Sujet Précédent Sujet Suivant

Problème avec Win32:Onlinegames-CAZ [Trj]

Résolu/Fermé
Orchydees Messages postés 64 Date d'inscription dimanche 15 avril 2007 Statut Membre Dernière intervention 9 septembre 2024 - 10 févr. 2008 à 14:55
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 - 1 mars 2008 à 11:05
Bonjour,
Depuis 3 jour, mon antivirus Avast (version gratuite) détecte un cheval de troie (Win32:Onlinegames-CAZ [Trj]) sur mon PC sans pouvoir l'éradiquer, malgré que je propose chaque fois de le détruire, en vain. Même avec la possibilité qu'Avast me recommande de le mettre en quarantaine, je n'y ai pas parvenu.
Je ne connais pas son degré de danger, ni comment pouvoir l'éradiquer. J'ai pu copier ces caractéristiques que je vous mets ci dessous

Nom du fichier : C:\WINDOWS\system32\amvo0.dll
Nom du logiciel malveillant : Win32:Onlinegames-CAZ [Trj]
Type de logiciel malveillant : Cheval de Troie
Version VPS : 080209-0, 09/02/2008

Pourriez vous m'aider svp pour y mettre fin ?
Merci d'avance pour votre aide
Cordialement

67 réponses

Réponse 1 / 67
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
10 févr. 2008 à 16:07
moise020

Il serait préférable que tu arrêtes tes conneries.
Il est tout autant indiqué que tu apprennes l'orthographe de l'école primaire.

Désolé, maar veel is te veel !!

Al.
4
Réponse 2 / 67
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
10 févr. 2008 à 16:12
Bonsoir Orchydees

Pourrais-tu appliquer ceci, SVP:

On va vérifier s'il y a d'autres trojans & malwares.

Continue avec ceci SVP

1)- •- Télécharge « clean.zip »
http://www.malekal.com/download/clean.zip
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
< http://img227.imageshack.us/img227/9384/screenshot149ih1.gif >
2)- Télécharge SDFix sur ton bureau
: < http://downloads.andymanchesta.com/RemovalTools/SDFix.exe >
3)- Installation et Mise à jour de SDFix :
•- Double clique sur l'icône SDFix.exe > [Exécuter] > Destination folder = C:\ > [Install] > Ouvre le dossier « SDFix », qui vient d'être créé dans le répertoire C:\ > (créer un raccourci sur le bureau) . ==> NB: ( Ou bien faire: Clic droit sur l'icône SDFix.exe > "extraire ici" )
•- > ouvrir le (raccourci) dossier "SDFix" apparu sur le bureau > double-clic sur "RunThis.bat" de SDFix > ensuite tape U = “download latest version of sdfix” > laisser faire > puis Clic sur une touche, et encore « Press any key to close SDFix & Extract latest version » .
Guide d'utilisation de SDFix http://mickael.barroux.free.fr/securite/sdfix.php

3)- Redémarre en mode sans échec, comme idiqué là: http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >
Choisir sa session habituelle, (pas le compte "Administrateur" ou une autre).
( note bien ce que tu as à faire, parce que tu n'auras plus accès à IE durant cette procédure ).

•- Ouvre le dossier « clean » qui se trouve sur ton bureau.
- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, suis les consignes
< http://img483.imageshack.us/img483/6285/screenshot210io7.gif >
Choisis l’option 2.
Clean va travailler. Il va produire un rapport à poster ici.
Un tutoriel de Clean (de Malekal) en image par Michel Barroux: http://mickael.barroux.free.fr/securite/clean.php

4)- Ouvre le dossier "SDFix" sur le bureau
Tape Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
Presse une touche pour redémarrer en mode normal
Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche

5) Rapports:
- Poste qui se trouve ici C:\rapport_clean.txt. (- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )
- Ouvre le "dossier SDFix" et copie/colle ici le contenu du fichier "Report.txt" ( qui est également sur le bureau )

6)- Fais un scan en ligne Kaspersky http://webscanner.kaspersky.fr/ avec Internet Explorer :
Branche ton Disque Externe (clé USB) éventuellement
- Clique sur « Démarrer « Online-Scanner »( en bas à droite de la page) .
- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
Clic sur « Paramètres d'analyse »
Coche la case « Étendue » >> Ok
- Choisis par la suite l'analyse du Poste de travail pour faire un « Scan complet ».
- Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Tuto: http://www.infos-du-net.com/forum/267224-11-scan-ligne-kaspersky


Merci
Al.
2
Réponse 3 / 67
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
13 févr. 2008 à 20:18
Bonsoir

Sur ton PC du domicile , c'est quoi les Disques D:\ et G:\ ?
Sont-ce des partitions de ton DD, ou des disques amovibles (GSM, Camera, etc.) ?

Pour les trois PC, utilises-tu la même clé USB ?
Que fais-tu avec cette clé USB ?

Commençons par le PC du domicile et ta clé USB.

