Présence du virus Gendarmerie ?
ced
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Voici mon problème :
Il y a deux jours de cela j'ai été infecté par le virus gendarmerie, ne sachant pas éradiquer ce type de virus avec Antivir ou Malwarebytes je me rends sur internet via mon iphone afin de trouver une solution.
Voici ce que j'ai fait:
_ Démarrage en invite de commande en mode sans echec .
_ Modification du nom de la valleur "Shell" en "iexplorer" dans le registre.
_Telechargement du "explorer.exe" sur
http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/
_Enregistrement du fichier sous "windows..." afinde remplacer le "malicieux"
_Retour au registre afin de remettre la valeur de "Shell" en "explorer.exe"
_Redemarrage.
_Analyse complete avec Malwarebytes et Antivir(+rootkit)> quarantaine + effacement des fichiers detectés.
Je pense (mais pas sur) que le virus a été éradiqué cependant je remarque de gros changement lors de mes navigations sur internet les temps de chargement de pages sont excessivement longs meme pour taper un mot dans la barre google il faut attendre!
J'ai reprocedé hier soir aux analyses avec Malwarebytes + Antivir > 0 dectections.
Toute aide sera precieuse et suivi a la lettre je post mon log Malwarebytes merci d'avance pour votre aide.
Voici mon problème :
Il y a deux jours de cela j'ai été infecté par le virus gendarmerie, ne sachant pas éradiquer ce type de virus avec Antivir ou Malwarebytes je me rends sur internet via mon iphone afin de trouver une solution.
Voici ce que j'ai fait:
_ Démarrage en invite de commande en mode sans echec .
_ Modification du nom de la valleur "Shell" en "iexplorer" dans le registre.
_Telechargement du "explorer.exe" sur
http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/
_Enregistrement du fichier sous "windows..." afinde remplacer le "malicieux"
_Retour au registre afin de remettre la valeur de "Shell" en "explorer.exe"
_Redemarrage.
_Analyse complete avec Malwarebytes et Antivir(+rootkit)> quarantaine + effacement des fichiers detectés.
Je pense (mais pas sur) que le virus a été éradiqué cependant je remarque de gros changement lors de mes navigations sur internet les temps de chargement de pages sont excessivement longs meme pour taper un mot dans la barre google il faut attendre!
J'ai reprocedé hier soir aux analyses avec Malwarebytes + Antivir > 0 dectections.
Toute aide sera precieuse et suivi a la lettre je post mon log Malwarebytes merci d'avance pour votre aide.
A voir également:
- Présence du virus Gendarmerie ?
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Presence en ligne instagram - Guide
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
28 réponses
salut ca s'attrape avec Java pas à jour ou flash player
=====
@ced
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
=====
@ced
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
Sur un site de streaming il semblerait que la porte de mon pc se soit ouverte suite a la non mise a jour de Java ou autre il est vrai que j'avais enlever les notifications de MAJ de certains programmes.
Le rapport malware d'hier:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.02.02.08
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
cedric :: mateo [administrateur]
04/02/2012 22:20:04
mbam-log-2012-02-04 (22-20-04).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 705557
Temps écoulé: 3 heure(s), 10 minute(s), 53 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Le rapport malware d'hier:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.02.02.08
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
cedric :: mateo [administrateur]
04/02/2012 22:20:04
mbam-log-2012-02-04 (22-20-04).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 705557
Temps écoulé: 3 heure(s), 10 minute(s), 53 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Rapport Pre Scan
http://pjjoint.malekal.com/files.php?read=20120205_j8e7h13h5p6
Le programme ne trouvait pas certains disque j'ai cliquer sur
"continuer".
http://pjjoint.malekal.com/files.php?read=20120205_j8e7h13h5p6
Le programme ne trouvait pas certains disque j'ai cliquer sur
"continuer".
