Précédent
- 1
- 2
Bonjour FAB,
Merci pour tes réponses.
A)- Attention: Ne rien faire au § I du post # 13. (Les observations ne t'étaient pas destinées; je présume que tu l'avais déjà remarqué.)
B)- Je demandais ta localisation en fonction de ceci : C:\Program Files\Radio Fr Solo\html\frequence_eghezee.m3u
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/Bankfraud .
C)- Ta clé USB était-elle branchée en D:\ ? (Begin scan in 'D:\' <RECOVERY>)
D)- SVP merci d'envoyer le fichier C:\Users\Fab\Desktop\Upload_Me.zip
... en cliquant sur ce lien: http://upload.changelog.fr
... et en remplissant le formulaire "très brièvement" ;
particulièrement cliquer sur "Parcourir" et suivre le chemin suivant: C:\Users\Fab\Desktop\
... jusqu'à y rechercher le fichier Upload_Me.zip
... à [Envoyer]
NOTES:
1- Parfois le site est en maintenance, et n'affiche pas de formulaire à remplir; il faut alors reporter l'opération à plus tard.
2- Il est primordial d'envoyer ce fichier afin que le concepteur puisse mettre à jour MSNFix.
3- Aide visuelle réalisée par AngelDark, ici < http://www.infos-du-net.com/forum/272805-11-upload-fichiers-supects-msnfix >.
E)- Et pour exclure service inutile PrismXL, il suffit de faire ainsi:
Clic sur « Démarrer » > « Exécuter » ; ensuite, dans la lucarne de saisie, coller (recommencer pour chacune des trois commandes suivantes) :
1°- sc stop PrismXL > valider par [OK] (ou bien [Ctrl + Shift + Entrée] pour Vista?).
2°- sc config PrismXL start= disabled > valider par [OK] (ou bien [Ctrl + Shift + Entrée] pour Vista?).
3°- sc delete PrismXL > valider par [OK] (ou bien [Ctrl + Shift + Entrée] pour Vista?).
F)- ATTENTION: Cette manipulation doit être exécutée sans faute aucune.
Si tu hésites, stoppe tout et questionne-moi.
1)-Télécharge The Avenger par Swandog46 sur le Bureau avec ce lien:
< http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ >
(donc, clic sur le lien, [enregistrer], choisir le bureau, [enregistrer] ; on obtient l’icône du fichier « Avenger.zip » sur le bureau)
Clic-droit sur Avenger.zip, puis « Ouvrir » > « Dossiers compressés » > OK
On obtient une page avec, dans le panneau de droite le fichier “avenger.exe” < http://img111.imageshack.us/img111/7906/screenshot294ji2.png >
2)- Sélectionner ( mettre en surbrillance ) tout ce qui est en gras ( autrement dit "le texte ci-dessous" ), et appuyer sur les touches (Ctrl+C) Attention, pour copier il faut impérativement faire CTRL+C
(autrement dit appuyer simultanément sur les touches CTRL(=Control) et C ==> pas sur le + !!):
Drivers to unload:
PrismXL
Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C0FF3949-2B75-4C1A-970E-BF98CC6A32C6}\InprocServer32 | @="C:\Windows\System32\dass.dll"
Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0FF3949-2B75-4C1A-970E-BF98CC6A32C6}
Files to delete:
c:\Windows\System32\dass.dll
C:\Program Files\Common Files\New Boundary\PrismXL\PRISMXL.SYS
Folders to delete:
C:\Program Files\Common Files\New Boundary
Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
3)- Clic-droit sur ce fichier “avenger.exe” > [Exécuter en tant qu'administrateur] ==> répondre OUI, à l’avertissement pour continuer.
Suis ensuite cette capture écran http://img175.imageshack.us/img175/5701/screenshot293ab5.png : clic sur « Load script »
et choisis le menu « Paste from Clipboard » ; le script devrait alors se coller dans la fenêtre
Le bouton ratio devant “Rootkit scan active” est coché par défaut.
Coche aussi le bouton ratio devant “Automatically disable any rootkits found”.
==> Cliquer [Exécuter]
4)- The Avenger va automatiquement faire ce qui suit:
Il va re-démarrer le système.
Pendant le re-démarrage, il apparaîtra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaître les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
5)- Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta réponse.
G- Supprime ta version actuelle de ComboFix, et ensuite,
Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
Clic-droit sur ce lien < http://download.bleepingcomputer.com/sUBs/ComboFix.exe >
Puis choisis "Enregistrer sous .." ==> vers le 'bureau"
Attention : renomme-le sous le nom « TRISTAN.EXE » (très important).
< http://img363.imageshack.us/img363/8840/screenshot327vy8.png >
Tu le nommes à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard.
Puis clic sur [Enregistrer]
- Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
- Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).
Une fois fait, sur ton bureau clic-droit sur l'icône Combofix.exe (TRISTAN.EXE) du bureau,> [Exécuter en tant qu'administrateur], et suis les invites.
- Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
Laisse se dérouler le scan.
/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse)./i\
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire.
- Un rapport s'ouvrira ensuite dans le bloc-notes sur le bureau.
•- ==> Réactive la protection en temps réel de ton Antivirus et de ton Antispywares, avant de te reconnecter à Internet.
Note: ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
Tu copies et colles ce rapport sur le forum
(Je voudrais que ComboFix traite ces deux fichiers:
[C:\Windows\system32\winrshost.exe] A483324560F751A7F46A149C003609F0 => TROJ_BAGLE.BE Trojan
[C:\Windows\system32\wininit.exe] D4385B03E8CCCEE6F0EE249F827C1F3E => WOLLF.16 virus
... plutôt que de les faire analyser chez VirusTotal.)
Bonne chance
Al.
