Un bagle fantome ?

gregR -  
afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai je crois un bagle récalcitrant sur mon portable sous vista SP1 et qui n'a jamais été détecté par elibagla avec un certain nombre de fichiers inacessibles et ce malgré de multiples passages du logiciel en mode sans echec et en mode normal.

Combofix ne fonctionne pas (la fenêtre apparait et disparait aussitôt

Un des logiciels proposé sur le forum m'indique ceci :

+- FindB mis a jours le 30/08/08 par Chiquitine29

+- Recherche de fichier infectueux :

+- Recherche dans : C:\Windows\Prefetch :

+- Recherche dans : C:\Windows\system32 :

+- Recherche dans : C:\Windows\system32\drivers :

C:\Windows\system32\drivers\mdelk.exe Présent!!
C:\Windows\system32\drivers\downld Présent!!

+- Recherche dans : C:\Users\Gr‚gory\AppData\Roaming :

+- Registre :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Kernel and Hardware Abstraction Layer REG_SZ KHALMNPR.EXE
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
avgnt REG_SZ "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
AppleSyncNotifier REG_SZ C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
Apoint REG_SZ C:\Program Files\Apoint\Apoint.exe
NvCplDaemon REG_SZ RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
NvMediaCenter REG_SZ RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
OODefragTray REG_SZ C:\Windows\system32\oodtray.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Sidebar REG_SZ C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
msnmsgr REG_SZ "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
Neuf Media Center REG_SZ "C:\Program Files\Neuf\Media Center\MediaCenter.exe"
ccleaner REG_SZ "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
SpybotSD TeaTimer REG_SZ D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
ProcessManager REG_SZ D:\Program Files\Bill2's Process Manager\ProcessManager.exe -minimized
Orb REG_SZ "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background
AlcoholAutomount REG_SZ "D:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
WMPNSCFG REG_SZ C:\Program Files\Windows Media Player\WMPNSCFG.exe

+- Registre, recherche Srosa :

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
NextInstance REG_DWORD 0x1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA\0000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
NextInstance REG_DWORD 0x1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA\0000

+- Recherche d autres infections :

+- Recherche terminee !

+- Execute le : 31/08/2008 a 19:42:12,42

Merci si vous avez une idée à proposer ;)
Configuration: Windows Vista
Firefox 3.0.1

25 réponses

  • 1
  • 2
Résumé de la discussion

Un utilisateur signale une infection Bagle sur un PC sous Windows Vista SP1, avec des fichiers inaccessibles et une détection limitée malgré des passages répétés en mode sans échec et en mode normal. L'échange décrit l'utilisation d'outils comme FindB et ComboFix, montrant des éléments détectés dans C:\Windows, C:\Users et le registre, et soulignant des entrées persistantes dans les clés Run. Une réponse préconise de supprimer ComboFix et de lancer un outil renommé pour effectuer un scan, puis de copier le rapport généré afin d'évaluer les infections. En cas d'infection persistante, il est conseillé de sauvegarder les données importantes et d'envisager une réinstallation propre du système pour rétablir un environnement sain.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    supprime combofix

    Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Avant de telecharger clic sur enregistrer renome le en killbagle et enregistre le sur le bureau

    -> Double clique sur killbagle.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    Une fois fait, sur ton bureau double-clic sur killbagle.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    2
  2. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Salut gregR,

    Je n'ai rien fait, à côté de ce qu'a fait Chiquitine.

    Mais dis-moi, comment te sers-tu de ce keygen (téléchargé sur e-Mule 0.48A) à partir de ton PC ?
    J'ai toujours pensé qu'il devait s'agir d'un composant externe indépendant.
    Si tu avais été inscrit, nous aurions pu en discuter un peu plus librement en messagerie privée.

    Al.
    1
    1. gregR
       
      tu veux dire quoi par comment je l'utilise ? en général ces keygen produisent des numéros de licence ou des clefs de débridage de logiciels ... enfin pour celui ci je l'ai mis à la poubelle :)
      0
  3. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    Merci, mais je sais à quoi sert un keygen.
    Je reste persuadé de l'inefficacité de tel programme téléchargeable; sur la Mule qui plus est !
    En effet les producteurs de logiciels "sérieux" connaissent le modus operandi de ces engins et verrouillent alors leurs logiciels piratés.
    Et c'est pareil pour les soi-disant générateurs de mots de passes ==> ne pas jouer avec ça !

    Cit. « ... enfin pour celui ci je l'ai mis à la poubelle ».
    Parfait, tu as eu raison.
    Je pense que ton PC en sera ravi ; ... et toi avec.

    Ne soyons cependant pas naïfs.

