents and Settings\***  p\Local Settings\Application Data\Google\Chrome\Application\chrome.exe ----2276 Ko
C:\Documents and Settings\***  p\Local Settings\Application Data\Google\Chrome\Application\chrome.exe ----2500 Ko
C:\Documents and Settings\***  p\Local Settings\Application Data\Google\Chrome\Application\chrome.exe ----2316 Ko
C:\Documents and Settings\***  p\Local Settings\Application Data\Google\Chrome\Application\chrome.exe ----8436 Ko
C:\Documents and Settings\***  p\Local Settings\Application Data\Google\Chrome\Application\chrome.exe ----20116 Ko
C:\Documents and Settings\***  p\Local Settings\Application Data\Google\Chrome\Application\chrome.exe ----2320 Ko
C:\Documents and Settings\***  p\Local Settings\Application Data\Google\Chrome\Application\chrome.exe ----259376 Ko
C:\Documents and Settings\***  p\Local Settings\Application Data\Google\Chrome\Application\chrome.exe ----22456 Ko
C:\Documents and Settings\***  p\Local Settings\Application Data\Google\Chrome\Application\chrome.exe ----392 Ko
C:\Documents and Settings\***  p\Local Settings\Application Data\Google\Chrome\Application\chrome.exe ----2092 Ko
C:\Documents and Settings\***  p\Local Settings\Application Data\Google\Google Talk Plugin\googletalkplugin.exe ----17020 Ko
C:\WINDOWS\system32\cmd.exe ----2976 Ko
C:\WINDOWS\system32\wbem\wmiprvse.exe ----7004 Ko
C:\Program Files\List_Kill'em\ERUNT.EXE ----4172 Ko
C:\Program Files\List_Kill'em\pv.exe ----2800 Ko
 
¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\System 
 
Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn 
Quarantined & Deleted !! : C:\Documents and Settings\***  p\Local Settings\Temp	mp.xpi 
Quarantined & Deleted !! : C:\Documents and Settings\***  p\LOCAL Settings\Temp\final_step.exe 
Quarantined & Deleted !! : C:\Documents and Settings\***  p\LOCAL Settings\Temp\Uninstall.exe 
Quarantined & Deleted !! : C:\Documents and Settings\***  p\LOCAL Settings\Temp\Perflib_Perfdata_650.dat 
Quarantined & Deleted !! : C:\Documents and Settings\***  p\LOCAL Settings\Temp\Perflib_Perfdata_c94.dat 
Quarantined & Deleted !! : C:\Documents and Settings\***  p\LOCAL Settings\Temp\~gu-ver.dat 
Quarantined & Deleted !! : C:\Documents and Settings\***  p\Local Settings\Temporary Internet Files\SuggestedSites.dat 
 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"  
Deleted : HKCR\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0}  
Deleted : HKCR\Interface\{4897bba6-48d9-468c-8efa-846275d7701b}  
Deleted : HKCR\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d}  
Deleted : HKCR\urlsearchhook.toolbarurlsearchhook  
Deleted : HKCR\urlsearchhook.toolbarurlsearchhook.1  
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0fb6a909-6086-458f-bd92-1f8ee10042a0}  
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0fb6a909-6086-458f-bd92-1f8ee10042a0}  

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.msn.com/fr-fr/?ocid=iehp
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	=         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	=         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.google.com/?gws_rd=ssl
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
FirstRunDisabled	=      	1 () 
AntiVirusDisableNotify	=      	0 (0x0) 
FirewallDisableNotify	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
AntiVirusOverride	=      	0 (0x0) 
FirewallOverride	=      	0 (0x0) 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Ip6Fw : Start = 2   
 SharedAccess : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK 
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 

FEATURE_BROWSER_EMULATION | svchost : 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
kernel: MBR read successfully
user & kernel MBR OK 
 
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

muntxaku · Answer

OUPS , a l'instant même : 
HTML/Infected.WebPage.Gen2

Dans le fichier 'J:\LiberKey\Apps\PNotes\App\PNotes\smilies.images' 
un virus ou un programme indésirable 'WORM/Warezov.gwx' [worm] a été détecté. 
Action exécutée : Déplacer le fichier en quarantaine 

Dans le fichier 'J:\LiberKey\Apps\PNotes\App\PNotes\groups.images' 
un virus ou un programme indésirable 'WORM/Warezov.gww' [worm] a été détecté. 
Action exécutée : Supprimer le fichier 

*grogne*

PS  jamais deux sans trois

SPR/PSW.Messen.HX a l'instant

hubertaaz · Answer

Bonjour,

Il y a apparemment des infections sur tes 2 clés USB.

Tu peux procéder avec cette clé (J) comme avec (E) : la connecter à ton pc sans l'ouvrir => clic droit et analyse avec Antivir et Malwarebytes.

Tu supprimes tout ce qui est trouvé et tu postes les rapports après suppression.

Car pour le dernier rapport Malwarebytes pour lequel tu as posté le lien, tu nous a mis 2 rapports identiques avant suppression. Je suppose que tu as bien supprimer puisque tu nous as dit l'avoir fait et vidé la quarantaine...

Je me demande s'il ne faudra pas envisager de formater ces clés et ensuite les vacciner.

Nous attendrons l'avis de moment de grace

NB : je serais absent depuis ce début d'après midi jusque tard ce soir.

