Virus par fichier ms dos sur msn

Question

Bonjour, je parle sur msn avec une amie et elle m'envoit une archive avec un fichier jpeg. Je ne fais pas attention, je décompresse et j'ouvre le fichier ms dos qui était dans l'archive ! J'ai avast comme anti virus et je reçois sans arret des alertes comme quoi bcp de messages sont envoyés en meme temps. Ce sont des adresses bizarres et à chaque fois différentes. Il me dit qu'il est probable qu'une infection aie été trouvée. Il y a également sans arret l'icone de messagerie électronique d'avast dans la barre d'outils sans arret. Que faire pour enlever ce virus? Aidez moi svp ce serait gentil, car désespéré : parfois 40 alertes d'affilée d'avast. Quand je vais voir les infections trouvées pour chaque catégorie, il y en a 0. Merci d'avance.

DeNisCoOl · Answer

salut Lecameleonbleu,


Bienvenue dans la communauté CCM,


Pour commencer
---------------------------
1- Désinfecter son ordinateur avec MSNFix développé par !aur3n7
•	Télécharger MSNFix à partir de ce lien : 
http://sosvirus.changelog.fr/MSNFix.zip
voir tutoriel ICI (merci Malekal)
•	Enregistrez le fichier sur votre bureau.
•	Ne pas double-cliquer sur le fichier.
•	Faites un clic droit sur le fichier puis Extraire tout, le but étant de récupérer un dossier MSNFix.
•	Double-cliquez sur le dossier MSNFix afin de l'ouvrir.
•	Vous trouverez dedans un nouveau dossier ainsi qu'un fichier MSNFix.bat (le .bat peut ne pas apparaître chez vous).
•	Double-cliquez sur MSNFix.bat.
•	Une fenêtre sur fond bleu va s'ouvrir avec un menu.
•	Tapez sur la touche R de votre clavier puis la touche entrée pour valider.
•	Si une infection est détectée, le message Infection Présente s'affichera.
•	Pour lancer le nettoyage, il suffit d'appuyer sur n'importe quelle lettre du clavier puis valider par Entrée.
Une fois le nettoyage terminé, le rapport de nettoyage s'ouvre sur le Bloc-Note, tout sélectionner (Ctrl+A).
et Copier (Ctrl+C)/coller (Ctrl+V) ce rapport dans le prochain rapport.


Ensuite
---------------------------
2- Télécharger SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Pour cela cliquer ICI
Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur le Bureau.
> Démarre en mode sans échec : après le bip et avant le logo windows tapoter sur la touche F8 (ou F5): image. Si problème : Tuto ici
Choisir son compte, pas celui de l'Administrateur ou autre.

Dérouler la liste des instructions ci-dessous :
• Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuyer sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuyer sur une touche pour redémarrer le PC.
• Le système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copier/coller le contenu du fichier Report.txt dans la prochaine réponse sur le forum


Puis
---------------------------
3- Télécharge clean zip de Malekal_Morte http://www.malekal.com/download/clean.zip 

* Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean. 
* Ouvre le dossier Clean qui se trouve sur ton bureau. 
* Double-clique sur clean.cmd. 
Une fenêtre noire va apparaître, 

Choisis l'option 1  laisses le travailler.
A là fin clic sur une touche pour continuer… comme indiquer.

Puis poste le rapport qui se trouve ici C:\rapport_clean.txt


Enfin
------------------------
4- Cliquer sur HiJackThis pour télécharger (la dernière version) sur votre bureau : 
- Le tutoriel ici (ancienne version) : https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

- Installer le sur un répertoire dédié (pas un dossier temporaire).
- Renommer Hijackthis, pour contrer une éventuelle infection de Vundo.
- Renommer le fichier HiJackThis.exe par exemple en CCM (à chercher dans le répertoire d’installation par exemple C:\Program Files\).
- Pour cela, faire un clic droit sur le fichier HiJackThis.exe et choisir renommer dans la liste.
- Taper CCM et valider.
- Double-clic sur CCM.exe.
- Cliquer sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note , tout sélectionner (Ctrl+A).
- Copier (Ctrl+C) et Coller (Ctrl+V) le rapport dans le prochain message.
Aide : N'hésite pas à consulter l'aide HiJackThis – 

Pour faciliter l’archivage des messages, vous pouvez vous identifier avec mot de passe, l’inscription est gratuite (en haut à droite).


A+


Denis

lecameleonbleu · Answer

Bonjour, les rapports sont-ils bons ? En tout cas il n'y a plus l'air d'avoir de problème, encore merci.

DeNisCoOl · Answer

lecameleonbleu,

Désolé pour le délai (ici au Québec), mais il reste encore plusieurs infections en particulier messenger skinner et winbutler et d'autres...:


Pour commencer
--------------
1- Il y a sans doute une infection NaviPromo là dessous. 
On va vérifier cela:
•	Télécharger Navilog1 de Il_Mafioso depuis-ce lien : 
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 
Enregistre-le sur le bureau. 
Ensuite double cliquer sur navilog1.exe pour lancer l'installation. 
•	Une fois l'installation terminée, faire un double clic sur le raccourci Navilog1 présent sur le bureau.
•	Choisir l'option 1 puis valider. 
! N'utilisez pas l'option 2, 3 et 4 sans notre accord !
•	Laissez vous guider et patienter jusqu'au message : 
*** Analyse Termine le ..... *** 
•	Appuiyer sur une touche, le bloc note va s'ouvrir. 
Copier-coller l'intégralité du rapport dans la prochaine réponse. 
Refermer le bloc note. 
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive% (exemple C:\ ). 


Puis
------------------------
2- De nombreuses infections utilisent les ordinateurs infectés comme serveurs distant ou autre gentillesse du genre, usurpation d'identité. Pour contrer ce genre d'attaque il faut un parefeu (Celui de windows est inefficace).
Comme pare feu je conseillerais Sunbelt (ex Kerio), mais il y en a bien d'autre.

Dans les premiers jours, il y aura une période d’apprentissage (à chaque alerte d'un programme connu cocher la case : créer une règle pour cette communication et ne plus me demander)
Bien regarder  le tutoriel ICI
Et pour la version la plus récente ICI



Ensuite
------------------------
3- Comme anti virus Avast est dépassé par les rootkit et les virus du type msn, je te conseilles Antivir de Avira, Avast n’a que peu, voir pas évolué depuis 3ans.

Un comparatif intéressant Avast-Antivir ICI

Et 2 autres comparatifs complet: https://www.av-comparatives.org/
http://www.anti-malware-test.com/?q=taxonomy/term/5


-Avant d'arrêter et d'enlever Avast: 
télécharger Antivir de Avira ICI:  le sauvegarder dans votre bureau
télécharger le patch pour enlever Avast ICI
 le sauvegarder dans votre bureau
Voir tutoriel de Antivir ICI : 
Antivir est en anglais mais cela ne change rien car les AV en français utilisent tous des mots anglais également.

Ensuite installer Antivir, puis lancer la mise à jour.

* Une fois Antivir ouvert clic sur configuration et coche la case "expert mode" puis sur l´onglet scanner dans la fenêtre du dessous tu va voir : rootkit search clic sur le petit + pour déployer et coche la case a coté de ton disk dur 
puis click sur configuration en haut a droite; dans la nouvelle fenêtre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High 
- Coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le désires. 
* Puis sur la droite coche les case suivantes : 
- Scan boot sectors of selected drives 
- Scan master boot sectors 
- Scan memory 
- Search for rootkit before scan 
- Decoche : ignore off line files 
* Toujours à gauche > scan > déploie > heuristique > macro virus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

* Si tu utilises LIVE Messenger, alors clic sur Outils / Options / Transfert de fichiers / ‘’C:\Program Files\AVPersonal\AVGUARD.EXE‘’%1 <====== rajouter %1
Chaque fichier échangé avec MSN sera scanné.

Après qu'il vous ait été demandé de redémarrer ou redémarrer vous-même en mode sans échec pour un maximum d’efficacité faire l’analyse en mode sans échec.
> Démarre en mode sans échec : après le bip et avant le logo windows tapoter sur la touche F8 (ou F5): menu M.S.E..
Si problème voir Tuto ici

Pendant ce temps là fermer Avast, puis dans le panneau de configuration, ajout/suppr. de programme enlever Avast ensuite exécuter aswClear.exe



Enfin (version Java n'est pas à jour)
------------------------
4- Mises à jours en particulier Adobe, Flash et autre programmes.
Updatechecker : https://filehippo.com/windows/tuning-utilities/
Quelques détails ici pour l’installation en particulier de Framework:
http://www.commentcamarche.net/faq/sujet 9908 update checker vos logiciels sont ils a jour#update checker la solution

Pour les mises à Jour Java en particulier ici une version online de Secunia en anglais, mais il y a juste 1 ou 2 boutons à cliquer :
https://www.flexera.com/products/operations/software-vulnerability-management.html
Une petite explication dans ce lien (merci malekal). 