    Al.
    1
    1. Utilisateur anonyme
       
      +++++++ Al!

      bises
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    salut

    essais ceci stp ;

    Télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.
    Double-clique sur OTMoveIt.exe pour le lancer.
    Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.
    Citation :

    C:\Windows\system32\drivers\mdelk.exe Présent!!
    C:\Windows\system32\drivers\downld Présent!!

    clique sur MoveIt! pour lancer la suppression.
    Le résultat apparaitra dans le cadre "Results".
    Clique sur Exit pour fermer.
    Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

    bizz
    0
    1. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
       
      heu!
      si ta citation fonctionne,je te fais un streap-tease...
      @+
      0
    2. gregR
       
      super ils ont bien été déplacés le clean up a fait le reste :) par contre je me pose toujours une question quant au registre et le SROSA :)
      il reste que antivir ne fonctionne toujours pas ... :(
      0
  6. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    Désactive l'UAC (User Account Control ou Contrôle de Compte Utilisateur) le temps de la désinfection (tu le réactiveras après ta désinfection):
    • Va dans Panneau de Configuration puis Comptes d'Utilisateurs.
    • Clique sur Activer ou désactiver le contrôle des comptes utilisateurs.
    • Décoche la case Utiliser le contrôle des comptes utilisateurs pour vous aider à protéger votre ordinateur.
    • Clique sur OK pour enregistrer la modification et redémarre ton PC lorsque cela t'est demandé.

    Télécharge combofix.exe
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    sauvegarde le sur ton bureau sous le nom Combo-Fix.exe
    [*]***Note : il est important de le renommer dès la sauvegarde comme indiqué.***
    [*]Double-clique Combo-Fix.exe afin de l'exécuter et suis les instructions.
    [*]Lorsque l'analyse sera complétée, un rapport apparaîtra.
    [*]Copie-colle ce rapport dans ta prochaine réponse.
    0
    1. gregR
       
      même problème que précdemment l'UAC avait déjà été désactivé donc le problème ne se trouve peut être pas là ...
      à peine la fenetre de combofix s'ouvre qu'elle disparait immédiatement ...
      0
  7. Utilisateur anonyme
     
    Bonsoir ,

    pour suivre merci

    ps : biz chimay
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Bonjour Chiquitine29,

      Chimay n'aurait pas dû faire lancer ComboFix
      Ça va perturber l'efficacité de ton outil utilisé judicieusement par l'internaute au début du topic

      Je ne connais malheureusement pas chimay8 pour lui en parler.

      Merci
      Al.
      0
      1. chimay8 Messages postés 7947 Statut Contributeur sécurité 60 > afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention  
         
        mais j'en n'ai parler avec lui par MP...
        merci Albert
        0
  8. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    gregR,

    Bonsoir
    Suis l'ordre chronologique des postes; sinon on s'y perd

    Merci
    Al.
    0
  9. Utilisateur anonyme
     
    re

    c'est facile de dire des choses quand la moitié se fait en MP ^^

    m'enfin
    0
    1. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
       
      Bonsoir Funnygirl
      mais pas du tout,
      regarde ta citation

      C:\Windows\system32\drivers\mdelk.exe Présent!!
      C:\Windows\system32\drivers\downld Présent!!

      je pense pas que cela va fonctionner
      bref je peux me tromper,excuse moi si tel est le cas
      @+
      tu peux continuer,tu avais poster avant moi...
      0
      1. gregR > chimay8 Messages postés 7947 Statut Contributeur sécurité
         
        j'avais modifié sans les mots présents ;) pas de prob :)
        0
  10. Utilisateur anonyme
     
    lol merci sans présent c + efficace

    sorry
    0
  11. Utilisateur anonyme
     
    Salut Greg je prend la suite

    supprime FindB

    Telecharge FindB :

    - Fas un clic droit sur le lien, enregistrer sous .... sur le bureau

    ---> http://sd-1.archive-host.com/membres/up/116615172019703188/FindB.exe

    1) Double clic sur FindB.exe et choisi option 1 (recherche)

    2) Post le rapport FindB.txt dans ton prochain message

    Note : le rapport FindB.txt est sauvegardé a la racine du disque
    0
  12. gregR
     
    no problem :) combofix ne fonctionne tjrs pas malgré l'UAC désactivé et g encore des symptômes d'application non valide concernant mon antivirus antivir ... quelle autre procédure pouvez vous me conseiller ?
    0
  13. gregR
     
    merci chiquitine voila le post demandé :
    +- FindB mis a jours le 30/08/08 par Chiquitine29

    +- Recherche de fichier infectueux :

    +- Recherche dans : C:\Windows\Prefetch :

    +- Recherche dans : C:\Windows\system32 :