@+

muntxaku · Answer

bon j'ai formaté les deux clefs du coup .

Voila les rapports de l'analyse des disques avant formatage , ainsi que celui de "la tournée d' avira" , le scan complet du pc avec l' usb en question .
(7 erreurs trouvées)


https://www.cjoint.com/?jbmTFjZ7R2

bon jarrive pas a upload >< Ey c'est diablement long.

je poste des que c'est upload

muntxaku · Answer

Bonjour, 
juste pour dire que je ne me suis pas envolé, et c'est malgré moi que je n' ai pas pu terminer ,seulement le pc ne veut plus démarrer , il reboot sans cesses sur un écran noir ou je dois choisir 
sans echec
sans echec reseau
dernière conf efficace
normalement 
.....
apres sur un ecran bleu il dit aussi que je dois redemarrer en enlevant les A-V et autres programmes auxilliaires , mais je peux pas les enlever si je demarre pas ! que Win a eté stopé pour eviter d' endommager , il dit aussi un truc matheux du genre 0,0000065x0,0000032x0,0000000 (du genre)
quand je choisis un mode de demarrage, il reboot quand même , j'ai testé F2 , F8 bon ben il est en grève , dommage , il allait bien mieux une fois débarrassé de la vermine !
la je suis sur mac , et faire une USB bootable pour win depuis OS-X , c'est pas gagné .
Bref , je vais googler ,essayer .
Meerci a vous, pour tout.

moment de grace · Answer

Au démarrage du PC a la place de MSE,  faire choisir Invite de commandes en mode sans échec et voir pour une restauration avec cette commande : 
%windir%\system32\restore\rstrui.exe

muntxaku · Answer

Héhé , je dois passer pour un cas ,(pas faux hein!), mais quand je met mode invite de commandes sans échec, l' ordi reboot quand même automatiquement quand l' écran bleu apparaît (apparition d'une fraction de seconde) , je ne peux donc pas faire grand chose .
Et même si il me laisse le temps où dois-je rentrer %windir%\system32\restore\rstrui.exe car je n'ai vu aucun emplacement prévu a cet effet .(Les lignes de commande j' admet ne me sont pas vraiment familières )

J'ai essayé mode "sans redémarrage automatique " ce qui m' a permit de lire l' écran bleu en entier , c'est un pas.
Question subsidiaire ,les données contenues (photos , matrices , etc ...) sont elle en danger ? 
Si j' vous embête entre mes trojan et mes reboots-en-boucle-qui-s'arrette-plus faut me dire ;)

moment de grace · Answer

Question subsidiaire ,les données contenues (photos , matrices , etc ...) sont elle en danger ? 

ca sent le fumet si tu n'arrives pas à lancer windows

que s'est il passé entre le dernier mbam et ton nouveau soucis ?

muntxaku · Answer

ben j' étais en train de ramer pour upload le dernier rapport de 9Mb de Avira , quand j' ai du reboot car c'était impraticable.
Au reboot mon bureau a mis genre 3 ou 4 minutes avant de s'afficher , j' ai donc rereboot après l' avoir allégé voir si ça se reproduisait :
Jai pas été déçu, , rien ne s'est affiché , j' ai du lancer les appis une par une via commande et gestionnaire des tâches je tournais donc sur le pc sans bureau .
Le bureau "existait" encore car son emplacement hébergeait encore des raccourcis , je les voyais en "browsant" le gestionnaire, mais il n' était plus accessible "physiquement".'
jai regardé google sans succes , jai rentré chkdsk dans la console et j'ai reboot , ; c'est le dernier .
Depuis il reboot en boucle une fois la barre de win en chargement il fait son bruit de disque caracteriel et il recommence .
"Ça sent le fumet"
Ça c'est pas glop :d , sérieux j'ai 2 ans de recherche dessus et je suis trop con pour avoir pensé a sauvegarder il y a moins d'un an ><  alea jacta es

moment de grace · Answer

https://www.commentcamarche.net/faq/24285-recuperer-ses-donnees-personnelles-avec-toutou-linux

muntxaku · Answer

Ouééé ! 
Mais ce serait trop beau pour etre vrai ^^, mais si la data est pas perdue ...C'est toujours ça de gagné !
bon jai bcp lu dessus , reste une interrogation, L'image avec laquelle je cré la clef USB bootable , cette image c' est du genre :
disquette demarrage
http://mirror.slitaz.org/boot/floppy-grub4dos
ou-bien du genre 
imlage ici
http://mirror.slitaz.org/iso/cooking/packages-cooking.iso
Bon sinon je crois que j' ai compris , ça va être "groovy" de laisser un pierrafeu comme moi changer la distribution d'un systeme qu'il ne connaît pas hihi.

Et sinon pour la fabrication de la clef bootable quelle est donc la difference avec 
http://www.linuxliveusb.com/fr.html
http://www2.mandriva.com/
(Du point de vue duquel ce qui m'importe c'est en prio recupperer la data , et après ne rêvons pas , mais dans la mesure du possible essayer de garder l'ordi vivant )

Ben en tout cas merci bien !J'espère m' en dépêtrer :d

Comment faire ?Assaillis de TROJANs

42 réponses

Votre réponse

Discussions similaires

Newsletters