31/08/2007 a 14:21:55,09
- Recherche des fichiers dans C:
- Recherche des fichiers dans C:\WINDOWS\
C:\WINDOWS\dr.exe FOUND
- Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\mcrh.tmp FOUND
C:\WINDOWS\system32\winhost.exe FOUND
- Recherche des fichiers dans C:\Program Files
- Fin du rapport !
__________________________________________
Rapport GenProc 0.70 [1] effectué le 31/08/2007 à 14:26:21,53 - SystemRoot = C:\WINDOWS
- Etape 1/ Télécharge :
- CCleaner
http://www.ccleaner.com/download/builds/downloading-basic
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.
- Navipromo.zip
http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip et décompresse-le sur ton bureau
- Brute Force Uninstaller
http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
- Fais un clic droit de souris sur ce lien :
http://metallica.geekstogo.com/EGDACCESS.bfu
et choisis "Enregistrer sous" (dans IE c´est "Enregistrer le lien sous..")
afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU).
- VundoFix.exe (par Atribune)
http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau
- combofix.exe (par [b]sUBs[/b])
http://download.bleepingccomputer.com/sUBs/ComboFix.exe sur ton Bureau
- SmitfrauFix de S!Ri: Moe et Balltrap34
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
- double-clique sur le fichier "smitfraudfix.exe" et choisis l’option 1, il va lister tous les éléments nuisibles dans un rapport : poste le maintenant.
- SDfix
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
- ** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici
https://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/e14bf84d-d2f7-42c3-9fae-2af3db3f806c.mspx?mfr=true (choisis ta session courante "Florent Treille") *****
- Etape 2/
- lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
- Sélectionne l´option "Recherche et suppression automatique" en appuyant sur la touche R et en validant par entrée. Patiente.
S´il trouve l´adware Navipromo, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu´il a terminé, ferme le rapport qui s´est ouvert
- Relance l´outil, Sélectionne l´option "Suppression Heuristique" en appuyant sur la touche H et en validant par entrée ; patiente quelques minutes. Lorsqu´il a terminé, ferme le rapport qui s´est ouvert
- Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois.
- Démarrer -> panneau de configuration -> options internet
Clique sur l´onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :
electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"
=> Supprime-les tous
- Etape 3/
- Double-clique VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo
Lorsque le scan est complété, clique sur le bouton "Remove Vundo"
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué Yes, le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t´annonce que ton PC va redémarrer; clique OK
Note: Il est possible que VundoFix soit confronté à un fichier qu´il ne peut supprimer. Si tel est le cas, l´outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo
- Double clique [b]combofix.exe[/b].
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra
- Etape 4/
Double-clique sur le fichier "SmitfraudFix.exe" et choisis l’option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.
- Etape 5/
Ouvre le dossier SDFix qui vient d´être créé sur le Bureau et double clique sur "RunThis.bat" pour lancer le script.
- Appuie sur "Y" pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d´appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu´à l´accoutumée car l´outil va continuer à s´exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l´outil terminera son travail et affichera "Finished".
- Appuie sur une touche pour finir l´exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s´ouvrira à l´écran et s´enregistrera aussi dans le dossier SDFix sous le nom "Report.txt".
~ Le fichier "SDFIX_README.htm" (dans le dossier SDFix) contient la liste des malwares pris en compte par l´outil.
~ Andy fait plusieurs mises à jour, souvent plus d´une par jour... N´hésite donc pas à télécharger une nouvelle version lorsque le nettoyage dure et que l´outil ne semble pas tout voir.
- Etape 6/
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c´est tout.
- Etape 7/
Redémarre normalement et poste :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
- Le contenu du rapport situé dans C:\vundofix.txt ;
- Le contenu du rapport situé dans C:\Combofix.txt ;
- Le rapport SmitfraudFix que tu as sauvegardé sur ton bureau ;
- Le contenu du fichier Report.txt ;
- Le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail C:\ ;
Précise les difficultés que tu as eu (ce que tu n´as pas pu faire...) ainsi que l´évolution de la situation.