    +- Recherche dans : C:\Windows\system32\drivers :

    +- Recherche dans : C:\Users\Gr‚gory\AppData\Roaming :

    +- Registre :

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    Kernel and Hardware Abstraction Layer REG_SZ KHALMNPR.EXE
    SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    avgnt REG_SZ "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    AppleSyncNotifier REG_SZ C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
    Apoint REG_SZ C:\Program Files\Apoint\Apoint.exe
    NvCplDaemon REG_SZ RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    NvMediaCenter REG_SZ RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    OODefragTray REG_SZ C:\Windows\system32\oodtray.exe

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    Sidebar REG_SZ C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    msnmsgr REG_SZ "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    Neuf Media Center REG_SZ "C:\Program Files\Neuf\Media Center\MediaCenter.exe"
    ccleaner REG_SZ "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
    SpybotSD TeaTimer REG_SZ D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    ProcessManager REG_SZ D:\Program Files\Bill2's Process Manager\ProcessManager.exe -minimized
    Orb REG_SZ "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background
    AlcoholAutomount REG_SZ "D:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
    WMPNSCFG REG_SZ C:\Program Files\Windows Media Player\WMPNSCFG.exe

    +- Registre, recherche Srosa :

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
    NextInstance REG_DWORD 0x1

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA\0000

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
    NextInstance REG_DWORD 0x1

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA\0000

    +- Recherche d autres infections :

    +- Recherche terminee !

    +- Execute le : 01/09/2008 a 0:15:35,43
    0
  14. Utilisateur anonyme
     
    Télécharge ToolsCleaner sur ton bureau.
    -->
    ftp://ftp.commentcamarche.com/download/ToolsCleaner2.exe
    http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
    http://pc-system.fr/

    # Clique sur Recherche et laisse le scan agir ...
    # Clique sur Suppression pour finaliser.
    # Tu peux, si tu le souhaites, te servir des Options facultatives.
    # Clique sur Quitter pour obtenir le rapport.
    # Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
    0
    1. gregR
       
      le logiciel ne répond plus moins d'une minute après qu'il soit lancé ...
      0
    2. gregR
       
      désolé c bon mails il me dit qu'il lui est impossible de créer le fichier du rapport accès refusé
      0
  15. Utilisateur anonyme
     
    Telecharge malwarebytes

    -> http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Tu l´instale; le programme va se mettre automatiquement a jour.

    Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

    Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des elements on ete trouvés > click sur supprimer la selection.

    si il t´es demandé de redemarrer > click sur "yes".

    A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
    Copie et colle le rapport stp.

    PS : les rapport sont aussi rangé dans l onglet rapport/log
    0
    1. gregR
       
      RE

      J'avais déjà mbam et après un scan complet il ne m'a rien trouvé ...

      Malwarebytes' Anti-Malware 1.25
      Version de la base de données: 1102
      Windows 6.0.6001 Service Pack 1

      02:43:51 01/09/2008
      mbam-log-09-01-2008 (02-43-51).txt

      Type de recherche: Examen complet (C:\|D:\|)
      Eléments examinés: 248589
      Temps écoulé: 1 hour(s), 16 minute(s), 40 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Antivir a l'air de ne fonctionner que sur l'analyse fichier en clic droit ...
      0
    2. gregR
       
      bonsoir

      j'ai refait avec findB un scan en mode sans échec il a trouvé un autre fichier :

      +- FindB mis a jours le 30/08/08 par Chiquitine29



      +- Recherche de fichier infectueux :




      +- Recherche dans : C:\Windows\Prefetch :


      C:\Windows\Prefetch\MDELK.EXE-????????.pf Présent!!


      +- Recherche dans : C:\Windows\system32 :




      +- Recherche dans : C:\Windows\system32\drivers :




      +- Recherche dans : C:\Users\Gr‚gory\AppData\Roaming :




      +- Registre :


      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      Kernel and Hardware Abstraction Layer REG_SZ KHALMNPR.EXE
      SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
      avgnt REG_SZ "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      AppleSyncNotifier REG_SZ C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
      Apoint REG_SZ C:\Program Files\Apoint\Apoint.exe
      NvCplDaemon REG_SZ RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
      NvMediaCenter REG_SZ RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
      OODefragTray REG_SZ C:\Windows\system32\oodtray.exe

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      Sidebar REG_SZ C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
      msnmsgr REG_SZ "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
      Neuf Media Center REG_SZ "C:\Program Files\Neuf\Media Center\MediaCenter.exe"
      ccleaner REG_SZ "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
      SpybotSD TeaTimer REG_SZ D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      ProcessManager REG_SZ D:\Program Files\Bill2's Process Manager\ProcessManager.exe -minimized
      AlcoholAutomount REG_SZ "D:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
      WMPNSCFG REG_SZ C:\Program Files\Windows Media Player\WMPNSCFG.exe



      +- Registre, recherche Srosa :


      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
      NextInstance REG_DWORD 0x1

      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA\0000

      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
      NextInstance REG_DWORD 0x1

      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA\0000


      +- Recherche d autres infections :




      +- Recherche terminee !



      +- Execute le : 01/09/2008 a 21:54:20,83
      0
    3. gregR
       
      salut !

      Je viens de remarquer que l'UAC même si je le coche pour le remettre en route il reste décoché lorsque j'y repasse après j'en déduis que peut etre que le virus a courcircuité l'UAC d'où mes difficultés avec combofix ....
      0
    4. gregR
       
      je me suis aperçu que mon problème ressemblait bcp aux problèmes de Xzar le fou que tu avais aidé le 19/08 cependant certains des liens que tu as indiqué ne sont plus valides. As tu la possibilité de les remettre à disposition ?

      Merci beaucoup ;)
      0
  16. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonsoir à tous

    Euh!

    Renomme ComboFix.exe en MDELK.EXE

    As-tu supprimé tous les cracks connus sur ton PC
    Pour poster et exécuter nos applications, utilises-tu une clé USB ?

    à+..
    Al.
    0
    1. gregR
       
      bonsoir,

      je l'ai renommé de cette manière mais rien n'y fait même en mode sans échec ... mais je suis sur à présent que ce sont les meme symptomes que Xzar le fou

      Quant aux cracks je pense les avoir tous éliminés mais je vais revérifier et effectivement j'utilise une clef USB mais je ne l'ai utiliser qu'une fois depuis que je suis infecté par ce virus ... Tu penses que ma clef serait également infectée ?
      0
  17. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonsoir

    Oui, je le crains
    Fais ceci:

    1 Désactive la restauration système.
    Clic droit sur poste de travail > propriétés > onglet restauration système
    Coche "désactiver la restauration système sur tous les lecteurs".
    clic sur ok pour valider

    2 Télécharge l'outil Flash_Disinfector de sUBs:
    http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
    Enregistre Flash_Disinfector.exe sur ton bureau.
    Ferme les applications (word, etc) : car explorer.exe va être arrêté puis relancé (on perd les icônes du bureau).
    Double clique sur Flash_Disinfector.exe pour l'exécuter.
    Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra :
    Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés.
    Puis clic sur Ok

    Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!]
    Appuies ensuite sur OK, pour faire réapparaître le bureau.
    S'il y a plusieurs clés USB ou disques durs externes à désinfecter, renouvelle l'opération en branchant les clés non traitées une par une.

    3 - Ensuite fais analyser par précaution ton pc par un AV en ligne:
    https://www.kaspersky.fr/downloads
    Clic sur le bouton [Kaspersky Online Scanner] et laisse toi guider.
    Comme cible d'analyse, choisis le « Poste de travail ».
    - Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ».
    - Sauvegarde puis colle le rapport généré en fin d'analyse.
    http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif
    http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif
    AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3 >
    Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html , ou là : https://forum.pcastuces.com/sujet.asp?f=25&s=37641 (par Morgane & nico_dodo)

    Si le rapport n'indique aucune infection :
    4 Réactive la restauration système.

    Clic droit sur poste de travail > propriétés > onglet restauration système
    Décoche "désactiver la restauration système sur tous les lecteurs".
    Clic sur ok pour valider.

    Bonne chance
    Al.
    0
  18. gregR
     
    bonsoir,

    Le scan en ligne a trouvé un seul virus qui était en fait postérieur à l'infection de mon pc .... en fait j'ai réinstallé à la suite antivir qui maintenant fonctionne correctement :)

    Thursday, September 4, 2008
    Operating System: Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 1 (build 6001)
    Kaspersky Online Scanner 7 version: 7.0.25.0
    Program database last update: Wednesday, September 03, 2008 18:16:51
    Records in database: 1188489
    Scan settings
    Scan using the following database extended
    Scan archives yes
    Scan mail databases yes
    Scan area My Computer
    C:\
    D:\
    E:\
    F:\
    G:\
    H:\
    I:\
    Scan statistics
    Files scanned 192332
    Threat name 1
    Infected objects 1
    Suspicious objects 0
    Duration of the scan 03:58:17

    File name Threat name Threats count
    D:\eMULE\serial.keygen.crack.generator.EBP - Paye - Edition 2008.rar Infected: P2P-Worm.Win32.Kapucen.b 1
    The selected area was scanned.

    Peut on me considérer comme sorti d'affaires ? :)
    0
  • 1
  • 2