Et bien entendu windows update:
http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr


A+

Denis

DeNisCoOl · Answer

salut lecameleonbleu,


- Antivir a détecté encore beaucoup d'autre chose.
Tu pourras vider la quarantaine si tu ne vois pas de symptômes bizarre.



- Au cas ou continuer avec Navilog mais Antivir en enlevé une grande partie.
Tu es bien infecté par l adware Navipromo/ Magic control 

•	Faire un double clic sur le raccourci Navilog1 présent sur le bureau 
•	Au menu principal, Fais le choix 2 
Laisse toi guider et patiente. 
L'outil va t'informer qu'il va redémarrer ton PC 
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts 
Appuie sur une touche comme demandé. 
(si ton Pc ne redémarre pas automatiquement, fais-le toi-même) 
•	Au redémarrage de ton PC, choisis ta session habituelle. 
•	Patienter jusqu'au message : 
*** Nettoyage Termine le ..... *** 
•	Le bloc-notes va s'ouvrir. 
Sauvegarder le rapport de manière à le retrouver.
Refermer le bloc-notes. Le bureau va réapparaître.
 Poste ce rapport dans ta prochaine réponse. 
•	Envoyer également le fichier catchme.log situé dans le bureau



- Ensuite renvoyer un autre rapport HJThis


A+

lecameleonbleu · Answer

Salut, j'avais en effet souvent des fenêtres de pubs qui apparaissaient pendant que je surfais, des fausses alertes de windows pour télécharger un anti virus,... Voici les rapports :

Clean Navipromo version 3.5.2 commencé le mer. 02/04/2008 à 15:00:07,65

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Propriétaire" 

Mise à jour le 29.03.2008 à 22h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


*** Creation backups fichiers trouvés par Catchme *** 

Copie vers "C:\Program Files
avilog1\Backupnavi"

Copie C:\Documents and Settings\Propriétaire\Local Settings\Application Data\wcuiioe.dat réalisée avec succès ! 
Copie C:\Documents and Settings\Propriétaire\Local Settings\Application Data\wcuiioe.exe réalisée avec succès ! 
Copie C:\Documents and Settings\Propriétaire\Local Settings\Application Data\wcuiioe_nav.dat réalisée avec succès ! 
Copie C:\Documents and Settings\Propriétaire\Local Settings\Application Data\wcuiioe_navps.dat réalisée avec succès ! 

*** Suppression des fichiers trouvés avec Catchme ***

 
** 2ème passage avec résultats Catchme ** 

* Dans C:\WINDOWS\system32 *


* Dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" * 


wcuiioe.dat trouvé ! 
Copie wcuiioe.dat réalisée avec succès !
wcuiioe.dat supprimé !

wcuiioe_nav.dat trouvé ! 
Copie wcuiioe_nav.dat réalisée avec succès !
wcuiioe_nav.dat supprimé !

wcuiioe_navps.dat trouvé ! 
Copie wcuiioe_navps.dat réalisée avec succès !
wcuiioe_navps.dat supprimé !

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" * 



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\Propriétaire\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Propriétaire\progra~1\" *** 


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Propri‚taire\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *


* Dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" * 


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le mer. 02/04/2008 à 15:05:15,23 ***

Désolé mais je n'ai pas trouvé catchme, ni dans le bureau, ni dans le dossier navilog. Voici le rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:17:56, on 2/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Secunia\PSI (RC1)\psi.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\Mes documents\Mes outils\vivelerock.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [pex] C:\WINDOWS\system32\pex.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [pex] C:\WINDOWS\system32\pex.exe
O4 - HKCU\..\Run: [SfKg6wIPu] C:\Documents and Settings\Propriétaire\Application Data\Microsoft\Windows\eqndjw.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinButler] C:\Documents and Settings\Propriétaire\Application Data\WinButler\WinButler.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Kitbar4$.lnk = ?
O4 - Startup: Secunia PSI (RC1).lnk = C:\Program Files\Secunia\PSI (RC1)\psi.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEB36A04-31BF-43C0-8F1E-405D89852C70}: NameServer = 192.168.1.254
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - Unknown owner - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe (file missing)
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - Unknown owner - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe (file missing)
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

DeNisCoOl · Answer

Re Lecameleonbleu,


Encore 2 infections a nettoyer et tout devrait être bon.


