CryptExe, Navipromo, Mailskinner & MyWay

[sylvie]

bonsoir,
j'ai fini par y arriver ... va t-on en venir a bout de ce fichu virus ... heureusement , il existe ce forum ... merci encore.. voici les derniers rapports.
a plus tard
sylvie

panda

[APC]

Bonsoir Sylvie,

Ton log HJT est propre

Cependant il reste des traces d'infection dans le registre qu'il va falloir nettoyer.

Une remarque : tu m'as posté le rapport de CleanUp, et je t'ai demandé d'utiliser CCleaner.

CleanUp ne nettoie pas les clés inutiles du registre, c'est pourquoi je t'ai indiqué CCleaner.

• Télécharge ce fichier et dézippe le sur ton bureau,
  
  
• Désactive la restauration du système
  
  
• Double clique sur fix_reg.reg et accepte la fusion à la base de registre,
  
  
• Réactive la restauration du système,
  
  
• Lance CCleaner pour un dernier nettoyage,
  
  
• Redémarre ton pc
  
  
• Nouveau scan & rapport de Panda

Si les clés sont encore présentes sur le prochain rapport on interviendra dans le registre, mais c'est une manipulation que je préfère t'éviter.

Comment va ton PC

@+

[sylvie]

bnjour,
je desepère , je ne sais pas si ce petit bazard dans mon ordi est récent ou si c'est un cumul mais il a l'air mal en point ... j'avais l'intention de fait une reinstall complete et je crois que ça va devenir urgent mais pour l'instant voyons ceci...
je t'envoie le rapport panda .
A plus tard
sylvie


Incident Statut Analyse

Outil indésirable:application/myway No Désinfecté hkey_classes_root\clsid\{66FC8717-EFA7-4546-8C4A-E224F3A80C76}
Dialer:dialer.ags No Désinfecté HKEY_CLASSES_ROOT\TypeLib\{A41C6220-6F42-4646-B119-FBE6F4D38E3C}

[APC]

Bonjour Sylvie,

[sylvie]

bonjour,
Mon ordi me fait en effet des siennes mais c'est à l'utilisation ... genre quand je l'allume le clavier ne répond pas donc bloigé de le redémarrer de nouveau ... il est très long parfois et n'en fini pas d'ouvrir un simple document ... je pense qu'il est un peu surchargé... on verra ça par la suite.


j'ai bien lu ton message mais je ne trouve pas de scan en ligne faut-il le telecharger ?

merci
sylvie

[APC]

Bonjour Sylvie,

Le site de PestPatrol a été modifié depuis que j'ai posté mon dernier message, j'ai édité le lien.

A présent le scan en ligne se trouve ici :

http://www.pestpatrol.com/pestscan/

Comme pour Panda, tu acceptes le contrôle activeX pour pouvoir scanner ton pc.

@+

[sylvie]

re bonjour,
voici le resultat du scan
a plus tard
sylvie

[APC]

Bonsoir Sylvie,

Pour éviter les erreurs de manipulation dans la base de registre, on va utiliser Reglite qui remplace avantageusement le regedit de Windows. Télécharge-le et installe-le.

Déconnecte toi d'Internet le temps de faire les manips qui suivent (je te conseille de faire un copier / coller de ce message et de le sauvegarder dans le bloc notes pour pouvoir le consulter hors connexion) :

Avant de faire le ménage dans le registre, assure toi que tu as toujours accès aux fichiers cachés, et cherche ces deux fichiers :

• c:\windows\accesmembre.dll
  
• c:\windows\system32\ifhelper.dll

Si tu les trouves, tu les atomises et tu vides la corbeille.

Crée un point de restauration système : Démarrer / Accessoires / Outils Systèmes / Restauration du système / Clique sur Créer un point de restauration (nomme le comme tu veux) / clique sur Créer et ferme la fenêtre.

• Ouvre Reglite (Registrar Registry Manager), il se présente sensiblement de la même façon que l'explorateur de Windows,
  
  En haut de la fenêtre, tu as une barre de navigation, elle va nous servir à localiser les clé néfastes.
  
  
• Les clés à supprimer sont celles-ci (uniquement ce qui est en bleu):
  
  
  • hkey_classes_root \typelib\{a41c6220-6f42-4646-b119-fbe6f4d38e3c}
    
  • hkey_classes_root\clsid\{66FC8717-EFA7-4546-8C4A-E224F3A80C76}
  
  
  
• Tu copies/colles la première des clés dans la barre de navigation et tu cliques sur Go.
  
  
  
  
  
• Tu fais un clic droit sur la clé et tu la supprimes.
  
  
• Même chose pour la seconde clé.
  
  Fais très attention à bien supprimer exactement la valeur de la clé qui est en bleue, tout doit concorder, ne supprime pas une clé qui "ressemble" à celles que je t'ai indiquées.

• Pour les deux autres clés restantes, on va utiliser Internet Explorer plutôt que le registre, mais toujours hors connexion
  
  
  
  Pour la clé : hkey_current_user \software\microsoft\systemcertificates\trustedpublisher\certificates\bd8400524261df1adbd8860f22c9ce2b97471448
  
  
  • Ouvre IE, fais Outils/Options Internet/Contenu et clique sur Certificats
    
    
  • Dans la fenêtre qui s'ouvre, tu as plusieurs onglets : Personnel, Autres Personnes, etc...
    
    En principe ce que tu dois supprimer devrait se trouver dans l'onglet Autorités Principales de Confiance, mais si tu ne trouves pas à cet endroit, regarde dans les autres onglets.
    
    Tu dois trouver ceci : bd8400524261df1adbd8860f22c9ce2b97471448, sélectionne le et clique sur Supprimer
    
    
  
  
  Pour la clé : hkey_local_machine \software\microsoft\windows\currentversion\moduleusage\c:/windows/accesmembre.dll
  
  
  • Dans IE, tu fais Outils/Gérer les modules complémentaires, cherche dans la colonne Fichier celui qui s'appelle accesmembre.dll.
    
    
  • Tu le sélectionnes et tu coches la case Désactivé, relance IE ensuite pour que les nouveaux paramètres soient pris en compte.
    
    

Redémarre ta machine et fais un nouveau scan avec PestPatrol, qu'on voit si tout est bien parti.

On s'occupera de Kazaa ensuite. S'il est toujours installé sur ton pc, je te conseille vivement de le désinstaller et de l'oublier définitivement, c'est un nid à spywares.

[sylvie]

bonjour,

merci pour ta réponse, problème je ne trouve aucun fichiers ??
c:\windows\accesmembre.dll

c:\windows\system32\ifhelper.dll

Tu dois trouver ceci : bd8400524261df1adbd8860f22c9ce2b97471448

est-ce normal ?


pour ce qui est de Kazaa il y a longtemps qu'il est désinstallé .

cette manipulation me semble un peu sofistiquée , est -elle vraiment nécessaire ou y a t-il une fomule mons complexe.

Merci pour tous tes conseils
A plus tard
sylvie

[APC]

Bonjour,

[sylvie]

RE BONJOUR ,
je viens d'envoyer un message il y a 30 min mais je ne le vois pas .
Est - il bien passé ?

sylvie

[APC]

[sylvie]

bonsoir,
je repasse mon message

j'ai besoin d'un peu de detail pour continuer ma tâche...

quand je suis en fichier caché , j'y reste tout le temps de la manipulation que tu me demandes , quand dois-je remettre les paramètres d'origines (car j'ai 1 message de mise en garde...)

je ne trouve aucun fichier que tu mentionne en bleu ??

dans le reglite lorsque je selectionne la ligne et que je fais GO rien ne se passe , est-ce normal ??
pour supprimer cette ligne je clic a droite ici au niveau de GO ou je fais une selection dans la liste plus bas ??

dans IE je vois bien les lignes comme dans l'exemple de ton message mais pas les lignes en bleu ??
j'ai cherché dans les autre onglets mais rien.

Merci pour ton aide précieuse.

A +

sylvie

[sylvie]

re moi,
je viens de trouver ihfhelper.dll
mais la supp m'est refusée = acces refusé
que dois-je faire ??
merci a +

sylvie

[APC]

Bonjour Sylvie,