Virus supprimé qui revient x fois (cmd.exe?)
Thorus12
Messages postés
127
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
je créé une nouvelle discussion car mon ancienne est marquée comme résolue, or le problème est revenu.
Voilà le lien vers l'ancien thread: https://forums.commentcamarche.net/forum/affich-23046059-dois-je-autoriser-cmd-exe-ou-virus
Mon problème:
Une fenêtre "Interpréteur de commandes" s'affiche et me demande d'autoriser ou d'annuler les programmes suivants:
Windows\SystemWOW64\cmd.exe
Users\ ... \Temp\rowctstdnnjmlirk.exe
rowctstdnnjmlirk.exe est signalé comme virus par mes antivirus et je l'ai mis en quarantaine + supprimé 2 fois déjà.
Je clique annuler à chaque fois, la fenêtre revient 2 fois, 10 fois, 15 fois (cela dépend).
Voilà des rapports:
ZHPDiag: http://www.cijoint.fr/cjlink.php?file=cj201109/cijzMe1NIF.txt
OTL: http://www.cijoint.fr/cjlink.php?file=cj201109/cijMALpzUx.txt
MBAM examen complet en cours (3 éléments infectés pour le moment: sûrement les mêmes trouvés par les examens précédents)
Voilà le rapport d'un examen d'hier: http://www.cijoint.fr/cjlink.php?file=cj201109/cij2CRPyi4.txt
Les fichiers 0.4008897201848656.exe et rowctstdnnjmlirk.exe ont été trouvés, mis en quarantaine et supprimés 3 fois déjà.
Entre parenthèses: Avira Antivir s'affiche et me demande l'autorisation de plusieurs fichiers. J'ai jamais le temps de réagir car les fenêtres disparaissent aussitôt. La case "Refuser l'accès" est pré-cochée. J'ai pu apercevoir les fichiers hjsplit.exe, virtualdub.exe et autres logiciels tout à fait normaux sans danger. Problème résolu après analyse rapide MBAM et redémarrage mais je le mentionne au cas où ça peut aider.
Aidez-moi svp. Merci d'avance.
je créé une nouvelle discussion car mon ancienne est marquée comme résolue, or le problème est revenu.
Voilà le lien vers l'ancien thread: https://forums.commentcamarche.net/forum/affich-23046059-dois-je-autoriser-cmd-exe-ou-virus
Mon problème:
Une fenêtre "Interpréteur de commandes" s'affiche et me demande d'autoriser ou d'annuler les programmes suivants:
Windows\SystemWOW64\cmd.exe
Users\ ... \Temp\rowctstdnnjmlirk.exe
rowctstdnnjmlirk.exe est signalé comme virus par mes antivirus et je l'ai mis en quarantaine + supprimé 2 fois déjà.
Je clique annuler à chaque fois, la fenêtre revient 2 fois, 10 fois, 15 fois (cela dépend).
Voilà des rapports:
ZHPDiag: http://www.cijoint.fr/cjlink.php?file=cj201109/cijzMe1NIF.txt
OTL: http://www.cijoint.fr/cjlink.php?file=cj201109/cijMALpzUx.txt
MBAM examen complet en cours (3 éléments infectés pour le moment: sûrement les mêmes trouvés par les examens précédents)
Voilà le rapport d'un examen d'hier: http://www.cijoint.fr/cjlink.php?file=cj201109/cij2CRPyi4.txt
Les fichiers 0.4008897201848656.exe et rowctstdnnjmlirk.exe ont été trouvés, mis en quarantaine et supprimés 3 fois déjà.
Entre parenthèses: Avira Antivir s'affiche et me demande l'autorisation de plusieurs fichiers. J'ai jamais le temps de réagir car les fenêtres disparaissent aussitôt. La case "Refuser l'accès" est pré-cochée. J'ai pu apercevoir les fichiers hjsplit.exe, virtualdub.exe et autres logiciels tout à fait normaux sans danger. Problème résolu après analyse rapide MBAM et redémarrage mais je le mentionne au cas où ça peut aider.