A)- Pré-Nettoyage

1°- Télécharger _OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
2°- Désactiver la restauration système.
( Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] )
3°- Redémarrer le PC

4°- Double-cliquer sur OTMoveIt.exe pour le lancer.
-copier/coller la liste suivante (tout d'une traite):

C:\2ifetri.cmd
C:\Documents and Settings\AG\Local Settings\Temp\help.exe
C:\Documents and Settings\AG\Local Settings\Temp\lr4x.dll
C:\Documents and Settings\AG\Local Settings\Temp\uqtw.dll
C:\Documents and Settings\AG\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\pcpersonnel\Local Settings\Temporary Internet Files\Content.IE5
C:\WINDOWS\system32\amvo.exe
D:\2ifetri.cmd
D:\autorun.inf
G:\ylr.exe Infecté
G:\autorun.inf
G:\2ifetri.cmd

et colle-la dans le cadre supérieur gauche de OTMoveIt2 : "Paste standard List of Files/Folders to be moved"

NOTE: La case Unregister Dll's and OCX's doit être cochée.
==> Astuce:
Si cette option n'est pas disponible (ce peut être le cas si vous avez entré une liste de fichiers) : déroulez la liste, sélectionnez un fichier dll quelconque pour activer l'option et pouvoir la cocher ... ==> ... de telle sorte que tous les fichiers de la liste comprenant des DLL soient supprimés avec _OTMoveIt

-clique sur MoveIt! pour lancer la suppression.
-le résultat apparaitra dans le cadre "Results".
-clique sur "Exit" pour fermer.
-un rapport est situé dans C:\_OTMoveIt\MovedFiles.
Poste-le SVP, merci

Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
Si c'est le cas accepte par Yes.

•- Le rapport à poster se trouve en C:\_OTMoveIt\MovedFiles; tu ouvres le dossier et tu trouveras le rapport.

5°- Réactiver la restauration système
( Clic droit sur poste de travail puis,
propriétés, tu cliques sur onglet restauration système
tu décoches la case « désactiver la restauration » et [appliquer]. )




B) Traitement de l'infection par disques amovibles.

Télécharge l'outil Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Enregistre Flash_Disinfector.exe sur ton bureau.
Double clique sur Flash_Disinfector.exe pour l'exécuter.
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra : Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés. ==> /!\ Ne double clique surtout pas sur les icônes pour les ouvrir, sous peine de relancer l'infection.
Puis clic sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: [Done!!]
Appuie ensuite sur OK, pour faire réapparaitre le bureau.
Si tout a bien fonctionné jusque là, l'infection est supprimée en totalité.


C)- Relance une analyse avec Kaspersky pour confirmation.



D)- ATTENTION: À propos des clés USB

/!\ Ne double clique surtout pas sur les icônes pour les ouvrir, sous peine de relancer l'infection.
Il est souhaitable de prendre l'habitude de faire "clic-droit > ouvrir"./!\

Citation (merci Malekal_morte):

1°- QUESTION: si j'ai bien compris, quand je vais sur un PC qui me semble être à risques, il suffit de ne pas double-cliquer sur les dossiers ou sur ma clé pour éviter d'activer ce virus ?
2°- RÉPONSE: Non, ce serait trop facile.
- Si tu vas avec ta clef USB sur un PC pourri, c'est fini, elle est infectée.
- En revanche, si tu vas sur ton PC à toi qui est propre avec ta clef USB infectée et que tu n'ouvres pas en double-cliquant (ou s'il n'y a pas l'ouverture automatique), alors le PC ne sera pas infecté.
MAIS la clef restera infectée par contre.
Tout est expliqué ici: < https://forum.malekal.com/viewtopic.php?f=45&t=5544 >
3°- COMMENTAIRES ET RECOMMANDATIONS:
a)- Je pense que les PC à l'école, ou à la bibliothèque du quartier, là où vous avez le droit d'y connecter vos clefs USB, sont infectés.
b)- Si tu veux te protéger, tu crées un fichier "autorun.inf sur ta clef USB" comme expliqué dans la page que je t'ai donnée.
Ta clef ne pourra pas être infectée.

Note de Afideg: Je ne l'ai jamais fait ==> donc, pas de question à ce sujet SVP. Merci. ;)


Bonne chance
Al.
2
Réponse 4 / 67
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
29 févr. 2008 à 23:11
Parfait.
Merci

Pour l'avenir: "Eviter d'être infecté"

Protéger efficacement son PC, Entretenir son PC, Désinfection

» Dernière mise à jour le 16/12/07

A)- » Protection
Comment protéger efficacement son PC ?
» Protection permanente
Il faut absolument être protégé en permanence sur le net pour éviter d'être infecté. Il faut utiliser un antivirus (qui contient une protection résidente c'est à dire permanente) et un pare-feu. C'est la base de la protection, sans quoi juste un chiffre pour vous convaincre : un PC sans antivirus ni pare-feu tient en moyenne 12 minutes avant d'être infecté ! Je vous laisse réfléchir...

En revanche, il est inutile de devenir parano pour autant : il ne faut jamais installer plus d'un antivirus par PC sinon risques de conflits ! Ne pas garder le pare-feu (= firewall) de windows qui est une véritable passoire (à désactiver quand vous aurez installé un vrai pare-feu dans le centre de sécurité de windows)...

De plus, posséder une barre anti pops-up (comme la barre Google) peut s'avérer utile et agréable (bloque les pages internet qui s'ouvrent sans l'accord de l'utilisateur). Il existe également une alternative à Internet Explorer de plus en plus utilisée en tant que navigateur Internet : Mozilla Firefox. Ce navigateur est plus rapide, plus sécurisé et plus facile d'utilisation que Internet Explorer ! A noter que l'utilisation de Firefox ne doit en aucun cas signifier la désinstallation d'Internet Explorer qui est nécessaire pour les scans en ligne (anivirus, anti-trojan, etc...) et pour certains sites particuliers !

