A voir également:
- Infection à Win7 Internet Security 2012
- Eset internet security download - Télécharger - Sécurité
- Gps sans internet - Guide
- Microsoft security essentials - Télécharger - Antivirus & Antimalwares
- Windows live mail 2012 - Télécharger - Mail
- Account-security-noreply@ accountprotection.microsoft.com fake ✓ - Forum Hotmail / Outlook.com
45 réponses
Oui. ^^ Je ne sais pas quoi faire de ce rapport.
Mon ordi tourne à plein régime, il doit y avoir pas mal de taches de fond... :/
Je ne vois rien de spécial dans les processus, je suis un peu perdu...
Mon ordi tourne à plein régime, il doit y avoir pas mal de taches de fond... :/
Je ne vois rien de spécial dans les processus, je suis un peu perdu...
Utilisateur anonyme
11 janv. 2012 à 22:42
11 janv. 2012 à 22:42
Re
Télécharge TDSSKiller
*Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
* Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.
Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée.
Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer
sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau
Poste moi son rapport à l'issue; merci
@+
Télécharge TDSSKiller
*Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
* Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.
Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée.
Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer
sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau
Poste moi son rapport à l'issue; merci
@+
Super, merci. ;)
Je fais ça demain soir, j'ai éteins mon ordi... Si tout se passe bien, l'infection sera totalement éliminée après ça ?
Je fais ça demain soir, j'ai éteins mon ordi... Si tout se passe bien, l'infection sera totalement éliminée après ça ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bon le logiciel n'a détecté aucune infection... :/
Voici le rapport : http://pastebin.com/iSz1XnVg
Pourtant le virus est toujours là : mon ordinateur est beaucoup plus lent que d'habitude, je ne peux pas effectuer de requête post et j'ai des pubs qui s'ouvrent de temps à autre alors qu'elles sont normalement bloquées par AdBlock.
Windows vient de m'indiquer qu'il fallait redémarrer car il a fait une mise à jour. Est-ce que ça peut-être une nouvelle infiltration du virus ?
Voici le rapport : http://pastebin.com/iSz1XnVg
Pourtant le virus est toujours là : mon ordinateur est beaucoup plus lent que d'habitude, je ne peux pas effectuer de requête post et j'ai des pubs qui s'ouvrent de temps à autre alors qu'elles sont normalement bloquées par AdBlock.
Windows vient de m'indiquer qu'il fallait redémarrer car il a fait une mise à jour. Est-ce que ça peut-être une nouvelle infiltration du virus ?
Utilisateur anonyme
12 janv. 2012 à 20:19
12 janv. 2012 à 20:19
Bonsoir
Une mise à jour de Windows vient d'être faite.(une fois par mois minimum)
Tu peux redémarrer ton PC
Ensuite fait ceci:
Inscris toi avant tout
Pour de plus amples informations, fait ceci stp
Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
Serveur N°2
Ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
en bas de la page ZHP avec un numéro de version.
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.
Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur ce lien :
http://pjjoint.malekal.com/
https://www.cjoint.com/
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Merci
A+
Une mise à jour de Windows vient d'être faite.(une fois par mois minimum)
Tu peux redémarrer ton PC
Ensuite fait ceci:
Inscris toi avant tout
Pour de plus amples informations, fait ceci stp
Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
Serveur N°2
Ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
en bas de la page ZHP avec un numéro de version.
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.
Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur ce lien :
http://pjjoint.malekal.com/
https://www.cjoint.com/
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Merci
A+
Salut,
Voici le rapport, sur PasteBin : http://pastebin.com/HfzLqFpr
J'ai aussi lancé une analyse complète avec MalwareBytes en supprimant tout ce qui ressortait comme étant dangereux. J'ai fais la même chose avec adwcleaner.
A+
Voici le rapport, sur PasteBin : http://pastebin.com/HfzLqFpr
J'ai aussi lancé une analyse complète avec MalwareBytes en supprimant tout ce qui ressortait comme étant dangereux. J'ai fais la même chose avec adwcleaner.
A+
Utilisateur anonyme
13 janv. 2012 à 13:09
13 janv. 2012 à 13:09
Bonjour
Sur conseil de g3n-h@ckm@n;que je salues au passage.