Merci pour tes réponses.
A)- Attention: Ne rien faire au § I du post # 13. (Les observations ne t'étaient pas destinées; je présume que tu l'avais déjà remarqué.)
B)- Je demandais ta localisation en fonction de ceci : C:\Program Files\Radio Fr Solo\html\frequence_eghezee.m3u
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/Bankfraud .
C)- Ta clé USB était-elle branchée en D:\ ? (Begin scan in 'D:\' <RECOVERY>)
D)- SVP merci d'envoyer le fichier C:\Users\Fab\Desktop\Upload_Me.zip
... en cliquant sur ce lien: http://upload.changelog.fr
... et en remplissant le formulaire "très brièvement" ;
particulièrement cliquer sur "Parcourir" et suivre le chemin suivant: C:\Users\Fab\Desktop\
... jusqu'à y rechercher le fichier Upload_Me.zip
... à [Envoyer]
NOTES:
1- Parfois le site est en maintenance, et n'affiche pas de formulaire à remplir; il faut alors reporter l'opération à plus tard.
2- Il est primordial d'envoyer ce fichier afin que le concepteur puisse mettre à jour MSNFix.
3- Aide visuelle réalisée par AngelDark, ici < http://www.infos-du-net.com/forum/272805-11-upload-fichiers-supects-msnfix >.
E)- Et pour exclure service inutile PrismXL, il suffit de faire ainsi:
Clic sur « Démarrer » > « Exécuter » ; ensuite, dans la lucarne de saisie, coller (recommencer pour chacune des trois commandes suivantes) :
1°- sc stop PrismXL > valider par [OK] (ou bien [Ctrl + Shift + Entrée] pour Vista?).
2°- sc config PrismXL start= disabled > valider par [OK] (ou bien [Ctrl + Shift + Entrée] pour Vista?).
3°- sc delete PrismXL > valider par [OK] (ou bien [Ctrl + Shift + Entrée] pour Vista?).
F)- ATTENTION: Cette manipulation doit être exécutée sans faute aucune.
Si tu hésites, stoppe tout et questionne-moi.
1)-Télécharge The Avenger par Swandog46 sur le Bureau avec ce lien:
< http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ >
(donc, clic sur le lien, [enregistrer], choisir le bureau, [enregistrer] ; on obtient l’icône du fichier « Avenger.zip » sur le bureau)
Clic-droit sur Avenger.zip, puis « Ouvrir » > « Dossiers compressés » > OK
On obtient une page avec, dans le panneau de droite le fichier “avenger.exe” < http://img111.imageshack.us/img111/7906/screenshot294ji2.png >
2)- Sélectionner ( mettre en surbrillance ) tout ce qui est en gras ( autrement dit "le texte ci-dessous" ), et appuyer sur les touches (Ctrl+C) Attention, pour copier il faut impérativement faire CTRL+C
(autrement dit appuyer simultanément sur les touches CTRL(=Control) et C ==> pas sur le + !!):
Drivers to unload:
PrismXL
Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C0FF3949-2B75-4C1A-970E-BF98CC6A32C6}\InprocServer32 | @="C:\Windows\System32\dass.dll"
Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0FF3949-2B75-4C1A-970E-BF98CC6A32C6}
Files to delete:
c:\Windows\System32\dass.dll
C:\Program Files\Common Files\New Boundary\PrismXL\PRISMXL.SYS
Folders to delete:
C:\Program Files\Common Files\New Boundary
Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
3)- Clic-droit sur ce fichier “avenger.exe” > [Exécuter en tant qu'administrateur] ==> répondre OUI, à l’avertissement pour continuer.
Suis ensuite cette capture écran http://img175.imageshack.us/img175/5701/screenshot293ab5.png : clic sur « Load script »
et choisis le menu « Paste from Clipboard » ; le script devrait alors se coller dans la fenêtre
Le bouton ratio devant “Rootkit scan active” est coché par défaut.
Coche aussi le bouton ratio devant “Automatically disable any rootkits found”.
==> Cliquer [Exécuter]
4)- The Avenger va automatiquement faire ce qui suit:
Il va re-démarrer le système.
Pendant le re-démarrage, il apparaîtra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaître les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
5)- Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta réponse.
G- Supprime ta version actuelle de ComboFix, et ensuite,
Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
Clic-droit sur ce lien < http://download.bleepingcomputer.com/sUBs/ComboFix.exe >
Puis choisis "Enregistrer sous .." ==> vers le 'bureau"
Attention : renomme-le sous le nom « TRISTAN.EXE » (très important).
< http://img363.imageshack.us/img363/8840/screenshot327vy8.png >
Tu le nommes à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard.
Puis clic sur [Enregistrer]
- Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
- Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).
Une fois fait, sur ton bureau clic-droit sur l'icône Combofix.exe (TRISTAN.EXE) du bureau,> [Exécuter en tant qu'administrateur], et suis les invites.
- Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
Laisse se dérouler le scan.
/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse)./i\
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire.
- Un rapport s'ouvrira ensuite dans le bloc-notes sur le bureau.
•- ==> Réactive la protection en temps réel de ton Antivirus et de ton Antispywares, avant de te reconnecter à Internet.
Note: ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
Tu copies et colles ce rapport sur le forum
(Je voudrais que ComboFix traite ces deux fichiers:
[C:\Windows\system32\winrshost.exe] A483324560F751A7F46A149C003609F0 => TROJ_BAGLE.BE Trojan
[C:\Windows\system32\wininit.exe] D4385B03E8CCCEE6F0EE249F827C1F3E => WOLLF.16 virus
... plutôt que de les faire analyser chez VirusTotal.)
Bonne chance
Al.
Précédent
- 1
- 2
