Virus sur windows defender et autres ...Résolu/Fermé

Question

Bonjour voila depuis 2jours maintenant j'ai remarqué l'apparition de logiciel étrange ( surement des virus ).  

Premièrement  :  

- Des petits icones dans la barre des menus m'affichent des messages en anglais comme quoi j'aurai des virus trojan etc ...   
Lorsque que l'ont clique dessus il nous telecharge un logiciel automatiquement  ( je pense même qu'il est deja DL et qu'il l'installe simplement ), logiciel qui se dit un antivirus mais qui enfait est un gros fake. Il trouve de faux virus etc et bien sur impossible de l'enlevez ; et il nous envoi sur des pages pour achetez le vrai logiciel ...   
Il s'appelle "User protection" . Bref!  
J'ai réussi a calmer celui ci en cachant les icones de la barre de notification. C'est donc temporel il a disparu pour le moment.  



- 2ème problème plus important. Mon Windows defender à était remplacé  par un logiciel fake également qui ne fonctionne bien sur pas et dont on ne peut rien tirer ( logique ) sauf des renvoi sur un site payant. Il me faut de fausse alert et trouve des virus n'importe ou..  
Celui si ce fait appeler  Vista Defender dans le centre de sécurité". Etant inscrit dans le panneau de configuration je ne peut rien y faire. Le vrai logiciel est introuvable.  
Voila un impression du genre de message que l'ont à :   

http://www.noelshack.com/  

J'ai deja fouillé l'intégralité de mon Pc avec avast il ma trouvé quelques trucs qui n'ont rien changer. Si vous connaissez ce virus ( ou  simple logiciel espion ) ou si vous pouvez m'aider merci.  


ps : desoler pour les fautes j'écris à un bras c'est compliqué^^ ) 



Miss : autre remarque mon processeur  est toujours à 70% minimum ( gadjet vista ) depuis quelques jours sa m'inquiète deja qu'il était très haut ces derniers temps.
Je n'ai pas formater mon pc que j'ai depuis 3ans , je suis très actif et j'ai télécharger installer pas mal de chose depuis le temps ... Pensez vous que je dois formater mon pc?

sKe69 · Accepted Answer

Salut, 


infecté par un rogue ... voir plus ... 



/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection . 
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre . 
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer . 
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ). 



Commence par faire ceci pour avoir un diagnostique précis de la situation : 


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau : 

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


!! déconnecte toi et ferme toutes tes applications en cours !!  

> Clique droit / "executer en tant qu'admin..." sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .  

> Lance ZHPDiag ( "en tant qu'admin..." ) depuis le raccourci du bureau . 

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite . 
( celui avec le tournevis ) 

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) . 

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan . 


Laisses travailler l'outil ... 


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ... 

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ). 

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag ) 

Puis ferme le programme ... 


> rends toi ensuite sur ce site : http://www.cijoint.fr/ 

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé . 
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ... 
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp .... 





"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Utilisateur anonyme · Answer

Bonjour ces un rogue un faux logiciel de sécurité   

plus d'explication  

Fais sa Télécharge rkill  
https://download.bleepingcomputer.com/grinler/rkill.exe  
Enregistre-le sur ton Bureau  
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)  
Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas  
change de lien de téléchargement en utilisant le suivant à partir d'ici:  
http://download.bleepingcomputer.com/grinler/rkill.pif  
https://download.bleepingcomputer.com/grinler/rkill.scr  
https://download.bleepingcomputer.com/grinler/rkill.com  

une fois qu'il aura terminé  


Téléchargez MalwareByte's Anti-Malware  

http://www.malwarebytes.org/mbam/program/mbam-setup.exe  

. Enregistres le sur le bureau  
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.  
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour  
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte  
. Une fois la mise à jour terminé  
. Rend-toi dans l'onglet, Recherche  
. Sélectionnes Exécuter un examen complet (examen assez long)  
. Cliques sur Rechercher  
. Le scan démarre.  
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.  
. Cliques sur Ok pour poursuivre.  
. Si des malwares ont été détectés, clique sur Afficher les résultats  
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.  
. Rends toi dans l'onglet rapport/log  
. Tu cliques dessus pour l'afficher, une fois affiché  
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous  
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse  
. tu cliques droit dans le cadre de la reponse et coller  


Si tu as besoin d'aide regarde ces tutoriels :  
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/  
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam  

PUIS  

Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe  
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.  
* Double-clique sur RSIT.exe afin de lancer RSIT.(Avec VISTA/7 > clic-droit et > Exécuter en tant qu'administrateur.  
* Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).  
* Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.  
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.  
* Poste le contenu de log.txt ainsi que info.txt  
( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )

Dastiny · Answer

J'ai suvit la réponse de Ske69.

Voila j'ai faite l'analyse sauf que le logiciel maffiche un message d'erreur à un moment dans l'analyse .

http://www.cijoint.fr/cjlink.php?file=cj201003/cij4RknyRM.txt

voila le rapport.

Voici le message :

http://www.noelshack.com/

Le message "game ..." s(affiche en a peu pres 34 exemplaire de 999 à 1033.
S'en suit le message d'erreur.

Utilisateur anonyme · Answer

donc tu ne suis pas mes indication ?

Dastiny · Answer

Je suis en train de la faire la recherche est en cours.

Utilisateur anonyme · Answer

dac  

ne fait pas RSIT comme demandé ces plus la peine

tu n'as pas la dernière version de avast

sKe69 · Answer

Salut lamer01, 

on a posté pile poil en même temps et j'avais pas vu .... 




Dastiny, 

t'ai gavé ... plusieurs infections ... 



commence par faire ceci dans l'ordre : 


1- protocole à suivre pour  Windows Vista : 

*Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) : 
  
Aller dans "démarrer" puis "panneau de configuration" :  
--->Sur la droite de la fenêtre , cliques sur " affichage classique " 
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs"  
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." . 
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK . 
--->Redémarrer le PC !  

