pub intempestives Résolu/Fermé

Question

Bonjour,
depuis peu j'ai des fenêtres qui s'ouvrent genre "casino" "cetelem" etc..
j'ai parcouru le sujet et fais avec 1 lien sur ce site Navlog, voici le rapport, je ne comprends pas bien tout cela
Merci pour votre aide.


Search Navipromo version 3.7.1 commencé le 07/01/2009 à 14:29:53,71

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free :         Intel(R) Pentium(R) M processor 1.70GHz )
BIOS : Ver 1.00PARTTBL
USER : NICOLAS- ( Administrator )
BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1296 [VPS 090106-1] 4.8.1296 (Activated)


C:\ (Local Disk) - NTFS - Total:74 Go (Free:57 Go)
D:\ (CD or DVD)


Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\NICOLAS-\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\NICOLAS-\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\NICOLAS-\menudm~1\progra~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" *** 


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\NICOLAS-\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\NICOLAS-\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 07/01/2009 à 14:36:45,79 ***

sherred · Answer

télécharge hijackthis http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe 
-> enregistre la cible sous .... "le bureau" renomme hijackthis.exe en par exemple HJT.exe 

-> Fais un double-clic sur "HJT.exe" afin de lancer l'installation 

-> Clique sur Install ensuite sur "I Accept" 

-> Clique sur" Do a scan system and save log file" 

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse


Démo : (Merci a Balltrap34 pour cette réalisation) 
http://pageperso.aol.fr/balltrap34/Hijenr.gif 
http://pageperso.aol.fr/balltrap34/demohijack.htm 
http://www.tutoriaux-excalibur.com/hijackthis.htm 
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

jason03 · Answer

passe pluto hitjackthis telechargeable ici : 

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

ouvre le et clic sur "do a systeme scan and save a logfile"

recupere le log et poste le ici .

jason03 · Answer

coche les case suivante :

C:\PROGRA~1\AVG\AVG8\avgemc.exe a supprimer !!!!!!

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {afc05d80-0272-40de-875b-53edb9732368} - C:\WINDOWS\system32\wuvajepe.dll (file missing)
O4 - HKLM\..\Run: [CPMd7d74e82] Rundll32.exe "c:\windows\system32\dezuzara.dll",a
O4 - HKUS\S-1-5-19\..\Run: [zazirepera] Rundll32.exe "C:\WINDOWS\system32\zowepaba.dll",s (User 'SERVICE LOCAL')
04 - HKUS\S-1-5-18\..\RunOnce: [] C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe https://www.broadcom.com/ (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [] C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe https://www.broadcom.com/ (User 'Default user')
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O20 - AppInit_DLLs: c:\windows\system32\hibopiro.dll avgrsstx.dll c:\windows\system32\dezuzara.dll,C:\WINDOWS\system32\jijeruwa.dll
021 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\dezuzara.dll
022 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\dezuzara.dll

et clic sur fixed check

jason03 · Answer

une fois supprimer refais moi un log pour savoir si tout c'est bien supprimer

ric025 · Answer

SAlut!!

C:\PROGRA~1\AVG\AVG8\avgemc.exe a supprimer !!!!!! 

--> Explique!

une fois supprimer refais moi un log pour savoir si tout c'est bien supprimer

--> Et si tout est supprimer, tu fais quoi??

jason03 · Answer

et bien jte confirme que tout est bon 

C:\PROGRAMMEFILE\AVG\AVG8\avgemc.exe et tu le desinstalle car  il est mechant  selon le base de donne d'hijackthis
voila j'espere t'avoir repondut

cannelle0037 · Answer

Oulala 
suis un peu perdue avec vos messages, si j'ai bien compris, je fais une recherche de spyware avec Spware terminator, je refais 1 hijackts et je le poste.
Dans l'ordre, je commence

jason03 · Answer

a tu supprimer ce que t'ai dit de supprimer avec hitjacthis ??? 

coche les case suivante : 

C:\PROGRA~1\AVG\AVG8\avgemc.exe a supprimer !!!!!! 

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll 
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O2 - BHO: (no name) - {afc05d80-0272-40de-875b-53edb9732368} - C:\WINDOWS\system32\wuvajepe.dll (file missing) 
O4 - HKLM\..\Run: [CPMd7d74e82] Rundll32.exe "c:\windows\system32\dezuzara.dll",a 
O4 - HKUS\S-1-5-19\..\Run: [zazirepera] Rundll32.exe "C:\WINDOWS\system32\zowepaba.dll",s (User 'SERVICE LOCAL') 
04 - HKUS\S-1-5-18\..\RunOnce: [] C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe https://www.broadcom.com/ (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\RunOnce: [] C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe https://www.broadcom.com/ (User 'Default user') 
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU) 
O20 - AppInit_DLLs: c:\windows\system32\hibopiro.dll avgrsstx.dll c:\windows\system32\dezuzara.dll,C:\WINDOWS\system32\jijeruwa.dll 
021 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\dezuzara.dll 
022 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\dezuzara.dll 

et clic sur fixed check

et apres tu peu passer un coup de spyware rapidement car hitjackthis fait du tres bon boulot

ric025 · Answer

Canelle0037, fais exactement ce qui suit:

Commence par ceci:

Télécharge malwarebytes

Installe-le en veillant bien à ce que la case de mise à jour soit cochée en fin d'installation.

Lance-le et après la mise à jour, coche la case "Examen Complet".

Lance la recherche sur tous tes disques.

Après le scan, si le programme trouve quelque chose, clique sur "Voir les résultats" puis sur "Supprimer la sélection".

Si MBAM te demande de rebooter pour finaliser la suppression, accepte.

Poste ensuite le rapport généré dans ta prochaine réponse.

A+ 

((Fixer des lignes ne suffit pas à éradiquer une infection, surtout du vundo!))

jason03 · Answer

si mais les autr logiciel c pour voir si hitjacthis en a pas oublier une sorte de securiter

ric025 · Answer

mon rapport hijackthis ne suffit pas ?

--> Non!! 

Passe MBAM, comme je te l'ai demandé!

ric025 · Answer

Si belle infection Vundo!

Canelle fait comme elle veut, si elle ne veut pas passer MBAM...

ric025 · Answer

Si on oubliait tout? Allez, on efface..hop!

Canelle, fais malwarebytes comme demandé et poste le rapport généré s'il te plaît.

ric025 · Answer

Pas de soucis. Patiente pour MBAM, il est quelquefois un peu long.

A tout à l'heure.

jason03 · Answer

sa veut pas fonctionne si tu decoche les ligne que je t'es indique bref c pas grave c'est plus simple que tu passe par malwarebyte .
Cordialement

cannelle0037 · Answer

voici le rapport malwabytes en scan simple :
Malwarebytes' Anti-Malware 1.32
Version de la base de données: 1627
Windows 5.1.2600 Service Pack 3

07/01/2009 16:56:23
mbam-log-2009-01-07 (16-56-16).txt

Type de recherche: Examen rapide
Eléments examinés: 61018
Temps écoulé: 15 minute(s), 13 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\WINDOWS\system32\dezuzara.dll (Trojan.Vundo.H) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{037c7b8a-151a-49e6-baed-cc05fcb50328} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpmd7d74e82 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\dezuzara.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\dezuzara.dll -> No action taken.

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\ADSL Software Ltd (Rogue.Multiple) -> No action taken.

Fichier(s) infecté(s):
c:\WINDOWS\system32\dezuzara.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\f6G7Jw5A.exe.a_a (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\pd6MgikK.exe.a_a (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\jasadiwi.dll (Trojan.Vundo) -> No action taken.

ric025 · Answer

La question de l'examen a été règlée par Cannelle! ;)

Supprime la sélection. Puis poste le nouveau rapport.

cannelle0037 · Answer

j'ai supprimé la sélection, un nouveau rapport s'est affiché le voici :
Malwarebytes' Anti-Malware 1.32
Version de la base de données: 1627
Windows 5.1.2600 Service Pack 3

07/01/2009 17:07:22
mbam-log-2009-01-07 (17-07-22).txt

Type de recherche: Examen rapide
Eléments examinés: 61018
Temps écoulé: 15 minute(s), 13 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\WINDOWS\system32\dezuzara.dll (Trojan.Vundo.H) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{037c7b8a-151a-49e6-baed-cc05fcb50328} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpmd7d74e82 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\dezuzara.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\dezuzara.dll -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\ADSL Software Ltd (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\WINDOWS\system32\dezuzara.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\f6G7Jw5A.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pd6MgikK.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jasadiwi.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

ric025 · Answer

Bien!

Redémarre ton pc.

=============

Puis relance MBAM, va dans quarantaine et supprime tout.

=============

Puis fais ceci:

Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

http://images.malwareremoval.com/random/RSIT.exe

Double-clique sur RSIT.exe.

Clique sur Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

A noter: Les rapports se trouvent également ici: C:\rsit. 

!! Poste les deux rapports dans deux messages séparés s'il te plaît, afin d'éviter tout bug !! Merci !!

cannelle0037 · Answer

ok j'imprime tout àa, je le lis bien et je reviens

ric025 · Answer

Il reste des traces!

/!\ Attention l'outil suivant est puissant, une erreur pourrait corrompre le bon fonctionnement de ton pc /!\

Télécharge combofix.exe (par sUBs) sur ton Bureau. ((A lire jusqu'au bout!!!))

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double clique combofix.exe.
Tape sur la touche 1 (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

!! Il est très fortement recommandé d'installer la console de réparation sur ton pc !!

Déconnecte toi d'internet et ferme les fenêtres de tous les programmes en cours.

Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clique sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme. Ne touche pas au clavier ni à la souris /!\

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection, laisse-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé ici C:\Combofix.txt

Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

Reviens sur le forum, et copie/colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Lis ce tuto avant de l'utiliser:

Tutoriel http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix

ric025 · Answer

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Réparé! ;))

ric025 · Answer

Tu as XP Edition familiale. Mais une disquette pour quoi? La console? Lance Combofix, s'il ne détecte pas la console, il te demandera de l'installer, accepte.

sherred · Answer

AVG8
Spyware Terminator
Spybot - Search & Destroy

trop de protections ..ca ralentis plus que ca ne protege ...... la preuve   , faudrait alléger

sherred · Answer

Spyware Terminator est dans les process actif , donc il tourne
et Spybot si tu l'a desinstallé ,   il etait toujours sur ton rapport hijack 
je prefairerai terminator en remplacement de avg personellement

sherred · Answer

refait un hijack  stp

pour l'intant

sherred · Answer

ToolsCleaner, merci A.Rothstein & Dj Quiou, 
http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner
qui va désinstaller les outils que l'on a utilisés
qui peuvent être dangereux pour ton PC
une fois fait met le simplement a la poubelle 
puis
Ccleaner http://www.commentcamarche.net/telecharger/telechargement 168 ccleaner
tu fait le nettoyage
Fichiers temporaires de Windows 
Cookies, cache, historique d'Internet Explorer, Opera et Firefox 
Documents récents de Windows
et ensuite reparation de la base de registre.

sherred · Answer

avec ccleaner

une aide tuto https://www.malekal.com/tutoriel-ccleaner/

mido · Answer

bonjours canelle,

Vous avez 2 antivirus d'installés (AVG8 et Avast), c'est déjà un de trop.

Il ne peut y avoir qu'un antivirus d'installé sur un PC, davantage a pour de générer des dysfonctionnements du système d'exploitation (Windows) et de plus la protection antivirale devient +-inadéquate.

Bref.., c'est aussi pire qu'une infection.

sherred · Answer

desinstaller AVG
 Utilitaire de désinstallation d'AVG avgremover.exe
http://download.avg.com/filedir/util/avg_arm_sup_____.dir/avgremover.exe

ric025 · Answer

Salut!

Pour retirer Avast: https://www.avast.com/fr-fr/uninstall-utility

Pour voir pourquoi retirer Avast: https://forum.malekal.com/viewtopic.php?f=45&t=11659

Pour avoir un meilleur AV: http://www.commentcamarche.net/telecharger/telecharger 55 antivir

Et pour voir comment tout cela fonctionne: http://forum.malekal.com/ftopic4192.php

ric025 · Answer

Antivir est plus performant qu'Avast. (tu dis que tu n'as jamais eu de problème pourtant tu étais bien infectée! :))
S'il est souvent sur MSN, je te filerai une petite procédure pour qu'Antivir filtre les fichiers reçus sur MSN.

Pour toolscleaner, supprime-le et réessaie comme ceci: 

Nettoyage des outils:

Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

Clique sur Recherche et laisse le scan se terminer.

Clique, sur Suppression pour finaliser.

Tu peux, si tu le souhaites, te servir des Options facultatives.

Clique sur Quitter, pour que le rapport puisse se créer.

Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\). 

/!\ S'il met "ne répond pas" pendant le scan, laisse-le tourner quand même!!

ric025 · Answer

Ok! De toute façon, tu peux remplacer Avast partout où il est! ;)

ric025 · Answer

C'est étrange.

Supprime-les manuellement. 

Attention, tu as les icônes du bureau + les rapports. Pour retrouver les rapports, ouvre ton disque dur, ils sont tous à la racine normalement.

ric025 · Answer

Relance un scan avec MBAM. Choisis cette fois "Examen Complet" au menu principal.

Et n'oublie pas de le mettre à jour avant.

A++

ric025 · Answer

Pas de soucis.

;)

ric025 · Answer

Nickel!

Je vois que Sherred t'a fait télécharger CCleaner. Alors refais un coup de ccleaner regictre compris:

Va dans "Options">>"Avancé". Décoche la première ligne.

Va dans la section "Nettoyeur". Lance l'analyse. La liste créée, lance le nettoyage deux fois de suite afin d'obtenir 0bytes supprimé!

Ensuite dans "Registre", lance une recherche des erreurs. La liste créée, fais-les réparer.

/!\ A ce moment CCleaner te demande normalement de sauvegarder le registre, fais-le. /!\

Recommence ensuite le cycle Recherche/Réparation des erreurs jusqu'à n'en trouver aucune lors de la recherche. 

==============

Les virus et trojans découverts par Antivir ne sont pas inquiétants: Certains sont des faux-positifs déclenchés par spybot et smitfraudfix. Les autres sont la restauration système. Si tout va bien, ensuite, on la purgera.

Rends-toi sur ce site: https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce dossier: C:\WINDOWS\system32\jalopeya.dll 

Vérifie que le chemin soit complet et clique sur envoyer le fichier. Tu auras un rapport, poste-le.

ric025 · Answer

Tant mieux! lol

Redémarre le pc. Et réessaie de faire tourner toolscleaner, apparemment, il reste des dossiers dans ton pc et cela affole Antivir.

ric025 · Answer

toolscleaner  ne tourne toujours pas?

ric025 · Answer

Oui, fais supprimer. Et poste le rapport! ;)

ric025 · Answer

Parfait tout est parti!

Une chose sur Antivir: 

Clique droit sur l'icône parapluie dans la barre des tâches. 
Choisis "configurer Antivir"
Coche la case "mode expert"
Dans "scanner", "recherche", dans la fenêtre de droite, coche la case "rechercher rootkit..."

=============

Maintenant que les dossier des outils ont disparu, poste un nouveau rapport hijackthis. Celui-ci s'étant fait manger par toolscleaner, reprend-le ICI

ric025 · Answer

Je dois partir. Poste le rapport. Je verrai plus tard la finalisation de la désinfection. (fixer les lignes; purge de la restauration...)

A++ ;))

ric025 · Answer

Re!

Effectivement, tu peux installer un parefeu.

Tu en as ici: http://www.commentcamarche.net/telecharger/logiciel 38 firewall

Pour ZoneAlarm: https://www.malekal.com/tutoriel-zonealarm-firewall/

Pour Kério: https://www.malekal.com/tutorial-et-guide-counterspy/

Pour Comodo: https://www.malekal.com/tutorial-comodo-firewall/

==========
Pour la suite de la désinfection:

Via le panneau de configuration, désinstalle Adobe reader 7 (faille de sécurité)

Télécharge et installe la version actuelle: http://www.commentcamarche.net/telecharger/telecharger 27 acrobat reader

==========

Ensuite, je ne peux pas te faire fixer de lignes pour des raisons de sécurité. En effet, hijackthis n'est pas correctement installé.

Désinstalle-le et ré-installe-le. Lors de l'installation, laisse-le dans son dossier par défaut, soit: C:\Program Files\Trend Micro.....

A+

ric025 · Answer

Si hijackthis est bien installé, alors tu peux me renvoyer le rapport. ;)

ric025 · Answer

Oh! Il reste une mise à jour à faire que j'ai zappée!

Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries.

http://prm753.bchea.org/JavaRa.zip

Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)
Double-clique sur le répertoire JavaRa obtenu.
Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)

Clique sur "Chercher les mises à jour".

Sélectionne "Mise à jour par jucheck.exe" puis clique sur "Recherche".

Autorise le processus à se connecter s'il te le demande, clique sur "Install" et suis les instructions d'installation. Attends, cela prends quelques minutes.

Une fois l'installation terminée, reviens à l'écran de JavaRa et clique sur "Supprimer les anciennes versions".
Clique sur "Oui" pour confirmer. L'outil va travailler, clique ensuite sur "Ok", puis une deuxième fois sur "Ok".

Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.

Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log
(c:\JavaRa.log)

ric025 · Answer

Parfait. Tu pourras supprimer JavaRa +rapport.

==============

Relance hijackthis et choisis cette fois "Do a system scan only".

La liste créée, coche les lignes suivantes:

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file) 

O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)

O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file) 

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file) 

Clique sur "Fix Checked".

==================

Repasse ccleaner, registre compris.

==================

Redémarre le pc.

==================

Navigue un peu. Si et seulement si tout va bien:

Désinstalle hijackthis via le panneau de config. 

Puis:

!! Très Important !!

Supprimer les anciens points de restauration:

* Cliquer "démarrer", "panneau de configuration", performance et maintenance" puis système".
* Cliquer sur l'onglet "Restauration du système".
* Cocher la case "Désactiver la restauration...", puis "Appliquer" et valider par "OK".
* Redémarrer le pc.

* Cliquer "démarrer", "panneau de configuration", "performance et maintenance" puis "système".
* Cliquer sur l'onglet "Restauration du système".
* Redécocher la case "Désactiver la restauration...", puis "Appliquer" et valider par "OK".

Les points sont supprimés.

Création d'un nouveau point:

* Cliquer "démarrer", "panneau de configuration", "performance et maintenance" puis "restauration du système" (en haut à gauche).
* Dans la nouvelle fenêtre, cocher la case "Créer un point de restauration".
* Cliquer sur "Suivant".
* Entrer un nom pour le point de restauration : ce nom doit être assez évocateur (comme: "Après désinfection...")
* Cliquer sur "Créer" et le point de restauration se créé automatiquement. 

=============

Pour une navigation plus sûre et plus rapide: Choisis Firefox

Addon à ajouter à firefox pour le sécuriser:

Ici : WOT : https://addons.mozilla.org/en-US/firefox/addon/wot-safe-browsing-tool/
Explications/Demo ici : http://www.mywot.com/fr/demo

=============

Si tu n'as plus de question et/ou problème, pour moi, c'est ok!

ric025 · Answer

AH???

Pour supprimer les points, essaie comme ceci pour arriver à la page: Tu tapes sur ton clavier la touche windows+pause attn 
Ensuite tu suis les instructions: * Cliquer sur l'onglet "Restauration du système".
* Cocher la case "Désactiver la restauration...", puis "Appliquer" et valider par "OK".
* Redémarrer le pc.

Touche windows+pause attn
* Cliquer sur l'onglet "Restauration du système".
* Redécocher la case "Désactiver la restauration...", puis "Appliquer" et valider par "OK".

Les points sont supprimés. 

===========

Pour la création d'un point:

"Démarrer" >> "Tous les programmes" >> "Accessoires" >> "Outils système" >> "Restauration du système".

Puis tu suis:* Dans la nouvelle fenêtre, cocher la case "Créer un point de restauration".
* Cliquer sur "Suivant".
* Entrer un nom pour le point de restauration : ce nom doit être assez évocateur (comme: "Après désinfection...")
* Cliquer sur "Créer" et le point de restauration se créé automatiquement.

ric025 · Answer

Pas de quoi de la part d'un inconnu! ;)

Ok pour msn, il faudra que tu me relances en laissant un message sur cette discussion.

A++ et bonne nuit

Pub intempestives

48 réponses

Discussions similaires