Aidez-moi svp. Merci d'avance.
A voir également:
- Virus supprimé qui revient x fois (cmd.exe?)
- Site x - Guide
- Sites X : Pornhub, YouPorn et Redtube sont de nouveau accessibles en France - Guide
- Cmd.exe - Guide
- Recuperer message whatsapp supprimé - Guide
- Message supprimé whatsapp - Guide
19 réponses
On va essayer ceci:
- Télécharge sur le bureau RogueKiller de Tigzy
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 2 [DELETE] et valide
- Poste le rapport RKreport.txt présent sur le bureau.
* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe
Ensuite tu choisis l'option 4 et tu postes le rapport
Smart
- Télécharge sur le bureau RogueKiller de Tigzy
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 2 [DELETE] et valide
- Poste le rapport RKreport.txt présent sur le bureau.
* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe
Ensuite tu choisis l'option 4 et tu postes le rapport
Smart
Examen MBAM complet. Voici le rapport:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7622
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19120
02/09/2011 21:44:57
mbam-log-2011-09-02 (21-44-57).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|O:\|)
Elément(s) analysé(s): 368087
Temps écoulé: 1 heure(s), 9 minute(s), 22 seconde(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
c:\Users\clement\AppData\Local\rdkuhqig\ajchrqrw.exe (Trojan.Agent) -> 2588 -> Unloaded process successfully.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AjcHrqrw (Trojan.Agent) -> Value: AjcHrqrw -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\clement\AppData\Local\rdkuhqig\ajchrqrw.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\clement\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\ajchrqrw.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Nouveau rapport ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201109/cijTyh5aBc.txt
J'ai l'impression que ma clé USB a causé la réapparition du virus, quelqu'un peut me dire la suite à faire avec USBFix et d'autres logiciels comme Spybot. Merci.
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7622
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19120
02/09/2011 21:44:57
mbam-log-2011-09-02 (21-44-57).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|O:\|)
Elément(s) analysé(s): 368087
Temps écoulé: 1 heure(s), 9 minute(s), 22 seconde(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
c:\Users\clement\AppData\Local\rdkuhqig\ajchrqrw.exe (Trojan.Agent) -> 2588 -> Unloaded process successfully.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AjcHrqrw (Trojan.Agent) -> Value: AjcHrqrw -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\clement\AppData\Local\rdkuhqig\ajchrqrw.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\clement\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\ajchrqrw.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Nouveau rapport ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201109/cijTyh5aBc.txt
J'ai l'impression que ma clé USB a causé la réapparition du virus, quelqu'un peut me dire la suite à faire avec USBFix et d'autres logiciels comme Spybot. Merci.
Salut, merci de m'aider:
Voilà ce que j'obtiens avec l'otion 2:
RogueKiller V5.3.4 [30/08/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: clement [Droits d'admin]
Mode: Suppression -- Date : 02/09/2011 23:57:28
Processus malicieux: 0
Entrees de registre: 3
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp://http=127.0.0.1:57838) -> NOT REMOVED, USE PROXYFIX
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
Fichiers / Dossiers particuliers:
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Avec l'option 4 j'obtiens:
RogueKiller V5.3.4 [30/08/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: clement [Droits d'admin]
Mode: Proxy RAZ -- Date : 02/09/2011 23:57:58
Processus malicieux: 0
Entrees de registre: 1
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp://http=127.0.0.1:57838) -> DELETED
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
Voilà ce que j'obtiens avec l'otion 2:
RogueKiller V5.3.4 [30/08/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: clement [Droits d'admin]
Mode: Suppression -- Date : 02/09/2011 23:57:28
Processus malicieux: 0
Entrees de registre: 3
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp://http=127.0.0.1:57838) -> NOT REMOVED, USE PROXYFIX
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
Fichiers / Dossiers particuliers:
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Avec l'option 4 j'obtiens:
RogueKiller V5.3.4 [30/08/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: clement [Droits d'admin]
Mode: Proxy RAZ -- Date : 02/09/2011 23:57:58
Processus malicieux: 0
Entrees de registre: 1
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp://http=127.0.0.1:57838) -> DELETED
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
RogueKiller V5.3.4 [30/08/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: clement [Droits d'admin]
Mode: Recherche -- Date : 02/09/2011 23:57:17
Processus malicieux: 0
Entrees de registre: 3
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp://http=127.0.0.1:57838) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
Fichiers / Dossiers particuliers:
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: clement [Droits d'admin]
Mode: Recherche -- Date : 02/09/2011 23:57:17
Processus malicieux: 0
Entrees de registre: 3
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp://http=127.0.0.1:57838) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
Fichiers / Dossiers particuliers:
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
OK tu avais fait un mode recherche avant.
