Problème avec un virus " SANSUE "

re,

Je me doute, la plupart des Internautes qui télécharge ne sont pas au courant des risques encourus par leur machine... :twisted
On continue:

télécharges et installes :
(ne pas télécharger si déjà présent sur le pc )
Pocket KillBox de Option^Explicit
Aide Killbox

Sélectionne entièrement la liste ci-dessous --> ce qu'il y a , à l'intérieur du cadre bleu ciel :


Citation

C:\Users\franck\AppData\Local\Microsoft\Messenger\demolisheurs-37@hotmail.fr\Sharing Folders\jul.alex@tiscali.fr\Keygen
C:\Users\franck\AppData\Local\Microsoft\Messenger\demolisheurs-37@hotmail.fr\Sharing Folders\jul.alex@tiscali.fr\Keygen\keygen.exe
C:\Users\franck\AppData\Local\Microsoft\Messenger\demolisheurs-37@hotmail.fr\Sharing Folders\jul.alex@tiscali.fr\Keygen\pfs-setup.exe
C:\Users\franck\AppData\Roaming\Microsoft\Windows\Recent\PC-GAME Need For Speed Pro Street Multi3 DEU FRA ITA Incl. Crack noDVD by Controller Programmi.rar.lnk
C:\Users\franck\Documents\Keygen
C:\Users\franck\Documents\Cl‚ USB Franky\Music\Corona DJ\Move The Sound-Promo CDR-\07 - Corona dj - move the sound (crack dub mix).mp3
C:\Users\franck\Documents\Keygen\keygen.exe
C:\Users\franck\Documents\Keygen\pfs-setup.exe
C:\Users\franck\Documents\LimeWire\Incomplete\T-1-Bluetooth BlueSoleil 3.0 Crack.zip
C:\Users\franck\Downloads\eMule\Incoming\Kaspersky Antivirus And Internet Security 2009 9 Serial Key-File Real Works 8 Keygen Crack Activation 2008.txt
C:\Users\franck\Downloads\eMule\Incoming\Programe\! !Warcraft 3 crack nocd fr pc + Frozen Throne Patch 1.20C + serial keygen.rar
C:\Users\franck\Downloads\eMule\Incoming\Programe\PC-GAME Need For Speed Pro Street Multi3 DEU FRA ITA Incl. Crack noDVD by Controller Programmi.rar
C:\Users\franck\Downloads\eMule\Incoming\Programe\Warcraft 3 Crack Nocd Reign Of Chaos & The Frozen Throne By.rar
C:\Users\franck\Downloads\eMule\Incoming\Programe\Warcraft 3 Frozen Throne - Crack 1.21a Nocd.rar
C:\Users\franck\Downloads\eMule\Incoming\Programe\Warcraft 3 Frozen Throne Patch 1.20 No Cd Crack.zip
C:\Users\franck\Downloads\eMule\Incoming\Programe\Warcraft 3 keygen + Frozen Throne keygen + NO CD v1.12.ace
C:\Users\franck\Downloads\eMule\Incoming\Programe\Warcraft 3 Tft Frozen Throne 1.20 Loader Nocd No-Cd Crack.zip
C:\Users\franck\Downloads\eMule\Incoming\Programe\Warcraft III - The Frozen Throne - Patch 1.20 + NoCD Crack 1.20 + WorldEdit NoCD Crack 1.20.rar
C:\Users\franck\Downloads\eMule\Incoming\Programe\Warcraft III - The Frozen Throne v1.07 Crack NO-CD.zip
C:\Users\franck\Downloads\eMule\Incoming\Programe\Warcraft III Expansion Frozen Throne Crack NoCd + Worldedit + Parche - Patch 1.20d Spanish - Espa¤ol (Comprobado).rar
C:\Users\franck\Downloads\eMule\Incoming\Programe\Warcraft III The Frozen Throne No CD Crack.zip
C:\Users\franck\Music\T½cKtOnIK\07 - Corona dj - move the sound (crack dub mix).mp3
C:\Users\franck\Music\T½cKtOnIK\Tecktonik Vol.3 CD 1\Corona DJ - Move The Sound (Crack Dub Mix).mp3
C:\PROGRA~2\WildTangent\polarpool\Cache\DDS\c%3A%5Cprogram%20files%5Chp%20games%5Cpolar%20pool%5Clevels%5Cice_cave%5Cscene%5Ccrack.jpg.dds
C:\PROGRA~2\WildTangent\polarpool\Cache\DDS\c%3A%5Cprogram%20files%5Chp%20games%5Cpolar%20pool%5Clevels%5Cice_cave%5Cscene%5Ccrack_alpha.jpg.dds