---------------------
1- Télécharger OTMoveIt2(de Old_Timer)  sur le Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Double cliquer sur OTMoveIt2.exe pour le lancer. 
Copier la liste de fichier ou de dossier qui se trouve en gras ci-dessous, 
et coller-la dans le cadre de gauche de OTMoveIt : 
Paste List of Files/Folders to be moved. 

 
C:\Documents and Settings\Propriétaire\Application Data\Microsoft\Windows\eqndjw.exe
C:\Documents and Settings\Propriétaire\Application Data\WinButler\WinButler.exe

 
Cliquer sur MoveIt!  pour lancer la suppression. 
Le résultat apparaîtra dans le cadre Results. 
Cliquer sur Exit pour fermer. 

Il sera peut-être demander de redémarrer le pc pour achever la suppression. 
Si c'est le cas accepter par Yes. 


--> Poster le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)



---------------------
2- Relancer HiJackthis cliquer sur Do a scan only et cocher les lignes en gras:


O4 - HKCU\..\Run: [SfKg6wIPu] C:\Documents and Settings\Propriétaire\Application Data\Microsoft\Windows\eqndjw.exe
O4 - HKCU\..\Run: [WinButler] C:\Documents and Settings\Propriétaire\Application Data\WinButler\WinButler.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -


Comment fixer une ligne: (Merci a Balltrap34 pour cette réalisation vidéo) 
-> http://pageperso.aol.fr/balltrap34/demohijack.htm  
Fermer toutes tes applications et  ton navigateur puis fix checked.


------------------------
3- Cliquer CCleaner (en français) pour nettoyer les fichiers temporaires, cookies... ainsi que les clefs de la base de registre inutile.

Pendant l'installation si vous avez déjà une barre de recherche, alors décocher l'ajout de la barre yahoo.
Son tutorial ICI
Ensuite dans Options / Avancés, décocher : effacer uniquement les fichiers du répertoires temp de Windows de plus vieux que 48h.

Bouton Nettoyer (s’assurer que dans l’onglet Windows la case Avancé est décoché), cliquer sur Analyse laisser travailler cela peut être très long ensuite cliquer sur Lancer le nettoyage.

Ensuite sur le bouton Registre (s’assurer que Intégrité du registre est coché) répéter 2 fois les étapes suivantes:
Chercher les erreurs- Réparer les erreurs sélectionnées
Ne pas oublier de sauvegarder au cas où il supprimerait une mauvaise clef (peu probable).

À effacer ensuite s’il n’y a pas de problème par la suite.


------------------------
4- Faire un scan en ligne (sous IE uniquement, cliquer sur la barre qui s'affiche un peu en dessous de la barre d'adresse et accepter le module activeX) :
Kaspersky https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr  (Utile à rajouter dans ses favoris)

Coller le rapport si il y a détection d'une infection autre que des cookies.


---------------------
5- Pour faciliter l’archivage des messages, vous pouvez vous identifier avec mot de passe, l’inscription est gratuite (en haut à droite).

Je vous conseillerais Firefox, plus sure, plus rapide et plus souple que IExplorer : http://www.mozilla-europe.org/fr/products/firefox/

* Pour les cookies s'assurer de tout est correctement configurer, Outils / Options / Vie privée > 
* Cookies / Les conserver jusqu'à : la fermeture de firefox. 
* Vie privée cocher : Toujours effacer mes informations personnelles à la fermeture de Firefox. 

Voici un lien pour encore mieux optimiser la vitesse de navigation: 
http://www.commentcamarche.net/faq/sujet 852 firefox optimisation ameliorer les performances
ou automatiquement regarder ici: 
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/31802.html



A+

DeNisCoOl · Answer

Re lecameleonbleu,

- le résident spybot m'a bien indiqué que les 3 fichiers avaient été supprimés. 
Les lignes fixé avec HJThis sont juste des clés de registre, cela n'enlève aucun fichier.
Avant le passage de OTMOveIT les fichiers avait disparu.


Alors tu pourras cocher le problème au dessus de ton tout premier message...


- Pour la navigation il est donc préférable de continuer avec Firefox sauf quand tu n'as pas le choix bien entendu ;-)


Bye bye,


Denis

Virus par fichier ms dos sur msn

7 réponses

Votre réponse

Discussions similaires

Newsletters