De plus, il est fondamental de mettre à jour tous les logiciels de protection que vous possédez ! Notamment avant d'effectuer un scan de votre PC... Ainsi, les dernières menaces seront intégrées dans vos logiciels afin de faciliter l'éradication de nouveaux virus, trojans et autres malwares.



B)- » Avoir un comportement prudent sur le Web
C'est l'élément le plus important : vous devez être prudent et très attentif sur Internet.

En effet, Internet étant devenu un moyen de communication mondial et très important, de nombreuses personnes malveillantes ont vu en Internet un moyen cruel de piéger les gens...

Ne leur donnez pas ce plaisir et soyez prudents ! Ne consultez pas de sites louches, de cracks ou pornographiques, ne téléchargez pas de fichiers sur des sites non-reconnus, évitez le P2P (peer-to-peer : emule, kazaa, shareaza, azureus, bittorrent, etc...) et pas de warez (téléchargement direct et illégal) !

Vous êtes la protection majeure de votre PC, de vous dépendra énormément l'infection de votre ordinateur donc soyez vigilant !


C)- » Mettre à jour Windows
C'est fondamental : il faut mettre à jour windows afin de corriger les dernières failles de Windows qui ont été découvertes. Sinon, on encoure un gros risque d'infection sur Internet ! De plus, si vous possédez Windows XP, je vous incite très fortement à installer le Service Pack 2 de Windows XP (SP2) si ce n'est pas déjà fait !

Pour installer les mises à jour de Windows, c'est très simple : il suffit d'aller sur Windows Update (avec Internet Explorer, car on ne peut pas avec Firefox) et de laisse Windows Update s'installer et se mettre à jour. Ensuite, cliquez sur le bouton "rapide" pour télécharger les mises à jour prioritaires (recommandé) et laissez Windows chercher des mises à jour pour votre PC. Enfin, cliquez sur le bouton "Télécharger et installer" et laisse Windows télécharger puis installer les mises à jour pour votre ordinateur. Il sera nécessaire de redémarrer le PC pour finaliser l'installation.


D)- » Antivirus
Voici une liste d'antivirus gratuits que vous pouvez installer sur votre PC :

Antivir - son guide d'utilisation < https://www.malekal.com/avira-free-security-antivirus-gratuit/ >
Il est nécessaire de lancer un scan de votre PC avec votre antivirus tous les mois, de préférence en mode sans échec afin de supprimer toute menace détectée par l'antivirus.


E)- » Pare-feu
Voici un pare-feu gratuit que vous pouvez installer sur votre PC (une fois installé, pensez à désactivez celui de windows XP dans panneau de configuration -> Centre de sécurité -> Pare-feu windows -> désactiver) :

Sunbelt Personal Firewall (anciennement Kerio Personal) , - son guide d'utilisation https://forums.cnetfrance.fr

F)- » Protection supplémentaire
Vous pouvez accroître la protection de votre PC grâce à la barre anti-pop-ups de Google qui permet une navigation plus agréable sur le net.



G)- » Anti-spywares
Les anti-spywares sont des logiciels qui permettent de nettoyer rapidement les logiciels espions (spywares) et trojans (chevaux de troie). Il est primordial d'en posséder plusieurs (ils sont complémentaires), afin de faire un scan avec chacun toutes les semaines, voire au maximum tous les 15 jours. Si vous soupçonnez une infection de votre PC, n'hésitez pas : faîtes un scan avec vos anti-spywares, cela fera une première couche de nettoyage !

AVG Anti-spwyare - son guide d'utilisation http://mickael.barroux.free.fr/securite/tutos/AVG_AS.php

H)- » Lutter contre le spam
Vous trouverez sur cette page un article concernant la lutte contre le spam, menace de plus en plus pesante sur nos emails quotidiens...




» Note pour Panda Activescan : désactivez votre antivirus pendant le scan, car certains antivirus peuvent détecter certains fichiers de Panda Activescan comme néfastes alors qu'ils ne le sont pas du tout !!! C'est un fausse alerte donc n'en tenez pas compte...


» En cas d'infection
Suivez la procédure de désinfection générale afin de nettoyer au maximum votre PC par vous-même.

Sinon, vous pouvez demander de l'aide sur un de ces forums informatiques, moi ou un de mes collègues vous aiderons avec plaisir ! (merci Bibou)



Bonne continuation.
Prenez bien soin de vous

Al.


2
Profil bloqué
29 févr. 2008 à 23:53
Merci de votre aide très courageux merci merci merci merci
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602 > Profil bloqué
1 mars 2008 à 11:04
Salut Moïse020
Merci
Et désolé pour mes premiers postes.
à+..
Al.
0
Orchydees Messages postés 64 Date d'inscription dimanche 15 avril 2007 Statut Membre Dernière intervention 9 septembre 2024 3
1 mars 2008 à 00:55
Bonsoir Afideg,

Merci inifiniment pour votre aide et vos instructions précieuses
Et un grand bravo pour le travail que vous avez effectué

Bonne continuation à vous aussi
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 67
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
11 févr. 2008 à 00:52
Re, c'est bien gênant

Essaie de faire le scan en ligne Kaspersky ( en désactivant AVAST)
Il faudra être patient
Ça risque d'être long.