apparemment tu as essayé quelques cracks sur ce pc.....je serais pas étonné que tu l'approuves :)
=====
ton pc est bourré de keyloggers = tout ce que tu frappes sur ton clavier + tous tes mots de passes sont enregistrés dans un fichier et possiblement envoyés sur internet
=====
desinstalle AD-AWARE SE il sert à rien
desinstalle spybot il vaut rien
desinstalle Ask.com/Ask Toolbar
desinstalle Crawler Toolbar
desinstalle vshare_toolbar
desinstalle Viewpoint
desinstalle AutoCompletePro
desinstalle Fissa
desinstalle SweetIM
desinstalle OfferBox
desinstalle Adobe reader 7
=====
fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre
Lance Pre_script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysexplorer"=-
"KidCode"=-
"nwiz"=-
"rkfree"=-
"HomeKeyLogger"=-
"Audio"=
"svcdotnet"=-
"QuickTime Task"=-
"iTunesHelper"=-
"lsaes"=-
"TkBellExe"=-
[HKEY_USERS\S-1-5-21-2078802672-2701234435-4252423923-1005\Software\Microsoft\Windows\CurrentVersion\Run]
"S64Kernel_sys"=-
[-HKEY_CLASSES_ROOT\CLSID\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{043C5167-00BB-4324-AF7E-62013FAEDACF}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{043C5167-00BB-4324-AF7E-62013FAEDACF}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{043C5167-00BB-4324-AF7E-62013FAEDACF}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{0E5CBF21-D15F-11D0-8301-00AA005B4383}"=-
"{043C5167-00BB-4324-AF7E-62013FAEDACF}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{043C5167-00BB-4324-AF7E-62013FAEDACF}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{043C5167-00BB-4324-AF7E-62013FAEDACF}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{043C5167-00BB-4324-AF7E-62013FAEDACF}"=-
[-HKEY_CLASSES_ROOT\CLSID\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}"=-
[-HKEY_CLASSES_ROOT\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\0D91165CEEB2095316E8A04A59CDF0AE4B957C61]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\5513-1208-7298-9440]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\6194C28A8F62DD817EA1B918E6E46E806A21B452]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\65B6FE5418CE28F4D72543FB2D964C3CEC83F161]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Spyware Doctor]
[-HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\{0SB064UE-OX12-6YVQ-14N6-581I742ON2MJ}]
[-HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\{0WX681IT-S14I-26CJ-2GU8-TV8PNXA4BL8K}]
[-HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\{7XFUK75Q-02O0-865L-UCU4-XHL4F02S8C8T}]
[-HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0SB064UE-OX12-6YVQ-14N6-581I742ON2MJ}]
[-HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0WX681IT-S14I-26CJ-2GU8-TV8PNXA4BL8K}]
[-HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}]
[-HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{7XFUK75Q-02O0-865L-UCU4-XHL4F02S8C8T}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}]
[-HKCU\Software\AutocompleteProBHO]
[-HKCU\Software\casinoonnet]
[-HKCU\Software\FissaSearch]
[-HKCU\Software\OfferBox]
[-HKCU\Software\Poker 770]
[-HKCU\Software\SWEETIE]
[-HKCU\Software\ukfree]
[-HKCU\Software\vShare]
[-HKLM\Software\BrowserChoice]
[-HKLM\Software\MetaStream]
[-HKLM\Software\OfferBox]
[-HKLM\Software\Titan Poker]
[-HKLM\Software\Viewpoint]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1900:UDP"=-
"2869:TCP"=-
"6881:TCP"=-
"6881:UDP"=-
"119:TCP"=-
"119:UDP"=-
"443:UDP"=-
"2672:TCP"=-
"2672:UDP"=-
"4232:TCP"=-
"139:TCP"=-
"445:TCP"=-
"137:UDP"=-
"138:UDP"=-
"17810:TCP"=-
"17820:UDP"=-
"4662:TCP"=-
"4672:UDP"=-
"28960:TCP"=-
"3074:UDP"=-
"28960:UDP"=-
"3389:TCP"=-
"65533:TCP"=-
"52344:TCP"=-
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]
