HELP ! j'ai besoin d'être desinfecté... Résolu/Fermé

Question

Bonjour,

J'ai voulu installer une "version d'essai" d'un plug et... boumbadaboum, j'en ai pris pour mon grade.
J'ai passé l'aprem à jongler entre les differentes solutions qui tournent sur le net : combofix, antimalware,
scanspyware, spybot... j'ai soit tourné en rond soit bien entamer le boulot, à vous de me dire...
les differents virus trouvés ont étés : bagle.hi, bagle.cu, backdoor.bot, et quelques clefs bizzares aux demarrage.. 
J'en suis là (et las) : je trouve constamment des fichiers infectés, je m'en sors pas, et le nouveau truc de windows qui se lancait au démarrage pour bloquer certains programmes ne se lance plus.
alors, je crois que ca commence comme ça, un rapport Hijack ? >>> suivi d'un rapport combofix ?
Merciiiii infiniment de votre aide.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:01:08, on 07/10/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\ATK Hotkey\HControlUser.exe
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\logiciels\Spybot\TeaTimer.exe
C:\Program Files\MOTU\Audio\MFWAKeys.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\logiciels\Malwarebytes\mbam.exe
C:\Users\michael\Desktop\gmer.exe
C:\Windows\system32\conime.exe
C:\logiciels\firefox\firefox.exe
C:\Users\michael\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\logiciels\Spybot\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.32.0\gears.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [HControlUser] "C:\Program Files\ATK Hotkey\HcontrolUser.exe"
O4 - HKLM\..\Run: [ATKOSD2] "C:\Program Files\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\logiciels\Malwarebytes\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [QuickTime Task] "C:\logiciels\qt\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\logiciels\Spybot\TeaTimer.exe
O4 - Global Startup: MOTU Pedal Handler.lnk = C:\Program Files\MOTU\Audio\MFWAKeys.exe
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.32.0\gears.dll
O9 - Extra 'Tools' menuitem: Paramètres de Google &Gears - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.32.0\gears.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\logiciels\Spybot\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\logiciels\Spybot\SDHelper.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Windows\
O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\asus\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: M-Audio Series II MIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe (file missing)
O23 - Service: spmgr - Unknown owner - C:\Program Files\asus\NB Probe\SPM\spmgr.exe

mimik · Answer

et même un rapport toolbarSD youhou ! >>>


   -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft® Windows Vista™ Édition Familiale Premium  ( v6.0.6002 ) Service Pack 2
   X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual  CPU  T2390  @ 1.86GHz )
   BIOS : Default System BIOS
   USER : michael ( Administrator )
   BOOT : Normal boot
   A:\ (USB) - FAT - Total:1 Mo (Free:0 Go)
   C:\ (Local Disk) - NTFS - Total:116 Go (Free:70 Go)
   D:\ (Local Disk) - NTFS - Total:106 Go (Free:35 Go)
   E:\ (CD or DVD)
   G:\ (CD or DVD)
   H:\ (USB) - FAT - Total:978 Mo (Free:0 Go)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [1] ( 07/10/2009| 0:42 )

   [ UAC => 0 ]

   -----------\  Recherche de Fichiers / Dossiers ...

   C:\Program Files\DAEMON Tools Toolbar

   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\Windows\system32\blank.htm"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Url"="https://www.msn.com/fr-fr/actualite/"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\Users\michael\Documents\Ableton\Library\Presets\Audio Effects\Vinyl Distortion\Crack.adv


   [ UAC => 1 ]


   1 - "C:\ToolBar SD\TB_1.txt" - 07/10/2009| 0:43 - Option : [1]

   -----------\  Fin du rapport a  0:43:26,07

sKe69 · Answer

Salut,


arrète d'utiliser tout et n'importe quoi comme outil sans savoir ce que tu fait !!! A part perdre ton temps et planter définitivement le PC ... ^^'

J'ai voulu installer une "version d'essai" d'un plug 


vire cette merde déjà si ce n'est fait ...



/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .


Important > désinstalle proprement 'Spybot S&D' sinon il va nous perturber pendant la désinfection ...



Faut virer Bagle dans un premier temps ....



1-IMPORTANT : 
je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire : 
Essaye surtout de te rappeler si récemment tu n'as pas cliquer sur un "patch" ou un "keygen" pour installer un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les bagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les cracks qui sont sur ton PC ... ;)



2- Télécharge FindyKill ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

 Si tu as le prg Elibagla sur ton PC , supprime le ( risque de conflit entre les deux outils ) .


! Déconnecte toi d'internet, désactives ton antivirus et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 


# Clique droit / "executer entant qu'admin..." sur FindyKill.exe présent sur ton bureau pour lancer l'outil.

( sur la 1er fenêtre , tapes f puis [entrèe] pour la version en français ). 

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport FindyKill.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\FindyKill.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/findykill.html

mimik · Answer

Bonjour,

Ben à dire vrai, je crois que je m'en suis sorti, d'après un activescan en ligne.
J'ai pas non plus fait les choses au pif ! Disons que quand je trouvais le nom d'un bagle ou autre,
j'utilisais le logiciel qui était visiblement conseillé sur le forum.
Comme à l'instant : j'ai eu un problème de windows defender, toute la sécurité by windows était à relancer,
pare feu et defender, j'ai suivi les consignes d'autres pour activer ces services, puisqu'apparement, ça arrive après une desinfection, et maintenant, ça à l'air d'aller.
Donc, je euh... je voudrais simplement avoir la confirmation que mon pc est bien clean.
Je crois savoir que pour cela kasperky est une référence, mais le scan ne se lance pas, "impossible d'obtenir la license" (c'est à cause de firefox ?)
j'attends les instuctions.
Merci d'avance :)

sKe69 · Answer

re,

j'attends les instuctions. 

bah elles sont là > https://forums.commentcamarche.net/forum/affich-14658338-help-j-ai-besoin-d-etre-desinfecte#2


j'attends donc le rapport de Findykill ....

sKe69 · Answer

bien ....


la suite :


! Déconnecte toi d'internet, désactives ton antivirus et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 

# Clique droit / "executer entant qu'admin..." sur FindyKill.exe présent sur ton bureau pour lancer l'outil.

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , Findykill scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé,  poste le nouveau rapport Findykill.txt qui apparaitra avec le bureau .

( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\Findykill.txt ).

Note :
 Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tape explorer.exe et valide .

mimik · Answer

ce qui donne :


############################## | FindyKill V5.012 |

# User : michael (Administrateurs) # PC-DE-MICHAEL
# Update on 20/09/2009 by Chiquitine29
# Start at: 15:12:29 | 07/10/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Pentium(R) Dual  CPU  T2390  @ 1.86GHz
# Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
# Internet Explorer 7.0.6002.18005
# Windows Firewall Status : Disabled

# A:\ # Lecteur de disquettes 3 ½ pouces # 1,39 Mo (0,85 Mo free) [ABF PROFILE] # FAT
# C:\ # Disque fixe local # 116,44 Go (70,42 Go free) [VistaOS] # NTFS
# D:\ # Disque fixe local # 106,68 Go (35,25 Go free) [DATA] # NTFS
# E:\ # Disque CD-ROM
# G:\ # Disque CD-ROM
# H:\ # Disque amovible # 978,91 Mo (463,7 Mo free) [M] # FAT

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\asus\ASUS Data Security Manager\ADSMSrv.exe
C:\Program Files\ATK Hotkey\ASLDRSrv.exe
C:\Program Files\ATKGFNEX\GFNEXSrv.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\lpksetup.exe
C:\Windows\system32\agrsmsvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
C:\Program Files\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\Program Files\asus\NB Probe\SPM\spmgr.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\ATK Hotkey\Hcontrol.exe
C:\Program Files\ATK Hotkey\MsgTranAgt.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\ASUS\ASUS CopyProtect\aspg.exe
C:\Program Files\P4G\BatteryLife.exe
C:\Program Files\ASUS\Splendid\ACMON.exe
C:\Windows\System32\ACEngSvr.exe
C:\Windows\system32unonce.exe
C:\Program Files\ATK Hotkey\ATKOSD.exe
C:\Windows\system32\conime.exe
C:\Program Files\Trend Micro\Internet Security\TmPfw.exe
C:\Program Files\Trend Micro\Internet Security\TmProxy.exe
C:\Program Files\ATK Hotkey\KBFiltr.exe
C:\Program Files\ATK Hotkey\WDC.exe

################## | C: |


################## | C:\Windows |

Supprimé ! C:\Windows\Prefetch\WINUPGRO.EXE-B9E72D89.pf  

################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\michael\AppData\Roaming |

Supprimé ! C:\Users\michael\AppData\Roaming\drivers  

################## | Autres suppression ... |


################## | Temporary Internet Files |


################## | Registre / Clés infectieuses | 

Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\serial]  
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]  
Supprimé ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"  
Supprimé ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"  
Supprimé ! [HKLM\software\microsoft\security center] "UacDisableNotify"  
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"  

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | PEH ... |


################## | Cracks / Keygens / Serials |

"C:\Users\michael\.housecall6.6\"patch.exe""  
07/10/2009 13:09 |Size 218736 |Crc32 12c79c8b |Md5 b9a80ba0083fb8196f8ca0bef053ea4e  
 

################## | ! Fin du rapport # FindyKill V5.012 ! |

sKe69 · Answer

Bien ...


fait ceci maintenant :


1- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 


===================

2- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !! 

> Clique droit / "executer entant qu'admin..."  sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) . 

> Lance ZHPDiag depuis le raccourci du bureau (" entant qu'admin...") .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

Monkey56 · Answer

wahou ! y'en a qui sont vraiment impliqués ! C'est génial ! Dommage que tout le monde ne passe pas autant de temps a aider les autres... En tout cas, bravo ! Et (au passage) savez-vous si je peux avoir des virus sur mon téléphone en téléchargeant des thèmes...sur le site lasyk.com ?
(Vous avz l'air de bien vous y connaitre en virus...alors je profite :) )
merci ! et bravo pour votre implication dans les problemes des autres !!

Monkey56 · Answer

Merci quand même ^^

sKe69 · Answer

mimik,


la suite ici > https://forums.commentcamarche.net/forum/affich-14658338-help-j-ai-besoin-d-etre-desinfecte#8


;)

mimik · Answer

oili oilà...
http://www.cijoint.fr/cjlink.php?file=cj200910/cijas5VLdO.txt

sKe69 · Answer

Bien ...


reste encore du travail ... ^^



la suite dans l'ordre :


1- Nettoyage avec ToolBar S&D :

!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!  

Relance l'outil en cliquant droit/"executer entant qu'admin..." sur ToolBar SD.exe qui est sur ton bureau . 
--> Tapes cette fois sur 2 ( option " suppression " ) puis tape sur [Entrée].
 
Le nettoyage commence .

! ne touche à rien lors de la suppression ! 

Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
pour analyse ... 



=====================

2- 
*Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :
 
Aller dans "démarrer" puis "panneau de configuration" : 
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs" 
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
--->Redémarrer le PC ! 

Tutos : 
http://pagesperso-orange.fr/NosTools/uac_vista.html
https://forum.malekal.com/viewtopic.php?f=59&t=6517 


* Important :
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
Fais ceci systématiquement ! ...


une fois ceci fait et pris en compte , enchaine ...


=====================

3- Télécharge SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Installe le soft sur ton bureau ( et pas ailleurs! ) .

!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!


Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
Autre tuto animé ( merci balltrapp34 ;) ) : http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm
 
Utilisation ---> option 1 / Recherche : 
Clique droit/"executer entant quadmin..." sur l'icône "Smitfraudfix.exe" et sélectionne 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.
 
Poste le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

mimik · Answer

alors, voilà les rapports dans l'ordre, toolbarSD puis smitfraud :


   -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft® Windows Vista™ Édition Familiale Premium  ( v6.0.6002 ) Service Pack 2
   X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual  CPU  T2390  @ 1.86GHz )
   BIOS : Default System BIOS
   USER : michael ( Administrator )
   BOOT : Normal boot
   A:\ (USB) - FAT - Total:1 Mo (Free:0 Go)
   C:\ (Local Disk) - NTFS - Total:116 Go (Free:70 Go)
   D:\ (Local Disk) - NTFS - Total:106 Go (Free:35 Go)
   E:\ (CD or DVD)
   G:\ (CD or DVD)
   H:\ (USB) - FAT - Total:978 Mo (Free:0 Go)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [2] ( 07/10/2009|19:03 )

   [ UAC => 1 ]

   -----------\ SUPPRESSION

   Supprime! - C:\Program Files\DAEMON Tools Toolbar

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\Windows\system32\blank.htm"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Url"="https://www.msn.com/fr-fr/actualite/"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="https://www.msn.com/fr-fr/"
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\Users\michael\Documents\Ableton\Library\Presets\Audio Effects\Vinyl Distortion\Crack.adv


   [ UAC => 1 ]


   1 - "C:\ToolBar SD\TB_1.txt" - 07/10/2009|19:04 - Option : [2]

   -----------\  Fin du rapport a 19:04:26,04




SmitFraudFix v2.424

Scan done at 19:10:58,39, 07/10/2009
Run from C:\Users\michael\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6002] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\ASUS\SmartLogon\smartlogon.exe
C:\Program Files\asus\ASUS Data Security Manager\ADSMSrv.exe
C:\Program Files\ATK Hotkey\ASLDRSrv.exe
C:\Program Files\ATKGFNEX\GFNEXSrv.exe
C:\Windows\system32\WLANExt.exe
C:\Windows\system32	askeng.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\agrsmsvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
C:\Program Files\asus\NB Probe\SPM\spmgr.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Program Files\ATK Hotkey\Hcontrol.exe
C:\Program Files\ATK Hotkey\MsgTranAgt.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\ASUS\ASUS CopyProtect\aspg.exe
C:\Program Files\P4G\BatteryLife.exe
C:\Program Files\ASUS\Splendid\ACMON.exe
C:\Windows\System32\ACEngSvr.exe
C:\Program Files\ATK Hotkey\ATKOSD.exe
C:\Program Files\ATK Hotkey\HControlUser.exe
C:\Program Files\ATK Hotkey\KBFiltr.exe
C:\Program Files\ATK Hotkey\WDC.exe
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\Internet Security\TmPfw.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\MOTU\Audio\MFWAKeys.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\DllHost.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\michael


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\michael\AppData\Local\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\michael\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\michael\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\Windows\system32\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1AF98436-1DCE-4C68-B4EF-6061744837CF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{40A4A79C-E657-459E-BCFB-D4454FC3BC63}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{51EDE619-B71A-4800-98B6-086A1A259BFD}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D19C4FE6-C955-4EE7-8A56-9B4E9E48D4B1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1AF98436-1DCE-4C68-B4EF-6061744837CF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{40A4A79C-E657-459E-BCFB-D4454FC3BC63}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{51EDE619-B71A-4800-98B6-086A1A259BFD}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D19C4FE6-C955-4EE7-8A56-9B4E9E48D4B1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{1AF98436-1DCE-4C68-B4EF-6061744837CF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{40A4A79C-E657-459E-BCFB-D4454FC3BC63}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{51EDE619-B71A-4800-98B6-086A1A259BFD}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D19C4FE6-C955-4EE7-8A56-9B4E9E48D4B1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

sKe69 · Answer

Bon ....


Smithfraud passe au travers ...



1- On va utiliser Malwarebytes :


mets le à jour  ( onglet "mise à jours" ). 


! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


================

2- Refais un scan ZHPDiag ( lance le bien "entant qu'admin..."), coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

mimik · Answer

Malwarebytes n'a rien trouvé, donc pas de redemarrage.
Je précise que l'option sur la gestion de comptes utilisateur de windows là était activée pendant ces scans, vu que j'ai pensé qu'il ne fallait la désactiver que ponctuellement, quand tu me le demandais.

le rapport MB : 
http://www.cijoint.fr/cjlink.php?file=cj200910/cijDWmuAOn.txt

le rapport ZHPDiag :
http://www.cijoint.fr/cjlink.php?file=cj200910/cijv6ctbjw.txt

sKe69 · Answer

vu que j'ai pensé qu'il ne fallait la désactiver que ponctuellement

> non ... si tu avais lu correctement :
Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection)  


bref , déscative le bien stp ....



puis fait ceci :


1- Utilsation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal ( qui est vierge ),  copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

> https://www.cjoint.com/?kht1v2gU38


Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien ! 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
 
 Pense à réactiver tes défenses !... 


====================

2- refais un coup de CCleaner ( registre compris ) .

====================


3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

mimik · Answer

bibabeuloula... 
le rapport ZHPdiag :
http://www.cijoint.fr/cjlink.php?file=cj200910/cij25cvybU.txt

le rapprt ZHPfix :
http://www.cijoint.fr/cjlink.php?file=cj200910/cijAcN9gte.txt

mimik · Answer

je précise que oui, j'avais mal compris pour l'option sur les comptes, et
que ccleaner n'a trouvé qu'une "erreur" dans le registre concernant une clef obsolete ATK kelkechose.
Les scans précédents sont valables malgré l'option sur les comptes qui n'était pas desactivée ?
(je ne le dis pas à chaque fois, mais je le pense, mais merci pour ton suivi :]

sKe69 · Answer

Yop Elvis ...


on à bien avancer .... mais reste quelques trucs louches ... ( pas mal de pilote audio/midi que je ne connais que je contrôle aussi pour ne rien laisser pas d'infectieux ... )



fait ceci stp en attendant :


Télécharge OAD ( par !aur3n7) : http://sosvirus.changelog.fr/OAD.exe 
----> Enregistre le sur ton bureau .

Double clique sur l'icone OAD pour le lancer 

- nom du fichier à rechercher :
-->tape ou fais un copier coller de : 

kwliakoc puis tape sur [entrée]

- Type de recherche : sélectionne l'option 6 puis valide ["entrée"] 

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé. 
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé. 

Note : suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient ...

->Sauvegarde ce rapport sur ton Bureau et fais un copier / coller de celui-ci dans ta prochaine réponse ...

mimik · Answer

Oad.exe génère une erreur > "the NTVDM CPU has encoutered an illegal instruction"
Ca me soulève un souvenir, le crack a priori responsable de mon tourment avait généré le même type d'erreur : the cpu blabla illegal instruction, avec ensuite, un code du style de celui que je recois là (avec oad.exe > CS:11f7IP:01a4 OP:63 75 6d 65 6e).
je choose "close" et attends tes intructions.

sKe69 · Answer

re,

recommence en faisant bien clique droit / "executer entant qu'admin ..."

dis moi si le prb persiste ....

mimik · Answer

oui oui, je fais toujours "en tant qu'administrateur"

sKe69 · Answer

re,


désactive ton antivirus le temps de la manipe pour voir ....

mimik · Answer

Idem, même erreur.
J'ai le choix de l'ignorer, mais je me retrouve avec la fenetre msdos noire, et vide.

sKe69 · Answer

supprime OAD et essaye ceci :


Télécharge SF.exe de C_XX a cette adresse : 
http://sd-1.archive-host.com/membres/up/16506160323759868/SF.exe

> enregistre le sur ton bureau .

*Double clique sur SF.exe ( clique droit/"éxécuter en tant qu'administrateur" pour vista) .

*Une fenetre Cmd va s'ouvrir .

*Tape kwliakoc dans cette fenetre et "entrée" .

*Patiente pendant la recherche .

*Une fenetre avec un log .txt va s'afficher .

*Copie/colle ce rapport dans ta prochaine réponse .

mimik · Answer

c'est ceci :

========================= SF 1.0.0.3 - C_XX | 23:10:32,72

Valeur(s) recherchée(s):

kwliakoc


========================= Fichier(s)/Dossier(s):

Aucun fichier/Dossier trouvé. 

========================= Registre:



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KWLIAKOC\0000]
"DeviceDesc"="kwliakoc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KWLIAKOC\0000]
"Service"="kwliakoc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_KWLIAKOC\0000]
"DeviceDesc"="kwliakoc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_KWLIAKOC\0000]
"Service"="kwliakoc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KWLIAKOC\0000]
"DeviceDesc"="kwliakoc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KWLIAKOC\0000]
"Service"="kwliakoc"


========================= E.O.F | 23:19:21,42

sKe69 · Answer

Bien ....


pas de fichiers correspondant ... difficle de contrôler la légitimité de cette clé ...


bref , on poursuit :


1- Télécharge GenProc  (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe

!! ferme tes applications en cours !!


* clique droit / " executer entant qu'admin..." sur GenProc.exe pour lancer le scan et laisse faire...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ...
 

Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
 
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .


===============

2- Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) ! 

• Clique droit / " executer entant qu'admin..."  sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .
 
• Au menu principal choisis l'option "S" et tape sur [entrée] .

• le scan démarre , laisse travailler l'outil et ne touche à rien ... 

/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... ) 


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Aides en images (Installation)   : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
Aides en images (Recherche)    : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html

mimik · Answer

Ami du soir, bonsoir :

rapport GenProc :
http://www.cijoint.fr/cjlink.php?file=cj200910/cij3wfwXhA.txt

rapport ad-report :
.
======= RAPPORT D'AD-REMOVER 1.1.4.5_X | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 07.10.2009 à 22:09
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à:  0:46:11, 08/10/2009 | Mode Normal | Option: SCAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows Vista™ Home Premium Service Pack 2 v6.0.6002
Nom du PC: PC-DE-MICHAEL | Utilisateur actuel: michael
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.

.
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.2 [fr] *
.
 Nom du profil: 30fzz8gx.default (michael)
.
(Prefs.js) user_pref("browser.startup.homepage", ""); 
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.1.3"); 
.
.
* Internet Explorer Version 7.0.6002.18005 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: 
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://www.msn.com/
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials ... ) ==============
.
C:\Users\Public\Desktop\TrendMicro_TIS_17.50_en-US_32-bit\Setup\Patch\32bit\223\TISPthTl.exe
.
===================================
.
1595 Octet(s) - C:\Ad-Report-SCAN[1].log 
.
2 Fichier(s) - C:\Users\michael\AppData\Local\Temp 
1 Fichier(s) - C:\Windows\Temp 
.
1 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE 
.
Fin à:  0:52:43 | 08/10/2009 - SCAN[1]
.
============== E.O.F ==============
.

mimik · Answer

nota bene : j'avais coupé ma connection internet le temps des scans.
reflexe quoi.

sKe69 · Answer

c'est clean tout cela ... ^^



fais ce qui suit dans l'ordre ( si le dernier rapport est clean , on pourra finaliser )


( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau. 
http://pc-system.fr/

Déconnecte toi et ferme bien toutes tes applications en cours .

Clique droit sur le prg et choisis "éxécuter en tant que Administrateur"
 
*Clique sur Recherche et laisse le scan se terminer (cela peut être long). 
*Clique sur Suppression pour finaliser. 
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . 

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . 

( garde CCleaner et Malwarebytes : très utiles ! )

=====================

2- Refais un coup de CCleaner ( registre compris ) .

=====================

3- Retélécharge et réinstalle hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharge et installe le logiciel HijackThis : 

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment ) 

=====================

4- Important :
Purge de la restauration système 
-->Désactive ta restauration :
Dans démarrer, clique droit sur ordinateur/propriétés/protection du système : décoche la case devant ton disk dur maitre ( pour toi -> C )  , valide, applique et OK 
Redémarre ton PC ...
 
-->Réactive ta restauration :
Clique droit sur ordinateur/propriétés/protection du système : coche la case devant ton disk dur maitre , valide, applique et OK 
Redémarre ton PC ...

( tuto : https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista ) 

=====================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )

Fais un scan antivirus en ligne, avec Internet Explorer et accepter l'ActiveX :

https://www.bitdefender.fr/ 

* Aide :
- En bas, dans l'encadré "Analyse en ligne gratuite" , clique sur "analyser" .
- Dans la nouvelle fenêtre, clique sur "j’accepte" .
> il te sera proposer d'installer un module complémentaire (contrôle ActiveX) pour pouvoir faire le scan > accepte ! 
- Puis patiente le temps du chargement .
- La fenêtre change encore, clique sur "démarrer l'analyse" .
- Les signatures se chargent, etc ... et le scan démarre ...

Laisse travailler sans utiliser le PC .

* pour le rapport : clique sur l'onglet "plus de détailles" . A la fin du scan, clique sur " problème détectés " .
-> juste au dessus à droite de la fenêtre des résultats , tu as " cliquer ici pour exporter le rapport " .
-> Clique dessus donc, et choisis d'enregistrer le rapport sur ton bureau .


--> Ouvre le document html que tu viens de sauvegarder ( le rapport ), 
fais un copier/coller de tout son contenu et poste le dans ta prochaine réponse ... 


Rappel : le scan en ligne ne fonctionne que sous Internet Exploreur ! ( et pas sur FireFox ou autres navigateurs )

Tutoriel en images ici : 
http://perso.orange.fr/rginformatique/section%20virus/defender.htm (merci à Balltrap34 pour cette réalisation) 
Et ici : https://www.commentcamarche.net/faq/8872-scanner-en-ligne-avec-bitdefender

mimik · Answer

Bonsoir,
rapport bitdefender et à demain ! :)


BitDefender Online Scanner
 

Rapport d'analyse généré à: Thu, Oct 08, 2009 - 02:32:41
Voie d'analyse: A:\;C:\;D:\;E:\;G:\;H:\;

Statistiques

Temps
00:42:30

Fichiers
59441

Directoires
20580

Secteurs de boot
0

Archives
1318

Paquets programmes
3304
	
Résultats

Virus identifiés
0

Fichiers infectés
0

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
0
	
Info sur les moteurs

Définition virus
4321382

Version des moteurs
AVCORE v2.1 Windows/i386 11.0.0.26 (Aug 27 2009)

Analyse des plugins
17

Archive des plugins
44

Unpack des plugins
8

E-mail plugins
6

Système plugins
4
	

Paramètres d'analyse
Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions


Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui
	

 
	
Fichier analysé
Statut
Aucun virus trouvé.

sKe69 · Answer

Impec...


si tu n'as plus de soucis , on finalise ...


1- Mets à jours ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :


Version Adobe Reader à jour > v 9.1.3
Version Internet Explorer à jour > v 8


* Adobe Reader :
-> désinstalle avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Note : si tu as une imprimante ,éteinds la et débranche la du PC avant de faire la mise à jour.
-> télécharge et installe la dernière version ici : 
https://www.commentcamarche.net/telecharger/bureautique/2625-adobe-reader/


* Internet Explorer :
Même si tu utilises un autre Navigateur , il faut tenir IE à jours ! ( sinon faille de sécurité ) .
->Télécharge le ici : https://support.microsoft.com/fr-fr/allproducts
ou ici : https://www.commentcamarche.net/telecharger/web-internet/12477-internet-explorer-11/

http://www.microsoft.com/downloads/details.aspx?familyid=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=fr

 ! Ferme toutes applications en cours ( navigateurs compris ), désactive toutes tes défenses ( antivirus , pare feu , guarde anti-spyware ...), et en restant connecté !

> puis lance l'installe de IE8 et laisse toi guider ...( regarde bien le du tuto ci-dessous )

->Pourquoi mettre à jours IE et tuto ici :
https://forum.malekal.com/viewtopic.php?f=45&t=12405


=========================


2- une fois ceci fait , utilise Hijackthis :

tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34), 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

>  !! Déconnecte toi et ferme toutes tes applications en cours !! 

Clique sur le raccourci du bureau pour lancer le prg : 
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" 

---> Poste le rapport généré pour analyse ...

mimik · Answer

Salut,
Alors, euh, j'ai pas suivi tes liens pour IE, parce que certains allaient vers IE 7 et puis je suis sous vista.
Mais donc j'ai bien installé IE8, et puis pour les pdf, j'ai pris foxit.
voilà mon rapport Hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:04:33, on 08/10/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ATK Hotkey\HControlUser.exe
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\MOTU\Audio\MFWAKeys.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par IE 8 FOURNI PAR 01NET.COM
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.32.0\gears.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [HControlUser] "C:\Program Files\ATK Hotkey\HcontrolUser.exe"
O4 - HKLM\..\Run: [ATKOSD2] "C:\Program Files\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\logiciels\Malwarebytes\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [QuickTime Task] "C:\logiciels\qt\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - Global Startup: MOTU Pedal Handler.lnk = C:\Program Files\MOTU\Audio\MFWAKeys.exe
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.32.0\gears.dll
O9 - Extra 'Tools' menuitem: Paramètres de Google &Gears - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.32.0\gears.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O15 - Trusted Zone: http://a248.e.akamai.net
O15 - Trusted Zone: https://www.bitdefender.fr/
O15 - Trusted Zone: http://ssl-hints.netflame.cc
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Windows\
O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\asus\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: M-Audio Series II MIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe (file missing)
O23 - Service: Trend Micro Central Control Component (SfCtlCom) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\asus\NB Probe\SPM\spmgr.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\TmProxy.exe

mimik · Answer

G bon ?

sKe69 · Answer

Salut, suite et fin dans l'ordre : 1- Ferme toutes tes applications ( navigateur compris ) et déconnecte toi . Relance Hijackthis mais click sur " Do a scan only " Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . Tu vas cliquer sur les carrés des lignes suivantes : O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\logiciels\qt\QTTask.exe" -atboottime Tu cliques en bas sur le bouton FIX CHECKED et valides . ================================ 2- Déconnecte toi et ferme bien toutes tes applications en cours . Clique droit sur Toolscleaner2 et choisis "éxécuter en tant que Administrateur" *Clique sur Recherche et laisse le scan se terminer (cela peut être long). *Clique sur Suppression pour finaliser. *Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) : --> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) . Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolsclaener2 n'a pas supprimé . Puis enfin supprime Toolscleaner2 ... ====================== 3- Refais un coup de CCleaner (registre compris ). ====================== 4- Fais ce check-up pour finir : ( étape A à faire de suite ! et le reste dès que tu peux mais ne tarde pas trop ;) ) A-Re-purge la restauration système --->Désactive ta restauration : Dans démarrer, clique droit sur ordinateur/propriétés/protection du système : décoche la case devant ton disk dur maitre ( pour toi -> C ) , valide, applique et OK Redémarres ton PC ... --->Réactive ta restauration : Clique droit sur ordinateur/propriétés/protection du système : coche la case devant ton disk dur maitre , valide, applique et OK Redémarre ton PC ... ( tuto : https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista ) Attention : ne pas toucher au PC pendant qu'il travaille ! B-Nettoyage et Défragmentation de tes Disques * Nettoyage Clique droit sur "ordinateur" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général" Clique sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques durs ... * Vérifications des erreurs Clique droit sur "ordinateur" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil" . clique sur "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -"réparer automatiquement les erreurs..." -"rechercher et tenter une récupération..." Démarrer, ok s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal . Tu le fais pour chacun de tes disques ... Ensuite toujours dans le même onglet tu choisis : * Défragmentation "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK tu le fais pour chacun de tes disques ... Note : si tu as un utilitaire pour défragmenter , utilise le à la place ... ( attention , cela peut durer assez longtemps - plus d'une dix heure dans certains cas ) C-Créer un point de restauration de ton PC : Aller dans le Menu Démarrer puis dans Programmes, - Ensuite dans Accessoires et enfin dans Outils système, - Choisir "Restauration du système", - pour créer un point de restauration cliques sur : "ouvrer protection système" . -->dans cette nouvelle fenêtre Cliquer en bas à gauche sur " créer " . - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple : << Point restauration sain >> . --> Cliquer sur "Créer" et le point de restauration se créé automatiquement. ---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)

mimik · Answer

Salut !
Ben je crois que tu m'as joliment tiré d'affaire. Le pc est un peu lent à l'arrivée sur le bureau, mais j'imagine que Trend Micro est plus lourd que le Teatimer de spybot.
J'ai mis à la fin de ce post le rapport TCleaner. 
Merci beaucoup !

J'abuserai volontier en te posant quelques questions :

-quand j'ai téléchargé les fichiers infectés (le plug là), j'ai pris soin de les scanner avec Spybot et Malwarebytes. Pourquoi n'ont-ils rien vu ?

-si internet explorer doit être mis à jour même si je ne l'utilise pas, y'a-t-il vraiment un interêt à utiliser un logiciel alternatif comme firefox ? moi je pensais, moins de logiciel crosoft = moins de galère ! Si c'est pour avoir le double de mis à jour...

Merci encore pour ton aide précieuse.

mimik · Answer

oups :
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\$RECYCLE.BIN\S-1-5-21-2223826238-1916116213-2680312210-1000\$R4V00JD\HijackThis.lnk: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Users\michael\Desktop\HijackThis.lnk: trouvé !

---------------------------------
--> Suppression: 

C:\$RECYCLE.BIN\S-1-5-21-2223826238-1916116213-2680312210-1000\$R4V00JD\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Users\michael\Desktop\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Program Files\ZHPDiag: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

sKe69 · Answer

Salut,



impec ... ;)


Il te faut absolument un anti-spyware résident pour épauler ton AV . 
Choisi l'un d'entre eux ( c'est du gratos ) :


Télécharger Spyware Terminator :
https://www.commentcamarche.net/telecharger/securite/20947-spyware-terminator/ 
 
Mais en faisant attention ; lors de l'installation, tu dois décocher devant :
"autoriser Web Security Guard"
 
Ne pas accepter le  'Web Security Guard' !! 

Vérifie régulièrement la mise à jour. 
Active la protection en temps réel comme ceci : http://img220.imageshack.us/img220/1985/screenshot269jn3.png 
et comme ceci dans l'onglet "Avancé" http://img223.imageshack.us/img223/19/screenshot270fm3.png (HIPS activé). 

Note ==> Remarque la fonction 'LANGUE' ;) ==> elle est là : http://img146.imageshack.us/img146/8679/screenshot271db0.png 

Tuto Spyware Terminator :
https://www.malekal.com/tutorial-et-guide-spywareterminator/

Note : si tu n'as pas d'antivirus, Spyware Terminator contient un aussi. 
/!\ Si tu as déjà un antivirus, ne pas mettre en service "Clam Antivirus" (1 seul antivirus actif par PC) :
->http://img210.imageshack.us/img210/3191/screenshot272kq3.png )

OU ************************************************

SpywareBlaster + SpywareGuard: 


* SpywareBlaster :
http://www.brightfort.com/spywareblaster.html 

c´est un resident uniquement ( pas de scan possible ) . Il suffit de le mettre a jour de temps en temps car la version gratuite ne le fait pas toute seul , une fois installé et mis a jour tu mets toutes les protections sur "enable" 

tutos :
http://consultaide.e-monsite.com/rubrique,spywareblaster-tuto-complet,262879.html
https://www.malekal.com/tutorial-spywareblaster/ 


* SpywareGuard :
SpywareGuard offre une protection en temps réel contre les tentatives d'installation des spywares.
https://www.commentcamarche.net/download/telecharger-34055277-spywareguard
Tuto : https://www.zebulon.fr/dossiers/securite/47-spywareguard.html

( controle les mises à jour / " live update " régulièrement )


================
================
================

Content d'avoir pu te rendre service .... ^^


Potasse ces quelques recommandations :


=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html 
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance : 
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement). 

=>  Il faut absolument tenir à jour régulièrement Windows:

Via Internet Explorer ( impératif ), rends toi sur Microsoft Update
http://www.update.microsoft.com/windowsupdate/v6/default.aspx

Effectue toutes les mise à jour critiques proposées.
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
Démarrer / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis sur OK

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi : 

( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.htm )

Donc pour se faire, rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions. 
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. 
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . 
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 

Autre astuce : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara

============================================================= 

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
- Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 
- Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. 

-> autre très bon soft similaire dans cette astuce : 
https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
 
===========================================================

* teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.php

* tests firewall: http://www.matousec.com/index.html 

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) : 

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html 

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html 

================================================================ 

Pour une meilleur sécurité lorsque tu surfes : 

* Je te conseille d'utiliser le navigateur " FireFox " :
télécharge le ici -> http://www.mozilla-europe.org/fr/
ou -> https://www.commentcamarche.net/telecharger/web-internet/9879-firefox/

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

-> Tutorial pour sécuriser Firefox :
https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ 

* tu peux installer cet Add-ons : WOT ( gratuit / compatible IE et FireFox )
-> Firefox https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp - IE https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
-> Démo : http://www.mywot.com/fr/demo
Très simple et léger , WOT permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

* Noscript est un autre "Add-ons" ( pour Firefox ) qui empêche l'exécution de scripts en provenance des sites Web. 
Il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée : 
http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net

=================================================================
=> Rappel sur les principales causes d'infection : 

A lire > https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf
( merci aux auteurs de ce pdf )

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 

Les dangers des cracks : http://forum.malekal.com/ftopic893.php 

-> Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

-> Fléaux du moment par le biais de pseudo crack sur réseau P2P : Virut/Scrible !
> https://www.futura-sciences.com/tech/actualites/informatique-virut-scribble-retour-infection-redoutable-18310/


* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): 

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 

Pourquoi éviter le P2P (emule ,Shareaza, kazza ... ect):
> http://www.libellules.ch/... 
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
> https://lexpansion.lexpress.fr/actualite-economique/
 

* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment : 
http://assiste.com.free.fr/p/abc/c/anti_activex.html


* Prévention sur deux autres types d'infection d'actualité : 

MSN prévention : 
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
 

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ 
https://forum.malekal.com/viewtopic.php?f=45&t=5544 

* Rappel sur l'utilisation d'une version piratée de Windows :
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows

=================================================================

Bon à savoir :

* La "Console de récupération" ( XP ): 
face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable. 
tutoriels ici : 
https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm .
https://www.informatruc.com

Equivalent Vista : http://www.forum-vista.net/forum/

* Conserve une sauvegarde des fichiers importants ( Sur CD/DVD rom ,DD externe ,ect ...). 

* Ne pas telecharger n'importe quoi, éviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games, ...ect

* Analyser les fichiers reçus/téléchargés :
Pour les adeptes du Peer 2 Peer ( que je déconseille fortement ),toujours analyser les fichiers telechargés avec l'antivirus, l'anti-spyware/malaware du PC avant de les executer ... Cela minimise les risques ( mais ceux-ci restent tout de même présents ! ) 
Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir .
Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus .

* Idées reçus en sécurité informatique ( très instructif ) > 
http://www.libellules.ch/idees_recues_securite.php

=================================================================
( merci le sioux ) 
 
 
Voilou....


bonne suite à toi .... =)


A+

HELP ! j'ai besoin d'être desinfecté...

38 réponses

Discussions similaires