ATTENTION Tuto: http://www.infos-du-net.com/forum/267224-11-scan-ligne-kaspersky
Une fois le scan fini à 100%, clic sur "Enregistrer rapport sous..."  tu choisis le bureau.
Enregistrer le rapport au format .txt (en nom tu mets «KAS» , et en « Type » tu choisis « fichier texte » (*.txt), puis [Enregistrer]
Tu ouvres le fichier que tu viens de sauvegarder sur le bureau.
Copier/coller le rapport généré, et poste-le

Merci
1
Réponse 6 / 67
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
14 févr. 2008 à 14:18
Bonjour

Je suis incapable de conclure sur ton rapport; je vais m'y tenter.

1°- Tu as lancé _OTMoveIt avec le script ==> bien.

2°- Tu as lancé un scan clé USB par _OTMoveIt2 ==> peux-tu me détailler comment tu t'y es prise ?

•- Avais-tu connecté ta clé USB lors de la première application avec le script complet ?
==> parce que je lis :
File/Folder G:\ylr.exe (Infecté) not found.
File/Folder G:\autorun.inf <gras>not found.
File/Folder G:\2ifetri.cmd not found.</gras>
•-- Ou as-tu lancé ce nettoyage de clé USB en la branchant seulement à ce moment-là, et en réduisant le script à ces trois lignes:
G:\ylr.exe ==> il y a une erreur ici; j'avais laissé la mention "Infecté" !! (Zut!)
G:\autorun.inf
G:\2ifetri.cmd
•--- Conclusion, il reste cette infection G:\ylr.exe. Pardon.
Il faut recommencer en effaçant ce mot "Infecté".
C'est-à-dire coller:
G:\ylr.exe
G:\autorun.inf
G:\2ifetri.cmd


3°- As-tu appliqué la procédure indispensable Flash_Disinfector ?

4°- Poste le rapport d'analyse avec Kaspersky pour confirmation.

Encore désolé pour ce contre-temps.
Merci
Al.
1
Réponse 7 / 67
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
14 févr. 2008 à 19:36
Bonsoir

Merci pour ces détails intéressants.

A)- Pas de problème pour le PC du bureau.

•- Tu pourras te servir de _OTMoveIt comme ceci:

-copier/coller la liste suivante (tout d'une traite):

C:\Documents and Settings\user\Local Settings\Temp\lr4x.dll
C:\_OTMoveIt\MovedFiles\02142008_111018
C:\_OTMoveIt\MovedFiles\02142008_140407

et colle-la dans le cadre supérieur gauche de OTMoveIt2 : "Paste standard List of Files/Folders to be moved"

NOTE: La case Unregister Dll's and OCX's doit être cochée.
==> Astuce:
( Si cette option n'est pas disponible (ce peut être le cas si vous avez entré une liste de fichiers) : déroulez la liste, sélectionnez un fichier dll quelconque pour activer l'option et pouvoir la cocher ... ==> ... de telle sorte que tous les fichiers de la liste comprenant des DLL soient supprimés avec _OTMoveIt)

-clique sur MoveIt! pour lancer la suppression.
-le résultat apparaitra dans le cadre "Results".
-clique sur "Exit" pour fermer.
-un rapport est situé dans C:\_OTMoveIt\MovedFiles.
Poste-le SVP, merci


•- Ou alors, avec l'explorateur (via "Poste de travail"), tu suis le chemin de ces trois éléments (ci-dessus) que tu supprimes manuellement.

B)- Sur ton PC du domicile.

Je te suggère de relancer _OTMoveIt comme au post # 17 (en branchant ta clé USB), et avec le même script -c'est gratuit- (mais en effacement le mot "Infecté" superflu ):

C:\2ifetri.cmd
C:\Documents and Settings\AG\Local Settings\Temp\help.exe
C:\Documents and Settings\AG\Local Settings\Temp\lr4x.dll
C:\Documents and Settings\AG\Local Settings\Temp\uqtw.dll
C:\Documents and Settings\AG\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\pcpersonnel\Local Settings\Temporary Internet Files\Content.IE5
C:\WINDOWS\system32\amvo.exe
D:\2ifetri.cmd
D:\autorun.inf
G:\ylr.exe
G:\autorun.inf
G:\2ifetri.cmd

Et poste le rapport d'analyse avec Kaspersky (avec clé branchée) pour confirmation


Bonne soirée
Al.
1
Réponse 8 / 67
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
14 févr. 2008 à 21:47
Merci

On voit que Flash_Disinfector a fait son boulot contre G:\ylr.exe
NOTE: Folder move failed. G:\autorun.inf scheduled to be moved on reboot.

Bonne nuit
Al.
1
Réponse 9 / 67
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
15 févr. 2008 à 11:18
Bonjour
Bon, il reste un reliquat.