"139:TCP"=-
"445:TCP"=-
"137:UDP"=-
"138:UDP"=-
"3389:TCP"=-
"65533:TCP"=-
"52344:TCP"=-
list::
C:\Program Files\System Volume Information
C:\Program Files\RECYCLER
C:\Program Files\SMRTNTKY
file::
D:\Documents and Settings\cedric\Mes documents\KidWatch.exe
C:\WINDOWS\system32\Temp\Windows.exe
D:\Documents and Settings\cedric\lsaes.exe
C:\WINDOWS\DUMP414e.tmp
C:\WINDOWS\S92FC4889.tmp
C:\WINDOWS\temp.000
C:\WINDOWS\temp.001
D:\Documents and Settings\cedric\ntuser.tmp
D:\Documents and Settings\cedric\Application Data\install.txt
D:\Documents and Settings\All Users\Application Data\svcdotnet.cfg
D:\Documents and Settings\All Users\Application Data\svcdotnet.inc
D:\Documents and Settings\All Users\Application Data\svcdotnet.txt
folder::
D:\Documents and Settings\cedric\Application Data\Mozilla\Firefox\Profiles\ffpe530p.default\extensions\@FissaPlugin
D:\Documents and Settings\cedric\Application Data\Mozilla\Firefox\Profiles\ffpe530p.default\extensions\vshare@toolbar
C:\WINDOWS\assembly\tmp\UIXJY2IC
C:\WINDOWS\048298C9A4D3490B9FF9AB023A9238F3.TMP
C:\WINDOWS\526078084
C:\WINDOWS\98071078
C:\WINDOWS\svcdotnet
D:\Documents and Settings\cedric\LocalLow
D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Family Keylogger 4
D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spybot - Search & Destroy
D:\Documents and Settings\cedric\Application Data\OfferBox
D:\Documents and Settings\cedric\Application Data\vShare
D:\Documents and Settings\cedric\Application Data\SimplexHack v5 Leaked by Ember
D:\Documents and Settings\All Users\Application Data\ukprfree
D:\Documents and Settings\All Users\Application Data\Viewpoint
C:\Program Files\Etwpndsvom
C:\Program Files\Spybot - Search & Destroy
C:\Program Files\Viewpoint
C:\Program Files\vShare
Host::
Mbr::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
=====
▶ Télécharge Sur cette page : AdwCleaner (de Xplode)
▶ clique sur Télécharger et enregistre le fichier sur ton Bureau
▶ Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
==================================
▶▶▶ Sous Vista et Windows 7 /!\ :
il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
==================================
Sur le menu principal :
▶ clique sur Suppression et patiente le temps de l'analyse
▶ poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
=====
▶ Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.
▶ Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
▶ Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
▶ Double cliquez sur UsbFix.exe.
▶ Cliquez sur Suppression.
▶ Laissez travailler l'outil.
▶ À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.
▶ Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
▶ Tutoriel vidéo
=====
▶ Télécharge Reload_TDSSKiller
l'outil va telecharger la derniere version
L'écran de TDSSKiller s'affiche:
Illustration
- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".
Illustration
▶ Et coche les 2 options supplémentaires:
Illustration
▶ Clique sur Start scan pour lancer l'analyse.
- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:
En général, laisse les options proposées par défaut par l'outil
l'option "delete" (effacer) est bien cochée pour la famille TDL2
l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe
l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)
l'option "cure" (réparer ) pour la famille TDL3.
l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).
l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess
▶ puis clique sur Continue.
- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.
Illustration
En fin d'analyse il peut être demandé de relancer la machine:
▶ clique sur Reboot Now.
▶ Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.
▶ Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:
SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
=====
ton pc est bourré de keyloggers = tout ce que tu frappes sur ton clavier + tous tes mots de passes sont enregistrés dans un fichier et possiblement envoyés sur internet
=====
desinstalle AD-AWARE SE il sert à rien
desinstalle spybot il vaut rien
desinstalle Ask.com/Ask Toolbar
desinstalle Crawler Toolbar
desinstalle vshare_toolbar
desinstalle Viewpoint
desinstalle AutoCompletePro
desinstalle Fissa
desinstalle SweetIM
desinstalle OfferBox
desinstalle Adobe reader 7
=====
fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre
Lance Pre_script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysexplorer"=-
"KidCode"=-
"nwiz"=-
"rkfree"=-
"HomeKeyLogger"=-
"Audio"=
"svcdotnet"=-
"QuickTime Task"=-
"iTunesHelper"=-
"lsaes"=-
"TkBellExe"=-
[HKEY_USERS\S-1-5-21-2078802672-2701234435-4252423923-1005\Software\Microsoft\Windows\CurrentVersion\Run]
"S64Kernel_sys"=-
[-HKEY_CLASSES_ROOT\CLSID\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{043C5167-00BB-4324-AF7E-62013FAEDACF}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{043C5167-00BB-4324-AF7E-62013FAEDACF}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{043C5167-00BB-4324-AF7E-62013FAEDACF}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{0E5CBF21-D15F-11D0-8301-00AA005B4383}"=-
"{043C5167-00BB-4324-AF7E-62013FAEDACF}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{043C5167-00BB-4324-AF7E-62013FAEDACF}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{043C5167-00BB-4324-AF7E-62013FAEDACF}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{043C5167-00BB-4324-AF7E-62013FAEDACF}"=-
[-HKEY_CLASSES_ROOT\CLSID\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}"=-
[-HKEY_CLASSES_ROOT\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\0D91165CEEB2095316E8A04A59CDF0AE4B957C61]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\5513-1208-7298-9440]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\6194C28A8F62DD817EA1B918E6E46E806A21B452]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\65B6FE5418CE28F4D72543FB2D964C3CEC83F161]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Spyware Doctor]
[-HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\{0SB064UE-OX12-6YVQ-14N6-581I742ON2MJ}]
[-HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\{0WX681IT-S14I-26CJ-2GU8-TV8PNXA4BL8K}]
[-HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\{7XFUK75Q-02O0-865L-UCU4-XHL4F02S8C8T}]
[-HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0SB064UE-OX12-6YVQ-14N6-581I742ON2MJ}]
[-HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{0WX681IT-S14I-26CJ-2GU8-TV8PNXA4BL8K}]
[-HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}]
[-HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{7XFUK75Q-02O0-865L-UCU4-XHL4F02S8C8T}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}]
[-HKCU\Software\AutocompleteProBHO]
[-HKCU\Software\casinoonnet]
[-HKCU\Software\FissaSearch]
[-HKCU\Software\OfferBox]
[-HKCU\Software\Poker 770]
[-HKCU\Software\SWEETIE]
[-HKCU\Software\ukfree]
[-HKCU\Software\vShare]
[-HKLM\Software\BrowserChoice]
[-HKLM\Software\MetaStream]
[-HKLM\Software\OfferBox]
[-HKLM\Software\Titan Poker]
[-HKLM\Software\Viewpoint]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1900:UDP"=-
"2869:TCP"=-
"6881:TCP"=-
"6881:UDP"=-
"119:TCP"=-
"119:UDP"=-
"443:UDP"=-
"2672:TCP"=-
"2672:UDP"=-
"4232:TCP"=-
"139:TCP"=-
"445:TCP"=-
"137:UDP"=-
"138:UDP"=-
"17810:TCP"=-
"17820:UDP"=-
"4662:TCP"=-
"4672:UDP"=-
"28960:TCP"=-
"3074:UDP"=-
"28960:UDP"=-
"3389:TCP"=-
"65533:TCP"=-
"52344:TCP"=-
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]
"139:TCP"=-
"445:TCP"=-
"137:UDP"=-
"138:UDP"=-
"3389:TCP"=-
"65533:TCP"=-
"52344:TCP"=-
list::
C:\Program Files\System Volume Information
C:\Program Files\RECYCLER
C:\Program Files\SMRTNTKY
file::
D:\Documents and Settings\cedric\Mes documents\KidWatch.exe
C:\WINDOWS\system32\Temp\Windows.exe
D:\Documents and Settings\cedric\lsaes.exe
C:\WINDOWS\DUMP414e.tmp
C:\WINDOWS\S92FC4889.tmp
C:\WINDOWS\temp.000
C:\WINDOWS\temp.001
D:\Documents and Settings\cedric\ntuser.tmp
D:\Documents and Settings\cedric\Application Data\install.txt
D:\Documents and Settings\All Users\Application Data\svcdotnet.cfg
D:\Documents and Settings\All Users\Application Data\svcdotnet.inc
D:\Documents and Settings\All Users\Application Data\svcdotnet.txt
folder::
D:\Documents and Settings\cedric\Application Data\Mozilla\Firefox\Profiles\ffpe530p.default\extensions\@FissaPlugin
D:\Documents and Settings\cedric\Application Data\Mozilla\Firefox\Profiles\ffpe530p.default\extensions\vshare@toolbar
C:\WINDOWS\assembly\tmp\UIXJY2IC
C:\WINDOWS\048298C9A4D3490B9FF9AB023A9238F3.TMP
C:\WINDOWS\526078084
C:\WINDOWS\98071078
C:\WINDOWS\svcdotnet