Tu vas désinstaller Spybot qui est dépassé et ne fait que ralentir ton PC.
Ensuite tu vas faire ceci pour voir si tu as une infection USB:
- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !
Aide en images : "Nettoyage"
Puis tu fais ceci:
- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2A5D1C44-CD3F-4514-A15B-B0BF238447B2}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse
Cela fait deux rapports à poster
Smart
Tu vas désinstaller Spybot qui est dépassé et ne fait que ralentir ton PC.
Ensuite tu vas faire ceci pour voir si tu as une infection USB:
- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !
Aide en images : "Nettoyage"
Puis tu fais ceci:
- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2A5D1C44-CD3F-4514-A15B-B0BF238447B2}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse
Cela fait deux rapports à poster
Smart
Rapport USBFix
############################## | UsbFix 7.036 | [Suppression]
Utilisateur: clement (Administrateur) # PC-DE-CLEMENT [Packard Bell imedia S1710]
Mis à jour le 20/12/10 par El Desaparecido / C_XX
Lancé à 00:23:29 | 03/09/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Pentium(R) Dual-Core CPU E5200 @ 2.50GHz
CPU 2: Pentium(R) Dual-Core CPU E5200 @ 2.50GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 64-Bit) # Service Pack 2
Internet Explorer 8.0.6001.19120
Pare-feu Windows: Activé
RAM -> 3070 Mo
C:\ (%systemdrive%) -> Disque fixe # 142 Go (24 Go libre(s) - 17%) [OS] # NTFS
D:\ -> Disque fixe # 142 Go (20 Go libre(s) - 14%) [DATA] # NTFS
E:\ -> CD-ROM
J:\ -> CD-ROM
O:\ -> Disque amovible # 15 Go (4 Go libre(s) - 27%) [CORSAIR] # FAT32
################## | Éléments infectieux |
Supprimé! C:\Users\clement\Documents.lnk
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3134296232-2412903082-1817574899-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3134296232-2412903082-1817574899-1000
################## | Registre |
Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{978dcc67-d15b-11e0-a37d-00251134cfbe}
################## | Listing |
[03/09/2011 - 00:26:01 | SHD ] C:\$Recycle.Bin
[14/02/2010 - 13:00:35 | D ] C:\1ef17fcc22c3b5c12a36e9bd2b707d
[17/08/2009 - 12:37:58 | D ] C:\ACER
[02/09/2011 - 23:06:48 | RASHD ] C:\Autorun.inf
[22/07/2010 - 18:14:35 | D ] C:\Boot
[11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
[28/04/2009 - 13:17:02 | N | 8192] C:\BOOTSECT.BAK
[10/08/2011 - 12:15:54 | D ] C:\Config.Msi
[01/02/2011 - 19:17:31 | N | 2308] C:\DelFixSuppr.txt
[02/11/2006 - 17:42:17 | SHD ] C:\Documents and Settings
[02/09/2011 - 22:26:56 | D ] C:\Downloads
[06/04/2011 - 23:18:08 | D ] C:\Matisoft
[30/04/2011 - 00:01:44 | D ] C:\MP4ToMP3Converter
[01/01/2010 - 18:28:23 | RHD ] C:\MSOCache
[02/09/2011 - 20:06:10 | D ] C:\MyMp3Pro
[02/09/2011 - 21:46:47 | ASH | 3534168064] C:\pagefile.sys
[21/01/2008 - 05:04:13 | D ] C:\PerfLogs
[02/09/2011 - 21:55:50 | N | 512] C:\PhysicalDisk0_MBR.bin
[01/09/2011 - 18:32:07 | N | 512] C:\PhysicalMBR.bin
[10/09/2010 - 22:14:29 | D ] C:\Poker
[07/08/2011 - 19:03:18 | D ] C:\Program Files
[10/08/2011 - 18:29:58 | D ] C:\Program Files (x86)
