DownloaderW32.tolsky et trojanspy.zbot.afkow

Résolu/Fermé

gaellia Messages postés 30 Date d'inscription lundi 21 janvier 2008 Statut Membre Dernière intervention 8 août 2011 - 25 févr. 2010 à 21:26
supergeronimo44 Messages postés 862 Date d'inscription mardi 21 avril 2009 Statut Contributeur sécurité Dernière intervention 28 octobre 2011 - 13 mars 2010 à 13:17

Bonjour,

Mon ordi ne va pas bien !!!
F-secure (l'anti virus installé) me dit :
(+ 11 Virus en quarantaine (les 2 du titre et packedW32.krap.ao , trojanW32 chifrax.d , trojan clikerW32.Autoit ...)

Rapport d'analyse
mercredi 24 février 2010 15:49:01 - 16:45:52
Nom de l'ordinateur : ACER-CAB9EEA47C
Type d'analyse : Effectuer une analyse complète de l'ordinateur
Cible : C:\ D:\ + système + rootkits

--------------------------------------------------------------------------------

Résultat: 5 antiprogramme(s) détecté(s)
Trojan-Downloader.Win32.Tolsty.j (virus)
C:\Program Files\eMule\Incoming\Jeux\Sally's Spa-PreCracked-Gamehouse-HIVBABY.rar\SallysSpa.exe
Trojan-Spy.Win32.Zbot.afkw (virus)
C:\System Volume Information\_restore{23F08A26-38FB-4A7A-96A8-388AD6A8D028}\RP586\A0108618.EXE Action : renommé
C:\System Volume Information\_restore{23F08A26-38FB-4A7A-96A8-388AD6A8D028}\RP585\A0108455.exe Action : renommé
C:\System Volume Information\_restore{23F08A26-38FB-4A7A-96A8-388AD6A8D028}\RP585\A0108456.exe Action : renommé
C:\System Volume Information\_restore{23F08A26-38FB-4A7A-96A8-388AD6A8D028}\RP584\A0108402.exe Action : renommé

Seulement voilà, je crois que de les renommer ça n'a pas vraiment aidé, en plus j'en ai déjà pas mal en quarantaine.
Ma question : comment savoir si on peut les supprimer de la quarantaine (et comment ???) ?
Je pense avoir lu quelque part que ce sont les sauvegardes des restaurations système infectées, il faut les effacer ?

Mon autre problème c'est que j'ai je sais pas combien de programmes qui tournent, je les vois dans le gestionnaire des tâches, et là encore je ne sais pas comment savoir lesquels supprimer et comment le faire définitivement ! Bon je sais qu'il y en a d'indispensables mais là c'est vraiment trop.

Puis j'ai lu qu'avec CCleaner on ne devait pas sauvegarder les modifications du registre (quand on repare les erreurs), je les ai tjs gardées moi, je les efface ?

J'ai oublié de vous dire que spybot ne trouve rien et tant qu'a faire :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:45:10, on 24/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\lxctcoms.exe
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\AntivirusFirewall\FSAUA\program\fsaua.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\AntivirusFirewall\FSAUA\program\fsus.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Acer\Empowering Technology\admtray.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\user\Application Data\services.exe
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\Empowering Technology\ePower\epm-dm.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [LXCTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O20 - AppInit_DLLs: dswdzf.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\ORSP Client\fsorsp.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: lxct_device - - C:\WINDOWS\system32\lxctcoms.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

End of file - 12084 bytes

Vous avez les clefs en main !!!
J'attend avec impatience votre aide.

Bon j'arrête sinon vous allez partir en courant.

Please help !
Thanks
:-)

50 réponses

Réponse 41 / 50

supergeronimo44 Messages postés 862 Date d'inscription mardi 21 avril 2009 Statut Contributeur sécurité Dernière intervention 28 octobre 2011 85
10 mars 2010 à 16:44

Salut !

ok, c'est cool !

alors :
1/relance Hijackthis
2/clique sur Do a scan only
3/coche la case qui est à gauche de ces lignes :

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3D3B42C2-11BF-4732-A304-A01384B70D68} (UploadListView Class) - http://picasaweb.google.com/s/v/59.20/uploader2.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe (file missing)

et clique ensuite sur fix checked
.

B/désinstalle (via ajout /suppression de programmes ) :
=> Spybot S&D ( il est obsolète aujourd'hui )
=> Adobe Reader.( il n'est pas à jour, on va le réinstaller juste après.)
=> Java ( idem)
=>Adobe flash player ( idem)
=> Google toolbar ( les toolbars, c'est pas obligatoire !!! à lire : https://forum.malekal.com/viewtopic.php?t=6173&start= )
Si tu utilises une version d'essai de F-Secure, désinstalle-le également ( il est très lourd, et il en existe des plus efficaces, gratuits et moins lourds)

C/Pour nettoyer tous les petits résidus :

--> Télécharge CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.ccleaner.com/ccleaner/download

---> Lance-le. Va dans "Options" puis "Avancé", tu décoches la case "Effacer uniquement les fichiers etc...". Tu vas dans "Nettoyeur", tu fais "Analyse". Une fois terminé, tu lances le nettoyage. Puis tu vas dans "Registre", tu fais "Chercher des erreurs". Une fois terminé, tu répares toutes les erreurs sans sauvegarder la base de registre.

Il est conseillé de faire cela 1 fois toutes les 2 semaines environ, cela permettra à ton PC d'aller plus vite.

---------------------------------------------------------------------------------

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

* Télécharge Toolscleaner sur ton Bureau
* (c est le numéro 14 en bas de la page) :https://www.androidworld.fr/
* Double-clique sur ToolsCleaner2.exe et laisse le travailler
* Clique sur Recherche et laisse le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta prochaine réponse.

j'attends ton rapport et la confirmation que tu as bien fait tout le reste pour continuer. ;-)

Réponse 42 / 50

gaellia
12 mars 2010 à 10:14

Alors j'ai tout fait :
Cocher ce que tu m'as dit et désinstaller les programmes sauf désinstaller ma google toolbar parce que je ne peux pas m'en passer, sérieux, chez mes amis je trouve ça tellement emmer...biiip de chercher quelque chose sans elle !!

Ensuite, en ce qui concerne CCleaner (que j'avais déja, j'ai d'ailleurs désinstallé avec lui, j'en ai pris l'habitude) je me demande si je ne dois pas rajouter des trucs dans le nettoyeur parce qu'à partir de cache DNS (inclu) tout est grisé et ne s'analyse donc pas...
Pour les erreurs du registre, j'avais toujours sauvegardé les modifications, je les efface ??
CCleaner, je le fesais déja assez souvent, par contre je ne savais pas pour spybot, mais c'est vrai que ces derniers temps il ne trouvait pas grand chose !

Je fais toolclean et je te poste le rapport.

ps : securitoo (f secure) c'est mon copain qui le paye à Orange, je ne l'ai donc pas supprimé mais en ce qui concerne sa quarantaine (cf message plus haut) on la laisse comme ça ??????

Réponse 43 / 50

gaellia Messages postés 30 Date d'inscription lundi 21 janvier 2008 Statut Membre Dernière intervention 8 août 2011 2
12 mars 2010 à 10:29

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Qoobox: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\WINDOWS\mbr.exe: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\user\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\user\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\user\Bureau\Rsit.exe: trouvé !
C:\Program Files\HijackThis: trouvé !
C:\Program Files\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\HijackThis\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\user\Bureau\HijackThis.lnk: supprimé !
C:\Program Files\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Documents and Settings\user\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\user\Bureau\Rsit.exe: supprimé !
C:\Program Files\HijackThis\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Qoobox: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\HijackThis: supprimé !

Alors voila mais j'ai encore plein de chose dans c:/ et même sur le bureau (le programme qu'on a renommé gaellia, SEAF, Load_tdsskiller.exe, gmer et son rapport, cfscript.zip) ...
Je fais quoi ?

Ce qui m'ammene à une autre question, quand je n'exécute pas un programme mais que je l'enregistre seulement (ici sur le bureau) puis-je le supprimer directement sans le désinstaller ?

Réponse 44 / 50

supergeronimo44 Messages postés 862 Date d'inscription mardi 21 avril 2009 Statut Contributeur sécurité Dernière intervention 28 octobre 2011 85
12 mars 2010 à 17:49

Salut !

attends, ToolsCleaner ne supprime pas tout, mais une majorité.je vais te faire supprimer le reste manuellement.

as-tu bien fait le reste de mon message ?

donc :
1/supprime ( clic-droit>supprimer )
->gaellia.exe
->SEAF
->load_tdsskiller.exe
->gmer (rapport également)
->cfscript.zip
->(C:\)UsbFix_Upload_Me_ACER-CAB9EEA47C.zip

2/Pour nettoyer tous les petits résidus, repasse un coup de Ccleaner.

Tu navigues donc avec Internet explorer.... connais tu firefox ? c'est un navigateur internet gratuit, rapide, et beaucoup plus sécurisé ( Internet explorer est beaucoup plus visé par les pirates qui exploitent de nombreuses failles pour prendre le contrôle de l'ordinateur).
C'est pourquoi je te conseille de l'installer, et d'utiliser firefox plutôt qu'Internet explorer.(Mets firefox en tant que navigateur par défaut quand il te le demandera)
Suis ce qui est marqué ici pour l'installer => http://supergeronimo44lesite.wifeo.com/les-indispensables.php#Mozilla_firefox
et installe ensuite les 3 addons suivants :

* WOT=> cette extension te permettra d'afficher la réputation des sites web afin d'éviter que tu ne télécharges des rogues (= faux logiciels de sécurité), ou que tu ailles sur des sites qui installent des exploits. (un tutoriel : http://supergeronimo44lesite.wifeo.com/tutoriels-.php )
* Adblock + => cette extension te permet de ne pas afficher les bannières ou cadres de publicité sur les sites web. ça limite le risque de cliquer sur une bannière publicitaire au contenu néfaste ( spyware, adware...)
* Dr Web => cette extension te permet de scanner tout lien hypertexte ( ainsi, en faisant un clic-droit sur le nom d'un site dans une recherche google, et de faire Scanner avec Dr web, tu sauras tout de suite si le site est sain ou non).

3/Mets à jour :
*Adobe reader 9.3 =>https://get2.adobe.com/fr/reader/otherversions/ (/!\décoche la case de McAfee ou de la toolbar google /!\ )
*Java => https://java.com/fr/
*Flash player => https://get.adobe.com/flashplayer/?loc=fr (/!\décoche la case de McAfee ou de la toolbar google /!\ )
*Windows => http://www.cases.public.lu/fr/pratique/solutions/patch_systeme/wxp2/index.html

Pourquoi mettre à jour
*Java ? => https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/
*Adobe Reader ?=> https://forum.malekal.com/viewtopic.php?t=15065&start=
*Internet explorer ? => http://forum.malekal.com/ (les versions ne sont pas les même, mais les conséquences sont identiques)
*Windows XP ?=> https://www.malekal.com/mises-a-jour-windows-update/

4/ Tu utilises quelle version de F-Secure ??

Si c'est une version gratuite, fais ce qui suit :
a)désinstalle complètement F-Secure, puis passe un coup de Ccleaner.
b)Je te conseille d'installer antivir, qui est un des meilleurs antivirus gratuits
=>http://supergeronimo44lesite.wifeo.com/antivirus.php#Antivir
configure le comme ceci => https://www.commentcamarche.net/faq/16831-tutoriel-configuration-optimale-d-antivir-personal )
Si tu es sceptique, que tu ne connais pas cet antivirus, je te conseille de lire ceci : https://forum.malekal.com/viewtopic.php?t=23535&start=

5/Comment va le PC ?
=>Est-ce que le système est bien stable ? sinon, ne fait pas la suite et dis moi ce qu'il ne va pas.

1. clic-droit sur Poste de travail > Propriétés
2. onglet restauration du système
3. coche désactiver la restauration du système
4. puis clique sur appliquer.

Ensuite,

1. va dans démarrer > tous les programmes
2. accessoires> outils système > restauration du système.
3. dans la fenêtre qui s'ouvre, coche créer un point de restauration du système
4. suivant
5. décrit ton point de restauration ( PC sain, fin de la désinfection par exemple)
6. suivant
7. créer

puis :

* Cliquez droit sur poste de travail
* Ensuite aller sur propriétés
* Puis restauration système
* Et décochez la case désactiver la restauration
* Cliquez ensuite sur appliquez, puis OK
* Et redémarre ton PC

==informations importantes==

Tu l'as bien compris tout au long de ta désinfection, la sécurité de son ordinateur dépend vraiment beaucoup de son utilisateur. En effet, si celui-ci va sur des sites pornos ( et télécharges ainsi de faux codecs), télécharge des cracks ( il faut vraiment que tu arrête, c'est vital pour ton PC), ne mets pas à jour son système.... etc, cet utilisateur a beau avoir une armure de logiciels de protection, il sera infecté entièrement ( et parfois, seul le formatage est possible, et encore pas toujours, car des fois, même le formatage ne fait rien).
Les logiciels de protection ne sont donc pas une chose prioritaire, mais leur action vient compléter celle de l'utilisateur.
Ainsi, il est conseillé d'avoir :
-un antivirus ( Antivir)
-un anti-malware ( MBAM)
-un firewall (celui de windows pour toi)

et ajouter d'autres logiciels ne sert à rien, mis à part de ralentir le PC.
Donc voilà, j'espère que tu auras pris la résolution d'arrêter de télécharger des cracks (ou sinon, la prochaine fois que je vois un message de toi disant que tu es infectée par un malware se diffusant par cracks, je ne prendrais pas le sujet en charge).
Enfin, si tu n'as pas regardé l'envoyé spécial sur France 2 parlant de la loi HADOPI, voici les vidéos parlant de cette loi :

=> http://supergeronimo44lesite.wifeo.com/videos.php#Hadopi <=

Si tu n'as pas regardé l'envoyé spécial diffusé sur France2, voici les vidéos parlant des hackers :

=> http://supergeronimo44lesite.wifeo.com/videos.php#Hackers <=

Si tu as des questions, n'hésites pas ;-)

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 45 / 50

gaellia Messages postés 30 Date d'inscription lundi 21 janvier 2008 Statut Membre Dernière intervention 8 août 2011 2
12 mars 2010 à 19:16

Je crois que t'as pas vu le message 43, je te disais que securitoo est l'antivirus d'orange qu'on paye.

J'ai tout supprimé (clik droit supprimer) ce qui a répondu à ma question, je ne suis donc pas obligée de désinstaller un programme que j'ai seulement enregistré et pas exécuté (c'est bien ça ?).
Je peux enlever tout les .txt et .log dans c:/ ?
J'ai un truc qui s'apelle TESTDRV.PIO je peux aussi l'enlever ? Et Boot.bak, cmldr ? J'ai aussi un dossier tdskiller dans c/: je l'efface aussi ?
Le dossier autorun.inf créé par usbfix faut le garder je suppose ?

Heu.. je connais bien mozilla, c'est ce que j'ai au boulot mais bon, me sens pas trop.

T'inquiète pour les craks, je vais m'assagir.

Sinon je pense que c'est bon...
Merciiiiiiiiii beaucoup

ps : je te dis demain comment va le system, s'il est stable, je le teste un peu avant. Et j'attends tes réponses aussi !! avant de faire le truc des restaurations system.

Réponse 46 / 50

supergeronimo44 Messages postés 862 Date d'inscription mardi 21 avril 2009 Statut Contributeur sécurité Dernière intervention 28 octobre 2011 85
12 mars 2010 à 19:41

Re- !

Je crois que t'as pas vu le message 43, je te disais que securitoo est l'antivirus d'orange qu'on paye.

gros oups !!
désolé !!

donc :

1*/POUR LE MESSAGE 43 :

Ensuite, en ce qui concerne CCleaner (que j'avais déja, j'ai d'ailleurs désinstallé avec lui, j'en ai pris l'habitude) je me demande si je ne dois pas rajouter des trucs dans le nettoyeur parce qu'à partir de cache DNS (inclu) tout est grisé et ne s'analyse donc pas...
Pour les erreurs du registre, j'avais toujours sauvegardé les modifications, je les efface ??
CCleaner, je le fesais déja assez souvent

ok, c'est une bonne habitude. chez moi, j'ai coché Cache de la zone de notification. Evite de trop toucher à ces réglages, parce qu'il y a des trucs importants, et si Ccleaner les vire, ça serait dommage.
Pour les sauvegardes de registre, tu peux les supprimer, puis en refaire une de temps à autre en supprimant la précédente.

ps : securitoo (f secure) c'est mon copain qui le paye à Orange, je ne l'ai donc pas supprimé mais en ce qui concerne sa quarantaine (cf message plus haut) on la laisse comme ça ??????

ah ok. Si jamais tu peux arrêter de le payer, il existe antivir => http://supergeronimo44lesite.wifeo.com/antivirus.php#Antivir
qui est gratuit et très efficace.
Tu peux vider entièrement la quarantaine de F-secure.

2*/MESSAGE 46 :

J'ai tout supprimé (clik droit supprimer) ce qui a répondu à ma question, je ne suis donc pas obligée de désinstaller un programme que j'ai seulement enregistré et pas exécuté (c'est bien ça ?).
ok, et oui, généralement, c'est bien ça ;-)

Je peux enlever tout les .txt et .log dans c:/ ?
oui, mais fais gaffe à ne pas supprimer des trucs système..

J'ai un truc qui s'apelle TESTDRV.PIO je peux aussi l'enlever ? Et Boot.bak, cmldr ?
je te conseille de les garder ( c'est bien dans C:\ ? )

J'ai aussi un dossier tdskiller dans c/: je l'efface aussi ?
Le dossier autorun.inf créé par usbfix faut le garder je suppose ?
oui et oui ;)

Heu.. je connais bien mozilla, c'est ce que j'ai au boulot mais bon, me sens pas trop.

pourquoi ?
c'est bien plus rapide !
et vraiment plus sécurisé !!
je te le conseille vraiment, mais après, c'est toi qui vois..

T'inquiète pour les craks, je vais m'assagir.

j'espère.. :-)

Sinon je pense que c'est bon...
ok, j'attends ton message de demain alors.

P.S : si tu veux qu'on regarde pour ton 2nd PC.. tu crées un nouveau sujet dans Virus/Securité, si tu veux que ce soit moi qui le prenne, tu mets pour supergeronimo44 dans le titre, sinon, tu mets le nom de tes virus.

Réponse 47 / 50

gaellia Messages postés 30 Date d'inscription lundi 21 janvier 2008 Statut Membre Dernière intervention 8 août 2011 2
12 mars 2010 à 20:40

i386 c'est la sauvegarde du répertoire faite avec je sais plus quel programme c'est ça ? je le garde ?

Et dotnetfx, VALUEADD, Config.Msi ???
Et windows lol je suis lourde avec toutes mes questions mais j'ai peur de virer un truc important !

Pour l'instant je pense que .... T'es LE MEILLEUR !!!!

A demain

Réponse 48 / 50

supergeronimo44 Messages postés 862 Date d'inscription mardi 21 avril 2009 Statut Contributeur sécurité Dernière intervention 28 octobre 2011 85
13 mars 2010 à 12:28

Salut !

non, laisse les dossiers Windows,
Si c'est dotnetfix.exe, tu le vires, sinon, tu gardes.
Config.msi, tu gardes .
ValueAdd, tu gardes aussi.

T'es LE MEILLEUR !!!!
non, tu te trompes. je débute, et il y a bien meilleur que moi (geoffrey5, anthony5151, ric025, neo***, el desaparecido, C_XX, etc.... ).

++

Réponse 49 / 50

gaellia Messages postés 30 Date d'inscription lundi 21 janvier 2008 Statut Membre Dernière intervention 8 août 2011 2
13 mars 2010 à 12:45

C'est bon j'ai fait le truc de la restauration, le pc à l'air d'être "guéri".

Merci beaucoup pour tout, t'es peut-être pas le meilleur mais pour moi t'es un boss !

J'ai mis résolu !

Merci merci merci !!!!!!!!!!!!!!!

ps : du coup tout ce qui est en quarantaine reste quand-même ?

Réponse 50 / 50

supergeronimo44 Messages postés 862 Date d'inscription mardi 21 avril 2009 Statut Contributeur sécurité Dernière intervention 28 octobre 2011 85
13 mars 2010 à 13:17

Re- !

ok,

tu peux du coup vider la quarantaine de F-Secure.

Si tu veux qu'on s'occupe de ton autre PC, créées un autre sujet ;-)

++