D:\Documents and Settings\cedric\LocalLow
D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Family Keylogger 4
D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spybot - Search & Destroy
D:\Documents and Settings\cedric\Application Data\OfferBox
D:\Documents and Settings\cedric\Application Data\vShare
D:\Documents and Settings\cedric\Application Data\SimplexHack v5 Leaked by Ember
D:\Documents and Settings\All Users\Application Data\ukprfree
D:\Documents and Settings\All Users\Application Data\Viewpoint
C:\Program Files\Etwpndsvom
C:\Program Files\Spybot - Search & Destroy
C:\Program Files\Viewpoint
C:\Program Files\vShare
Host::
Mbr::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
=====
▶ Télécharge Sur cette page : AdwCleaner (de Xplode)
▶ clique sur Télécharger et enregistre le fichier sur ton Bureau
▶ Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
==================================
▶▶▶ Sous Vista et Windows 7 /!\ :
il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
==================================
Sur le menu principal :
▶ clique sur Suppression et patiente le temps de l'analyse
▶ poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
=====
▶ Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.
▶ Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
▶ Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
▶ Double cliquez sur UsbFix.exe.
▶ Cliquez sur Suppression.
▶ Laissez travailler l'outil.
▶ À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.
▶ Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
▶ Tutoriel vidéo
=====
▶ Télécharge Reload_TDSSKiller
l'outil va telecharger la derniere version
L'écran de TDSSKiller s'affiche:
Illustration
- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".
Illustration
▶ Et coche les 2 options supplémentaires:
Illustration
▶ Clique sur Start scan pour lancer l'analyse.
- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:
En général, laisse les options proposées par défaut par l'outil
l'option "delete" (effacer) est bien cochée pour la famille TDL2
l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe
l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)
l'option "cure" (réparer ) pour la famille TDL3.
l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).
l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess
▶ puis clique sur Continue.
- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.
Illustration
En fin d'analyse il peut être demandé de relancer la machine:
▶ clique sur Reboot Now.
▶ Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.
▶ Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:
SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Je ne trouve pas certains programmes dans ajout,suppression:
Je trouve par contre quelques fichiers en recherchant dans disques C,D voici les programmes non desinstallés
Ask.com/Ask Toolbar> ne trouve rien
desinstalle Crawler Toolbar> ne trouve rien
Adobe reader 7> rien
Viewpoint>quelques fichiers trouvés
AutoCompletePro> quelques fichiers trouvés
Fissa> rien
SweetIM >rien
OfferBox>quelques fichiers trouvés
La suppression des fichiers trouvés peut elle suffire ?
Je trouve par contre quelques fichiers en recherchant dans disques C,D voici les programmes non desinstallés
Ask.com/Ask Toolbar> ne trouve rien
desinstalle Crawler Toolbar> ne trouve rien
Adobe reader 7> rien
Viewpoint>quelques fichiers trouvés
AutoCompletePro> quelques fichiers trouvés
Fissa> rien
SweetIM >rien
OfferBox>quelques fichiers trouvés
La suppression des fichiers trouvés peut elle suffire ?
USB Fix :
http://pjjoint.malekal.com/files.php?read=20120205_i5m13q5t7q6
Je reprends le reste fin d'aprés midi je vais profiter un peu du dimanche a toute merci encore.
http://pjjoint.malekal.com/files.php?read=20120205_i5m13q5t7q6
Je reprends le reste fin d'aprés midi je vais profiter un peu du dimanche a toute merci encore.
d'accord...
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : Combofix
Avant d'utiliser ComboFix :
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : Combofix
Avant d'utiliser ComboFix :
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶ Télécharge Dr Web CureIt sur ton Bureau :
▶ redemarre en mode sans échec
▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;
▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
selectionne tous les disques
▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses
heberge l'archive sur pjjoint et donne le lien
▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
▶ redemarre en mode sans échec
▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;
▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
selectionne tous les disques
▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses
heberge l'archive sur pjjoint et donne le lien
▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