[11/03/2011 - 18:49:22 | HD ] C:\ProgramData
[28/04/2009 - 05:06:13 | N | 1926] C:\RHDSetup.log
[22/07/2010 - 02:59:20 | D ] C:\sysmon
[02/09/2011 - 13:48:00 | SHD ] C:\System Volume Information
[26/12/2010 - 20:37:23 | D ] C:\Temp
[03/09/2011 - 00:26:01 | D ] C:\UsbFix
[03/09/2011 - 00:23:34 | A | 2720] C:\UsbFix.txt
[19/09/2009 - 21:40:01 | D ] C:\Users
[24/07/2011 - 22:48:50 | D ] C:\Windows
[02/09/2011 - 21:55:44 | D ] C:\ZHP
[01/02/2011 - 02:30:42 | N | 93369] C:\ZHPDiag.Txt
[01/02/2011 - 01:54:43 | N | 92547] C:\ZHPDiag01.02.11.Txt
[01/02/2011 - 04:52:09 | N | 92033] C:\ZHPDiag1.Txt
[01/02/2011 - 18:59:10 | N | 92277] C:\ZHPDiag14.txt
[01/02/2011 - 19:07:53 | N | 91616] C:\ZHPDiag2.txt
[01/02/2011 - 18:54:18 | N | 92444] C:\ZHPDiagga
[03/09/2011 - 00:26:01 | SHD ] D:\$RECYCLE.BIN
[02/09/2011 - 23:06:52 | RASHD ] O:\Autorun.inf
[02/09/2011 - 18:44:34 | D ] O:\Fukato
[01/09/2011 - 02:25:20 | D ] O:\FOUND.001
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
O:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-CLEMENT.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.
################## | E.O.F |
Rapport ZHPFix
Rapport de ZHPFix 1.12.3360 par Nicolas Coolman, Update du 29/08/2011
Fichier d'export Registre :
Run by clement at 03/09/2011 00:29:19
Windows Vista Home Premium Edition, 64-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2A5D1C44-CD3F-4514-A15B-B0BF238447B2}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
========== Elément(s) de donnée du Registre ==========
SUPPRIME PhishingFilter Value: Enabled = 0
========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
End of the scan in 00mn 00s
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 03/09/2011 00:29:19 [949]
############################## | UsbFix 7.036 | [Suppression]
Utilisateur: clement (Administrateur) # PC-DE-CLEMENT [Packard Bell imedia S1710]
Mis à jour le 20/12/10 par El Desaparecido / C_XX
Lancé à 00:23:29 | 03/09/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Pentium(R) Dual-Core CPU E5200 @ 2.50GHz
CPU 2: Pentium(R) Dual-Core CPU E5200 @ 2.50GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 64-Bit) # Service Pack 2
Internet Explorer 8.0.6001.19120
Pare-feu Windows: Activé
RAM -> 3070 Mo
C:\ (%systemdrive%) -> Disque fixe # 142 Go (24 Go libre(s) - 17%) [OS] # NTFS
D:\ -> Disque fixe # 142 Go (20 Go libre(s) - 14%) [DATA] # NTFS
E:\ -> CD-ROM
J:\ -> CD-ROM
O:\ -> Disque amovible # 15 Go (4 Go libre(s) - 27%) [CORSAIR] # FAT32
################## | Éléments infectieux |
Supprimé! C:\Users\clement\Documents.lnk
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3134296232-2412903082-1817574899-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3134296232-2412903082-1817574899-1000
################## | Registre |
Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{978dcc67-d15b-11e0-a37d-00251134cfbe}
################## | Listing |
[03/09/2011 - 00:26:01 | SHD ] C:\$Recycle.Bin
[14/02/2010 - 13:00:35 | D ] C:\1ef17fcc22c3b5c12a36e9bd2b707d
[17/08/2009 - 12:37:58 | D ] C:\ACER
[02/09/2011 - 23:06:48 | RASHD ] C:\Autorun.inf
[22/07/2010 - 18:14:35 | D ] C:\Boot
[11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
[28/04/2009 - 13:17:02 | N | 8192] C:\BOOTSECT.BAK
[10/08/2011 - 12:15:54 | D ] C:\Config.Msi
[01/02/2011 - 19:17:31 | N | 2308] C:\DelFixSuppr.txt
[02/11/2006 - 17:42:17 | SHD ] C:\Documents and Settings
[02/09/2011 - 22:26:56 | D ] C:\Downloads
[06/04/2011 - 23:18:08 | D ] C:\Matisoft
[30/04/2011 - 00:01:44 | D ] C:\MP4ToMP3Converter
[01/01/2010 - 18:28:23 | RHD ] C:\MSOCache
[02/09/2011 - 20:06:10 | D ] C:\MyMp3Pro
[02/09/2011 - 21:46:47 | ASH | 3534168064] C:\pagefile.sys
[21/01/2008 - 05:04:13 | D ] C:\PerfLogs
[02/09/2011 - 21:55:50 | N | 512] C:\PhysicalDisk0_MBR.bin
[01/09/2011 - 18:32:07 | N | 512] C:\PhysicalMBR.bin
[10/09/2010 - 22:14:29 | D ] C:\Poker
[07/08/2011 - 19:03:18 | D ] C:\Program Files
[10/08/2011 - 18:29:58 | D ] C:\Program Files (x86)
[11/03/2011 - 18:49:22 | HD ] C:\ProgramData
[28/04/2009 - 05:06:13 | N | 1926] C:\RHDSetup.log
[22/07/2010 - 02:59:20 | D ] C:\sysmon
[02/09/2011 - 13:48:00 | SHD ] C:\System Volume Information
[26/12/2010 - 20:37:23 | D ] C:\Temp
[03/09/2011 - 00:26:01 | D ] C:\UsbFix
[03/09/2011 - 00:23:34 | A | 2720] C:\UsbFix.txt
[19/09/2009 - 21:40:01 | D ] C:\Users
[24/07/2011 - 22:48:50 | D ] C:\Windows
[02/09/2011 - 21:55:44 | D ] C:\ZHP
[01/02/2011 - 02:30:42 | N | 93369] C:\ZHPDiag.Txt
[01/02/2011 - 01:54:43 | N | 92547] C:\ZHPDiag01.02.11.Txt
[01/02/2011 - 04:52:09 | N | 92033] C:\ZHPDiag1.Txt
[01/02/2011 - 18:59:10 | N | 92277] C:\ZHPDiag14.txt
[01/02/2011 - 19:07:53 | N | 91616] C:\ZHPDiag2.txt
[01/02/2011 - 18:54:18 | N | 92444] C:\ZHPDiagga
[03/09/2011 - 00:26:01 | SHD ] D:\$RECYCLE.BIN
[02/09/2011 - 23:06:52 | RASHD ] O:\Autorun.inf
[02/09/2011 - 18:44:34 | D ] O:\Fukato
[01/09/2011 - 02:25:20 | D ] O:\FOUND.001
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
O:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-CLEMENT.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.
################## | E.O.F |
Rapport ZHPFix
Rapport de ZHPFix 1.12.3360 par Nicolas Coolman, Update du 29/08/2011
Fichier d'export Registre :
Run by clement at 03/09/2011 00:29:19
Windows Vista Home Premium Edition, 64-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2A5D1C44-CD3F-4514-A15B-B0BF238447B2}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
========== Elément(s) de donnée du Registre ==========
SUPPRIME PhishingFilter Value: Enabled = 0
========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
End of the scan in 00mn 00s
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 03/09/2011 00:29:19 [949]
Voici le rapport d'un examen rapide:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7622
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19120
03/09/2011 00:51:54
mbam-log-2011-09-03 (00-51-54).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 172807
Temps écoulé: 5 minute(s), 34 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
J'ai un scan complet en cours mais ça va sûrement durer 2 heures et je pense pas qu'il trouve plus. C'était le même scénario hier, le scan complet ne trouve rien, tout semble ok mais d'un coup le virus revient le lendemain.