Tutos :  
http://pagesperso-orange.fr/NosTools/uac_vista.html 
https://forum.malekal.com/viewtopic.php?f=59&t=6517  


* Important : 
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi : 
clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " . 
Fais ceci systématiquement ! ... 


une fois ceci fait et pris en compte , enchaine : 


======================== 

2- Infecté par Navipromo . 

------------------------------------- 

Pour info, 
Les programmes suivants installent cette infection :  
- Funky Emoticons  
- Games-Attack 
- Original-Solitaire   
- Go-Astro  
- GoRecord  
- HotTVPlayer  
- Live-Player  
- MailSkinner  
- Messenger Skinner  
- Instant Access  
- InternetGameBox  
- Sudoplanet  
- WebMediaPlayer  
--------------------------------------- 

Télécharge Navilog1 sur ton bureau :  

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !! 
   
Ensuite clique droit / "éxecuter entant qu'admin..." sur navilog1.exe pour lancer l'outil .  

Laisse-toi guider. Au menu principal, choisis 1 et valide .  
(ne fais pas le choix 2 notre avis/accord) . 

Patiente le temps du scan ... 

> Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) : 
laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuellement (c'est important !) . 

Note :  
Si l'outil te demande d'effectuer la manipe en mode sans echec, fais le (  /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ). 
  

Patiente jusqu'au message :  
*** Scan Terminé le ..... ***  

Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.  
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite .  

(Le rapport est en outre sauvegardé à la racine du disque "C\:cleanavi.txt" )  





========================== 

3-  Utilisation de l'outil ZHPFix : 

> Lance ZHPFix ( "en tant qu'admin...") depuis le raccouci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

* Dans l'encadré principal ( qui est vierge ),  copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) : 

> http://www.cijoint.fr/cj201003/cijB6zPxM3.txt 


Vérifie : 
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 
- que les lignes soient disposées les unes en dessous des autres comme sur cette page lorsque tu les copies dans ZHPFix. 


* Puis clique sur le bouton [ OK ] . 
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !  

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées . 

* Enfin clique sur le bouton [ Nettoyer ] . 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ! 

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt ) 
  
 Pense à réactiver tes défenses !...  
  

========================== 

4- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...  


"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Utilisateur anonyme · Answer

je te laisse faire  

je suis très occupé par mes autre topic ..

sKe69 · Answer

Oki,


la suite ici donc > https://forums.commentcamarche.net/forum/affich-17078800-virus-sur-windows-defender-et-autres#7

Dastiny · Answer

Re. 

Voila j'ai suivit toute vos instructions jusqu'au ce point : 

* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées . 

* Enfin clique sur le bouton [ Nettoyer ] . 


-> laisse travailler l'outil et ne touche à rien ...  

 
Mais j'obtient le message d'erreur  suivant : 



http://www.noelshack.com/ 

( regarder egalement le gadget des performances de mon processeur ça me fait peur ... ). 


Je peux par contre vous donnez les résultats du nettoyage avec Navilog : 

Fix Navipromo version 4.0.8 commencé le 20/03/2010 20:33:26,19 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!! 
!!! Postez ce rapport sur le forum pour le faire analyser !!! 

Outil exécuté depuis C:
avilog1 

Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO 

Microsoft® Windows Vista(TM) Édition Familiale Premium  ( v6.0.6000 )  
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Quad CPU    Q6600  @ 2.40GHz ) 
BIOS : BIOS Date: 06/26/07 14:37:17 Ver: 08.00.12 
USER : MAGNANT ( Administrator ) 
BOOT : Normal boot 

Antivirus : avast! antivirus 4.8.1169 [VPS 100320-0] 4.8.1169 (Not Activated) 


A:\ (USB) 
C:\ (Local Disk) - NTFS - Total:146 Go (Free:6 Go) 
D:\ (Local Disk) - NTFS - Total:97 Go (Free:55 Go) 
E:\ (Local Disk) - NTFS - Total:221 Go (Free:172 Go) 
F:\ (CD or DVD) 
G:\ (CD or DVD) 


Recherche executée en mode normal  

Nettoyage exécuté au redémarrage de l'ordinateur 


c:\progra~2\micros~1\windows\startm~1\programs\InternetGamebox supprimé ! 
c:\users\magnant\appdata\local\virtua~1\progra~1\InternetGamebox supprimé ! 
C:\Users\MAGNANT\AppData\Local\dpeta.bat supprimé ! 
C:\Users\MAGNANT\AppData\Local\evmeuf.dat supprimé ! 
C:\Users\MAGNANT\AppData\Local\evmeuf_nav.dat supprimé ! 
C:\Users\MAGNANT\AppData\Local\evmeuf_navps.dat supprimé ! 


Nettoyage contenu C:\Windows\Temp effectué ! 
Nettoyage contenu C:\Users\MAGNANT\AppData\Local\Temp effectué ! 


*** Sauvegarde du Registre vers dossier Safebackup *** 

sauvegarde du Registre réalisée avec succès ! 

*** Nettoyage Registre *** 

Nettoyage Registre Ok 

Certificat Egroup supprimé ! 
Certificat Electronic-Group supprimé ! 
Certificat OOO-Favorit supprimé ! 



