Virus data restore, probleme

vb35000 -  
moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour, j'ai été infecté par le virus data restore, qui fait partie d'une lignée de virus proposant de recupérer votre disque dur, car il a caché les fichiers en modifiant le registre et fait passer cela pour un probleme externe. (il balance également pleins de pop up bien chiantes mais à part ça et quelques ralentissement le pc fonctionne)

enfin bref, j'ai fais un scan spyware doctor qui était conseillé sur un site d'aide mais malheureusement le logiciel est payant (j'ai quand meme localisé le fichier .exe malveillant)j'ai donc scanné avec spybot, seulement impossible de le supprimer car le processus est en cours d'utilisation.

Je lance donc en mode sans échec et rescanne

Problème : mon pc ne supporte pas le mode sans échec tres longtemps et plante au bout de quelques minutes, donc impossible de finir le scan pour supprimer le virus...

je suis donc coincé la et je sais pas trop quoi tenter,

merci d'avance

15 réponses

  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    * Télécharge sur le bureau RogueKiller (par tigzy)
    https://www.luanagames.com/index.fr.html

    *( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

    * Quitte tous tes programmes en cours
    * Lance RogueKiller.exe.
    * Lorsque demandé, tape 2 et valide puis l'option 6
    * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
    2
  2. vb35000
     
    J'ai tapé 2 "suppression" par contre valider l'option 6 je n'ai pas compris.

    voici le rapport

    RogueKiller V6.1.1 [28/09/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: valentin [Droits d'admin]
    Mode: Suppression -- Date : 02/10/2011 18:12:04

    Processus malicieux: 3
    [SUSP PATH] CmdLineExt03.dll -- C:\Users\valentin\AppData\Local\Temp\CmdLineExt03.dll -> UNLOADED
    [SUSP PATH] TVTiTlJbinQR.exe -- c:\programdata\tvtitljbinqr.exe -> KILLED [TermProc]
    [SUSP PATH] 1kAlMiG2Kb7FzP.exe -- c:\programdata\1kalmig2kb7fzp.exe -> KILLED [TermProc]

    Entrees de registre: 11
    [SUSP PATH] HKCU\[...]\Run : TVTiTlJbinQR.exe (C:\ProgramData\TVTiTlJbinQR.exe) -> DELETED
    [SUSP PATH] HKLM\[...]\Run : Autoscreen (C:\Users\valentin\AppData\Local\Apps\2.0\3XAZP7MP.Z22\0M87KYA1.9G7\auto..tion_fbb680c7e79c9712_0001.0004_02bd935f803f64a1\Autoscreen.exe) -> DELETED
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:8074) -> NOT REMOVED, USE PROXYFIX
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

    Fichiers / Dossiers particuliers:

    Driver: [LOADED]
    SSDT[383] : NtCreateUserProcess @ 0x82410C11 -> HOOKED (\SystemRoot\system32\drivers\PCTCore.sys @ 0x82CC952C)
    SSDT[73] : NtCreateProcessEx @ 0x824D8DCA -> HOOKED (\SystemRoot\system32\drivers\PCTCore.sys @ 0x82CC9230)
    SSDT[72] : NtCreateProcess @ 0x824D8D7F -> HOOKED (\SystemRoot\system32\drivers\PCTCore.sys @ 0x82CC8F68)

    Fichier HOSTS:
    127.0.0.1 localhost
    127.0.0.1 activate.adobe.com

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    1
  3. vb35000
     
    merci beaucoup au fait, le virus semble avoir disparu, rarement vu un petit logiciel aussi efficace, 10 sec hop réglé :)
    1
  4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    as tu fais l'option 6 de roguekiller ?

    de +

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


    (outil de diagnostic)


    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista/Seven )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur http://pjjoint.malekal.com/

    Clique sur "Parcourir "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. vb35000
     
    désolé moment de grâce j'avais pas vu ton message, j'étais sur que c'en était fini mais visiblement j'ai encore quelques soucis, je ne sais pas si ça a un quelconque rapport, mais avec un logiciel qui marchait tres bien, je me tape un "error code 740" car celui ci doit s'update. (alors que le dossier est en mode "controle total", le logi est lancé en tant qu'admin, etc)

    voila le lien du rapport
    http://pjjoint.malekal.com/files.php?id=ZHPDiag_t15x12f12q13h15m12q11z5t5w15p14k6c5q15s8z8l12d8f10o5

    merci encore
    1
  7. Alex
     
    Bonjour,

    J'ai exactement le même problème, rogue killer à bien marché mais le virus à l'air d'être toujours bien présent. Voici mon rapport http://pjjoint.malekal.com/files.php?id=ZHPDiag_u6c11q12d1013s9n11e11p6m10w10n10u6f5d15o155t8u5v15 . Que doit je faire ça commence à devenir insupportable.

    Merci d'avance
    0
  8. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    @ alex ouvres toi un sujet stp

    ......................

    @ vb35000
    Désolé pour le retard

    Fais ceci stp

    1)

    Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

    http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner

    Lance le, clique sur SUPPRESSION puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleane.txt

    .........................

    2)

    Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    . Enregistres le sur le bureau
    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    . Une fois la mise à jour terminé
    . Rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet (examen assez long)
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, clique sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . Rends toi dans l'onglet rapport/log
    . Tu cliques dessus pour l'afficher, une fois affiché
    . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
    . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    Si tu as besoin d'aide regarde ces tutoriels :
    Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

    ...................................

    3)

    refais un nouveau rapport ZHPdiag stp

    Rend toi sur http://pjjoint.malekal.com/

    Clique sur "Parcourir "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

    0
  9. vb35000
     
    voila pour adw http://pjjoint.malekal.com/files.php?id=x15n6n59f5s8l8i14h8r15w13f8614b7e15r13p11y15l9
    je fais l'autre de suite
    0
  10. vb35000
     
    euh... je fais le scan malwarebytes la, es tu sur de la fiabilité de ce logiciel? car franchement depuis que je l'ai mis mon antivirus avira me trouve pleins de cheval de troie "dangereux" notamment nommés fakesystfail ou des trucs dans le genre, le genre de malware que ce genre de programme t'envoie délibérément pour qu'ils te détectent comme par magie des infections apres...

    bien heureux d'avoir laissé avira fonctionner

    je fais le scan jusqu'à la fin mais apres c'est direct poubelle
    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      fais mbam comme indiqué, il est fiable

      poste le rapport à la fin
      0
  11. vb35000
     
    Malwarebytes' Anti-Malware 1.51.2.1300
    www.malwarebytes.org

    Version de la base de données: 7917

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 7.0.6002.18005

    11/10/2011 10:51:23
    mbam-log-2011-10-11 (10-51-23).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 480115
    Temps écoulé: 4 heure(s), 41 minute(s), 15 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 5

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Titan.fr (PUP.Casino) -> Not selected for removal.
    HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Poker\Titan.fr\_setuppoker.exe_a74bb1.exe (PUP.Casino) -> Not selected for removal.
    c:\system volume information\systemrestore\frstaging\Poker\Titan.fr\_setuppoker.exe_a74bb1.exe (PUP.Casino) -> Not selected for removal.
    c:\system volume information\systemrestore\frstaging\users\valentin\appdata\local\temp\0.9991878998860607.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\users\valentin\desktop\applis\rk_quarantine\1kalmig2kb7fzp.exe.vir (Trojan.FakeAV) -> Quarantined and deleted successfully.
    c:\users\valentin\desktop\applis\rk_quarantine\tvtitljbinqr.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    0
  12. vb35000
     
    http://pjjoint.malekal.com/files.php?id=ZHPDiag_u5l6z10j15m6w11n1013v13x12e13w5v14z10n15y6y15c5i12r5
    0
  13. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    tu peux vider la quantaine