fais clic droit / copier
- Ouvres killbox
- Sélectionne "delete on reboot"
- Clique sur le menu "File" -> "Past from clip board"
- Clique sur "All Files"
- Clique sur la croix rouge et blanche
- Répond "yes" et laisse redémarrer ton pc.
N'hésite pas à consulter en cas de souci.l'Aide killbox

NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur

Après redémarrage, relance Killbox puis clic sur le menu fichier -> Log -> Actions History Log
Poste le rapport ici

Rapport Killbox :

Pocket Killbox version
Running on as franck(Limited Account)
was started @ mercredi, août 27, 2008, 10:44 PM

# 1 [Delete on Reboot]
Path = C:\Users\franck\AppData\Local\Microsoft\Messenger\demolisheurs-37@hotmail.fr\Sharing Folders\jul.alex@tiscali.fr\Keygen


PendingFileRenameOperations Registry Data has been Removed by External Process! @ 10:46:11 PM
# 2 [Delete on Reboot]
Path = C:\PROGRA~2\WildTangent\polarpool\Cache\DDS\c%3A%5Cprogram%20files%5Chp%20games%5Cpolar%20pool%5Clev els%5Cice_cave%5Cscene%5Ccrack.jpg.dds


PendingFileRenameOperations Registry Data has been Removed by External Process! @ 10:47:50 PM
Killbox Closed(Exit) @ 10:47:54 PM
__________________________________________________

Pocket Killbox version 2.0.0.881
Running on as franck(Limited Account)
was started @ mercredi, août 27, 2008, 10:51 PM

# 1 [Delete on Reboot]
Path = C:\PROGRA~2\WildTangent\polarpool\Cache\DDS\c%3A%5Cprogram%20files%5Chp%20games%5Cpolar%20pool%5Clev els%5Cice_cave%5Cscene%5Ccrack_alpha.jpg.dds


PendingFileRenameOperations Registry Data has been Removed by External Process! @ 10:51:32 PM
# 2 [Delete on Reboot]
Path = C:\PROGRA~2\WildTangent\polarpool\Cache\DDS\c%3A%5Cprogram%20files%5Chp%20games%5Cpolar%20pool%5Clev els%5Cice_cave%5Cscene%5Ccrack_alpha.jpg.dds


PendingFileRenameOperations Registry Data has been Removed by External Process! @ 10:51:59 PM
Killbox Closed(Exit) @ 10:52:01 PM
__________________________________________________

Pocket Killbox version 2.0.0.881
Running on as franck(Limited Account)
was started @ mercredi, août 27, 2008, 10:54 PM

Je l'avais déja suprimé moi même, suite à ton message posté juste au paravant concernant le P2P !!


C'est normale que pour l'instant le message d'alerte au virus Antivir concernant le fichier "main.ndb" s'affiche toujours au démarage de ma session ???

re,
probablement une clé de registre qui y demande l'accès, pas de panique avec ça pour le moment, on s'en occupe...
Fais d'abord ceci:

Fais un scan en ligne Kaspersky avec Mozilla-firox 3.0.1
Si tu ne l'as pas sur ton PC installe la dernière version du navigateur Mozilla

--->source Mozilla-firefox 3.0 ici

Désactiver l'Antivirus de la machine.
Idem avec le fire-wall.
Ne rien faire d'autre avec la machine durant le scan en ligne