Est-ce qu'un scan complet est nécessaire ?
Et est-ce que je peux utiliser ma clé USB sur mon autre ordi maintenant ?
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7622
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19120
03/09/2011 00:51:54
mbam-log-2011-09-03 (00-51-54).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 172807
Temps écoulé: 5 minute(s), 34 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
J'ai un scan complet en cours mais ça va sûrement durer 2 heures et je pense pas qu'il trouve plus. C'était le même scénario hier, le scan complet ne trouve rien, tout semble ok mais d'un coup le virus revient le lendemain.
Est-ce qu'un scan complet est nécessaire ?
Et est-ce que je peux utiliser ma clé USB sur mon autre ordi maintenant ?
Voilà le rapport de l'examen complet:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7622
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19120
03/09/2011 02:11:55
mbam-log-2011-09-03 (02-11-55).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Elément(s) analysé(s): 359645
Temps écoulé: 1 heure(s), 17 minute(s), 48 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Rien trouvé mais comme dit même scénario hier et d'un coup le rowctstdnnjmlirk.exe est réapparu
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7622
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19120
03/09/2011 02:11:55
mbam-log-2011-09-03 (02-11-55).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Elément(s) analysé(s): 359645
Temps écoulé: 1 heure(s), 17 minute(s), 48 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Rien trouvé mais comme dit même scénario hier et d'un coup le rowctstdnnjmlirk.exe est réapparu
On va faire autrement tu as surement un rootkit
* Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur Start Scan pour démarrer l'analyse.
* Si des éléments néfastes sont identifiés par l'outil, vérifie que Cure est bien coché. S'il indique "suspicious", laisse l'option Skip.
* Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.
* Un rapport s'ouvrira au redémarrage de l'ordinateur.
* Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt
Smart
* Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur Start Scan pour démarrer l'analyse.
* Si des éléments néfastes sont identifiés par l'outil, vérifie que Cure est bien coché. S'il indique "suspicious", laisse l'option Skip.
* Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.
* Un rapport s'ouvrira au redémarrage de l'ordinateur.
* Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt
Smart
Oui mais non..... enfin je crois pas...
c:\Users\clement\AppData\Local\Temp\0.4008897201848656.exe (Trojan.Agent) -> Quarantined and deleted successfully.
0.4008897201848656.exe => possible exploit Java
https://www.malekal.com/java-exploit-en-augmentation-tdss-hiloti/
Vu que sur son OTL, Java est pas dans les 30 derniers fichiers modifiés, y a de grande chance qu'il aie pas mis à jour, il retourne sur son site pourri, il réinfecte son PC.
Bref, si c'est ça, il a pas suivi les consignes données dans la procédure de fin.
C'pas s'étonner qu'il repourri son PC.
Par contre, ce qui est étonnant cest que les fichiers ont exactement les mm noms dans le mm répertoire comme si ça avait été restauré.
c:\Users\clement\AppData\Local\Temp\0.4008897201848656.exe (Trojan.Agent) -> Quarantined and deleted successfully.
0.4008897201848656.exe => possible exploit Java
https://www.malekal.com/java-exploit-en-augmentation-tdss-hiloti/
Vu que sur son OTL, Java est pas dans les 30 derniers fichiers modifiés, y a de grande chance qu'il aie pas mis à jour, il retourne sur son site pourri, il réinfecte son PC.
Bref, si c'est ça, il a pas suivi les consignes données dans la procédure de fin.
C'pas s'étonner qu'il repourri son PC.
Par contre, ce qui est étonnant cest que les fichiers ont exactement les mm noms dans le mm répertoire comme si ça avait été restauré.
Je le mets sur cijoint, il est long mais n'a rien trouvé de grave, un suspicious.
http://www.cijoint.fr/cjlink.php?file=cj201109/cijRr5EV21.txt
http://www.cijoint.fr/cjlink.php?file=cj201109/cijRr5EV21.txt
Déjà mets à jour JAVA.
PRC - [2011/09/02 19:49:27 | 000,116,171 | --S- | M] () -- C:\Users\clement\AppData\Local\rdkuhqig\ajchrqrw.exe
C'est revenu hier à 19h49.
Tu pourrais, ce serait sympa, regarder le site que tu as consulté juste avant..
Donne l'adresse stp et n'y retourne pas sans avoir mis JAVA à jour.
Pour ta clef USB faudrait la checker oui.
PRC - [2011/09/02 19:49:27 | 000,116,171 | --S- | M] () -- C:\Users\clement\AppData\Local\rdkuhqig\ajchrqrw.exe
C'est revenu hier à 19h49.
Tu pourrais, ce serait sympa, regarder le site que tu as consulté juste avant..
Donne l'adresse stp et n'y retourne pas sans avoir mis JAVA à jour.
Pour ta clef USB faudrait la checker oui.
regarde : https://forums.commentcamarche.net/forum/affich-23072801-probleme-virus-ramnit-e-win32
Fichier(s) infecté(s):
c:\users\joël\appdata\local\tgrulkiv\cmjhvkrn.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\Users\Joël\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\cmjhvkrn.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Joël\AppData\Local\Temp\trefxmqwvpyuslep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Ca ressemble bigrement à ce que tu as.
Comme dit sur l'autre poste, Ramnit infecte les executables.
Tu devrais faire un scan Dr.Web en live CD.
Fichier(s) infecté(s):
c:\users\joël\appdata\local\tgrulkiv\cmjhvkrn.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\Users\Joël\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\cmjhvkrn.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Joël\AppData\Local\Temp\trefxmqwvpyuslep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Ca ressemble bigrement à ce que tu as.
Comme dit sur l'autre poste, Ramnit infecte les executables.
Tu devrais faire un scan Dr.Web en live CD.
Je relance la discussion: même problème!
Lors du démarrage de mon PC, 2 pages internet s'ouvrent automatiquement ainsi que l'interpréteur de commandes qui demande l'autorisation de continuer. Hors quand je clique sur continuer, mon antivirus (avira) signale des virus. Je les supprime ou les mets en quarantaine mais rien n'y fait, ce problème revient à chaque démarrage!
En parcourant les forums, j'ai fait un scan de mon PC à l'aide de auslogics registry cleaner et m'a réparé les erreurs trouvées.
Merci de m'aider SVP!
Lors du démarrage de mon PC, 2 pages internet s'ouvrent automatiquement ainsi que l'interpréteur de commandes qui demande l'autorisation de continuer. Hors quand je clique sur continuer, mon antivirus (avira) signale des virus. Je les supprime ou les mets en quarantaine mais rien n'y fait, ce problème revient à chaque démarrage!
En parcourant les forums, j'ai fait un scan de mon PC à l'aide de auslogics registry cleaner et m'a réparé les erreurs trouvées.
Merci de m'aider SVP!
Tu es certainement infectée par Ramnit.
Tu sois les recommandations de ces deux pages :
https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit
https://www.malekal.com/ramnit-fait-son-retour-un-vrai-virus/
En gros escan ou Dr. Web et de préférence par CD Live.
Et si le système n'est pas désinfecté, tu formates.
Tu sois les recommandations de ces deux pages :
https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit
https://www.malekal.com/ramnit-fait-son-retour-un-vrai-virus/
En gros escan ou Dr. Web et de préférence par CD Live.
Et si le système n'est pas désinfecté, tu formates.
Je ne comprends pas ce que je dois faire!
désolée ma connaissance de l'informatique est très limitée...
merci de m'aider s'il vous plait car je m'arrache les cheveux là....
désolée ma connaissance de l'informatique est très limitée...
merci de m'aider s'il vous plait car je m'arrache les cheveux là....