A)- Recherche.
1°- Assure toi d'avoir accès aux dossiers/fichiers cachés :
Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer les extensions des fichiers dont le type est connu
- masquer les fichiers protégés du système d'exploitation
Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]
Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >

2°- Recherche ceci amvo0 avec OAD, comme ceci:
Télécharger OAD (Outil d'Aide au Diagnostic) < http://sosvirus.changelog.fr/OAD.exe >
•-Enregistre-le sur ton bureau
•- Lancer « OAD.exe » en faisant un double-clic sur le fichier < http://sosvirus.changelog.fr/OAD/1.bmp >
•- Saisir la valeur recherchée ( = nom de fichier à rechercher ) : taper (ou faire un copier/coller de) : amvo0
- Type de recherche : sélectionner l'option 6 puis valide [entrée]< http://sosvirus.changelog.fr/OAD/4.bmp >
•- OAD va maintenant rechercher le fichier.
Laisse-le travailler jusqu'à ce qu'il en ait terminé.
Suivant la taille des disques durs cette recherche peut prendre plusieurs minutes.
Patienter.
•- Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
•- Faire un copier/coller de ce rapport dans ton prochain post.
•-Note: Certains Antivirus (comme Panda) peuvent émettre une alerte lors du téléchargement / utilisation
ATTENTION: Relance ensuite avec le fichier amvo.exe



B)- Suppression.
Clic sur "Démarrer" > "Exécuter" > colle cette commande : del C:\WINDOWS\system32\amvo0.dll
Et valide par OK.



C)- Supprimer les outils utilisés ainsi que les quarantaines éventuelles.
Lance OTMoveIt.exe par double-clic
•- Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira à nettoyer les programmes que l'on a téléchargés).
NOTE : Normalement, ton Firewall (parefeu) devrait te demander si _OTMoveIt peut accéder à Internet.
==> Autorise-le.
-> Un message apparaît pour confirmer le nettoyage. Confirme
La manoeuvre nécessitera un reboot (=redémarrage) initié par le programme.



D)- Dernière vérification par Kaspersky.


Bonne chance
Al.

1
Réponse 10 / 67
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
15 févr. 2008 à 14:45
Re,

Pour le PC du bureau ==> apparemment, il est nettoyé (sauf avis contraire par une analyse de confirmation par Kaspersky).

Pour ton PC à domicile ==> ce n'est pas compliqué.

Je demande en effet:

1°- Assure-toi d'avoir accès aux dossiers/fichiers cachés .
Tu coches et décoches comme demandé.
Point, c'est terminé . ==> tu n'as rien à rechercher !

2°- Rechercher amvo0 et amvo.exe avec OAD (Outil d'Aide au Diagnostic).
Me poster les deux rapports.

3°- Clic sur "Démarrer" > "Exécuter" > colle cette commande : del C:\WINDOWS\system32\amvo0.dll
Et valider par [OK]. ==> rien d'autre à faire.

4°- Supprimer les outils utilisés ainsi que les quarantaines

5°- Dernière vérification par Kaspersky
1
Réponse 11 / 67
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
15 févr. 2008 à 17:54
Re,

Non, il ne reste pas d'infection.
Il suffit simplement de "Supprimer les outils utilisés ainsi que les quarantaines" comme déjà indiqué pour le PC du domicile
( fonction CleanUp! de _OTMoveIt ) .

Mais l'important est que je sache si la commande del C:\WINDOWS\system32\amvo0.dll a fonctionné sur ton PC personnel.
Pour cela, il me faut le rapport de Kaspersky. ==> je sais, ça prend du temps; mais il faut y passer.

Et j'ai besoin de cette application : Rechercher amvo0 et amvo.exe avec OAD (Outil d'Aide au Diagnostic).
Me poster les deux rapports.


Bonne soirée
Al.
1
Réponse 12 / 67
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
16 févr. 2008 à 15:40
Bonjour Orchydees,

Ce se précise.

A)- Crée un "nouveau document texte".
Pour cela : clic droit de souris sur un espace libre du bureau > "Nouveau" > "Document Texte" ( vers le bas du petit menu ).
Ouvre-le, et copie/colle dedans ce qui est en caractères gras ci-dessous, ( copie tout d'une traite, y compris la ligne REGEDIT4 - avec un intervalle après REGEDIT4 -) ( attention: il faut bien coller dans l'extrême coin supérieur gauche !! )

(Si tu ne comprends pas, demande) !

REGEDIT4

[HKEY_USERS\S-1-5-21-1004336348-630328440-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"amva"=-
"C:\\Documents and Settings\\AG\\Local Settings\\Temporary Internet Files\\Content.IE5"=-


Puis clic "fichier" > "enregistrer sous" > choisir " sur le bureau "
Dans "Nom du fichier" : taper par exemple " fix1.reg "
Dans "Type de fichier" : choisir "tous les fichiers"
Clic sur [enregistrer]
L'icône de "fix1.reg" doit ressembler à cela < http://img520.imageshack.us/img520/4251/screenshot005ps2.png >

3°- Tu n'auras plus accès ni à IE, ni à CCM durant la procédure de désinfection qui suit .
- Imprime-la-
Redémarre en mode sans échec (choisis ta session habituelle, et non pas le compte "Administrateur" ou autre) :< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >

4°- Double-clique sur " fix.reg " (que tu as créé sur ton bureau ) pour l’exécuter => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?" Si c'est bien le cas, clique sur "oui " Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.

5°- Redémarre normalement.



B)- Après quoi supprimer les outils utilisés ainsi que les quarantaines éventuelles (comme indiqué supra # 25 C)-)

C)- J'espère que le log Kaspersky nous confirmera.


Bonne chance
Al.
1
Orchydees Messages postés 64 Date d'inscription dimanche 15 avril 2007 Statut Membre Dernière intervention 9 septembre 2024 3
16 févr. 2008 à 22:37
Bonsoir Afideg

Je vous ai envoyé un autre message au milieu d'apm mais il me semble qu'il n'est pas parti.

Je vous demandais si je pourrai eliminer les programmes (SDFix.exe ; catchme.zip ; clean.zip ; OAD.exe) et le document txt créé sur bureau (fix1.reg) ou je dois les garder.

Voici le rapport scann Kaspersky du poste de travail après avoir suivi vos instructions mais je vois que worm (amvo0.dll) existe tjs.
D'ailleurs, c'est le seul qui persiste encore.

KASPERSKY ON-LINE SCANNER REPORT
Saturday, February 16, 2008 9:12:58 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 16/02/2008
Enregistrements dans la base antivirus Kaspersky : 527086


Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\
F:\

Statistiques de l'analyse
Total d'objets analysés 93321
Nombre de virus trouvés 1
Nombre d'objets infectés 1 / 0
Nombre d'objets suspects 0
Durée de l'analyse 03:01:18

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\AG\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\AG\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\AG\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\AG\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\AG\Local Settings\Historique\History.IE5\MSHist012008021620080217\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\AG\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\AG\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\AG\NTUSER.DAT.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp L'objet est verrouillé ignoré

C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService.AUTORITE NT.000\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService.AUTORITE NT.000\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService.AUTORITE NT.000\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService.AUTORITE NT.000\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService.AUTORITE NT.000\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService.AUTORITE NT.000\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService.AUTORITE NT.000\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\integ\avast.int L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\amvo0.dll Infecté : Worm.Win32.AutoRun.clp ignoré

C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_590.dat L'objet est verrouillé ignoré

C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.

Merci infiniment Afideg pour votre patience et Bonne soirée

0
Réponse 13 / 67
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
16 févr. 2008 à 23:25
Re,

Pas reçu de MP

Dernier essai avec _OTMoveIt (==> si cela ne va pas, on utilisera la grosse artillerie).

Télécharger _OTMoveIt (de Old_Timer) sur ton Bureau.

http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

- Double-cliquer sur OTMoveIt.exe pour le lancer.

-copier/coller la ligne suivante : C:\WINDOWS\system32\amvo0.dll

et colle-la dans le cadre supérieur gauche de OTMoveIt2 : "Paste standard List of Files/Folders to be moved"

NOTE: La case Unregister Dll's and OCX's doit être cochée.

-clique sur MoveIt! pour lancer la suppression.
-le résultat apparaitra dans le cadre "Results".
-clique sur "Exit" pour fermer.
-un rapport est situé dans C:\_OTMoveIt\MovedFiles.

Poste-le SVP, merci

Terminer avec Kaspersky (désolé).
Je pense avoir perdu une étape en traitant deux PC.
Mais ça va se régler.
1
Réponse 14 / 67
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
17 févr. 2008 à 00:34
Merci

A)- Il faut vider la quarantaine de AVAST.

B)- Il faudra aussi faire ceci (déjà utilisé) :

Désactive ta restauration système
Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]

Arrêter puis redémarrer le PC

Ensuite réactive ta restauration système
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]

Peut-être aurais-je dû l'intégrer dans la procédure _OTMoveIt ? (déjà utilisé)
Nous verrons avec Kaspersky.

Je vais au lit
Bonne nuit
Al.
1
Réponse 15 / 67
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
17 févr. 2008 à 10:44
Bonjour Orchydees,

Rien n'est simple avec une telle nouvelle bête. Regarde ci-après (je ne l'ai pas en français):
« The filename AMVO0.DLL was first seen on Dec 8 2007 in SPAIN, MEXICO on Jan 7 2008, EUROPEAN UNION on Jan 5 2008, PORTUGAL on Dec 11 2007, The UNITED STATES on Feb 17 2008 .
Some files using the name AMVO0.DLL are also associated with the malware group: KAVKOP:Trojan-A
AMVO0.DLL has been seen to perform the following behavior(s): "The Process is packed and/or encrypted using a software packing process", and "The Process is polymorphic and can change its structure".
When first run W32/Autorun-AV copies itself to <System>\amvo.exe and creates the following files:
<Temp>\fq9.dll
<Temp>\w2e.sys
<System>\amvo0.dll
The file amvo0.dll is detected as Mal/EncPk-CE and the file w2e.sys is detected as Mal/RootKit-A. »

Donc, essayons comme ceci: (note: branche ta clé durant l'analyse)

Télécharger Deckard's System Scanner (DSS) http://www.techsupportforum.com/sectools/Deckard/dss.exe
ou là http://www.geekstogo.com/forum/files/
(choisis enregistrer, puis Bureau comme emplacement)
1- Ferme toutes les applications en cours. (Et si tu as le choix, tu dois être connecté avec des Privilèges d'Administrateur).
2- Double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
3)- S'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
• Tu devras cliquer 2 fois sur le OK des boîtes de Dialogue
Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
• Quand le traitement est terminé (clique sur OK), deux "fichiers texte" s'affichent :
main.txt <- ouvert en premier plan et en plein écran (<- this one will be maximized )
extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches) ( <-this one will be minimized )
4)- Copier (Ctrl+A puis Ctrl+C) et coller (Ctrl+V) le contenu de "main.txt " dans ton prochain post
5)- Copier de même le contenu de "extra.txt" dans ton prochain post, si tu as ce fichier (première utilisation)
6)- N'oublie pas de réactiver les protections si elles ont été stoppées.


Merci
Al.