    puis

    1)
    Copie tout le texte présent en gras ci-dessous (tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0
    O3 - Toolbar: Alive Text to Speech - {954F618B-0DEC-4D1A-9317-E0FC96F87865} . (...) -- C:\PROGRA~1\ALIVEM~1\TEXTTO~1\IETOOL~1.DLL
    O3 - Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} . (...) -- (.not file.)
    O42 - Logiciel: Favorit (csucogk) - (.Pas de propriétaire.) [HKLM] -- csucogk
    [HKCU\Software\Poker 770.NET]
    [HKCU\Software\Titan Poker]
    [HKCU\Software\Totem]
    [HKLM\Software\Titan Poker]
    O43 - CFD: 09/10/2011 - 22:11:26 - [144364] ----D- C:\Users\valentin\AppData\Roaming\ItsLabel
    O47 - AAKE:Key Export SP - "C:\Program Files\uusee\UUSeePlayer.exe" [Enabled] .(...) -- C:\Program Files\uusee\UUSeePlayer.exe (.not file.)
    O51 - MPSK:{95e737cf-8f27-11de-a453-001eec3fbbd1}\AutoRun\command. (...) -- F:\NoLimit.exe (.not file.)
    O59 - HSMI:Heuristic Search MagicControl Infection - (...) -- C:\Users\valentin\AppData\Local\akyqakm_nav.dat
    O59 - HSMI:Heuristic Search MagicControl Infection - (...) -- C:\Users\valentin\AppData\Local\akyqakm_navps.dat
    [HKLM\Software\Classes\eorezobho.eobho]
    [HKLM\Software\Classes\eorezobho.eobho.1]
    [HKCU\Software\titan poker]
    [HKLM\Software\titan poker]
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VirtuaGirl HD
    C:\Users\valentin\AppData\Roaming\ItsLabel
    C:\Users\valentin\AppData\LocalLow\BabylonToolbar
    M2 - MFEP: prefs.js [valentin - srut4w4j.default\{1c491116-c175-45e1-a570-6fb14fea8b7b}] [] PHPNukeFR Toolbar v2.7.2.0 (.Conduit Ltd..)
    M2 - MFEP: prefs.js [valentin - srut4w4j.default\{90b49673-5506-483e-b92b-ca0265bd9ca8}] [] IMVU Inc Community Toolbar v3.3.3.2 (.Conduit Ltd..)
    M2 - MFEP: prefs.js [valentin - srut4w4j.default\{c41be492-d9e6-4262-a0bd-e8cf6dc4208d}] [] Softonic.France Community Toolbar v3.2.5.2 (.Conduit Ltd..)
    R3 - URLSearchHook: PHPNukeFR Toolbar - {1c491116-c175-45e1-a570-6fb14fea8b7b} . (.Conduit Ltd. - Conduit Toolbar.) (6.1.0.7) -- C:\Program Files\PHPNukeFR\tbPHPN.dll
    R3 - URLSearchHook: Softonic.France Toolbar - {c41be492-d9e6-4262-a0bd-e8cf6dc4208d} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Softonic.France\prxtbSof0.dll
    R3 - URLSearchHook: PHPNukeFR Toolbar - {1c491116-c175-45e1-a570-6fb14fea8b7b} . (.Conduit Ltd. - Conduit Toolbar.) (6.1.0.7) -- C:\Program Files\PHPNukeFR\tbPHPN.dll
    R3 - URLSearchHook: Softonic.France Toolbar - {c41be492-d9e6-4262-a0bd-e8cf6dc4208d} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Softonic.France\prxtbSof0.dll
    O2 - BHO: PHPNukeFR Toolbar - {1c491116-c175-45e1-a570-6fb14fea8b7b} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\PHPNukeFR\tbPHPN.dll
    O2 - BHO: Softonic.France - {c41be492-d9e6-4262-a0bd-e8cf6dc4208d} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic.France\prxtbSof0.dll
    O3 - Toolbar: PHPNukeFR Toolbar - {1c491116-c175-45e1-a570-6fb14fea8b7b} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\PHPNukeFR\tbPHPN.dll
    O3 - Toolbar: Softonic.France Toolbar - {c41be492-d9e6-4262-a0bd-e8cf6dc4208d} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic.France\prxtbSof0.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Yahoo! Inc. - Yahoo! Toolbar.) -- C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
    O3 - Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} . (...) -- (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [Scheduled Update for Ask Toolbar] (...) -- C:\Program Files\Ask.com\UpdateTask.exe (.not file.)
    O42 - Logiciel: PHPNukeFR Toolbar - (.PHPNukeFR.) [HKLM] -- PHPNukeFR Toolbar
    O42 - Logiciel: Skype Toolbars - (.Skype Technologies S.A..) [HKLM] -- {CD95D125-2992-4858-B3EF-5F6FB52FBAD6}
    O42 - Logiciel: Softonic.France Toolbar - (.Softonic.France.) [HKLM] -- Softonic.France Toolbar
    O42 - Logiciel: TeamSpeak 2 RC2 - (.Dominating Bytes Design.) [HKLM] -- Teamspeak 2 RC2_is1
    [HKCU\Software\AppDataLow\Software\PHPNukeFR]
    [HKCU\Software\AppDataLow\Software\Softonic.France]
    [HKCU\Software\PHPNukeFR]
    [HKCU\Software\Softonic.France]
    [HKLM\Software\PHPNukeFR]
    [HKLM\Software\Softonic.France]
    O43 - CFD: 31/08/2009 - 17:56:00 - [0] ----D- C:\Program Files\DAEMON Tools Toolbar
    O43 - CFD: 06/01/2011 - 08:45:58 - [4087971] ----D- C:\Program Files\PHPNukeFR
    O43 - CFD: 01/05/2011 - 14:14:34 - [11967162] ----D- C:\Program Files\Softonic.France
    O43 - CFD: 02/07/2011 - 20:09:18 - [7770277] ----D- C:\Program Files\Teamspeak2_RC2
    O43 - CFD: 01/10/2011 - 20:21:42 - [9827] --H-D- C:\Users\valentin\AppData\Roaming\teamspeak2
    O43 - CFD: 31/08/2011 - 07:18:36 - [0] --H-D- C:\Users\valentin\AppData\Local\PHPNukeFR
    O43 - CFD: 01/10/2011 - 20:21:24 - [4216131] --H-D- C:\Users\valentin\AppData\Local\Softonic.France
    [HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]
    [HKLM\Software\Classes\Toolbar.ct2102473]
    [HKLM\Software\Classes\Toolbar.CT2612669]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF]
    [HKCU\Software\PHPNukeFR]
    [HKCU\Software\AppDataLow\Software\PHPNukeFR]
    [HKLM\Software\PHPNukeFR]
    [HKCU\Software\Softonic.France]
    [HKCU\Software\AppDataLow\Software\Softonic.France]
    [HKLM\Software\Softonic.France]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Softonic.France Toolbar]
    [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{30F9B915-B755-4826-820B-08FBA6BD249D}
    C:\Program Files\DAEMON Tools Toolbar
    C:\Program Files\PHPNukeFR
    C:\Users\valentin\AppData\Roaming\teamspeak2
    C:\Users\valentin\AppData\Local\PHPNukeFR
    C:\Users\valentin\AppData\LocalLow\PHPNukeFR
    C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar
    MBRFix
    EMPTYTEMP
    EMPTYFLASH


    Puis Lance ZHPFix depuis le raccourci du bureau . (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)

    * Une fois l'outil ZHPFix ouvert ,

    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

    ............................

    2)

    Redemarre le pc et dis moi si tu as encore des soucis

    0
  14. vb35000
     
    salut, bien le logiciel qui ne voulait plus s'update refonctionne, par contre la quasi totalité de mon disque dur est toujours en fichiers cachés.

    le virus comme je te l'avais dit ne semble plus etre la depuis que roguekiller l'a tué donc pas méchant tout ça, il doit juste y avoir quelques clés dans le registre qui trainent mais avec un nettoyage ça n'avait rien changé.

    c'est tout sinon aucun soucis merci beaucoup pour ton aide précieuse

    le rapport au cas ou http://pjjoint.malekal.com/files.php?id=l6s8z14p15m12e6z1415c10c6n14e11u5r11d12k10n6x12s11i12
    0
  15. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Ok

    une vérification stp

    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu


    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan
    http://dl.dropbox.com/u/21363431/Pre_scan.exe

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif
    http://dl.dropbox.com/u/21363431/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ? Clique sur Parcourir et cherche le fichier ci-dessus.

    ? Clique sur Ouvrir.

    ? Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ? Copie ce lien dans ta réponse.

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

    CONTRIBUTEUR SECURITE

    En désinfection, c'est la fin le plus important !
    "Restez" jusqu'au bout...merci
    0