Fait ceci:
1)désinstalle daemon tools toolbar
2)Fais analyser le(s) fichier(s) suivants sur Virustotal :
VirusTotal
clique sur "Parcourir" et trouve puis sélectionne ce(s) fichier(s) :
C:\Windows\sysk32.dll
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
3)fais glisser une icône n'importe quel fichier sur Pre_scan , pre_script va apparaitre
Lance Pre_script , une page vierge va s'ouvrir.
sélectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"RegistryWm"=-
[-HKEY_USERS\S-1-5-21-110221741-2651171901-2522444663-1001\Software\Microsoft\Windows\CurrentVersion\Run]
"cacaoweb"=-
"Smad"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKEY_CLASSES_ROOT\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_CLASSES_ROOT\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{32099AAC-C132-4136-9E9A-4E364A424E17}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{32099AAC-C132-4136-9E9A-4E364A424E17}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{32099AAC-C132-4136-9E9A-4E364A424E17}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKCU\Software\cacaoweb]
[-HKCU\Software\Zugo]
list::
C:\test
file::
C:\1563-AhNi-15L9-P5l7.data
C:\sys
C:\tmp
C:\Windows\iun6002.exe
C:\Windows\tmpD.txt
C:\Windows\_delis32.ini
C:\Windows\"õÂ
C:\ProgramData\.zreglib
C:\ProgramData\546o4j6k6254
C:\ProgramData\emopts.dat
C:\ProgramData\sys001.log
C:\ProgramData\sys002.log
C:\ProgramData\sys003.log
C:\ProgramData\sys004.log
C:\ProgramData\sys005.log
C:\ProgramData\sys007.log
C:\ProgramData\sys008.log
C:\ProgramData\sys011.log
C:\ProgramData\sys012.log
C:\ProgramData\sys013.log
C:\ProgramData\sys014.log
C:\ProgramData\sys015.log
C:\ProgramData\sys016.log
C:\Users\Mathieu\AppData\Local\546o4j6k6254
folder::
C:\Users\Mathieu\AppData\Roaming\cacaoweb
C:\Users\Mathieu\AppData\Local\SanctionedMedia
C:\sys
C:\tmp
C:\Windows\system64
C:\Users\Mathieu\AppData\Roaming\cacaoweb
C:\ProgramData\rkfree
C:\Program Files (x86)\DAEMON Tools Toolbar
clean::
Mbr::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenêtres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne réapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
@+
Sur conseil de g3n-h@ckm@n;que je salues au passage.
Fait ceci:
1)désinstalle daemon tools toolbar
2)Fais analyser le(s) fichier(s) suivants sur Virustotal :
VirusTotal
clique sur "Parcourir" et trouve puis sélectionne ce(s) fichier(s) :
C:\Windows\sysk32.dll
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
3)fais glisser une icône n'importe quel fichier sur Pre_scan , pre_script va apparaitre
Lance Pre_script , une page vierge va s'ouvrir.
sélectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"RegistryWm"=-
[-HKEY_USERS\S-1-5-21-110221741-2651171901-2522444663-1001\Software\Microsoft\Windows\CurrentVersion\Run]
"cacaoweb"=-
"Smad"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKEY_CLASSES_ROOT\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_CLASSES_ROOT\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{32099AAC-C132-4136-9E9A-4E364A424E17}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{32099AAC-C132-4136-9E9A-4E364A424E17}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{32099AAC-C132-4136-9E9A-4E364A424E17}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKCU\Software\cacaoweb]
[-HKCU\Software\Zugo]
list::
C:\test
file::
C:\1563-AhNi-15L9-P5l7.data
C:\sys
C:\tmp
C:\Windows\iun6002.exe
C:\Windows\tmpD.txt
C:\Windows\_delis32.ini
C:\Windows\"õÂ
C:\ProgramData\.zreglib
C:\ProgramData\546o4j6k6254
C:\ProgramData\emopts.dat
C:\ProgramData\sys001.log
C:\ProgramData\sys002.log
C:\ProgramData\sys003.log
C:\ProgramData\sys004.log
C:\ProgramData\sys005.log
C:\ProgramData\sys007.log
C:\ProgramData\sys008.log
C:\ProgramData\sys011.log
C:\ProgramData\sys012.log
C:\ProgramData\sys013.log
C:\ProgramData\sys014.log
C:\ProgramData\sys015.log
C:\ProgramData\sys016.log
C:\Users\Mathieu\AppData\Local\546o4j6k6254
folder::
C:\Users\Mathieu\AppData\Roaming\cacaoweb
C:\Users\Mathieu\AppData\Local\SanctionedMedia
C:\sys
C:\tmp
C:\Windows\system64
C:\Users\Mathieu\AppData\Roaming\cacaoweb
C:\ProgramData\rkfree
C:\Program Files (x86)\DAEMON Tools Toolbar
clean::
Mbr::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenêtres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne réapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
@+
Re,
Je n'arrive pas à désinstaller Daemon Toolbar, aucune trace dans la désinstallation de programme et lorsque je me rend dans le répertoire d'installation, il n'y a qu'un fichier xml (même en affichant les dossier système).