1
Réponse 16 / 67
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
17 févr. 2008 à 20:08
Re,

Peux-tu faire ceci, SVP:

A)- Supprimer les outils utilisés devenus inutiles, ainsi que les quarantaines éventuelles; comme ceci:
•- Clique sur "Démarrer" - Clic droit sur le "Poste de Travail" > dans "Propriétés" > onglet "Restauration du système" - Cocher la case "Désactiver la restauration du système" et cliquer sur "Appliquer".
•- Télécharger _OTMoveIt sur ton bureau > < http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe >
•- Lance OTMoveIt.exe par double-clic
[*]Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira à nettoyer les programmes que l'on a téléchargés).
NOTE : Normalement, ton Firewall (parefeu) devrait te demander si _OTMoveIt peut accéder à Internet. Autorise-le.
[*]Une liste apparaît dans la partie gauche d' _OTMoveIt.
[*]Un message apparaît pour confirmer le nettoyage. Confirme
Ce programme supprime les outils utilisés ainsi que les quarantaines éventuelles.
La manoeuvre nécessitera un reboot (=redémarrage) initié par le programme.
•- Clique sur "Démarrer" - Clic droit sur le "Poste de Travail" > dans "Propriétés" > onglet "Restauration du système" - Décocher la case "Désactiver la restauration du système" et cliquer sur "Appliquer".


B)- Je constate que Avast ne te sert pas à grand-chose (sinon à t'avertir qu'il a laissé infecter ton PC !!).

Alors, fais-moi plaisir; applique ceci:

1)- Télécharger ANTIVIR sur le site de l'éditeur pour avoir la dernière version qui est celle-ci pour xp: < https://www.avira.com/en/free-antivirus-windows >
et qui prend en compte la case Rootkit.
- En effet, il faut cocher la détection de rootkits --> Search for rootkits..........: doit être [ON] (cocher la case « mode expert »).

TUTORIELS :
< https://www.astucesinternet.com/modules/news/article.php?storyid=253 > ==> enregistre-le sur ton bureau pour y accéder facilement.
- ou < http://www.malekal.com/tutorial_antivir.html >
- ou < http://www.libellules.ch/tuto_antivir.php >

2)- Désinstaller AVAST: <
https://www.avast.com/fr-fr/uninstall-utility >

3)- Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation.

- Attention :
Sers-toi du tutoriel pour installer ANTIVIR,

4)- Procédure d'utilisation:
Après l'installation du programme et avant de lancer l'analyse, ...
...il faut redémarrer le PC en mode sans échec, comme ceci:
< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >

Lancer Antivir en Scan complet ( analyse avancée )
Poster le rapport SVP.
L'analyse:
- Lancer Antivir en Scan complet (analyse avancée) en faisant un click-droit sur l’icône d’Antivir dans la « barre des taches » en bas à droite (= Systray, à côté de l’horloge) puis clic sur « start Antivir »
- Cliquer sur l’onglet « scanner »
- Vérifier pour « RootKit search » et « Manuelle détection » (en développant avec la petite croix devant chacun d'eux) que tous les disques durs soient bien cochés, puis cliquer sur la loupe (en dessous de statut)
- Une fenêtre va s’ouvrir « Luke Filewalker »
- Le scan va démarrer.
- Mettre tout ce qu il trouve en "quarantine"

Le rapport:
Une fois le scan achevé, fermer les deux fenêtres d'Antivir et sauvegarder sur le bureau le rapport qui vient d'apparaître.
Redémarrer en mode normal puis poster le rapport d'Antivir (qui est sur le bureau).



merci
Al
1
Réponse 17 / 67
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
25 févr. 2008 à 00:15
Bonsoir Orchydees,

Pourquoi faire l'analyse ANTIVIR en mode normal, alors que la procédure d'utilisation (et je pense les tutoriels également) préconise le Mode sans échec ?

A)- Ferme toutes les applications en cours, puis télécharge, ToolsCleaner! sur ton Bureau.
< http://perso.orange.fr/AceRothstein/ToolsCleaner2.exe >

Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Clique sur Quitter, pour que le rapport puisse se créer.

B)- Arrête, puis redémarre le PC.
Poste-moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


C)- Termine avec un ScanOnline PANDA ( sous Internet Explorer donc )
< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >
-
•- Procédure :
- Branche les disques amovibles.
- "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.
•- Note : Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : < https://jetable.org/en/index >
-
- A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse
•- Un tuto ici: < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.hugedomains.com/domain_profile.cfm?d=monaco-pro&e=com
-
Attention!!: Panda peut entrer en conflit avec autre antivirus .


Merci
Bonne nuit
Al.
1
Réponse 18 / 67
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
28 févr. 2008 à 01:02
Re

Tu fais un scan en ligne pour identifier les menaces présentes dans ton PC (http://pandasoftware.fr ),
clique sur le bouton "Lancer TotalScan !" (vert foncé),
coche l’option "Full Scan" sous le bouton "Scan Now" (vert foncé),
clique sur le bouton "Scan Now",
installe le Plug-in ou ActiveX demandé au préalable,
copie et colle le rapport obtenu (un page de texte bloc-note).


Merci
Bonne nuit
Al
1
Réponse 19 / 67
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
29 févr. 2008 à 10:09
Bonjour,

A)- Post # 58, je lis « De retour, j'ai fait un scan du PC domicile avec AntiVir en mode normal, qui a repéré un trojan horse TR/Agent.BCF. Dois je le refaire en mode sans échec ? Voici le rapport : AntiVir PersonalEdition Classic . Report file date: dimanche 24 février 2008 19:53 »

Depuis cette question "Dois je le refaire en mode sans échec ?" et ma réponse, je n'ai pas reçu ce log ANTIVIR en MSE (Mode Sans Echec).
Note: Pas besoin de le faire à ce jour.