Ensuite allez sur cette page---->>
-->source ici
clic sur ce bouton quand tu es sur la page:

- Clique sur Démarrer Online-Scanner
- Clic maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
----------------------------------------------------------


Citation

Note:
en cas de scan en ligne avec Internet Explorer--->
Quand les paramètres de sécurité d'Internet Explorer sont fixés à un niveau élevé, les contrôles Active X sont automatiquement bloqués. Pour abaisser ce niveau et consulter normalement les pages contenant des contrôles ActiveX, lancez Internet Explorer, déroulez le menu Outils, Options Internet et clic sur l'onglet Sécurité
Clic sur le bouton Personnaliser le niveau .
Dans la liste Rétablir , sélectionnez Moyen puis cliquez deux fois sur OK . Les pages devraient s'afficher correctement.


------------------------------------------------------------------
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail.
- Sauvegarde puis colle le rapport généré en fin d'analyse.


NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
Winx

Ne pas faire de scan en ligne, si Kaspersky est déjà présent dans le PC, celà risque de générer un conflit de drivers avec KLif.sys.

ton mozilla firefox ne fonctionne pas je l'ai installé je l'ai configurer comme programme par défault, mais quand je clique dessus pour ouvrir le net, il n'y a rien qu'il se passe !!

Pourant dans le gestionnaire des tache il est lancer, et quand je clique dessus sa m'ouvre un page internet, mes c'est IE que je vois !!

re,

je me permet de rebondire sur ce que tu me dis là ensenoir:

Je préfère que tu me dise

Mozilla-Firefox est le meilleur navigateur au monde sans aucun doute possible
Je l'ai fait installer sur plusieurs centaines de machines, sans souci (aucun )
Je dirais à prioris, qu'il y a un conflit....entre IExplore et Mozilla.....
Désinstalle proprement Mozilla-Firefox (via ajout suppression de programme )
Ensuite fais ceci:

On va utiliser Ccleaner de Piriform Ltd.
Télécharger CCleaner sur le bureau:
Ne le télécharge pas si tu l'as déjà !
-->source ici
Une fois sur le bureau, clic sur l'install de CCleaner.
-> Mais avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires".
Ensuite, clique sur "Options", "Avancé" et décoche la case--->
"Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Clique sur l'onglet "Nettoyeur" puis sur "Lancer le Nettoyage".
-> Ensuite clique sur l'icone Registre, à droite, clique sur "Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées".

Accepte la sauvegarde, de la BDR (base de registre )qu'il propose .
Je te conseille de le repasser au moins deux fois,(ou + jusqu'à qu'il ne trouve plus d'erreurs.)

--->aide visuelle, clic ici
Winx

Réinstalle-le avec Internet Explorer fermé.....

ps: tout à fait entre-nous, je m'étonne encore que ce PC soit encore en fonctionnement, vu le nombre de Keygen.exe et de crack.exe qui étaient présent, je ne suis d'ailleurs pas encore certain à 100%, à ce point que nous allons te sortir de ce mauvais pas

Lol, et aussi :

quand je l'enregistre sur mon bureau il n'y est pas, et quand je regarde le rapport directement sur la page Kaspersky, il n'y a rien !!

Qu'est les Keygen.exe et les Crack.exe fond de mal à la machine ??

Sa ne marche toujours pas, je clique sur l'icone de Mozila, le sablier tourne puis s'arète, mais rien ne s'ouvre !!

Tu dit que vous n'êtes pas sur de me sentir de cet galère a 100%, mais ce que je ne comprend pas, je suprimé tout les Crack et Kaygen, fait une analyse Avec Antivir, mon Anti-spywra, Mon Anti-malware et il ne détecte rien !!