Voici le scan de la DLL : http://bit.ly/zHLhJ6
Concernant Pre-Script, j'ai une erreur lorsque je ferme le fichier contenant le script, le logiciel m'indique que windows ne trouve pas "C:\Kill'em\ERUNT.exe". Comment faire ?
Le virus est toujours présent, j'ai des pubs qui s'ouvrent parfois alors que je ne suis même pas sur internet...
Merci à vous deux. ;)
Je n'arrive pas à désinstaller Daemon Toolbar, aucune trace dans la désinstallation de programme et lorsque je me rend dans le répertoire d'installation, il n'y a qu'un fichier xml (même en affichant les dossier système).
Voici le scan de la DLL : http://bit.ly/zHLhJ6
Concernant Pre-Script, j'ai une erreur lorsque je ferme le fichier contenant le script, le logiciel m'indique que windows ne trouve pas "C:\Kill'em\ERUNT.exe". Comment faire ?
Le virus est toujours présent, j'ai des pubs qui s'ouvrent parfois alors que je ne suis même pas sur internet...
Merci à vous deux. ;)
Utilisateur anonyme
Modifié par Guillaume5188 le 13/01/2012 à 18:55
Modifié par Guillaume5188 le 13/01/2012 à 18:55
Re
Fait ceci:(Merci pour le tuto à Electricien 69 et Lyonnais92 )
Tu cliques sur le bouton démarrer>>>Exécuter>>>tu écris regedit
Tu cliques sur Ok
Cela ouvre la base de registre
Trouve
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems
Tu te rends ici en utilisant le + situé a gauche :
Ex:(le bon)
HKLM >> tu ouvres en cliquant sur le + situé à gauche
Tu cherches >>SYSTEM et tu cliques à gauche sur le +
ainsi de suite jusqu'à arrivé au dossier SubSystems
http://cjoint.com/12jv/BAlhUqtNFqv.htm
Tu fais un clic droit sur la valeur Windows situé dans la fenêtre de droite et tu cliques sur Modifier
La valeur de la clé apparait (en bleu).
Clique pour désélectionner et la mettre en blanc.
Avec les touches de navigation (les 4 flèches Haut, Bas, droite et Gauche), tu cherches la chaîne de caractère consrv et tu la remplaces par winsrv.
%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=consrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16
Tu cliques sur OK.
Un conseil, tu refais clic droit et Modifier pour vérifier et tu fermes le registre.
Le plus important:avant de redémarrer, trouve ce fichier :
C:\windows\system32\consrv.dll, supprime le manuellement.
N'hésites pas si tu as des questions.
Fait bien attention car si tu loupes la manipulation il y a risque de plantage.
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Fait ceci:(Merci pour le tuto à Electricien 69 et Lyonnais92 )
Tu cliques sur le bouton démarrer>>>Exécuter>>>tu écris regedit
Tu cliques sur Ok
Cela ouvre la base de registre
Trouve
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems
Tu te rends ici en utilisant le + situé a gauche :
Ex:(le bon)
HKLM >> tu ouvres en cliquant sur le + situé à gauche
Tu cherches >>SYSTEM et tu cliques à gauche sur le +
ainsi de suite jusqu'à arrivé au dossier SubSystems
http://cjoint.com/12jv/BAlhUqtNFqv.htm
Tu fais un clic droit sur la valeur Windows situé dans la fenêtre de droite et tu cliques sur Modifier
La valeur de la clé apparait (en bleu).
Clique pour désélectionner et la mettre en blanc.
Avec les touches de navigation (les 4 flèches Haut, Bas, droite et Gauche), tu cherches la chaîne de caractère consrv et tu la remplaces par winsrv.
%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=consrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16
Tu cliques sur OK.
Un conseil, tu refais clic droit et Modifier pour vérifier et tu fermes le registre.
Le plus important:avant de redémarrer, trouve ce fichier :
C:\windows\system32\consrv.dll, supprime le manuellement.
N'hésites pas si tu as des questions.
Fait bien attention car si tu loupes la manipulation il y a risque de plantage.
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Re,
Je ne peux pas modifier la valeur de la clé. Il doit y avoir un processus qui vérifie sa valeur en permanence. J'ai essayé de la supprimé et de la recréer avec les bons paramètres mais là encore, tout de suite après la validation, la clé est modifiée pour reprendre de nouveau consrv comme valeur....
Comment faire ? :/
Je ne peux pas modifier la valeur de la clé. Il doit y avoir un processus qui vérifie sa valeur en permanence. J'ai essayé de la supprimé et de la recréer avec les bons paramètres mais là encore, tout de suite après la validation, la clé est modifiée pour reprendre de nouveau consrv comme valeur....
Comment faire ? :/
Utilisateur anonyme
Modifié par Guillaume5188 le 14/01/2012 à 06:51
Modifié par Guillaume5188 le 14/01/2012 à 06:51
Bonjour
Nous allons devoir procéder à partir d'un LiveCD.
Pour cela:
Télécharge OTLPE sur le bureau.
Prépare un CD vierge
Utilise un logiciel de gravure dont tu disposes.
Ou celui-ci Cdburner
Attention il s'agit de graver une imageISO
Note : Le CD gravé, il faut maintenant redémarrer la machine sur le lecteur CDROM
Pour se faire suivre ce lien : Booter sur un CD
Tuto OTLPE
Tu lances l'iso d'OTLPE que tu as gravé.
Tu disposes d'Internet avec ce logiciel;donc n'hésites pas si tu as des questions ou soucis
Sur le bureau ;tu cliques sur l'icône:My Computer
Tu cliques sur C >>>Windows>>> tu cherches Regedit.exe
Cela va te permettre d'accéder à la base de registre.
La clé à trouver:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems
Dans la fenêtre de droite Windows
Tu procèdes à la modification comme demandé
Tu effaces ensuite ce fichier:C:\windows\system32\consrv.dll
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Nous allons devoir procéder à partir d'un LiveCD.
Pour cela:
Télécharge OTLPE sur le bureau.
Prépare un CD vierge
Utilise un logiciel de gravure dont tu disposes.
Ou celui-ci Cdburner
Attention il s'agit de graver une imageISO
Note : Le CD gravé, il faut maintenant redémarrer la machine sur le lecteur CDROM
Pour se faire suivre ce lien : Booter sur un CD
Tuto OTLPE
Tu lances l'iso d'OTLPE que tu as gravé.
Tu disposes d'Internet avec ce logiciel;donc n'hésites pas si tu as des questions ou soucis
Sur le bureau ;tu cliques sur l'icône:My Computer
Tu cliques sur C >>>Windows>>> tu cherches Regedit.exe
Cela va te permettre d'accéder à la base de registre.
La clé à trouver:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems
Dans la fenêtre de droite Windows
Tu procèdes à la modification comme demandé
Tu effaces ensuite ce fichier:C:\windows\system32\consrv.dll
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Re,
J'ai gravé le CD et booté dessus. Malheureusement, juste après le chargement de XP, j'ai un bluescreen et mon ordi s'éteint...
Comment faire ? :(
J'ai gravé le CD et booté dessus. Malheureusement, juste après le chargement de XP, j'ai un bluescreen et mon ordi s'éteint...
Comment faire ? :(
Utilisateur anonyme
Modifié par Guillaume5188 le 23/01/2012 à 19:04
Modifié par Guillaume5188 le 23/01/2012 à 19:04
Bonsoir
Tu démarres ton PC;tu te rends dans le Bios.
(Pour la touche a utiliser voir notice ou ;cela est mentionné au démarrage du PC)
Tu cherches ensuite cette ligne dans les différents onglets:
SATA Controller mode
Tu as deux choix:AHCI ou Compatibility
Tu choisis Compatibility
Tu quittes le Bios après avoir sauvegardé ces réglages.
Tu relances OTLPE;cela devrait fonctionner.
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Tu démarres ton PC;tu te rends dans le Bios.
(Pour la touche a utiliser voir notice ou ;cela est mentionné au démarrage du PC)
Tu cherches ensuite cette ligne dans les différents onglets:
SATA Controller mode
Tu as deux choix:AHCI ou Compatibility
Tu choisis Compatibility
Tu quittes le Bios après avoir sauvegardé ces réglages.
Tu relances OTLPE;cela devrait fonctionner.
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Re,
Avec OTLPE, la clé était correcte, ce qui n'est toujours pas le cas sous Windows.
J'ai tout de même supprimé consrv.dll mais le virus est toujours là...
J'ai des pubs qui s'ouvre sans cesse et qui ne provienne pas de mon surf sur internet. :/
Avec OTLPE, la clé était correcte, ce qui n'est toujours pas le cas sous Windows.
J'ai tout de même supprimé consrv.dll mais le virus est toujours là...
J'ai des pubs qui s'ouvre sans cesse et qui ne provienne pas de mon surf sur internet. :/
Utilisateur anonyme
25 janv. 2012 à 19:15
25 janv. 2012 à 19:15
Bonsoir
OTLPE a bien démarré après cette manipulation dans le Bios?
A priori ,oui ;-)
Poste moi un nouveau rapport Roguekiller option 1;merci
@+
OTLPE a bien démarré après cette manipulation dans le Bios?
A priori ,oui ;-)
Poste moi un nouveau rapport Roguekiller option 1;merci
@+
Bonsoir,
Il me semblait avoir poster un nouveau message hier soir mais celui n'apparait pas.
J'ai constaté ce soir que Windows ne démarre plus, sans doute à cause de la suppression de la .dll
Windows me propose l'assistant de réparation mais celui-ci ne trouve rien et mon ordinateur ne démarre toujours pas...
Comment faire ? :/
Il me semblait avoir poster un nouveau message hier soir mais celui n'apparait pas.
J'ai constaté ce soir que Windows ne démarre plus, sans doute à cause de la suppression de la .dll
Windows me propose l'assistant de réparation mais celui-ci ne trouve rien et mon ordinateur ne démarre toujours pas...
Comment faire ? :/
Re,
Avec OTLPE, mon disque dur n'apparait pas dans l'explorer même avec la commande run en essayant d'exécuter une application ou un fichier en chemin absolu sur mon disque, C:\ n'est pas reconnu. Je ne peux explorer que ma RAM.
Je n'arrive même pas à avoir accès à internet avec OTLPE, erreur de DNS...
Je suis donc actuellement sous Ubuntu en LiveCD. Je peux explorer mon disque mais je ne sais pas comment le réparer. Est-ce que consrv.dll diffère selon les ordinateurs ?
Où pourrais-je télécharger cette dll ?
Merci du temps que tu consacres à mon cas ^^
Avec OTLPE, mon disque dur n'apparait pas dans l'explorer même avec la commande run en essayant d'exécuter une application ou un fichier en chemin absolu sur mon disque, C:\ n'est pas reconnu. Je ne peux explorer que ma RAM.
Je n'arrive même pas à avoir accès à internet avec OTLPE, erreur de DNS...
Je suis donc actuellement sous Ubuntu en LiveCD. Je peux explorer mon disque mais je ne sais pas comment le réparer. Est-ce que consrv.dll diffère selon les ordinateurs ?
Où pourrais-je télécharger cette dll ?
Merci du temps que tu consacres à mon cas ^^
