PC infecté par Rootkit gen [Rtk]

Résolu/Fermé
Lost in the sea - 12 févr. 2010 à 21:42
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 18 févr. 2010 à 22:10
Bonjour,

Mon anti virus Avast m'indique que mon PC serait infecté par Rootkit gen [Rtk] et quelques Trojan et Malware. J'avoue être complètement perdue et non spécialiste. Les fichiers infectés ont été mis en quarantaine.
Ils sont principalement situés au niveau des dossiers suivants:
C:\WINDOWS\system32\drivers
C:\WINDOWS\Lastgood\system32\drivers
C:\System Volume Information\_restore

Après lecture de nombreux forums, j'ai l'impression qu'il est difficile de s'en sortir sans l'avis d'un spécialiste.

A toutes fins utiles, je joins le rapport HijackThis.

Par avance merci beaucoup de toute aide!!!



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:08:45, on 12/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\V3CallCenter\V3faxecp.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [HWSetup] C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CallCenter Printer Interface.lnk = C:\Program Files\V3CallCenter\V3faxecp.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.canalplay.com
O15 - Trusted Zone: *.canalplusactive.com
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.extrafilm.fr/ImageUploader5.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.wistiti.fr/ImageUploader4.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service CANALPLAY - Canal+ Distribution - C:\Program Files\Lecteur CANALPLAY\CanalPlayService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
A voir également:

15 réponses

kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
13 févr. 2010 à 10:41
Bonjour et Bienvenue sur CCM

Afin de mieux te répondre, il est nécessaire de passer un outil de diagnostic plus complet.

Télécharge random's system information tool (RSIT) (de Random/Random) sur le bureau.

* Lance RSIT en double cliquant sur son icône
* La fenêtre de Disclaimer apparait : clique sur "Continue" (laisse par défaut 1 month)
* Si HijackThis n'est pas présent, pas à jour ou non détecté sur l'ordinateur, il sera téléchargé : Tu dois l'autoriser et accepter la licence.
* Après le balayage, 2 rapports vont s'ouvrir au format bloc-note : log.txt (qui sera affiché) ainsi que de info.txt (dans la barre des tâches)
* Copie-colle les rapports dans ton prochain message

Si les rapports ne s'ouvrent pas spontanément ils se trouvent dans le répertoire suivant : C:\rsit\

Tu peux également les héberger ici si leurs longueurs est trop importantes : http://www.cijoint.fr/

A +
1
Lost in the sea
13 févr. 2010 à 11:01
Bonjour kalimusic,

Merci de ta réponse!

Voici donc les fichiers:
-> info.txt: http://www.cijoint.fr/cjlink.php?file=cj201002/cijE8iDthR.txt
-> log.txt: http://www.cijoint.fr/cjlink.php?file=cj201002/cijAKk5BZV.txt

A+
1
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
13 févr. 2010 à 12:46
Bonjour Lost in the sea

1. Télécharge ATF http://www.atribune.org/ccount/click.php?id=1 (par A-Tribune) sur le bureau et lance le en double cliquant sur son icône

* Choisis ton navigateur (IE ou firefox ou opera ).
* Coche Select All
* Clique sur Empty Selected
(Si tu souhaites conserver les mots de passe sauvegardés, clique No à l'invite)
* Accepte de tout supprimer

Cet outil ne donne pas de rapport, il sert à préparer le passage du logiciel suivant


2. Télécharge MBAM et installe le selon l'emplacement suivant C:\Program Files\MalwareBytes'Anti-Malware
* Effectue la mise à jour et lance Malwarebytes' Anti-Malware
* Clique dans l'onglet du haut "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

* Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

* Clique sur OK puis "Afficher les résultats"
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
* Sinon le rapport s'ouvre automatiquement après la suppression, copie/colle le rapport dans le prochain message.

3. As-tu eu Symantec/Norton comme antivirus avant ?

Afin de faciliter nos échanges et de suivre plus facilement le sujet , je te recommande de t'inscrire, merci

A +
1
Lost in the sea Messages postés 16 Date d'inscription samedi 13 février 2010 Statut Membre Dernière intervention 29 décembre 2015 2
13 févr. 2010 à 17:45
J'ai effectivement dû avoir norton durant les quelques mois gratuits, à l'achat de mon PC.

Voici le rapport MBAM:

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3732
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

13/02/2010 17:46:48
mbam-log-2010-02-13 (17-46-48).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 205153
Temps écoulé: 47 minute(s), 47 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Purchased Products (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\SalesMonitor (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\SalesMonitor\Data (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\Marie\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.


Je dois refaire une analyse par MBAM? Merci....
A+
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
13 févr. 2010 à 19:14
Salut

Dans mes interventions, je vois que tu as postés un message à 17h45, je ne sais pas pourquoi mais on ne le voit pas. Peux-tu le reposter stp ?

edit : il vient de réapparaître ! on peut passer à la suite

Pendant la durée de la procédure, tu dois désactiver le module Tea Timer de Spybot S&D sous peine de faire échouer la désinfection.
https://www.commentcamarche.net/telecharger/securite/20939-spybot-search-and-destroy/
Aide en images : http://pagesperso-orange.fr/rginformatique/section%20virus/demo%20spybot.htm

Télécharge OTM http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/ (de Old_Timer) sur le bureau

* Lance l'outil en faisant un double clic sur l'icône OTM
* La fenêtre principale de l'outil s'ouvre :
* Copie la liste en citation ci-dessous et colle-la dans le cadre "Paste instructions for Items to be Moved"

:Files
C:\WINDOWS\tasks\Symantec NetDetect.job
C:\Program Files\Fichiers communs\LibreSystem
C:\Documents and Settings\All Users\Application Data\SalesMonitor

:Commands
[purity]
[emptytemp]

* Clique sur MoveIt ! pour lancer la suppression
* A la fin du processus le PC va redémarrer
* Poste le rapport dans qui se trouve dans le répertoire suivant C:\_OTMoveIt\MovedFile

edit 2 : on s'est recroisé !!

A +
1
Lost in the sea Messages postés 16 Date d'inscription samedi 13 février 2010 Statut Membre Dernière intervention 29 décembre 2015 2
13 févr. 2010 à 19:49
Salut!

Je regrette de ne pas pouvoir comprendre exactement ce que tu me fais faire mais le principal, c'est qu'on aboutisse!


All processes killed
========== FILES ==========
C:\WINDOWS\tasks\Symantec NetDetect.job moved successfully.
C:\Program Files\Fichiers communs\LibreSystem folder moved successfully.
File/Folder C:\Documents and Settings\All Users\Application Data\SalesMonitor not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: LocalService
->Temp folder emptied: 115616 bytes
->Temporary Internet Files folder emptied: 13725401 bytes

User: Marie
->Temp folder emptied: 901531 bytes
->Temporary Internet Files folder emptied: 61356792 bytes
->Java cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 90306181 bytes

User: Yann
->Temp folder emptied: 3178147 bytes
->Temporary Internet Files folder emptied: 41250692 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 20091904 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 58494 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 10962332 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 3783 bytes

Total Files Cleaned = 231.00 mb


OTM by OldTimer - Version 3.1.8.0 log created on 02132010_194119


A+
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
13 févr. 2010 à 22:09
Bonsoir

Avast! avait assez bien neutralisé l'infection, mais il restait quelques fichiers infectés.
J'ai également enlevé des éléments mal désinstallés de Norton, d'ailleurs il reste un service a supprimer, on le feras quand tout sera OK.
Comment se comporte le PC ? Tout marche normalement ?
On va procéder à une dernière vérification :

Fait un scan en ligne ESET avec IE : https://www.eset.com/int/home/online-scanner/
aide en images = http://www.bibou0007.com/scans-en-ligne-f75/tutorial-eset-online-scanner-t3691.htm
Poste l'intégralité du rapport qui se trouve ici: C:\Program Files\EsetOnlineScanner\log.txt

Si tu veux optimiser le démarrage de Windows, on pourras le faire en même temps que l'opération suivante (merci de le signaler)

A+
1
Lost in the sea Messages postés 16 Date d'inscription samedi 13 février 2010 Statut Membre Dernière intervention 29 décembre 2015 2
14 févr. 2010 à 22:10
Bonsoir kalimusic,

Le PC se comporte tout à fait normalement. Je ne vois rien de spécial à te signaler.
Je suis preneuse d'une optimisation du démarrage de Windows car mon PC mets effectivement pas mal de temps à démarrer je trouve.

Petite question: est-ce que l'objectif de ces manip est de supprimer complètement ces virus du PC ou seulement de les mettre en quarantaine? Que disent les rapports, ça avance comme tu veux?

Voici le rapport ESET

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# IEXPLORE.EXE=7.00.6000.16981 (vista_gdr.091215-2244)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=c20f7784bcb0304e8806d0a502570e63
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2010-02-14 01:41:26
# local_time=2010-02-14 02:41:26 (+0100, Paris, Madrid)
# country="France"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 148599 148599 0 0
# compatibility_mode=769 16775125 100 98 6622 202438662 59898 0
# compatibility_mode=8192 67108863 100 0 3770 3770 0 0
# scanned=76643
# found=28
# cleaned=28
# scan_time=4585
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP511\A0078256.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP511\A0078257.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP511\A0078258.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP511\A0078259.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP511\A0078260.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086362.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086368.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086414.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086416.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086418.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086419.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086420.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086421.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086422.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086423.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086424.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086425.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086434.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086437.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086438.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086439.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086449.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086450.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086460.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086466.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086467.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086491.sys a variant of Win32/Rootkit.Kryptik.AF trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP512\A0086506.exe Win32/TrojanDownloader.Bredolab.BE trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C


Bonne soirée
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
14 févr. 2010 à 22:59
Bonsoir Lost in the sea


Quand un virus est en quarantaine, il est isolé du système et neutralisé.
Tu peux éventuellement vider la quarantaine si tu veux, simplement il ne faut pas se précipiter pour le faire, car en cas de faux-positifs (détection d'un fichier légitime pris pour une menace) tu auras la possibilité de restaurer le fichier.
Dans notre cas tu peux vider les quarantaines de Avast! et de Malwaresbytes

Oui, merci tout avance bien mais c'est pour toi que c'est une bonne nouvelle ;-)

Les fichiers trouvés par ESET étaient situés dans le système de restauration de Windows, on finiras le nettoyage au prochain coup.


****************

On va désactiver et supprimer un service de Norton (obsolète)


Ouvre la commande "Exécuter" par Windows + R
=> tape dans le champ : cmd et valide par OK
Dans la fenêtre noire (DOS) qui suit, tape chacune des commandes suivantes en respectant scrupuleusement la syntaxe, puis valide avec la touche [Entrée] après chaque ligne.

sc stop SymWSC
sc config SymWSC start= disabled
sc delete SymWSC

Referme la fenêtre de commande


* Lance Hijackthis, choisis Open the Misc.Tools section
* Une nouvelle interface s'ouvre
* Clique sur Delete a NT service ( dans la zone "System Tools")
* La fenêtre s'ouvre, entre dans la zone de dialogue : SymWSC
Note : assurez-vous de ne mettre d'espace, ni avant, ni après !
* Clique sur OK
* Une autre fenêtre s'ouvre, donnant des informations sur le service et demandant si tu veux redémarrer.
* Clique sur NO


Supprime les dossiers contenant les noms Symantec ou Norton dans les répertoires suivants : C:\Program Files & C:\Program Files\Fichiers communs\ (si présents bien sûr)

*********

Ce service installé avec les produits Apple peut-être désactivé :

Ouvre la commande "Exécuter" par Windows + R
=> tape dans le champ : cmd et valide par OK
Dans la fenêtre noire (DOS) qui suit, tape chacune des commandes suivantes en respectant scrupuleusement la syntaxe, puis valide avec la touche [Entrée] après chaque ligne.

sc stop "Bonjour Service"
sc config "Bonjour Service" start= disabled
sc delete "Bonjour Service"

Referme la fenêtre de commande

*********

Désactive les services de texte avancés :

https://www.commentcamarche.net/faq/16249-desactiver-ctfmon-exe-au-demarrage

On le désactiveras au démarrage avec l'action suivante.

*********

Exécute HijackThis

* Dans la fenêtre principale"Main Menu" clique sur le bouton "None of the above, just start the program"
* Clique sur le bouton Scan ( dans le sous-menu Scan & fix stuff)
* Après le balayage, coche les cases des lignes indiquées si toujours présentes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

* Ferme toutes les applications en cours et surtout le navigateur Internet !
* Clique ensuite sur le bouton Fix checked (dans le sous-menu Scan & fix stuff)
* Répond "Oui" dans la fenêtre d'avertissement, referme le programme après la suppression.

*******

Optionnel


MSN : je te donne la méthode si tu ne veux plus qu'il démarre avec Windows

Dans le "menu démarrer" de la barre des tâches
*Clique sur "Tous les programmes", ouvre le logiciel MSN Messenger,
Entre ton identifiant si nécessaire
* Clique dans l'onglet "outils"
en bas du menu déroulant, clique sur "options"
puis choisit dans le bandeau gauche de la fenêtre l'onglet Connexion
* Dans le menu Général décoche la case :
"Exécuter Messenger automatiquement au démarrage de Windows"
* Clique sur "Appliquer" puis "OK"


********

Désinstallation des outils utilisés pour la procédure

Télécharge Tools Cleaner (par A.Rothstein & dj QUIOU) sur le bureau et exécute le

* Clique sur Recherche et laisse le scan se terminer
* Clique ensuite sur Suppression
* Clique sur Quitter, pour que le rapport puisse se créer
* Poste le dans ton prochain message

Le rapport (TCleaner.txt) se trouve à la racine du disque dur (C:\)


A +
1
Lost in the sea Messages postés 16 Date d'inscription samedi 13 février 2010 Statut Membre Dernière intervention 29 décembre 2015 2
15 févr. 2010 à 20:24
Bonsoir!

Heureusement que tu me dis que tout va bien parce que ce n'est pas évident!! Toutes ces manip sont vraiement réservées aux initiés ! Enfin j'ai tout suivi scrupuleusement. Voici le rapport:

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\_OTM: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Marie\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Marie\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\Marie\Recent\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Marie\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Marie\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\Marie\Recent\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\_OTM: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !


Bonne soirée à toi!
1
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
15 févr. 2010 à 21:38
Bonsoir

Je crois que tu commences à voir le rivage ;-)

Par mesure de prudence et de prévention, change des mots de passe sensibles.
(ex : e-Carte Bleue LCL, etc...)

1. Supprime les anciens points de restauration :

Clique sur le Poste de travail, puis fait un clic droit sur le disque dur principal (en général C:/)
* Clique sur Propriétés
Dans la fenêtre qui s'ouvre dans l'onglet général
* Clique sur Nettoyage de disque
Une boîte de dialogue te demande de patienter le temps du calcul, une nouvelle fenêtre va s'ouvrir.
* Choisit le 2ème onglet Autres options puis l'item Restauration du système
* Valide la boîte de dialogue qui s'affiche en cliquant sur Oui
* Ferme ensuite la fenêtre Nettoyage de disque en cliquant sur OK


2. Les logiciels de sécurité

Tu peux garder Malwarebytes qui est un excellent logiciel anti-malware et t'en servir régulièrement pour un scan rapide sur ton PC sans oublier de le mettre à jour.
Il remplaceras avantageusement les 2 anti-spywares présents sur ta machine.
Spybot S&D a encore ses partisans, mais il est devenu au fil du temps de moins en moins intéressant. la fonction "tea timer" est pénible et la vaccination a tendance à ralentir la navigation.
Attention, ce logiciel a une désinstallation spécifique : https://jesses.pagesperso-orange.fr/Docs/Logiciels/SpybotAnnexe.htm
Pour Ad-Adware, aucune hésitation : https://www.commentcamarche.net/faq/7382-desinstaller-ad-aware-se

Pour l'antivirus :
Il est préférable de migrer vers la nouvelle version Avast! 5
Il vaut mieux désinstaller l'ancienne version avant : https://www.commentcamarche.net/telecharger/securite/22859-utilitaire-de-desinstallation-de-avast/
Tuto complet : https://www.malekal.com/tutoriel-antivirus-avast/

Par contre, bien sûr ce n'est pas une obligation, je te conseille de réfléchir à un changement d'antivirus.
https://www.commentcamarche.net/telecharger/securite/antivirus-antimalwares/
https://www.commentcamarche.net/faq/24835-comparatif-2009-des-antivirus-gratuits-antivir-avast-avg-mse
Je préconise un logiciel gratuit plus léger et plus efficace que celui que tu as actuellement Antivir
tuto installation : http://www.libellules.ch/tuto_antivir.php
tuto configuration : https://www.commentcamarche.net/faq/16831-tutoriel-configuration-optimale-d-antivir-personal

3. Nettoyage Windows

Télécharge et installe Ccleaner
Surtout ne pas oublier de décocher la barre d'outils yahoo! lors de l'installation
Tuto : http://www.6ma.fr/tuto/ccleaner+v202-411

Ce logiciel doit être utilisé régulièrement pour nettoyer les fichiers temporaires et les cookies.


4. Mises à jour

Même si internet Explorer n'est pas ton navigateur par défaut, il est préférable de le tenir à jour :
Internet Explorer 8

Mise à jour de Java

Télécharge JRE 6 Update 18 et installe le, normalement maintenant il supprimera les anciennes versions présentes si nécessaires, sinon tu peux le faire via Ajout/Suppression de Programme

Mise à jour des logiciels présents sur ta machine

Adobe Reader 9.3
!! n'oublie pas de décocher la case "McAfee Security Scan" !!

Vérifie si tes autres logiciels sont à jour sur Sécunia

* Clique sur Start Scanner
* Une fois "Java applet" chargé, coche :
Enable thorough system inspection
Display only insecure programs
* Clique sur Start


Patiente le scan peut être long ! Le résultat t'indiquera les logiciels à mettre à jour ainsi que les liens pour le faire. Les fois suivantes tu pourras juste faire Display only insecure programs pour te maintenir à jour.


5. Quelques règles simples :

* La multiplication des protections est une source de conflit et n'est pas plus efficace pour la sécurité : 1 seul anti-virus à jour, 1 seul pare-feu (celui de Windows peut suffire), 1 seul anti-spyware (une préférence pour Malwarebytes)
* Ne pas surfer en droits administrateurs
* Tenir Windows et les autre logiciels sensibles à jour : Anti-Virus, Java, Adobe, etc..
* Ne pas installer n'importe quel logiciel sur son PC (surtout via des liens publicitaires), toujours se renseigner avant.
* Éviter les sites à risques (pornographiques, etc...) et les comportements à risques (P2P, cracks, warez....)
* Ne pas cliquer aveuglement sur des liens contenus dans les messages inconnus ou suspects (E-mails, messageries instantanées, réseaux sociaux...)
* Utiliser un navigateur alternatif et le sécuriser (par exemple Firefox avec des modules complémentaires comme AdBlock, Noscript, WOT, etc...)


Je t'invite à lire ces différents articles, afin de surfer plus sereinement :

Prévention & Protection

Les idées reçues en sécurité logicielle

Pourquoi et comment je me fais infecter ? (par Malekal)

**************************

N'oublies pas de me faire part d'éventuelles difficultés dans les dernières étapes.
Si tout se passe bien clique ensuite sur résolu, merci.

1
Lost in the sea
18 févr. 2010 à 21:48
Bonsoir Kalimusic,

Tout s'est a priori bien passé. Il me semble que mon PC est plus rapide à démarrer.
Je vais lire les articles que tu m'as conseillés pour limiter les risques d'infection.

Merci beaucoup pour ton aide précieuse et bonne continuation!

Je pars à la recherche de la manip permettant d'indiquer que mon problème est résolu ;o)

Bonne soirée,
0
Lost in the sea
18 févr. 2010 à 22:03
Je ne dois pas être douée car bien que je sois inscrite sur le site, je ne suis pas reconnue et suis obligée de m'identifier pour te répondre.
Je n'arrive donc pas à accéder à la fenêtre me permettant d'indiquer que mon problème est résolu.....
0
Lost in the sea Messages postés 16 Date d'inscription samedi 13 février 2010 Statut Membre Dernière intervention 29 décembre 2015 2
13 févr. 2010 à 19:18
Bien sûr, j'ai peut-être fait une fausse manip, en non-initiée.. Voici:



J'ai effectivement dû avoir norton durant les quelques mois gratuits, à l'achat de mon PC.

Voici le rapport MBAM:

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3732
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

13/02/2010 17:46:48
mbam-log-2010-02-13 (17-46-48).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 205153
Temps écoulé: 47 minute(s), 47 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Purchased Products (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\SalesMonitor (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\SalesMonitor\Data (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\Marie\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.


Je dois refaire une analyse par MBAM? Merci....
A+
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
13 févr. 2010 à 19:28
regarde le message 8, A +
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
18 févr. 2010 à 22:10
Bonsoir Lost in the sea

Merci pour le retour :)

Pour pouvoir cliquer sur résolu, il faut être identifié et je vois que tu es grisé ce soir, tu dois te reconnecter

https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/

Bonne soirée
0
Utilisateur anonyme
12 févr. 2010 à 21:56
J'ai 4 proposition :
1.Reformater ton disque dur avant ça il faut copier tes données sur un site web parce qu'il pourra éliminé tout virus et puis réinstaller ton os et en même temps reformater ton disque dur.
2.Suprimer les répertoires que tu as dit mais pas les répertoires racines donc celà :
C:\WINDOWS\system32\drivers
C:\WINDOWS\Lastgood\system32\drivers
C:\System Volume Information\_restore
3. tu doit désinstaller sur anti-virus et mettre AVG Free et tu fait analyse puis il l'est verra puis tu les envoies en carantainne.
4.Si tu ne veux pas de mes 3 prosition parle à mon père il est imformatien son adresse : laurentdevos@hotmail.com (SVP: ne lui rempli pas tout ça boite aux lettre) et tu dit que c'est Emilien son fil qui t'envoie.
Emilien
-1
Lost in the sea
13 févr. 2010 à 10:34
Merci beaucoup de ta réponse Emilien!

Par contre, j'avoue ne pas être convaincue par tes propositions car:
1. Sur les forums, il semble possible d'éliminer ces virus sans tout reformater,
2. 99% des virus détectés sont situés sur les 3 répertoires que tu me dis de ne pas supprimer,
3. Les virus sont déjà en quarantaine donc pourquoi changer d'anti virus?

Si quelqu'un a d'autres idées, je suis preneuse!!

Merci encore...
0
Jmotocross Messages postés 5 Date d'inscription samedi 13 février 2010 Statut Membre Dernière intervention 6 mars 2010
13 févr. 2010 à 11:01
Bonjour,

Je te conseille d'utiliser ComboFIX, tu le télécharge et puis tu fermes toute les fenêtres ouvertes et les logiciels tu te déconnecte d'Internet. Ensuite désactive la protection résidente de ton anti virus et tu lances ComboFix, il va te prévenir tu mets oui partout puis t'attends qu'il détruise tout types de virus ensuite il te feras un rapport en document .txt et voilà. Normalement tu ne dois plus avoir de virus.
-1
Utilisateur anonyme
16 févr. 2010 à 16:08
DSL Lost in the sea,
Je ne vais plus t'aider parce que je ne suis pas et je suis nul.
Si vous voulez bien m'aider à mes sujets : Le répertoire d’installation de Office 2003, Jouer à dofus sans installer ou sans internet.
Merci Emilien
-1