J'ai vu aussi sur le net que l'orse que que l'in infecté, L'UC tourne beaucoup, même au repos, alors que moi Mon UC au repos de tourne que grand maximum

re,
peut-être es-tu passé au -dessus du lien ?
je te le remets:
http://secubox.aldria.com/topic-1891.html

J'ai vu de mes yeux vu , tes PC mis à mort par un seul crack.exe, et donc vu le nombre impressionnant de crack.exe et de keygen.exe, qui se trouvaient sur ton Pc? je trouve que tu auras de la chance, si on remet ta machine en bon fonctionnement....tu me suis ?
Ceci dit comment va Mozilla-Firefox, tu as réussis à l'installer/fonctionner ?

non mozila ne fonctionne toujours pas, je clique sur l'incone mais rien ne ce passe !

De plus j'ai réussit a trouver le nom du virus qui infecte le fichier, main.ndb

Description du Virus :

Nom: HTL/Crypted.Gen
Date de découverte: 18/07/2007
Type: Trojan
Dans la nature: Oui
Reported infections: Low
Distribution potentiel : faible
Domage potentiel: Faible
Fichier statique : Non
Version: 7.04.00.44

2e Description:

Détection spéciale HTML / Crypted.Gen

Description:
Pour éviter la détection par un logiciel antivirus, les auteurs de logiciels malveillants HTML utilisation fonctions du navigateur comme Java et VisualBasic Script. Ces scripts sont petites et très souvent très simple de cryptage de se cacher les routines malveillantes parties du script. Fichier crypté est détecté comme HTML / Crypted.Gen.

L'historique des versions:
Les mises à jour suivantes du moteur ont été créées afin d'améliorer la détection:

• 7.04.00.44 (18/07/2007)
• 7.04.01.62 (17/08/2007)
• 7.08.00.04 (08.04.2008)
• 7.08.00.25 (30/05/2008)

re,
fais ceci:

Assure toi d'avoir accès à tous les fichiers et dossiers :

* Ouvre ton poste de travail.
* Menu "Outils", "Option des dossiers", onglet "Affichage" :
* Active la case : "Afficher les fichiers et dossiers cachés"
* Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
* Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
* Clique sur "Appliquer".


Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection.




ensuite

Télécharge OAD.exe de changelog.fr
http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau.

-Double clique sur le OAD pour le lancer

- nom de fichier à rechercher, ---->tape ou fais un copier coller de : main.ndb
- Type de recherche : sélectionne l'option 3 puis valide [enter]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement dès qu'il aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Ouki, le scan est en cours et ensuite je te met le rapport !!

( J'éspère que de savoir la description et la version de mon virus, ta aidé un peu !!)

je ne peux pas avoir le rapport de OAD, une fois qu'il a finis l'analyse, et que le rapport s'ouvre sa me met:

" Impossible de trouver le ficher C:\resultat.txt", vouslez vous créer un nouveaux fichier ? OUI/NON/ANNULER "

je met Oui mais la page est blanche !!!

J'ai fait une nouvelle découverte !!
j'aivoulu voir la provenence du fichier main.ndb en cliquant sur proprièté, mais sa n'a pas marché mon antivirus ma alerté, donc g prix un autre fichier nommé " main.zmd" et la dans type de fichier il y'a marqué :

ZoneAlarm Main Safe File

Donc dite moi si je me goure !!

Si ce fichier provient de ZoneAlarm, et vue que ZoneAlarm ce lance au démarage de la session comme l'antivirus, c'est pour sa que l'antivirus le détècte dès le début !!

Donc si je désinstallez zone alarm ainsi que le fichier infecté, le virus ne seré plus la, vu que le fichier qui se lancé au démarge ne sera plus la !!

Ai-Je raison ???

PS: désoler pour les 3 réponse à la suite !!^^

re,

il est enregistrer sous resultat.txt à la racine du disque c:\

http://pagesperso-orange.fr/rue-du-mont ... o/oad6.jpg
Apparemment il fonctionne sous Vista.

sa me met toujours la même chose

Sinon, pour ceci tu en pense quoi ??? ( ci-dessus )

re,
va en mode sans échec, et refais la manip avec oad.exe...ça doit fonctionner, on ne peut pas passer au-dessus !
pour une aide visuelle clic ici