XP smart Security et autre virus.

Résolu/Fermé
spsp111 - 17 mars 2010 à 11:20
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 30 mars 2010 à 16:57
Bonjour, mon père à un ordinateur utilisant XP depuis très longtemps. C'est un outils de travail très précieux pour lui, et quand il l'a allumé sont ordinateur ce matin, il y avait Security Tool qui était installé. (Je tiens à dire qu'il n'a jamais rien installé de suspect sur son ordi, il y fait très attention). On a réussit à le désinstallé (je croit, avec MalwareBytes, mais ce qui est bizarre, c'est qu'on l'a supprimé en mode normal (pas en sans échec).

Et après, il y a eu le chaos sur son ordi, Avast Antivirus qui s'affolait en disant qu'il y avait un (non, des) virus sur son ordinateur, dans le système32. Mon père n'est pas du tout rassuré, et The cerise sur le gâteau, c'est que maintenant, dans son centre de sécurité Windows, il y a un "antivirus", je sais pas si on peut appeler ça comme ça, nommer "XP smart security". Mon père me dit que c'est normal si c'est dans son centre de sécurité, mais moi je trouve sa louche, parce que il ressemble pas mal à security tool, mais en moins chiant pour le déplacer. Il empêche quand même d'ouvrir des antivirus, et met la mer.e sur son ordinateur.

Que dois-je faire, merci d'avance.

Cordialement, SPSP111
A voir également:

76 réponses

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 mars 2010 à 11:58
bien ....




il y a du travail ...




commence par faire ceci dans l'ordre :



1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

> http://www.cijoint.fr/cj201003/cijww1YJ3Z.txt


Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres comme sur cette page lorsque tu les copies dans ZHPFix.


* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...


============================

2- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3
ou ici http://eric71.geekstogo.com/tools/ToolBarSD.exe

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!

* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée].

Le nettoyage commence .

! ne touche à rien lors de la suppression !

Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
pour analyse ...

( le rapport est en outre sauvegardé ici -> C:\TB.txt )

=============================


3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...




4
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 mars 2010 à 12:20
Re,


Je viens de voir ta nouvelle réponse merci mais puis-je remettre la connexion de l'ordinateur affecté pour copier le rapport ?

> oui vas y ... ( ne surtout pas transmettre quoi que se soit depuis se PC ver un autre avec des supports amovible tel que des clé usb car tu infecterai ton autre PC ! )



Et pour les défenses impossible de les remettre depuis l'attaque !!!


Normal ! ... c'est l'infection qui les bloque ... fait avec pour le moment et t'en occupe pas ...




J'attends les rapports donc ....




2
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 mars 2010 à 12:37
re,


pour ton ordi , c'est cuit ... on s'en occupera après ... mais surtout , tu ne mets plus en contact les deux pc maintenant ! ... sinon on va tourner en rond un moment ....


vu pour ZHPFix mais c'est loins d'être terminé ! ... j'attends les autres rapports demandés ....


Bon app' ... ;)

2
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
30 mars 2010 à 08:54
hello,



il me faut le rapport de Toolscleaner stp ! ....



====================
====================
====================


Content d'avoir pu te rendre service ... ^^


Potasse ces quelques recommandations :


=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance :
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement).

=> Il faut absolument tenir à jour régulièrement Windows:

Via Internet Explorer ( impératif ), rends toi sur Microsoft Update
http://www.update.microsoft.com/windowsupdate/v6/default.aspx

Effectue toutes les mise à jour critiques proposées.
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
Démarrer / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis sur OK

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi :

( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.htm )

Donc pour se faire, rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d'éliminer les failles de sécurité présentes dans ces anciennes versions.
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme.
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

Autre astuce : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara

=============================================================

=> Afin d'éviter les autres failles de sécurité des différents programmes présents sur ton PC :

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l'est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html
- Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
- Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page.

-> autre très bon soft similaire dans cette astuce :
https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour

===========================================================
* le pare- feu de Xp vaut rien , je te conseille fortement dans installer un :
( Important > si votre antivirus fait aussi pare-feu , ne pas en installer un autre ! conflits et plantages assurés ! )

Armor ou Comodo sont très bien ( en anglais mais gratuit )...Tu trouveras tout ce qu'il faut ici :
https://www.commentcamarche.net/telecharger/securite/pare-feu/

tutos :
https://www.malekal.com/tutorial-online-armor-free/
https://www.malekal.com/tutorial-comodo-firewall/

( Attention : pour Comodo 3 , choisir uniquement l'installation du pare-feu seul. Ne pas installer la barre d'outil pour les navigateurs ! )

En deuxieme choix ( gratuit aussi ) :
->Comodo ancienne version 2.4 ( en francais ) :
http://download.comodo.com/cpf/download/setups/release/languages/CFP_Setup_English_French_2.4.16.174.exe
tuto: https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389

->PC Tools Firewall Plus (en français) :
https://fr.norton.com/
Tuto : http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/

(Note: pensez bien à désactiver le pare-feu de Windows avant de lancer l'installe de tout autre pare-feu !)

* teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.php

* tests firewall: http://www.matousec.com/index.html

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s'ils restent ouverts) :

ZebProtect (application ne nécessitant pas d'installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html

================================================================

Pour une meilleur sécurité lorsque tu surfes :

* Je te conseille d'utiliser le navigateur " FireFox " :
télécharge le ici -> http://www.mozilla-europe.org/fr/
ou -> https://www.commentcamarche.net/telecharger/web-internet/9879-firefox/

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

-> Tutorial pour sécuriser Firefox :
https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/

* tu peux installer cet Add-ons : WOT ( gratuit / compatible IE et FireFox )
-> Firefox https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp - IE https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
-> Démo : http://www.mywot.com/fr/demo
Très simple et léger , WOT permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

* Noscript est un autre "Add-ons" ( pour Firefox ) qui empêche l'exécution de scripts en provenance des sites Web.
Il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée :
http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net
https://addons.mozilla.org/fr/firefox/addon/noscript/

=================================================================
=> Rappel sur les principales causes d'infection :

A lire > https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf
( merci aux auteurs de ce pdf )

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :

Les dangers des cracks :
https://forum.malekal.com/viewtopic.php?t=893&start=

-> Le crack dans toute sa splendeur, journal d'une infection attendue :
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/

-> Fléaux du moment par le biais de pseudo crack sur réseau P2P : Virut/Scrible !
> https://www.futura-sciences.com/tech/actualites/informatique-virut-scribble-retour-infection-redoutable-18310/


* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent):

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/

Pourquoi éviter le P2P (emule ,Shareaza, kazza ... ect):
> http://www.libellules.ch/...
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793
> https://lexpansion.lexpress.fr/actualite-economique/


* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment :
http://assiste.com.free.fr/p/abc/c/anti_activex.html


* Prévention sur deux autres types d'infection d'actualité :

MSN prévention :
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte


Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
https://forum.malekal.com/viewtopic.php?f=45&t=5544

* Rappel sur l'utilisation d'une version piratée de Windows :
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows

=================================================================

Bon à savoir :

* La "Console de récupération" ( XP ):
face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable.
tutoriels ici :
https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm .
https://www.informatruc.com

Equivalent Vista : http://www.forum-vista.net/forum/

* Conserve une sauvegarde des fichiers importants ( Sur CD/DVD rom ,DD externe ,ect ...).

* Ne pas telecharger n'importe quoi, éviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games, ...ect

* Analyser les fichiers reçus/téléchargés :
Pour les adeptes du Peer 2 Peer ( que je déconseille fortement ),toujours analyser les fichiers telechargés avec l'antivirus, l'anti-spyware/malaware du PC avant de les executer ... Cela minimise les risques ( mais ceux-ci restent tout de même présents ! )
Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir .
Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus .

* Idées reçus en sécurité informatique ( très instructif ) >
http://www.libellules.ch/idees_recues_securite.php

=================================================================


Voilou ...


bonne suite à toi et bon surf ... =)


A+


1
spsp111 Messages postés 260 Date d'inscription dimanche 28 mars 2010 Statut Membre Dernière intervention 27 juin 2013 4
30 mars 2010 à 09:43
Une question, toutes les étapes que tu m'a donné à faire, puis-je les refaire sur l'ordinateur de ma soeur ou est ce seulement sur celui là ?
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
30 mars 2010 à 09:47
re,

Une question, toutes les étapes que tu m'a donné à faire, puis-je les refaire sur l'ordinateur de ma soeur ou est ce seulement sur celui là ?

> surtout pas ! Chaque cas est spécifique ... ne pas utiliser ces tools sans l'appui d'une personne expérimenté sinon tu risque d'empirer les choses ! ...
La seule chose à faire est de poster un nouveau sujet avec un rapport de diagnostique ( ZHPDiag par exemple ) et c'est tout ! .... ^^'

Si tu poste de suite , je prendrai le sujet ... ;)
0
spsp111 Messages postés 260 Date d'inscription dimanche 28 mars 2010 Statut Membre Dernière intervention 27 juin 2013 4
30 mars 2010 à 09:48
Bah, j'avais mit le rapport ??!

Je le remet :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Msnfix.zip: trouvé !
C:\Combofix: trouvé !
C:\MsnFix: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\M. Provot\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\M. Provot\Bureau\Ad-R.exe: trouvé !
C:\Documents and Settings\M. Provot\Bureau\Raccourcis Bureau non utilisés\UsbFix.txt: trouvé !
C:\Documents and Settings\M. Provot\Mes documents\Enfants\Msnfix.zip: trouvé !
C:\Documents and Settings\M. Provot\Mes documents\Enfants\MsnFix: trouvé !
C:\Documents and Settings\M. Provot\Mes documents\Enfants\MSNFix\MsnFix: trouvé !
C:\Documents and Settings\M. Provot\Mes documents\Téléchargements\HijackThis.exe: trouvé !
C:\Documents and Settings\M. Provot\Mes documents\Téléchargements\HJTInstall.exe: trouvé !
C:\Documents and Settings\M. Provot\Mes documents\Téléchargements\hijackthis.log: trouvé !
C:\MSNFix\MsnFix: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !

---------------------------------
--> Suppression:

C:\Msnfix.zip: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\M. Provot\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\M. Provot\Bureau\Ad-R.exe: supprimé !
C:\Documents and Settings\M. Provot\Mes documents\Enfants\Msnfix.zip: supprimé !
C:\Documents and Settings\M. Provot\Mes documents\Téléchargements\HijackThis.exe: supprimé !
C:\Documents and Settings\M. Provot\Mes documents\Téléchargements\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Documents and Settings\M. Provot\Bureau\Raccourcis Bureau non utilisés\UsbFix.txt: supprimé !
C:\Documents and Settings\M. Provot\Mes documents\Téléchargements\hijackthis.log: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Combofix: supprimé !
C:\MsnFix: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\M. Provot\Mes documents\Enfants\MsnFix: supprimé !
C:\Program Files\ZHPDiag: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
0
spsp111 Messages postés 260 Date d'inscription dimanche 28 mars 2010 Statut Membre Dernière intervention 27 juin 2013 4
30 mars 2010 à 09:49
Déjà une réponse !!!

Je lui demande et je poste.
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
30 mars 2010 à 09:49
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 mars 2010 à 11:23
Salut,



le PC est encore bel et bien infecté .... Security Tool ou XP smart security, même merde ! ... l'infection a muté , c'est tout ...


/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).





Poste moi le dernier rapport de Malwarbytes que tu as obtenu stp ( mais ne relance pas de scan surtout ! )....




Puis fait ceci pour avoir un diagnostique précis de la situation :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


0
Bon, j'ai lancé ZHPDiag, mais pendant le scan, une petite fenêtre s'ouvre empêchant de continuer,
"sigcheck Licence agrement", je doit faire "agree" ou "decline", il empêche le scan de continuer.
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 mars 2010 à 11:37
re,


Clique sur "agree" .... ;)


0
http://www.cijoint.fr/cjlink.php?file=cj201003/cij1oppsEP.txt Voilà !!!
0
Alors ???
0
Je viens de voir ta nouvelle réponse merci mais puis-je remettre la connexion de l'ordinateur affecté pour copier le rapport ?

J'écris à partir d'un autre là !
0
Et pour les défenses impossible de les remettre depuis l'attaque !!!
0
^^ Oups !! Pour les disques amovible, c'est comment dire... Trop Tard :\ Mais bon, c'est l'ordi de mon père qui me préoccupe et pas le miens !!!

Miracle, après avoir fait ZHPFix, il n'y a plus de Xp Smart security !!!!

Je te donne le rapport :

-----------------------------------------------------------------------------------------------------------------------------

ZHPFix v1.12.3075 by Nicolas Coolman - Rapport de suppression du 17/03/2010 12:20:45
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
C:\Documents and Settings\M. Provot\Local Settings\Application Data\ave.exe => Supprimé et mis en quarantaine

Module mémoire :
(Néant)

Clé du Registre :
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files\AskBarDis\bar\bin\askBar.dll => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] => Clé supprimée avec succès
[HKCR\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] => Clé supprimée avec succès
O51 - MPSK:{1dca2d46-d569-11dc-99b2-00173190265b}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\2ifetri.cmd (.not file.) => Clé supprimée avec succès
O51 - MPSK:{1dca2d46-d569-11dc-99b2-00173190265b}\Shell\explore\command. (.Pas de propriétaire - Pas de description.) -- G:\2ifetri.cmd (.not file.) => Clé absente
O51 - MPSK:{1dca2d46-d569-11dc-99b2-00173190265b}\Shell\open\command. (.Pas de propriétaire - Pas de description.) -- G:\2ifetri.cmd (.not file.) => Clé absente

Valeur du Registre :
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files\AskBarDis\bar\bin\askBar.dll => Valeur supprimée avec succès

Elément de données du Registre :
O67 - Shell Spawning: <.exe> <secfile>[HKCU\..\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\M. Provot\Local Settings\Application Data\ave.exe => Donnée supprimée avec succès

Dossier :
C:\Program Files\AskBarDis => Supprimé et mis en quarantaine
C:\Program Files\AskSearch => Supprimé et mis en quarantaine

Fichier :
c:\program files\askbardis\bar\bin\askbar.dll => Supprimé et mis en quarantaine
c:\program files\askbardis\bar\bin\askbar.dll => Fichier absent
g:\2ifetri.cmd => Fichier absent
c:\documents and settings\m. provot\local settings\application data\ave.exe => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 6
Valeur du Registre : 1
Elément de données du Registre : 1
Dossier : 2
Fichier : 4
Logiciel : 0
Autre : 0


End of the scan

------------------------------------------------------------------------------------------------------------------------------

Voilà, merci (et je touche du bois pour mon ordi :) )
0
Je passe à la 2ème étape après manger, je te tiens au courant !!!

Bon appétit et même si ce n'est pas finit, tu as les remerciements du fond du cœur de mon père.

Salut
0
Rapport Toolbar Le voici !!!

------------------------------------------------------------------------------------------------------------------------------
-----------\\ ToolBar S&D 1.2.9 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 3800+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : M. Provot ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.7.1098 [VPS 100316-1] 4.7.1098 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:69 Go (Free:31 Go)
F:\ (Local Disk) - NTFS - Total:149 Go (Free:38 Go)
H:\ (USB)
I:\ (USB)
J:\ (USB)
K:\ (USB)

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 17/03/2010|14:10 )
C:\DOCUME~1\M0B4B~1.PRO\LOCALS~1\Temp\nsc1B3.tmp

-----------\\ SUPPRESSION

Supprime! - C:\DOCUME~1\M0B4B~1.PRO\LOCALS~1\Temp\AIM_6.8.14.6\Toolbar.exe
Supprime! - C:\DOCUME~1\M0B4B~1.PRO\Cookies\m. provot@h.starware[2].txt
Supprime! - C:\DOCUME~1\M0B4B~1.PRO\Cookies\m. provot@try.starware[1].txt
Supprime! - C:\DOCUME~1\M0B4B~1.PRO\Cookies\m. provot@try.starware[2].txt
Supprime! - C:\DOCUME~1\M0B4B~1.PRO\Cookies\m. provot@zango[2].txt
Supprime! - C:\DOCUME~1\M0B4B~1.PRO\LOCALS~1\Temp\nsc1B3.tmp

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ Extensions

(M. Provot) - {E9A1DEE0-C623-4439-8932-001E7D17607D} => ajtoolbar
(M. Provot) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www.boursorama.com/"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Start Page"="https://www.msn.com/fr-fr/"


--------------------\\ Recherche d'autres infections


Aucune autre infection trouvée !


1 - "C:\ToolBar SD\TB_1.txt" - 17/03/2010|14:11 - Option : [2]

-----------\\ Fin du rapport a 14:11:48,59

------------------------------------------------------------------------------------------------------------------------------

Bonne Chance !!!!!
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 mars 2010 à 14:28
bien ...



le nouveau ZHPDiag comme demandé maintenant ....


0
http://www.cijoint.fr/cjlink.php?file=cj201003/cijJ4QWsox.txt


Voici le lien du dernier rapport ZHPDiag !!!

J'attends tes instructions.
0
Du nouveau ?
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 mars 2010 à 14:59
re,


on poursuit ... dans l'ordre :




1- Un oubli de ma part que l'on va rectifier de suite :

> Désinstalle proprement Spybot S&D depuis panneau de config / ajout et suppression de prg .

> puis supprime le dossier de Spybot présent dans "program files" .


Pourquoi ? Car il est inutil , lourd pour le systeme et va fortement géner le déroulement de la désinfection .


Une fois ceci fait ( et pas avant ! ) , tu enchaines....



========================

2- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


===========================

3- on va ré-utiliser Malwarebytes ainsi :

mets le à jour ! ( onglet "mise à jour" ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse .


Une fois ce rapport posté , fait l'étape suivante ...


========================

4- On va s'occuper des unités externes maintenant .


Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet et ferme toutes applications en cours !


IMPERATIF:
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan ( ceci peut-être relativement long ).

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html


0
Ouch, problème avec spybot :

"Le fichier "C:\Program Files\Spybot - Search & Destroy\unins000.dat" n'existe pas. Impossible de désinstallé"

Mots Exacte !!!

Que faire... je connais un logiciel s'appelant "Smarty Uninstinller Pro 2009" qui m'a bien aidé sur mon ordi, mais j'écouterais la voie du sage :)
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 mars 2010 à 15:10
Re,

dis moi si tu peux ouvrir Spybot (avant de faire quoi que se soit) ou est-il toujours bloqué ? ....


0
Oui, il marche toujours !!!
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 mars 2010 à 15:26
re

dans ce cas , fait ceci à la place de la désinstalle :


Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).

ou de celui-ci > http://ww11.genproc.com/spybot/spybot.html

En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...

Tu le réactiveras une fois qu'on aura finit de désinfecter ( et pas avant ! ) .
/!\ Mais attention :
à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection )
-> il faudra alors les accepter toutes sans exeptions !

Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .



============================


ensuite tu continues la manipe précédante ...


j'attends les rapports demandés ....
0
Voilà le rapport de MalwareBytes :)

------------------------------------------------------------------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3875
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

17/03/2010 10:28:32
mbam-log-2010-03-17 (10-28-32).txt

Type de recherche: Examen rapide
Eléments examinés: 142926
Temps écoulé: 7 minute(s), 54 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdrom (Trojan.Patched) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\syncman (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regedit32 (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\system32\wuaucldt.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\WINDOWS\system32\dllcache\cdrom.sys (Trojan.Patched) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\cdrom.sys (Trojan.Patched) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\M. Provot\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\M. Provot\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

-----------------------------------------------------------------------------------------------------------------------------

Bonne chance, je continue avec les clés USB !
0