*** Scan terminé 20/03/2010 20:50:07,60 ***

sKe69 · Answer

Re,


Vu pour la manipe de ZHPfix ... Il dois y avoir un bug au niveau de l'outil ....


laisse tomber pour le moment et fait ceci donc :



Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 


# Clique droit / "executer en tant quadmin..." sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

Dastiny · Answer

Ok merci voila le résultat :



############################## | UsbFix V6.100 |

User : MAGNANT (Administrateurs) # PC-DE-PIERRE
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 00:58:08 | 21/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad CPU    Q6600  @ 2.40GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6000 32-bit) # 
Internet Explorer 7.0.6000.16982
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1169 [VPS 100320-0] 4.8.1169 [ (!) Disabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 146,48 Go (7,88 Go free) # NTFS
D:\ -> Disque fixe local # 97,66 Go (55,22 Go free) [Données] # NTFS
E:\ -> Disque fixe local # 221,62 Go (172,86 Go free) [Données] # NTFS
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque amovible # 15,04 Go (13,12 Go free) # FAT32
I:\ -> Disque amovible # 1,86 Go (28,19 Mo free) [TINA] # FAT32

################## | Elements infectieux |

C:\Users\MAGNANT\AbmSXn.exe  
C:\Users\MAGNANT\atlgiedwxwm.exe  
C:\Users\MAGNANT\beceaftyde.exe  
C:\Users\MAGNANT\bnimgnhrcrnzdrl.exe  
C:\Users\MAGNANT\clrpni.exe  
C:\Users\MAGNANT\dgfljzog.exe  
C:\Users\MAGNANT\dljtmdmml.exe  
C:\Users\MAGNANT\ficbfjqoddkdz.exe  
C:\Users\MAGNANT\ibgaybako.exe  
C:\Users\MAGNANT\iexplore.exe  
C:\Users\MAGNANT\jbwxxzfye.exe  
C:\Users\MAGNANT\opnetvgndpqz.exe  
C:\Users\MAGNANTbwpcojxsiiibbpztt.exe  
C:\Users\MAGNANT\sljpj.exe  
C:\Users\MAGNANT	IetCf.exe  
C:\Users\MAGNANT	ihxifpvwoa.exe  
C:\Users\MAGNANT\uesjr.exe  
C:\Users\MAGNANT\wnxbm.exe  
C:\Users\MAGNANT\xumnc.exe  
C:\Users\MAGNANT\yptcdepifkuo.exe  
C:\Users\MAGNANT\zcifhucaesuzncaqj.exe  
C:\Users\MAGNANT\iexplore.exe  
H:\autorun.inf  
H:\0xuc.com  
H:\yeeit.exe  
H:\yeeit.scr  
H:\lpgeut.exe  
H:\lpgeut.scr  
H:\Documents       .lnk  
H:\Documents    .lnk  
H:\Music       .lnk  
H:\Music    .lnk  
H:\New Folder       .lnk  
H:\New Folder    .lnk  
H:\Passwords       .lnk  
H:\Passwords    .lnk  
H:\Pictures       .lnk  
H:\Pictures    .lnk  
H:\Video       .lnk  
H:\Video    .lnk  
I:\autorun.inf  
I:\yeeit.exe  
I:\yeeit.scr  
I:\Documents       .lnk  
I:\Music       .lnk  
I:\New Folder       .lnk  
I:\Passwords       .lnk  
I:\Pictures       .lnk  
I:\Video       .lnk  

################## | Registre |

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"  
[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{1eeeeb3d-bbb4-11dc-84d6-001d601a8802}
shell\Auto\command =AdobeR.exe e
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{56a2590f-bb0c-11dc-b3dc-001d601a8802}
shell\AutoRun\command =G:\autorun_PES2008.exe 

HKCU\..\..\Explorer\MountPoints2\{8e55ef58-f210-11dd-a485-001d601a8802}
shell\AutoRun\command =G:\autorun.exe -auto

HKCU\..\..\Explorer\MountPoints2\{c62525a2-ba9f-11dc-ae19-001d601a8802}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL H:\autorun.exe

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.100 ! |

sKe69 · Answer

Bien ...



la suite dans l'ordre  :



1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 

# Clique droit / "executer en tant qu'admin..." sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé,  poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\ 


==========================

2- Refais un scan ZHPDiag ( "en tant qu'admin..."), coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ... 






Fait ceci donc , poste les rapports et je te donnerai la suite demain ... ;)

Bonne nuitée ...

Dastiny · Answer

Bonjour !

Voila j'ai suivi toute les manip avec quelques problèmes :

UsbFix lance un "arrêt des processus" celui ci se bloque à 15% et ne continue pas ( laissé 3h redémarre l'ordi rien n'y fait ) . J'ai donc fait un Ctrl/Alt/Supp stopper l'arret des processus et UsbFix a continué son travail, redemarré etc : 



 Voila le résultat je l'hberge car je n'arrive pas à poster ma réponse ... :
http://www.cijoint.fr/cjlink.php?file=cj201003/cij0uoUhhB.txt


Ensuite ZHPDiag ma redonné le résultat suivant qui m'a était impossible d'heberger sous cijoint.fr je l'ai donc mis sous rapidshare :



http://rapidshare.com/files/366210121/ZHPDiaglp.html


ZHPDiag ma refait les mêmes bug que la derniere fois en plus long . "microsoft Games" de 999 à a peu pres 1300.

Dastiny · Answer

Voila!

Malwarebytes s'est executé sans problèmes et ma dit que certains fichier n'ont pus etre supprimé :


Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3888
Windows 6.0.6000
Internet Explorer 7.0.6000.16982

21/03/2010 19:02:10
mbam-log-2010-03-21 (19-02-10).txt

Type de recherche: Examen rapide
Eléments examinés: 111026
Temps écoulé: 4 minute(s), 52 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 15

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\IGB (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\VB and VBA Program Settings	m (Trojan.Downloader) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\diskperfxp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gdf498gtudsigjnsod8guifjgfhfhf (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
ofolderoptions (Hijack.FolderOptions) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\apisebe (Trojan.Agent.U) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\ProgramData\83186733 (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Users\MAGNANT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ihaupd32.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Windows\system32\Drivers\yrcqdb.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\AppData\Local\Temp\wgec.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\ProgramData\83186733\83186733.bat (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\AppData\Local\Temp\sdfsejf98jfsiodkfd.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\AppData\Local\av.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\Local Settings\Application Data\av.exe (ROGUE.Win7Antispyware2010) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\AppData\Roaming\wiaservg.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\AppData\Local\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\Local Settings\Application Data\Windows Server\ffjpbs.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\Local Settings\Application Data\Windows Server\ljpdea.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\Local Settings\Application Data\ave.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\AppData\Local\ave.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.




Quand a ZHPDiaf toujours en rapidshare pour les mêmes raisons : 

http://rapidshare.com/files/366387148/ZHPDiagtxt.html

Dastiny · Answer

Voila!

Malwarebytes s'est executé sans problèmes et ma dit que certains fichier n'ont pus etre supprimé :


Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3888
Windows 6.0.6000
Internet Explorer 7.0.6000.16982

21/03/2010 19:02:10
mbam-log-2010-03-21 (19-02-10).txt

Type de recherche: Examen rapide
Eléments examinés: 111026
Temps écoulé: 4 minute(s), 52 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 15

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\IGB (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\VB and VBA Program Settings	m (Trojan.Downloader) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\diskperfxp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gdf498gtudsigjnsod8guifjgfhfhf (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
ofolderoptions (Hijack.FolderOptions) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\apisebe (Trojan.Agent.U) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\ProgramData\83186733 (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Users\MAGNANT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ihaupd32.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Windows\system32\Drivers\yrcqdb.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\AppData\Local\Temp\wgec.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\ProgramData\83186733\83186733.bat (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\AppData\Local\Temp\sdfsejf98jfsiodkfd.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\AppData\Local\av.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\Local Settings\Application Data\av.exe (ROGUE.Win7Antispyware2010) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\AppData\Roaming\wiaservg.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\AppData\Local\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\Local Settings\Application Data\Windows Server\ffjpbs.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\Local Settings\Application Data\Windows Server\ljpdea.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\Local Settings\Application Data\ave.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Users\MAGNANT\AppData\Local\ave.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.




Quand a ZHPDiaf toujours en rapidshare pour les mêmes raisons : 

www.rapidshare.com/files/366387148/ZHPDiagtxt.html

sKe69 · Answer

Bien ....



on continue .... dans l'ordre :


1- Supprime tout ce qui se trouve dnas la quarantaine de Malwarebytes.


========================


2- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 


=========================

3- Télécharge OTM (de Old_Timer) sur ton Bureau. 

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

 
Clique droit / "executer en tant qu'admin ..." sur "OTM.exe" pour ouvrir le prg . 
Puis copie ce qui se trouve en citation ci-dessous,
 

:processes
zooac.exe 
vuujaz.exe
motuk.exe  
qyolzpw.exe   
user.exe 
vlqif.exe 
weequ.exe    
       
:Services
yrcqdb
pocaqpo

:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"vlqif"=-
"weequ"=-
"zooac"=-
"vuujaz"=-
"motuk"=-
"hsa8ffushf83hoigjhs98jgijg9sd8e"=-
"hsf87efjhdsf87f3jfsdi7fhsujfd"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\yrcqdb]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\pocaqpo]

:Files
C:\Users\MAGNANT\zooac.exe 
C:\Users\MAGNANT\vuujaz.exe     
C:\Users\MAGNANT\motuk.exe  
C:\Users\MAGNANT\AppData\Local\Temp\qyolzpw.exe   
C:\Users\MAGNANT\AppData\Local\Temp\user.exe
C:\Users\MAGNANT\vlqif.exe 
C:\Users\MAGNANT\weequ.exe    
C:\Windows\System32\svchost.bat       

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ... 

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"  
( " xxxx2010_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ).


==============================

4- Refais un scan ZHPDiag, coche bien toutes les options ( ! sauf la 045, 061 et 066 !), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Dastiny · Answer

Voila tout c'est bien déroulé : 

http://www.cijoint.fr/cjlink.php?file=cj201003/cijpSz4YSl.txt 




ZhpDiag   toujours du rapidshare mais plus de message d'erreur : 
http://rapidshare.com/files/367083882/ZHPDiag5.htmll

kristof78400 · Answer

bonjour,
pour ce genre de virus j'utilise combofix 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
c'est un utilitaire assez puissant auquel je me fit assez souvent.

sKe69 · Answer

Hello, 



on avance bien .... ^^ 



la suite donc : 


Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------ 
*  Ferme tes applications en cours ( ainsi que ton navigateur ) . 
*  DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe .   
En effet, activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après ! 
->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ... 
*  Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
*  Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ). 
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------ 

Ensuite : 
> Clique droit / "executer en tant qu'admin" sur l'icône "Combofix.exe" pour lancer l'outil . 
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ... 


Notes importantes :  
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi . 
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire . 
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ... 
-> si un message d'erreur windows apparait à un momment  : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )  

Le rapport sera crée ici : C:\Combofix.txt  

Réactive bien tes défenses . 

  
Poste le rapport Combofix pour analyse et attends la suite ... 





"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Dastiny · Answer

Mauvaise nouvelle ...
Lors de l'étape "suppression" de l'analyse "ecran bleu de la mort" .
réAllumage de l'ordi impossible, un driver "system32\yrcqdb.sys à était supprimé.

Je n'ai donc plus de pc.

L'ordi me propose de réparer Vista en inserant le CD d'installation hors celui ci n'est pas détecter quand je le met. 

Peut-être un moyen de faire détecter le CD via le bios?

sKe69 · Answer

re,

tu as bien désactivé tes défenses avant de faire ComboFix ?...


le driver dont tu me parle semble être un malawre plus qu'autre choses ( inconnu de Google )


essaye de redémarrer en mode sans échec avec prise en charge du réseau  pour voir ...


 /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis l' option : Sans Échec avec prise en cahrge du réseau , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ). 


si le PC boot correctement , poste moi le rapport de ComboFix si possible ...

Dastiny · Answer

Non j'ai deja essayer impossible de lancer les modes sans echecs.

Par contre en appuyant sur F5 et F8 j'ai réussi à lancer le CD d'install.

Je répare le système ou pas?

Je ne vois pas grand chose d'autre à faire.

Dastiny · Answer

La réparation ne change rien. 
C'est compréhensible si comme tu le penses c'est un malware.

Installer Vista cela revient à formater le disque dur non? 

C'est la seul chose que je peu faire .


Oui j'avais désactiver les défenses ( a moins que je l'ai mal fait. )
Le programme avait trouvé un rootkit en tout cas.

sKe69 · Answer

re,


suis ce tuto pour fair la bonne réparation ( sans suppression des fichiers perso ) > http://www.vista-xp.fr/forum/topic428.html

cela devrait au moins permettre de retourner sur le bureau ....

Dastiny · Answer

Ok merci pour le tuto.

Mais Vista vient encore m'embeter .

http://www.vista-xp.fr/forum/topic428.html

A l'étape 8 il ne me donne pas le choix. La mise à a niveau à était désactiver je dois la lancer à partir de windows chose impossible.

Et "personnalisé" lance un formatage de windows.
Je vais donc être obligé de contourné le tuto! :/

Dastiny · Answer

Je vais perdre uniquement ce qu'il y a sur C:\  non?
Les données sur D:\ et E:\ sont gardées?


Si tu as une solution oui je veux bien je n'ai pas lancer l'installation encore.

Dastiny · Answer

Voila Windows à était réinstaller.
En fait il à créer un windows.old  avec tout ce que je possédais sur l'ancienne session.

Vous croyez que je peux reprendre mes programmes important ou sont-ils forcement corrompus ( je pensais notament à reprendre Avast le reste je peux le réinstaller) ?  Ou je dois supprimé ce windows old?

sKe69 · Answer

hello,


tu ne reprends aucun programe ! 

Pour Avast , c'est gratos et c'est ici > http://www.commentcamarche.net/telecharger/telecharger-151-avast

mais ne l'installe pas pour le moment ! ...


je t'ai demandé de refaire ceci stp :



Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !! 

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) . 

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

Dastiny · Answer

Ok je vais faire ça des que j'ai réussi à installer internet.  

Je supprime windows.old avant de faire ZHPDiag? Il me prend toute la place de mon disque.

*Pour Avast j'avais une version pro payante il me semble c'est pour ca que je demande.

Dastiny · Answer

Voila le rapport qui s'est terminé pour la première fois :

http://www.cijoint.fr/cjlink.php?file=cj201003/cijgWvWzJo.txt

sKe69 · Answer

bien ...


deux trois chose à faire ...


dans l'ordre :


1- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


[MD5.4F785D20179F1F83A837E13898722BD7] - (.Pas de propriétaire - Pas de description.) -- C:\Windows\system32\startup.exe
O4 - HKLM\..\Run: [WinSys2] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\system32\startup.exe


Puis Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres .

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . 

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
 
 Pense à réactiver tes défenses !... 



===========================

2- Télécharges Malwarebytes' : 
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
 
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'instale, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg : 
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebytes' .

Fais un examen dit "complet" ( sélectionne bien tous tes disks avant le scan ! ).

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date)pour analyse ...


==========================

3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Dastiny · Answer

Mes réponses trop longue ne sont pas poster j'ai donc raccourci tout ca :

http://www.cijoint.fr/cjlink.php?file=cj201003/cijwvIZPbu.txt

:)

sKe69 · Answer

Re, 



merci de ne pas utiliser "rapidemachin" qui est surement blacklisté pour le site ... 


Dans l'ordre : 



1- Supprime l'outil UsbFix ainsi : 

relance le et au menu principal , choisis l'option "désinstaller" et valide ... 


supprime ensuite le dosssier C:\UsbFix si encore présent ... 



=========================== 


2- on va reprendre avec la dernière version de l'outil : 


Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau : 

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe 
ou ici https://www.ionos.fr/?affiliate_id=77097 

! Déconnecte toi d'internet et ferme toutes applications en cours ! 


Impératif : 
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .  


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil. 

# Choisis l' option 1 ( Recherche ) 

# Laisse travailler l'outil et ne touche à rien pendant le scan . 

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra. 

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ). 

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )  


Note :  
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.  
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.  
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html 



"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Dastiny · Answer

Ok pour rapidshare mais je l'utilise quand il m'est impossible de partager le fichier sur cijoint ou megaupload.

Voila le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201003/cijXjOR4ws.txt

sKe69 · Answer

Arg ...


comme je le pensais , tes support amovible sont bien infecté encore ! ...

si tu les as branchés sur d'autre PC , ils sont également infectés ....



bref , pour ce PC fais ce qui suit :


1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé,  poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\ 


=========================

2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ... 

PS : sauvegarde se nouveau rapport sous le nom de ZHPDaig2.txt comme cela il passera pour Cijoint . 
;)

Dastiny · Answer

Merci de l'astuce pour Cijoint !


UsbFix : ( mon mp4 qui a l'air principalement touché )

http://www.cijoint.fr/cjlink.php?file=cj201003/cijrNQuWUK.txt


ZHPDiag : 

http://www.cijoint.fr/cjlink.php?file=cj201003/cijlLgkrZP.txt



Je vais me coucher bonne nuit et merci de m'aider depuis bientôt 1semaine :)

sKe69 · Answer

arg ... 


une partie de l'infection n'est pas supprimé dans un des disques amovibles ( le lecteur mp3 apparement ) ... on va faire autrement .... 



! toujours tes unité externes branchées au PC ( et branchées au même endroit que précédemment ) !  


Télécharge OTM (de Old_Timer) sur ton Bureau.  

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/ 

  
Double clique sur "OTM.exe" pour ouvrir le prg .  
Puis copie ce qui se trouve en citation ci-dessous, 
  


:Files 
G:\weequ.exe  
G:\vuujaz.exe  
G:\motuk.exe  
G:\zooac.exe  
G:\vuujaz.scr  
G:\weequ.scr  
G:\motuk.scr  
G:\zooac.scr  
G:\vlqif.exe  
G:\vlqif.scr  

:Commands 
[purity] 
[emptytemp] 
[zipfiles] 
[Reboot] 


et colle le dans le cadre de gauche de OTM :  
Paste Instructions for items to be moved. 
(ne touche à rien d'autre !)  

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris ) 

-> clique sur MoveIt! pour lancer la suppression. 
-> laisse travailler l'outil ...  

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " . 

Ton PC va redémarrer de lui même pour finir la suppression ... 

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ). 

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"   
( " xxxx2010_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ). 




"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Dastiny · Answer

Bonjour!

Voila voila :

All processes killed
========== FILES ==========
G:\weequ.exe moved successfully.
G:\vuujaz.exe moved successfully.
G:\motuk.exe moved successfully.
G:\zooac.exe moved successfully.
G:\vuujaz.scr moved successfully.
G:\weequ.scr moved successfully.
G:\motuk.scr moved successfully.
G:\zooac.scr moved successfully.
G:\vlqif.exe moved successfully.
G:\vlqif.scr moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Pierre
->Temp folder emptied: 54640897 bytes
->Temporary Internet Files folder emptied: 17356504 bytes
->FireFox cache emptied: 84860230 bytes
->Flash cache emptied: 1619 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 11539254 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 32902 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 161,00 mb
 
 
OTM by OldTimer - Version 3.1.10.1 log created on 03252010_175717

Files moved on Reboot...

Registry entries deleted on Reboot...

sKe69 · Answer

hello,



voilà ce que tu va faire maintenant :


1- Rends sur cette page :
> https://www.ionos.fr/?affiliate_id=77097 

* clique sur "parcourir" et va jusqu'au fichier C:\UsbFix_Upload_Me_PC-de-Pierre.zip qui est sur ton bureau .

* En dessous de "Sélectionnez l'outil que vous venez d'utiliser", choisis Submit your sample ( si cela passe pas , choisis "UsbFix" ) . 

* puis clique sur "envoyer le fichier" ... patiente le temps du transfère ...

* Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_PC-de-Pierre.zip


puis tu vas faire de même avec le fichier zip qui se trouve dans le dossier C:\_OTM\MovedFiles



merci d'avoir fait cette remonté qui permettra aux auteurs de l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant ... ^^



==========================

2- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 


=============================

3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Dastiny · Answer

Voila voila : http://www.cijoint.fr/cjlink.php?file=cj201003/cijrINUHtO.txt

sKe69 · Answer

bien , 


j'avais zappé la 3eme page ... ^^ 



on va tout de même faire une vérife au niveau rootkit puis on pourra finaliser ensuite ... 


donc fait ceci : 

Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici) : 

http://www2.gmer.net/gmer.zip
 
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( navigateurs compris )!!


* Double-clique sur gmer.exe pour lancer l'outil .
* Mets toi bien sur l'onglet "rootkit", puis clique sur scan.

> laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... ) 

* A la fin du scan, clique sur le bouton copy. 
* Puis va dans "démarrer" > "programmes" > "accessoires" : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note. Enfin sauvegarde ce rapport de manière à le retrouver .... 

> poste le rapport stp ...



"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Dastiny · Answer

Voila terminer. Juste à noter que après ceci mon ordi rame  à fond ( utilisation du processeur 100%  au lieu de 0% ) :

http://www.cijoint.fr/cjlink.php?file=cj201003/cijB9NCkoq.txt

sKe69 · Answer

re,


t'inquiète , ça va calmer ... reboot le PC ... ;)



c'est clean de se côté là ....



Puis fait ceci dans l'ordre :



( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix ( "en tant qu'admin..." ) depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! ferme tes autres applications en cours !!


A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

Là tu décoches la case devant ZHPDiag ! 


> Enfin clique en bas sur "Nettoyer" . 


laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

-> Copie/colle le contenu de ce rapport pour analyse ... 

( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt) 

Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fait le ! 



B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ). 

Au message de confirmation , clique sur "Ok" .


Puis ferme ZHPFix ...


=====================

2- Refais un coup de CCleaner ( registre compris ) .

=====================

3- Télécharge et installe le logiciel HijackThis : 

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment ) 

=====================

4- Important :
Purge de la restauration système 
-> Désactive ta restauration :
Dans démarrer, clique droit sur ordinateur/propriétés/protection du système : décoche la case devant ton disk dur maitre ( pour toi -> C )  , valide, applique et OK 
Redémarre ton PC ...
 
-> Réactive ta restauration :
Clique droit sur ordinateur/propriétés/protection du système : coche la case devant ton disk dur maitre , valide, applique et OK 
Redémarre ton PC ...

( tuto : https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista ) 

=====================


5- Installation et utilisation de ton nouvel AV : AntiVir 

Télécharge AntiVir Personal Edition  ici :
http://www.commentcamarche.net/telecharger/telecharger-55-antivir
ou ici :
http://dl1.avgate.net/down/windows/antivir_workstation_winu_fr_h.exe
ou ici :
http://www.free-av.com/fr/telecharger/1/avira_antivir_personal_free_antivirus.html

Anti-virus gratuit . 

Installe le et mets le à jour si besoin .

Aide AntiVir : https://www.malekal.com/avira-free-security-antivirus-gratuit/
TUTO installation : http://www.forum-vista.net/forum/topic5704.html



Fais ce réglage supplémentaire :

***************************************
Une fois AntiVir ouvert, clique sur "configuration" et coche bien la case " mode expert " : 

* mets toi sur "scanner"/"recherche" (à gauche) -> dans "fichiers", coche tous les fichiers et en dessous dans priorité scanner= élevé  .
coche aussi : autorisé l'arrêt , comme cela tu peux faire une pause pendant le scan si tu le desir. 
* toujours dans "recherche" -> " Autres réglages ", coche les cases suivantes : 
>secteur d'amorçage lecteurs de rech. 
>Contrôler secteurs d'amorçage maître 
>Suivre les liens symboliques 
>Rech.Rootkit au dém. de la recherche 
et décoche : 
ignorer les fichiers hors ligne 

* mets toi sur "scanner"/"recherche"/ "heuristique" -> Heuristique macrovirus= coché, et en dessous coche activer AHeADet coche la case degré d'identification élevé ...
* mets toi sur "scanner"/"recherche"/ "action en cas de résultat positif" -> coche " interactif" et choisis le mode "individuel" .

* mets toi sur "Guard"/"recherche"/ "heuristique" -> Heuristique macrovirus= coché, et en dessous coche activer AHeADet coche la case degré d'identification moyen ...


---> clique sur "OK" pour valider le réglage ...
****************************************


Une fois fait, lance un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ... 

> poste moi le rapport obtenu ... Aide toi bien du tuto ;) 

( PS : Si AntiVir s'affolle dès la fin de son installe , ainsi qu'au redémarrage du PC , mets tout en quarantaine et poste moi tous les rapports ... )

Dastiny · Answer

Voila rien d'anormal durant les installations . Avira AntiVir Personal Date de création du fichier de rapport : jeudi 25 mars 2010 21:00 La recherche porte sur 1918342 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows Vista Version de Windows : (plain) [6.0.6000] Mode Boot : Démarré normalement Identifiant : Pierre Nom de l'ordinateur : PC-DE-PIERRE Informations de version : BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 25/03/2010 19:54:15 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 19:54:14 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 19:54:14 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 19:54:14 VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 19:54:14 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 19:54:15 VBASE005.VDF : 7.10.4.204 2048 Bytes 05/03/2010 19:54:15 VBASE006.VDF : 7.10.4.205 2048 Bytes 05/03/2010 19:54:15 VBASE007.VDF : 7.10.4.206 2048 Bytes 05/03/2010 19:54:15 VBASE008.VDF : 7.10.4.207 2048 Bytes 05/03/2010 19:54:15 VBASE009.VDF : 7.10.4.208 2048 Bytes 05/03/2010 19:54:15 VBASE010.VDF : 7.10.4.209 2048 Bytes 05/03/2010 19:54:15 VBASE011.VDF : 7.10.4.210 2048 Bytes 05/03/2010 19:54:15 VBASE012.VDF : 7.10.4.211 2048 Bytes 05/03/2010 19:54:15 VBASE013.VDF : 7.10.4.242 153088 Bytes 08/03/2010 19:54:15 VBASE014.VDF : 7.10.5.17 99328 Bytes 10/03/2010 19:54:15 VBASE015.VDF : 7.10.5.44 107008 Bytes 11/03/2010 19:54:15 VBASE016.VDF : 7.10.5.69 92672 Bytes 12/03/2010 19:54:15 VBASE017.VDF : 7.10.5.91 119808 Bytes 15/03/2010 19:54:15 VBASE018.VDF : 7.10.5.121 112640 Bytes 18/03/2010 19:54:15 VBASE019.VDF : 7.10.5.138 139776 Bytes 18/03/2010 19:54:15 VBASE020.VDF : 7.10.5.164 113152 Bytes 22/03/2010 19:54:15 VBASE021.VDF : 7.10.5.182 108032 Bytes 23/03/2010 19:54:15 VBASE022.VDF : 7.10.5.199 123904 Bytes 24/03/2010 19:54:15 VBASE023.VDF : 7.10.5.217 279552 Bytes 25/03/2010 19:54:15 VBASE024.VDF : 7.10.5.218 2048 Bytes 25/03/2010 19:54:15 VBASE025.VDF : 7.10.5.219 2048 Bytes 25/03/2010 19:54:15 VBASE026.VDF : 7.10.5.220 2048 Bytes 25/03/2010 19:54:15 VBASE027.VDF : 7.10.5.221 2048 Bytes 25/03/2010 19:54:15 VBASE028.VDF : 7.10.5.222 2048 Bytes 25/03/2010 19:54:15 VBASE029.VDF : 7.10.5.223 2048 Bytes 25/03/2010 19:54:15 VBASE030.VDF : 7.10.5.224 2048 Bytes 25/03/2010 19:54:15 VBASE031.VDF : 7.10.5.225 2048 Bytes 25/03/2010 19:54:15 Version du moteur : 8.2.1.196 AEVDF.DLL : 8.1.1.3 106868 Bytes 25/03/2010 19:54:15 AESCRIPT.DLL : 8.1.3.18 1024378 Bytes 25/03/2010 19:54:15 AESCN.DLL : 8.1.5.0 127347 Bytes 25/03/2010 19:54:15 AESBX.DLL : 8.1.2.1 254323 Bytes 25/03/2010 19:54:15 AERDL.DLL : 8.1.4.3 541043 Bytes 25/03/2010 19:54:15 AEPACK.DLL : 8.2.1.1 426358 Bytes 25/03/2010 19:54:15 AEOFFICE.DLL : 8.1.0.41 201083 Bytes 25/03/2010 19:54:15 AEHEUR.DLL : 8.1.1.13 2470262 Bytes 25/03/2010 19:54:15 AEHELP.DLL : 8.1.10.2 237941 Bytes 25/03/2010 19:54:15 AEGEN.DLL : 8.1.3.2 373108 Bytes 25/03/2010 19:54:15 AEEMU.DLL : 8.1.1.0 393587 Bytes 25/03/2010 19:54:15 AECORE.DLL : 8.1.12.3 188789 Bytes 25/03/2010 19:54:15 AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 14:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30 AVPREF.DLL : 9.0.3.0 44289 Bytes 25/03/2010 19:54:15 AVREP.DLL : 8.0.0.7 159784 Bytes 25/03/2010 19:54:15 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 25/03/2010 19:54:14 RCTEXT.DLL : 9.0.73.0 88321 Bytes 25/03/2010 19:54:14 Configuration pour la recherche actuelle : Nom de la tâche...............................: Lecteurs locaux Fichier de configuration......................: C:\program files\avira\antivir desktop\alldrives.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, D:, E:, A:, F:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Utiliser la liste d'extensions du fichier Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: élevé Début de la recherche : jeudi 25 mars 2010 21:00 La recherche d'objets cachés commence. '74478' objets ont été contrôlés, '0' objets cachés ont été trouvés. La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'AEADISRV.EXE' - '1' module(s) sont contrôlés Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés Processus de recherche 'SoundTray.exe' - '1' module(s) sont contrôlés Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés Processus de recherche 'smax4pnp.exe' - '1' module(s) sont contrôlés Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'RtWLan.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '48' processus ont été contrôlés avec '48' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'E:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'A:\' [INFO] Aucun support de données inséré dans le lecteur 'A:\' ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '35' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\hiberfil.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. Recherche débutant dans 'D:\' Recherche débutant dans 'E:\' Recherche débutant dans 'A:\' Impossible d'ouvrir le chemin à contrôler A:\ ! Erreur système [21]: Le périphérique n'est pas prêt. Recherche débutant dans 'F:\' Impossible d'ouvrir le chemin à contrôler F:\ ! Erreur système [21]: Le périphérique n'est pas prêt. Fin de la recherche : jeudi 25 mars 2010 21:08 Temps nécessaire: 07:45 Minute(s) La recherche a été effectuée intégralement 10979 Les répertoires ont été contrôlés 49622 Des fichiers ont été contrôlés 0 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 0 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 2 Impossible de contrôler des fichiers 49620 Fichiers non infectés 718 Les archives ont été contrôlées 2 Avertissements 2 Consignes 74478 Des objets ont été contrôlés lors du Rootkitscan 0 Des objets cachés ont été trouvés