B)- Post # 62, après les échecs encourus à cause d'une amélioration des services PANDA vers TotalScanPanda qui t'a conduite à utiliser d'initiative la racine < https://www.pandasecurity.com/?ref=www.pandasoftware.com/ > pour arriver en fin de compte à ceci: « Cit. "à la fin il m’a donné le message suivant : Error on downloading ActiveScan"», je t'ai conseillé un scan en ligne pour identifier les menaces présentes dans ton PC à partir de ce lien: < http://pandasoftware.fr >.

Est-ce bien à partir de ce dernier lien, que tu as réussi à me sortir le rapport d'analyse du post # 66; et l'as-tu réalisée avec ta clé USB branchée comme je le demandais post # 62 (ce n'est pas confirmé) ?



C)- Il reste à supprimer deux infections décelées par Panda(?) ici:

- 00375171 Adware/SweetBar Adware No 0 Yes No C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
- 00509737 Application/WinFixer2006 HackTools No 0 Yes No C:\Program Files\Common Files\Companion Wizard\WapCHK.dll
- 02196096 Application/Winantivirus2006 HackTools No 0 Yes No C:\Program Files\Common Files\Companion Wizard\compwiz.exe

Tu vas faire comme ceci:

1°- Télécharger _OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

2°- Désactiver la restauration système.
( Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] )

3°- Arrêter, puis redémarrer le PC .

4°- Double-cliquer sur OTMoveIt.exe pour le lancer.
Sélectionner puis copier les lignes en caractères gras ci-après:

C:\Program Files\Macrogaming\SweetIMBarForIE
C:\Program Files\Common Files\Companion Wizard

... et colle-les dans le cadre supérieur gauche de OTMoveIt2 :"Paste standard List of Files/Folders to be moved"

-clique sur MoveIt! pour lancer la suppression.
-le résultat apparaitra dans le cadre "Results".
-clique sur "Exit" pour fermer.
-un rapport est situé dans C:\_OTMoveIt\MovedFiles.
Poste-le SVP, merci

Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
Si c'est le cas accepte par Yes.
•- Le rapport se trouve en C:\_OTMoveIt\MovedFiles; tu ouvres le dossier et tu trouveras le rapport.

5°- Réactiver la restauration système
( Clic droit sur poste de travail puis,
propriétés, tu cliques sur onglet restauration système
tu décoches la case « désactiver la restauration » et [appliquer]. )


Bonne chance.
Prends bien soin de toi.
Merci
Al.
1
Orchydees Messages postés 64 Date d'inscription dimanche 15 avril 2007 Statut Membre Dernière intervention 9 septembre 2024 3
29 févr. 2008 à 14:01
Bonjour Afideg,

A. Pour l'envoi du rapport, il m'a semblé l'avoir fait avant de partir en arrêt.
Désolée, je suis un peu surbookée et je devais avoir fait une fausse manip pour laquelle il ne vous est pas arrivé.

B. En effet, je l’ai fait à partir du lien que vous m’avez envoyé < http://pandasoftware.fr > avec la clé USB connectée. Seulement, je n’ai réussi à accomplir le Panda Scan qu’après avoir désinstaller le tout, via le panneau de config et effectuer une recherche pour voir s’il restait des éléments de ses composantes.
Ensuite, j’ai désactivé ANTIVIR, réinstallé Panda Scan et j’ai lancé le scan online.
Pour le désinfestation, il propose de s’abonner moyennant un prix, chose que je ne peux pas le faire à partir de mon pays.

C. Le reste, je vais le faire à partir de chez moi

Ceci me fait également perdre entre la désinfection des deux PC.
Au début ça allait mais là je suis un peu déboussolée entre les deux.

Je vais vérifier à quel niveau on est arrivé pour le PC boulot et je vous contacterai

Bonne journée et Merci encore pour votre aide
0
Orchydees Messages postés 64 Date d'inscription dimanche 15 avril 2007 Statut Membre Dernière intervention 9 septembre 2024 3
29 févr. 2008 à 22:30
Re,

C.

1°- Télécharger _OTMoveIt (de Old_Timer) sur ton Bureau : fait

2°- Désactiver la restauration système : fait

3°- Arrêter, puis redémarrer le PC : fait

4°- Rapport OTMoveIt : fait

C:\Program Files\Macrogaming\SweetIMBarForIE\Cache moved successfully.
C:\Program Files\Macrogaming\SweetIMBarForIE moved successfully.
C:\Program Files\Common Files\Companion Wizard moved successfully.

OTMoveIt2 v1.0.20 log created on 02292008_211447


5°- Réactiver la restauration système : fait

Merci pour votre aide
0
Réponse 20 / 67
Profil bloqué
10 févr. 2008 à 15:05
slt tu utilise trot le partage p2p j'espére si oui tu doit utiliser un antivirus + antitrojan + anspiware tous les 3. Regarde ce site https://www.cnetfrance.fr/telecharger/trojan-remover-11008989s.htm installe le et tu fait des mises à jour et redemarre ton pc ok j'atend ta reponse
0

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses