Se connecter / S'enregistrer
Votre question

Besoin d'aide pour eradiquer le rogue "system check"

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
7 Février 2012 14:00:53

(tout d'abord desolee pour l'absence d'accents et les probables fautes, je suis actuellement sur un clavier anglais pour demander votre aide)

(Je suis sous windows vista..)

Bonjour! depuis hier, l'acces a mon disque dur est bloque par un certain "system check" qui me demande de le payer pour avoir la full version permettant de sauver mon disque dur, soit disant "critical"...une saloperie donc. Mon bureau est vide, sauf "mes documents" et ma corbeille, j'ai encore mon menu demarrer, mais il est vide, sauf quand je vais dans "tous les programmes". Je n'ai donc plus acces au touche a droite dans le menu demarrer comme "ordinateur" ou "panneaux de configurations"

Quand je demarrais mon pc, j'avais donc une floppee de fenetres s'ouvrant, m'indiquant des erreurs system dans le system32. J'ai reussi a demarrer tuneup utilities 2009, et j'ai bloque au demarrage deux programmes ajoute hier par le virus je pense, aux noms bizarres. Maintenant je n'ai plus les multiples fenetres, enfin je ne pense plus les avoir, ni le "system check" qui s'ouvre...mais evidemment il est toujours present dans mon ordi, et mes fichiers sont toujours caches...

Je sais que je n'ai pas mis a jour java recemment, ca pourrais etre la cause de mon infection apparemment, et j'ai antivir avira en antivirus, et j'ai aussi malwarebits (que je devrais utiliser plus souvent...)

J'aimerais de l'aide pour la marche a suivre suivant mon cas, (j'ai aussi apparemment toujours acces a internet), car meme si je ne suis pas completement etrangere a l'imformatique, tout cela depasse de trop loin mes connaissances!! Si quelqu'un peut sauver mon ordi et mes fichiers, il sera mon heros. J'ai beaucoup de photos que je souhaite garder! J'en ai seulement la moitie de sauvegardee sur disque dur externe...

MERCI!!!!! (et desolee pour les fautes, ce clavier me perturbe)

Autres pages sur : besoin aide eradiquer rogue system check

a c 549 8 Sécurité
7 Février 2012 14:25:03

Bonjour,

C'est un rogue, un faux utilitaire :
http://forum.security-x.fr/malwares-315/(fiches-malware)-roguescareware-et-ransomware/

L'infection arrive généralement car le pc et les logiciels tiers ne sont pas à jour (java, flash player, etc ...), ceci en visitant des pages web contenant des "exploit"

Aucun documents n'a été supprimé, il les "cache", c'est tout.

Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, il est donc conseillé dans la mesure du possible de sauvegarder le maximum de documents auparavant !


    1) Télécharge Rkill (de Grinler) sur ton bureau.

  • Ferme toutes tes fenêtres, et les programmes en cours

  • Double clique sur eXplorer.exe pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fenêtre noire va s'ouvrir brièvement, puis se refermer
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré ici : C:\Windows\rkill.log)

    /!\ Ne redémarre pas le PC maintenant, passe à l'outil suivant immédiatement /!\


    2) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    7 Février 2012 16:03:22

    hyunkel30 a dit :
    Bonjour,

    C'est un rogue, un faux utilitaire :
    http://forum.security-x.fr/malwares-315/(fiches-malware)-roguescareware-et-ransomware/

    L'infection arrive généralement car le pc et les logiciels tiers ne sont pas à jour (java, flash player, etc ...), ceci en visitant des pages web contenant des "exploit"

    Aucun documents n'a été supprimé, il les "cache", c'est tout.

    Préambule à toute désinfection :

    La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
    Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, il est donc conseillé dans la mesure du possible de sauvegarder le maximum de documents auparavant !


    1) Télécharge Rkill (de Grinler) sur ton bureau.

  • Ferme toutes tes fenêtres, et les programmes en cours

  • Double clique sur eXplorer.exe pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fenêtre noire va s'ouvrir brièvement, puis se refermer
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré ici : C:\Windows\rkill.log)

    /!\ Ne redémarre pas le PC maintenant, passe à l'outil suivant immédiatement /!\


    2) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau


  • J'ai juste une question surement stupide: Dois-je aussi fermer mon anti virus pendant l’exécution de ses programmes? (j'utilise actuellement mon ordi infecté pour parler ici)
    Contenus similaires
    a c 549 8 Sécurité
    7 Février 2012 16:42:46

    Re,

    Non pas pour le moment, de toute manière le premier outil va "tuer" tous les processus en cours.
    7 Février 2012 22:01:03

    hyunkel30 a dit :
    Re,

    Non pas pour le moment, de toute manière le premier outil va "tuer" tous les processus en cours.


    Hi!

    Donc voici

    le rapport Rkill: http://

    le rapport OTL: http://

    le rapport Extras: http://

    merci pour l'aide apportée en tout cas!!!
    a c 549 8 Sécurité
    7 Février 2012 22:46:12

    Re,

    Java pas à jour + visite de site avec exploit = infection.
    On mettra à jour en fin de procédure.

    On y va pour le nettoyage :

    1) Supprime les programmes suivant dans ta liste des programmes (si présents) :

    - Java 2 Runtime Environment, SE v1.4.2_05 (version obsolète, tu possèdes une plus récente)
    - Uninstall 1.0.0.0 (lié à un sponsor publicitaire)
    - Vuze_Remote Toolbar (barre d'outil liée à un sponsor publicitaire)

    2) Télécharge Unhide (de Grinler) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur Unhide.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fenêtre noire va s'ouvrir, et le travail va commencer.
  • A la fin ce message va apparaitre, signifiant qu'il a terminé :


  • Ferme l'outil en cliquant sur "OK"

    3) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :Processes
    killallprocesses

    :OTL
    DRV - [2012/02/06 17:54:20 | 000,292,864 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\Temp\5689.sys -- (5689)
    IE - HKLM\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
    IE - HKU\S-1-5-21-695652230-2178216275-1556844576-1000\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
    FF - prefs.js..browser.search.defaultengine: "Ask.com"
    FF - prefs.js..browser.search.defaultenginename: "Ask.com"
    FF - prefs.js..browser.search.order.1: "Ask.com"
    FF - prefs.js..extensions.enabledItems: {ba14329e-9550-4989-b3f2-9732e92d17cc}:3.3.3.2
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
    FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
    [2012/01/13 23:50:46 | 000,000,000 | -H-D | M] (Vuze Remote Community Toolbar) -- C:\Users\zuzu56\AppData\Roaming\mozilla\Firefox\Profiles\skukba12.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
    [2011/03/27 12:54:55 | 000,000,000 | -H-D | M] (Conduit Engine) -- C:\Users\zuzu56\AppData\Roaming\mozilla\Firefox\Profiles\skukba12.default\extensions\engine@conduit.com
    [2012/01/30 22:47:26 | 000,001,210 | -H-- | M] () -- C:\Users\zuzu56\AppData\Roaming\Mozilla\Firefox\Profiles\skukba12.default\searchplugins\search.xml
    O2 - BHO: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
    O3 - HKU\S-1-5-21-695652230-2178216275-1556844576-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
    O3 - HKU\S-1-5-21-695652230-2178216275-1556844576-1000\..\Toolbar\WebBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Program Files\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
    O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000024 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000025 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - %SystemRoot%\System32\winrnr.dll File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000027 - %SystemRoot%\System32\winrnr.dll File not found
    O16 - DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Java Plug-in 1.4.2_05)
    O33 - MountPoints2\{5738eceb-3bd1-11df-ab6a-001f1628a019}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL msw0vks.exe
    O33 - MountPoints2\{5738eceb-3bd1-11df-ab6a-001f1628a019}\Shell\open\command - "" = msw0vks.exe
    O33 - MountPoints2\{8ef95c2c-4c90-11df-a67a-001f1628a019}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL msw0vks.exe
    O33 - MountPoints2\{8ef95c2c-4c90-11df-a67a-001f1628a019}\Shell\open\command - "" = msw0vks.exe
    [2012/02/06 17:30:50 | 000,000,000 | -H-D | C] -- C:\Users\zuzu56\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Check
    [2012/02/06 19:57:46 | 000,000,633 | -H-- | M] () -- C:\Users\zuzu56\Application Data\Microsoft\Internet Explorer\Quick Launch\System Check.lnk
    [2012/02/06 17:45:22 | 000,000,440 | -H-- | M] () -- C:\ProgramData\fltQjHmvNf3ZGi
    [2012/02/06 17:42:50 | 000,000,272 | -H-- | M] () -- C:\ProgramData\~fltQjHmvNf3ZGi
    [2012/02/06 17:42:50 | 000,000,184 | -H-- | M] () -- C:\ProgramData\~fltQjHmvNf3ZGir
    [2012/02/06 17:41:40 | 000,065,422 | -H-- | M] () -- C:\ProgramData\nvModes.001
    [2012/02/06 17:41:36 | 000,065,422 | -H-- | M] () -- C:\ProgramData\nvModes.dat
    [2012/02/06 17:30:50 | 000,000,609 | -H-- | M] () -- C:\Users\zuzu56\Desktop\System Check.lnk
    [2012/02/06 17:30:43 | 000,349,696 | -H-- | M] () -- C:\ProgramData\fltQjHmvNf3ZGi.exe
    [2012/01/30 22:47:26 | 000,000,288 | -H-- | M] () -- C:\Users\zuzu56\AppData\Roaming\37A01594.reg
    [2012/02/06 17:30:43 | 000,349,696 | -H-- | C] () -- C:\ProgramData\fltQjHmvNf3ZGi.exe

    :Files
    C:\Windows\$NtUninstallKB61916$


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    4) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.

    :jap: 
    8 Février 2012 13:32:39

    Re,


    donc j'ai fait ce que tu m'a demande, mais depuis le redemarrage apres OTL, je n'ai plus internet! quand je dirige le curseur de la souris sur l'icone avec le petit ordinateur dans la barre d'adresse a cote du volume, ca me dit: "statut de la connection inconnu. Le service ou le groupe de dependance n'a pas pu demarrer" j'ai essayer diagnostiquer et reparer plusieurs fois, en vain. Mon voyant de wifi reste allume pourtant, et ma box fonctionne... j'ai essaye de fermer le wifi et de le rouvrir en cliquant sur Fn+le symbole du wifi sur l'une des touche F en haut de clavier, me rappelle plus laquelle desolee, je suis de nouveau sur le clavier anglais, mais le voyant reste allume. Il y a-t-il un autre moyen?

    Dois ne pas en tenir compte et lancer tdsskiller?

    Merci pour ton aide, encore une fois!!! Avira etait toujours en cours pendant les differents processus (tu m'a dis de le laisser actif), et j'ai supprime ce qu'il detectait d'infecte...tjrs un fichier en "Temp" est ce que ca aurait joue? Merci encore et desolee pour l'absence d'accent...

    il faut que je trouve un autre ordi pour t'envoyer le rapport OTL...j'ai utiliser free, voici le rapport OTL http://
    a c 549 8 Sécurité
    8 Février 2012 14:20:24

    Re,

    Continu on réparera ensuite.

    Pour les outils si besoin tu les télécharges sur un pc connecté puis tu transfères sur clé usb, et inversement pour les rapport.

    Passe à tdsskiller.

    (normalement tu es censé pouvoir repasser au clavier français via panneau de configuration -> Horloge langue et région -> Modifier les claviers)
    8 Février 2012 16:02:01

    hyunkel30 a dit :
    Re,

    Continu on réparera ensuite.

    Pour les outils si besoin tu les télécharges sur un pc connecté puis tu transfères sur clé usb, et inversement pour les rapport.

    Passe à tdsskiller.

    (normalement tu es censé pouvoir repasser au clavier français via panneau de configuration -> Horloge langue et région -> Modifier les claviers)


    Ok merci, je fais ca des que je suis sur mon ordi...pour changer le clavier, je ne sais pas comment acceder aux options sur cet ordi, mais ce n'est pas grave. j'ai reussi a telecharger tdsskiller, je te tiens au courant!

    merci encore!
    9 Février 2012 12:50:10

    Re,

    voici donc le rapport TDSSKILLER: http://pjjoint.malekal.com/files.php?id=20120213_w13r9u...

    (desolee je ne peux toujours pas utiliser ton lien pour le partage de fichiers, j'espere que comme ca c'est ok)

    sinon je n'ai toujours pas internet, et mes boutons juste a droite du menu demarrer n'ont pas encore reapparus (ceux me permettant de reduire toutes les fenetres d'un coup et d'emn avoir un apercu), ceux de "lancement rapide" et aussi ceux de "ordinateur", "panneau de configurations", etc. dans le menu demarrer...

    merci encore ;) 
    a c 549 8 Sécurité
    9 Février 2012 14:08:39

    Re,

    Ok pour tdsskiller.

    Tu avais bien effectué la partie avec "Unhide" ? (point 2) de la procédure)

    à suivre :

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"

    Pour hébergé les rapports, tu peux utiliser ce lien, plus simple :
    http://cjoint.com/
    9 Février 2012 15:41:27

    Re,

    Oui, bien sur que j'ai lance unhide! mes fichiers sur mon bureau et tout, sont de nouveau visibles, mais il m'en manque donc la moitie dans le menu demarrer et dans la barre tout en bas (mais ce sont des "boutons" pas des documents)...j'essaierai de t'envoyer un imprimecran... j'ai deja malwarebits, je veux bien le supprimer et le re-telecharger (je me suis apercue que ma base de mise a jour date...de 2010. Je pensais que ca se mettait a jour tout seul...haem.) mais comment mettre a jour sans internet? Si je telecharge la derniere version de malwarebits, elle sera a jour nan? desolee pour toutes ses questions...

    merci
    a c 549 8 Sécurité
    9 Février 2012 21:29:51

    Re,

    J'ai bien compris les raccourci qu'ils manquaient, on les fera réapparaitre ensuite, rappelle-le moi au cas où.

    Pour malwarebyte's, voici de quoi le mettre à jour manuellement, mais il faut quand même télécharger la nouvelle version avant d'installer cette mise à jour, donc oui supprime ton ancienne version.

    Nouvelle version à télécharger :
    http://www.inforumatique.fr/site/download/download-82+m...

    Base de définition pour mettre à jour manuellement :
    http://www.malwarebytes.org/mbam/database/mbam-rules.ex...

    Tu télécharges ces deux fichier via un pc connecté, tu transfères sur le pc bloqué.
    Tu installes Malwarebyte's (le premier fichier), puis tu lances le second fichier, il va mettre à jour la base de définition.

    Puis tu enchaines avec cette procédure :

  • Lance-le Malwarebyte's.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"

    Enregistre le rapport en format texte sur ta clé et transfères sur un pc connecté pour me le poster ici dans ta prochaine réponse.
    merci.
    10 Février 2012 14:45:36

    re!

    donc j'ai trouve sur internet comment mettre a jour manuellement, mais j'ai pas ose l'utiliser, alors j'ai lance une recherche malwarebyts avec la version du 30 janvier 2012... voici donc le rapport: http://

    mais donc je vais relance une recherche avec cette nouvelle mise a jour manuelle!

    sinon j'ai recuperer mes boutons dans le menu demarrer, ils etaient tout simplement decoches dans les proprietes du menu demarrer... mais je n'ai toujours pas ma barre de lancement rapide et les petites icones a cote...de meme pour internet...mon pc ne detecte toujours aucun reseau...

    merci ;) 
    a c 549 8 Sécurité
    10 Février 2012 14:53:13

    Re,

    Oui je t'aurais donné la procédure pour les boutons ensuite, pour moi ce n'était pas impératif dans l'immédiat, seul l'éradication de l'infection l'est.

    Il faut recommencer Malwarebyte's avec une version plus à jour :
    v2012.01.13 -> là elle date du 13 janvier, c'est trop loin.

    Je t'ai donné le fichier pour faire la mise à jour manuelle (lien dans ma précédente réponse), merci de respecter mes procédures, si je te les donnes, ce n'est pas pour rien ;) 
    10 Février 2012 15:03:55

    Re,

    je refais de suite une recherche ;) 

    EDIT: la mise a jour manuelle ne marche pas, quand je relance ensuite malewarebyts, ca me dit que ma version est corrompue! que faire?
    merci
    10 Février 2012 16:11:23

    hyunkel30 a dit :
    Re,

    Télécharge de nouveau la mise à jour manuelle :
    http://www.malwarebytes.org/mbam/database/mbam-rules.ex...

    Relance-le et regarde si cela fait pareil.


    re,
    non ca ne change absolument rien, j'ai de nouveau desinstalle, et reinstalle les deux fichiers a la suite, sans lancer malewarebytes entre les deux, et rien...toujours le meme probleme :/  ma base de donnees est corrompue...

    a c 549 8 Sécurité
    10 Février 2012 18:56:14

    Re,

    On va réparer la connexion alors.

    Télécharge FixWin Utility (de Ramesh Kumar (MVP) ) sur ton Bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer", ou simplement "Extraire" sous Win7)
  • Ouvre le dossier "FixWin" et double clique sur "FixWin 1.2.exe" pour lancer l'outil.
    Accepte l'avertissement de l'UAC

  • Sur la page qui s'affiche clique sur :
    System File Checker Utility

  • Le scan va durer plusieurs minutes, ne touche à rien pendant ce temps.
  • Il pourra t'être demandé de redémarrer le PC à l'issue du scan, fait-le, s'il ne le demande pas, redémarre le PC quand même.


    Ensuite :

    Relance l'outil, puis :

    Clique sur "Internet & Connectivity" à gauche.
    Clique sur "Fix" en face de "Repair Internet connection or Reset TCP/IP to default state"

    Laisse travaillé, puis ferme le programme et redémarre le pc.

    Dis-moi si tu as retrouvé ta connexion.
    11 Février 2012 23:23:04

    re,

    ca ne marche pas :/  enfin le logiciel marche, mais ma connection est toujours absente...je viens de le faire...et quand j'ai clique sur "fix" la reparation a dure genre un quart de seconde...ca n'a pas travaille, ca a repare quasi instantanement...dois je recommencer?
    a c 549 8 Sécurité
    12 Février 2012 11:03:05

    Re,

    Tu as fait la première étape ? celle avec "system file check utility" ?

    Fais ceci maintenant :

    Clique sur "Démarrer" -> "Tous les programmes" -> "Accessoires" -> Exécuter

    Tape exactement ceci dans la fenêtre texte :
    netsh winsock reset catalog


    Valide avec "Ok"
    Redémarre le pc

    Dis-moi si c'est ok.
    12 Février 2012 13:30:23

    hyunkel30 a dit :
    Re,

    Tu as fait la première étape ? celle avec "system file check utility" ?

    Fais ceci maintenant :

    Clique sur "Démarrer" -> "Tous les programmes" -> "Accessoires" -> Exécuter

    Tape exactement ceci dans la fenêtre texte :
    netsh winsock reset catalog


    Valide avec "Ok"
    Redémarre le pc

    Dis-moi si c'est ok.


    Re,
    bi
    en sur que je fais tout ce que tu me dis de faire :/  mais meme avec cette ligne de commande ca ne marche pas...

    EDIT: sinon j'ai oublie de dire que mon ordi est plus long a demarrer depuis la moitie de la manip... depui a peu pres en meme temps que j'ai perdu maconnection...serait-ce un autre virus?
    a c 549 8 Sécurité
    12 Février 2012 14:23:22

    Re,

    Non ce n'est pas normal, tout comme il n'est pas normal que ta connexion soit toujours inactive.

    Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
    12 Février 2012 14:54:53

    hyunkel30 a dit :
    Re,

    Non ce n'est pas normal, tout comme il n'est pas normal que ta connexion soit toujours inactive.

    Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt


  • je l'ai lance apres avoir desactiver avira, le parapluie etait ferme, puis le logiciel m'a dit que avira etait toujours actif, mais je ne savais pas comment faire pour le desactiver davantage, je pensais l'avoir fait, alors je ne savais pas, et n'osais pas ferme le logiciel, alors j'ai ferme la fenetre me disant que continuer etait a mes risques et perils, puis il s'est lance, puis m'a dit dans une fenetre qu'un rootkitzeroaccess etait actif, ensuite peu apres mon ordi a bugg2 je pense et redemarrer, puis a redemarra avant que j'accede au bureau...maintenant mon bureau est reapparu, mais mon ordi est hyper long a charger apres l'identification...et je n'ai toujours pas de connection :/ 

    et je ne crois pas que j'ai de rapport de combofix du coup...
    a c 549 8 Sécurité
    12 Février 2012 15:00:36

    Re,

    L'infection est toujours présente, c'est pour cela, le rootkit est très difficile à supprimer et dangereux pour le système.

    Regarde si tu as un rapport ici :
    C:\Combofix.txt

    (donc double-clique sur "ordinateur", puis "C:" et regarde si tu vois ce fichier)
    12 Février 2012 15:05:27

    hyunkel30 a dit :
    Re,

    L'infection est toujours présente, c'est pour cela, le rootkit est très difficile à supprimer et dangereux pour le système.

    Regarde si tu as un rapport ici :
    C:\Combofix.txt

    (donc double-clique sur "ordinateur", puis "C:" et regarde si tu vois ce fichier)


    j'ai effectivement un truc nomme combofix, mais je ne peux pas l'ouvrir...c'est un "fichier", quand je double blique dessus, je reviens a mes differents disques durs (C et D), mais avec un aspect different
    a c 549 8 Sécurité
    12 Février 2012 15:22:42

    Re,

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... /!\ (Antivir peut bloquer cet outil sans raison valable)

    Télécharge MbrScan (de Eric71) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur MbrScan.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "report", un rapport texte va s'ouvrir, copie-le moi dans ta prochaine réponse.
    12 Février 2012 15:30:35

    hyunkel30 a dit :
    Re,

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... /!\ (Antivir peut bloquer cet outil sans raison valable)

    Télécharge MbrScan (de Eric71) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur MbrScan.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "report", un rapport texte va s'ouvrir, copie-le moi dans ta prochaine réponse.


  • question idiote: comment on desactive antivir? car en fermant le parapluie, combofix le comptait toujours en actif...
    a c 549 8 Sécurité
    12 Février 2012 15:41:15

    Re,

    Pour cet outil cela suffira oui, clic-droit sur le parapluie, et décoche "Activer protection temps réel"
    a c 549 8 Sécurité
    12 Février 2012 15:58:08

    Re,

    Ok, déjà l'infection n'a pas touché le MBR.

    On essaye autre chose alors :

    Télécharge ZeroAccessRemover (de Webroot) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur ZeroAccessRemover.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fenêtre de commande noire apparait pour confirmer la demande de scan, répond avec "Y" pour "oui" et valide avec "entrée"

    Deux cas sont possible à l'issu du scan :

  • L'outil détecte l'infection, et indique que des fichiers sont patchés (lignes rouge à l'écran), il va te proposer de lancer le nettoyage, répond avec "Y" pour "oui" et valide avec "entrée"
  • L'outil va travailler et tu verras apparaitre un message "Cleaned", appuie alors sur une touche pour laisser le pc redémarrer.
  • Un rapport nommé "AntiZeroAccess_Log.txt " a été crée sur ton bureau, copie-colle son contenu dans ta prochaine réponse.

  • Si l'outil ne détecte rien, (que des lignes vertes), dis-le moi.
    12 Février 2012 16:14:32

    hyunkel30 a dit :
    Re,

    Ok, déjà l'infection n'a pas touché le MBR.

    On essaye autre chose alors :

    Télécharge ZeroAccessRemover (de Webroot) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur ZeroAccessRemover.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fenêtre de commande noire apparait pour confirmer la demande de scan, répond avec "Y" pour "oui" et valide avec "entrée"

    Deux cas sont possible à l'issu du scan :

  • L'outil détecte l'infection, et indique que des fichiers sont patchés (lignes rouge à l'écran), il va te proposer de lancer le nettoyage, répond avec "Y" pour "oui" et valide avec "entrée"
  • L'outil va travailler et tu verras apparaitre un message "Cleaned", appuie alors sur une touche pour laisser le pc redémarrer.
  • Un rapport nommé "AntiZeroAccess_Log.txt " a été crée sur ton bureau, copie-colle son contenu dans ta prochaine réponse.

  • Si l'outil ne détecte rien, (que des lignes vertes), dis-le moi.


  • Re,

    voici le rapport zeroaccessremover: http://

    mais je n'ai toujours pas internet et mon ordi est toujours long a demarre. Merci, encore une fois...
    a c 549 8 Sécurité
    12 Février 2012 17:25:05

    Re,

    Refais ceci s'il te plait :

    Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
    12 Février 2012 17:39:33

    hyunkel30 a dit :
    Re,

    Refais ceci s'il te plait :

    Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt


  • mais comment je desactive antivir? ca refera pareil, meme si je ferme le parapluie, il est toujours actif pour combofix :/  aussi, dois je le re-telecharger, ou je peux re-utiliser celui deja present sur mon bureau?
    a c 549 8 Sécurité
    12 Février 2012 18:09:24

    Re,

    Non tu passes outres le message c'est qu'un avertissement.
    Pas besoin de télécharger une nouvelle version, relance celle que tu as.
    12 Février 2012 18:48:34

    hyunkel30 a dit :
    Re,

    Non tu passes outres le message c'est qu'un avertissement.
    Pas besoin de télécharger une nouvelle version, relance celle que tu as.


    alors, mon ordi a redemarre... il me semble qu'une connection reviens, enfin je reste en "connectivitee limitee", mais le probleme c'est que je n'ai plus rien sur mon bureau! je peux acceder a mon bureau depuis le menu demarrer, mais je ne peux pas ouvrir la partie ordinateur! mon bureau ressemble a windows 95..mais avec les trois icones de vista, a savoir ordinateur, corbeille, et "zuzu56" (j'ai nomme comme ca mon ordi) mais aucune des touches n'est fonctionnelle...

    meme quand je clique sur "centre reseau et partages" pour voir mon reseau, rien ne se passe...je stresse...help! tout est la, mais je ne peux rien ouvrir...le rootkit est encore la?

    j'ai eu un message d'erreur aussi au debut, quand il chargeait le bureau...dois je redemarrer l'ordi? je n'ose rien faire...

    aussi je ne vois plus mon antivirus...
    a c 549 8 Sécurité
    12 Février 2012 21:34:51

    Re,

    Tu es en mode sans échec là non ? Il a redémarrer normalement ton pc ou tu as dû choisir un mode de démarrage ?

    Tu peux trouver et me passer le rapport combofix.txt cette fois-ci ou non plus ?
    12 Février 2012 21:44:24

    hyunkel30 a dit :
    Re,

    Tu es en mode sans échec là non ? Il a redémarrer normalement ton pc ou tu as dû choisir un mode de démarrage ?

    Tu peux trouver et me passer le rapport combofix.txt cette fois-ci ou non plus ?


    il a plus ou moins demarre normalement, mais j'ai pas choisi de mode sans echec, j'ai meme pas appuye sur une touche...dois je redemarrer? comme je l'ai dis, je ne peux acceder a rien! il y a les touches, "ordinateur" "paneaux de config" mais quand je clique dessus rien...je tente un redemarrage?
    a c 549 8 Sécurité
    12 Février 2012 22:04:02

    Re,

    Oui, et si pas mieux, justement essaye en mode sans échec :

    Redémarre en Mode Sans Echec :
    - Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
    -- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.

    Aide : Comment faire démarrer son ordinateur en mode sans échec.


    Il me faudrait en priorité le rapport Combofix que je sache ce qu'il s'est passé !
    12 Février 2012 22:25:27

    hyunkel30 a dit :
    Re,

    Oui, et si pas mieux, justement essaye en mode sans échec :

    Redémarre en Mode Sans Echec :
    - Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
    -- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.

    Aide : Comment faire démarrer son ordinateur en mode sans échec.


    Il me faudrait en priorité le rapport Combofix que je sache ce qu'il s'est passé !


    Re!
    Bon je sais pas trop ce qu'il s'est passe, combofix s'est termine en mode sans echec, internet est revenu et tout le reste...voici donc le rapport combofix, qui est enfin apparu! http://
    a c 549 8 Sécurité
    12 Février 2012 22:40:38

    Re,

    Oui teste en mode sans échec.

    Déjà l'erreur indique quelque chose, on enchainera sur cela ensuite sinon.
    12 Février 2012 23:13:12

    hyunkel30 a dit :
    Re,

    Oui teste en mode sans échec.

    Déjà l'erreur indique quelque chose, on enchainera sur cela ensuite sinon.


    Re!
    Bon je sais pas trop ce qu'il s'est passe, combofix s'est termine en mode sans echec, internet est revenu et tout le reste...voici donc le rapport combofix, qui est enfin apparu! http://

    Sinon mon ordi viens de plante avec l'ecran bleu..je le redemarre...le redemarrage est long et je n'ai toujours pas de barre de lancement rapide bizarre...le redemarrage est tres long

    EDIT: il a redemarre, (mais pourquoi c'est aussi long?), mais internet est de nouveau en connectivite limitee...raaah

    merci pour ton aide en tout cas!!!
    a c 549 8 Sécurité
    12 Février 2012 23:24:40

    Re,

    Je ne sais pas si on en viendra à bout alors je te conseil tant que tu as la main sur ton pc de sauvegarder le plus important si ce n'est pas déjà fait.

    à faire en mode normal si tu peux, sinon en mode sans échec :


  • Ouvre un fichier Bloc-note vierge (Démarrer -> Tous les programmes -> accessoire -> Bloc-note)
  • Copie-colle EXACTEMENT ceci dedans :


    File::
    c:\programdata\wgjpPXjtqGl.exe

    Registry::
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
    "wgjpPXjtqGl.exe"=-


  • Clique ensuite sur "Fichier" -> "Enregistrer sous..."
  • Choisi ton bureau comme destination et nomme le fichier "CFScript"
  • Clique sur le bouton "Enregistrer"
  • Ferme le Bloc-note.

  • Fait maintenant glisser le fichier sur ton bureau sur l'icone de Combofix comme ceci (maintenir le clic-gauche de la souris et faire glisser)



  • Combofix va se relancer, suis les instructions.
  • Ne touche à rien pendant le temps du scan !!!
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    12 Février 2012 23:27:10

    hyunkel30 a dit :
    Re,

    Je ne sais pas si on en viendra à bout alors je te conseil tant que tu as la main sur ton pc de sauvegarder le plus important si ce n'est pas déjà fait.

    à faire en mode normal si tu peux, sinon en mode sans échec :


  • Ouvre un fichier Bloc-note vierge (Démarrer -> Tous les programmes -> accessoire -> Bloc-note)
  • Copie-colle EXACTEMENT ceci dedans :


    File::
    c:\programdata\wgjpPXjtqGl.exe

    Registry::
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
    "wgjpPXjtqGl.exe"=-


  • Clique ensuite sur "Fichier" -> "Enregistrer sous..."
  • Choisi ton bureau comme destination et nomme le fichier "CFScript"
  • Clique sur le bouton "Enregistrer"
  • Ferme le Bloc-note.

  • Fait maintenant glisser le fichier sur ton bureau sur l'icone de Combofix comme ceci (maintenir le clic-gauche de la souris et faire glisser)



  • Combofix va se relancer, suis les instructions.
  • Ne touche à rien pendant le temps du scan !!!
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


  • mais cette fois je vois quand meme mes reseaux dispo...ya pas un leger mieux? si je connecte un disque dur sur mon ordi, il ne va pas prendre le virus aussi?
    je demande car jusqu'a present j'utilisais une cle usb sans rien d'important dessus...mais mon disque dur est remplis de dossiers et documents importants...je voudrais pas les perdre :/  merci pour ton aide!
    a c 549 8 Sécurité
    13 Février 2012 14:11:29

    Bonjour,

    Cette infection ne se transmet pas sur les supports amovibles.

    Y'a du mieux certes, mais y'a encore des soucis, c’est une précaution, tu fais comme tu veux ;) 
    13 Février 2012 16:30:54

    Alors j'ai lance combofix...voici les etapes dans l'ordre

    -l'ordi redemarre
    -je tape mon mot de passe
    -juste apres, l'ordi redemarre, j'en profite pour le mettre en mode sans echecs
    -combofix continue en mode sans echecs
    -l'ordi redemarre (mais je ne sais pas si combofix avait fini)
    -je suis sur mon bureau en mode normal, combofix me dit qu'il prepare le compte rendu
    -(mais j'ai eu un message du genre "hotkeys.sys ne marche pas" je ne sais pas ce que c'est
    -j'attends toujours le compte rendu, mais je peux voir que, comme la derniere fois, internet est apparemment la...j'espere que ca va pas encore bugguer et redemarrer


    voici le rapport, mais moi, apres l'avoir enregistre, je ne peux pas le re-ouvrir, j'ai un message qui dit "C://Users/zuzu56/desktop/combofixlog2.txt tentative d'operation non autorisee sur une cle du Registre marquee pour suppression"

    le rapport: http://cjoint.com/?BBnqEFHy3TC

    EDIT: avira viens de trouver un fichier suspect avec rootkit en nom...je l'ai supprime.

    J'ai profite d'avoir internet pour mettre a jour avira. Mais je n'utilise pas encore mon pc pour autre chose! j'attends ton avis. Si internet reste je devrais mettre a jour Malewarebytes...nan?

    Il faut redemarrer l'ordi pour desinstaller malwarebytes (je le desinstalle, car de tte maniere, le fichier de mise a jour manuelle l'avait rendu inutilisable) alors j'attends d'abord ton avis

    mais j'ai l'impression que tout mes executable sont sur "cle de registre pour suppression", il faut que je clique droit dessus pour preciser "ouvrir en mode administrateur" alors qu'avant, en double cliquant dessus, j'avais la fenetre de securite me demandant si je voulais executer ce programme...

    bref je me tais j'attends tes instructions.
    a c 549 8 Sécurité
    13 Février 2012 17:33:30

    Re,

    Tu peux me spécifier le fichier détecté par antivir s'il te plait, pas le nom de la détection, l'emplacement et le nom du fichier
    Tu trouveras cela sous "rapports"

    Tu peux faire ceci maintenant oui :

    Lance MalwareByte's Anti-Malware :

  • Met à jour la base de définition. et le logiciel au besoin (onglet "mise à jour")

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    13 Février 2012 17:49:42

    hyunkel30 a dit :
    Re,

    Tu peux me spécifier le fichier détecté par antivir s'il te plait, pas le nom de la détection, l'emplacement et le nom du fichier
    Tu trouveras cela sous "rapports"

    Tu peux faire ceci maintenant oui :

    Lance MalwareByte's Anti-Malware :

  • Met à jour la base de définition. et le logiciel au besoin (onglet "mise à jour")

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"


  • Re,

    Le fichier que j'ai supprime s'appelle TR/Rootkit.Gen, apparemment, si jarrive a lire correctement le rapport, ce fichier se trouvait dans C://windows/system32/drivers/netbt.sys

    sinon mon ordi viens de redemarrer tout seul...ah en lisant le rapport il semble que ce soit par avira...pour virer proprement ce fichier...tu veux le rapport?

    avira a aussi trouve un autre truc, mais je l'ai place en quarantaine...son nom: TR/sirefef.BV.2 qui etait a cet emplacement C:/windows/system32/rysinst.dll

    Je viens de faire la mise a jour malwarebytes, je le lance.
    a c 549 8 Sécurité
    13 Février 2012 18:50:33

    Re,

    Ok les deux détection sont toujours liée au rootkit zeroacces qu'on essaye d'éliminer, mais ça m'étonnerais que Antivir puisse gérer ça.

    J'attends le rapport malwarebyte's.
        • 1 / 3
        • 2
        • 3
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS