Sndvol32.exe infecté ?!?

Résolu/Fermé
Marcelostickos
Messages postés
76
Date d'inscription
jeudi 19 avril 2007
Statut
Membre
Dernière intervention
26 avril 2013
- 17 nov. 2009 à 19:34
anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
- 23 nov. 2009 à 17:09
Bonjour à tous (et merci par avance à ceux qui m'aideront),

Je viens ici en dernier recours avant formatage, j'ai attrapé (je ne sais pas d'ailleurs par quel moyen) un trojan jusque la pas de souci (^^), j'ai vite identifié le fichier hôte, dans mon cas "sndvol32.exe" (qui n'a rien a faire dans un seven x86 me semble t-il), analyser par avast = rien (on ne parlera pas de la tentative avec win defender ce serait malpolie), Bitdefender en ligne = rien, panda online = rien (je précise que la suppression de l'hôte n'a rien donner ni même renommer>supprimer) pour tant avec Hijackthis je retrouve bien les deux lignes de lancement :
O4 - HKLM\..\Policies\Explorer\Run: [ctfmon] C:\Windows\System32\sndvol32.exe
O4 - HKCU\..\Policies\Explorer\Run: [ctfmon] C:\Windows\System32\sndvol32.exe

Petite précision seven me dis que le fichier créateur du sndvol32.exe est Fake.exe (lui même référencé dans les base de processus comme hebergeant le trojan Trojan.Win32.FakeMSN) les analyses spywares n'ont rien donné également.

Donc que faire, l'infection en elle même n'est pas trop ennuyante (aucun ralentissement) mais un bonhomme qui danse sur du MIDI (ce qui surprend la musique a fond^^) mais bon si je pouvais m'en debarasser, j'en serai ravis. un grand merci à tout ceux qui m'aideront par avance vous l'aurez compris c'est l'opération de la dernière chance !!!

14 réponses

anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
790
18 nov. 2009 à 20:33
"il ma trouvé comme nom de fichier rzrfa10.exe"

==> C'est parce que tu as ouvert une ancienne analyser au lieu d'en demander une nouvelle (regarde la date). Pourrais-tu m'envoyer le fichier stp : anthony5151@trashmail.net (c'est une adresse jetable)



"enfin je sens que ça va quand même finir par un reformatage."

==> Mais non ;) Si c'est bien le fichier dont tu parles qui pose problème, pas besoin de formater !

On va faire un test pour vérifier.

Affiche les extensions de fichier (tu pourras à nouveau les masquer une fois la manipulation terminée, si tu le souhaites) :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Décoche "Masquer les extensions de fichiers connus" et valide

Localise le fichier sndvol32.exe et renomme le sndvol32.exe.vir
Ensuite fais redémarrer ton ordinateur.


Normalement, le fichier ne pourra plus s'exécuter :
- Si tes problèmes sont réglés, c'est que le fichier était bien néfaste, tu pourras le supprimer (pense à me l'envoyer avant stp)
- Si ça ne règle pas le problème, le fichier n'est sans doute pas néfaste, et tu pourras lui rendre son vrai nom.

1
anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
790
17 nov. 2009 à 21:16
Bonsoir,


Peux-tu utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

• Télécharge ZHPDiag
• Laisse toi guider lors de l'installation
• Il se lancera automatiquement à la fin de l'installation
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

0
Marcelostickos
Messages postés
76
Date d'inscription
jeudi 19 avril 2007
Statut
Membre
Dernière intervention
26 avril 2013
43
17 nov. 2009 à 21:35
bonsoir anthony merci de ton attention je t'envoi le lien : http://www.cijoint.fr/cjlink.php?file=cj200911/cijj7mTqP3.txt

à savoir que le programme c'était relancé a ce moment la donc tu le retrouvera aussi dans le processus
0
anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
790
18 nov. 2009 à 01:08
Hum, je ne crois pas que le fichier dont tu me parlais dans ton premier message soit néfaste. Mais on va vérifier :

• Rends toi sur le site https://www.virustotal.com/gui/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : C:\Windows\System32\sndvol32.exe
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Marcelostickos
Messages postés
76
Date d'inscription
jeudi 19 avril 2007
Statut
Membre
Dernière intervention
26 avril 2013
43
18 nov. 2009 à 19:53
voila c'est fait il n'a trouvé aucun virus sur sndvol32.exe (je sais que celui ci est impliqué dans l'infection car non present à la base sur un win 7 x86, et quand je ferme le programme que le trojan lance sndvol32 disparait du gestionnaire de tache)

http://www.virustotal.com/fr/analisis/2ee5ea0d806d0535b6d20552557b1d7fb8f9cf7a029d84bcf9085e9a31d2e57e-1258171562

a savoir qu'il ma trouvé comme nom de fichier "rzrfa10.exe" (ce qui prouve qu'il ne s'agit pas d'un "vrai sndvol.exe) et selon mes recherches il s'agit d'un fichier keygen pour fifa 10 ... mais je ne joue pas au jeu de foot ...

merci pour ton aide en tout cas c'est cool, enfin je sens que ça va quand même finir par un reformatage.
0
Marcelostickos
Messages postés
76
Date d'inscription
jeudi 19 avril 2007
Statut
Membre
Dernière intervention
26 avril 2013
43
18 nov. 2009 à 22:39
mail envoyé alors a preciser que renommé le fichier ne change rien car il se recrée automatiquement je tente un redemarrage en sans echec pour voir si je retrouve le fichier d'origine dedans et je te tiens au courant
0
Marcelostickos
Messages postés
76
Date d'inscription
jeudi 19 avril 2007
Statut
Membre
Dernière intervention
26 avril 2013
43
18 nov. 2009 à 23:18
alors bonne nouvelle après redémarrage en sans échec je n'ai pas retrouvé le fichier rzr... mais j'ai pu renommé le fichier en .vir sans que celui ci ne se recrée et depuis 15 min que j'ai redémarré en normal plus d'apparition du bonhomme dansant donc apparemment tout est revenu à la normal, mais je pense toujours avoir un fichier vérolé sinon il ne ce serait pas recréé tout seul mais bon peut qu'il y aura une suite ... j'espère pas.

En tout cas merci Anthony pour ton aide précieuse je pense que tout seul ça aurait finis en formatage.
0
anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
790
19 nov. 2009 à 01:34
J'ai bien reçu le fichier, merci.

Puisque la preuve est faite que ce fichier est bien celui qui te gênait, on va pouvoir nettoyer proprement :)
La manipulation que je t'ai indiqué a seulement désactivé le fichier, on va maintenant supprimer ce fichier et la clé de Registre qui y est associée

Poste un nouveau rapport ZHPDiag stp

0
Marcelostickos
Messages postés
76
Date d'inscription
jeudi 19 avril 2007
Statut
Membre
Dernière intervention
26 avril 2013
43
19 nov. 2009 à 01:42
aussitôt dis aussitôt fait... en fait je repasser par la avant de me coucher.

voici le lien :

http://www.cijoint.fr/cjlink.php?file=cj200911/cijUzgSXdq.txt
0
anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
790
19 nov. 2009 à 17:44
• Lance ZHPFix (via le raccourci sur ton Bureau, soit via ZHPDiag)
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
• Copie/colle les lignes suivantes et place les dans ZHPFix :

O4 - HKLM\..\policies\Explorer\Run: [ctfmon] C:\Windows\System32\sndvol32.exe
O40 - ASIC: (no name) - {4EY0KAT7-134K-IC08-40L8-6O0127S53167} - C:\Windows\System32\sndvol32.exe Restart

• Clique sur « Tous », puis sur « Nettoyer »
• Copie/colle la totalité du rapport dans ta prochaine réponse

0
Marcelostickos
Messages postés
76
Date d'inscription
jeudi 19 avril 2007
Statut
Membre
Dernière intervention
26 avril 2013
43
21 nov. 2009 à 14:51
avec un peu de retard mais sans trace du virus ni de sndvol32.exe :) dis moi ce que tu en pense que je mette le sujet en resolu.

http://www.cijoint.fr/cjlink.php?file=cj200911/cijifmCLJ5.txt

encore merci pour le coup de main
0
anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
790
21 nov. 2009 à 16:38
Ok ;)


Pour pouvoir finir la désinfection mais surtout te donner des conseils pour sécuriser ton ordinateur, fais ceci stp :

- Télécharge hijackthis sur ton Bureau.
- Installe le, lance le et clique sur "Do a system scan and save a logfile".
- Fais un copier-coller du rapport entier sur le forum

0
Marcelostickos
Messages postés
76
Date d'inscription
jeudi 19 avril 2007
Statut
Membre
Dernière intervention
26 avril 2013
43
22 nov. 2009 à 22:10
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:14:04, on 22/11/2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\vVX3000.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Users\marcelostickos\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\marcelostickos\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\marcelostickos\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\marcelostickos\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\marcelostickos\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\marcelostickos\Documents\Downloads\HiJackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\Windows\vVX3000.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\marcelostickos\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Policies\Explorer\Run: [ctfmon] C:\Windows\System32\sndvol32.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/fr/scan8/oscan8.cab
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
0
anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
790
23 nov. 2009 à 17:09
Très bien, ton ordinateur n'est plus infecté :)

Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (7).



1) Les barres d'outils

Souvent installées avec d'autres logiciels sans que l'utilisateur y fasse attention, les barres d'outils se multiplient sur les ordinateurs et ont deux résultats : ralentir les ordinateurs et provoquer des bugs des navigateurs.
Je te conseille de désinstaller la tienne qui est inutile (barre d'outil Yahoo).



2) Sécurise ton ordinateur

• Logiciels de protection :
* Avast était un antivirus convenable il y a quelques années, mais il est dépassé aujourd'hui. Il existe d'autres antivirus gratuits plus efficaces (Antivir ou MSE)
Désinstalle Avast : Commence par supprimer ce qu'il y a en quarantaine, puis fais clic droit sur l'icone d'Avast près de l'horloge --> désactive la protection résidente. Puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle Avast. Si ça ne fonctionne pas, consulte ce lien : Désinstallation d'Avast
* Si tu choisis Antivir pour le remplacer, télécharge le ici.
* En complément, garde MalwareBytes pour son scan de nettoyage performant.

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

• Tu dois aussi mettre à jour tous tes programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)

• Vaccine tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) → lance l'installation avec les paramètres par défaut → Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3, appareils photos numériques etc...) sans les ouvrir →Fais un clic droit sur le raccourci de USBFix et choisis 'Exécuter en tant qu'administrateur' → Au menu principal, choisis l'option 3 (Vaccination).



3) Relance Hijackthis (par un clic-droit → 'Exécuter en tant qu'administrateur'), choisis "Do a system scan only" et coche les lignes suivantes qui sont inutiles (j'ai intégré les barres d'outils dans cette liste) :

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Policies\Explorer\Run: [ctfmon] C:\Windows\System32\sndvol32.exe

Coche également toutes les lignes commençant par 016 puis clique sur "Fix checked"

O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
==> Si tu n'utilises pas la barre de gadgets (lourde et inutile), tu peux aussi fixer ces 3 lignes.



4) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé.
Fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ». Puis clique sur Recherche et patiente pendant le scan. A la fin, clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.



5) Télécharge et installe CCleaner, puis lance le.
Clique sur Option → avancé → décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre → corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



6) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp.



7) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet



8) Pour finir, je t'invite à faire régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Dans ce sujet, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)
0