sKe69 · Answer

impec ....



on finalise donc :


1- installe la consol Java > https://www.commentcamarche.net/telecharger/developpement/12917-java-runtime-environment/
ou https://www.java.com/fr/

<puis contrôle ceci : 
Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".


==========================

2- Fais une mise à jours de ton Système via panneau de config / "Windows Update" : 
-> fais toutes les mises à jour disponibles, surtout les dites "critiques" et "importantes" ( Vista SP1 puis SP2 , Internet Explorer 8 , ect ... ).
-> tu les télécharges , puis une fois celles-ci téléchargées , lance les installations ( il te sera surement demandé de redémarrer le PC pour finir les installes ...).

-> il faudra sûrement recommencer l'opération plusieurs fois pour que tout soit fait !

Astuce ici :
https://www.commentcamarche.net/faq/273-windows-update-toutes-versions

Note : 
ferme toutes applications en cours et ne fais rien d'autre avec le PC lors de la mise à jour du système .


==========================

2- Une fois le systeme à jour , utilise Hijackthis ainsi,

tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34), 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

>  !! Déconnecte toi et ferme toutes tes applications en cours !! 

Clique sur le raccourci du bureau pour lancer le prg : 
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" 

---> Poste le rapport généré pour analyse ...

Dastiny · Answer

Bonjour,

voila toute les Maj normalement sont installés ( SP1 SP2 IE8 Update .. )


Le résultat du hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:34:17, on 26/03/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.windows.fr/ie8/bienvenue
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SoundTray] C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O13 - Gopher Prefix: 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe

sKe69 · Answer

Salut, impec ... ^^ Donc suite et FIN dans l'ordre pour ce PC : 1- Ferme toutes tes applications ( navigateur compris ) et déconnecte toi . Relance Hijackthis ( "en tant qu'admin..." ) mais click sur " Do a scan only " Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . Tu vas cliquer sur les carrés des lignes suivantes : Tu cliques en bas sur le bouton FIX CHECKED et valides . ===================== 2- Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau. http://pc-system.fr/ Déconnecte toi et ferme bien toutes tes applications en cours . Clique droit sur le prg et choisis "exécuter en tant qu' Administrateur" pour le lancer. * Clique sur Recherche et laisse le scan se terminer (cela peut être long). * Clique sur Suppression pour finaliser. * Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) : --> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) . Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolsclaener2 n'a pas supprimé . Puis enfin supprime Toolscleaner2 ... ===================== 3- Refais un coup de CCleaner (registre compris ). ===================== 4- Fais ce check-up pour finir : A-Purge de la restauration système --->Désactive ta restauration : Dans démarrer, clique droit sur ordinateur/propriétés/protection du système : décoche la case devant ton disk dur maitre ( pour toi -> C ) , valide, applique et OK Redémarres ton PC ... --->Réactive ta restauration : Clique droit sur ordinateur/propriétés/protection du système : coche la case devant ton disk dur maitre , valide, applique et OK Redémarre ton PC ... ( tuto : https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista ) Attention : ne pas toucher au PC pendant qu'il travaille ! B-Nettoyage et Défragmentation de tes Disques * Nettoyage Clique droit sur "ordinateur" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général" Clique sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques durs ... * Vérifications des erreurs Clique droit sur "ordinateur" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil" . clique sur "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -"réparer automatiquement les erreurs..." -"rechercher et tenter une récupération..." Démarrer, ok s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal . Tu le fais pour chacun de tes disques ... Ensuite toujours dans le même onglet tu choisis : * Défragmentation "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK tu le fais pour chacun de tes disques ... Note : si tu as un utilitaire pour défragmenter , utilise le à la place ... ( attention , cela peut durer assez longtemps - plus d'une dix heure dans certains cas ) C-Créer un point de restauration de ton PC : Aller dans le Menu Démarrer puis dans Programmes, - Ensuite dans Accessoires et enfin dans Outils système, - Choisir "Restauration du système", - pour créer un point de restauration cliques sur : "ouvrez protection système" . -->dans cette nouvelle fenêtre Cliquer en bas à gauche sur " créer " . - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple : << Point restauration sain >> . --> Cliquer sur "Créer" et le point de restauration se créé automatiquement. ---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =) "Baby, I'm going on an airplane, And I don't know if I'll be back again" IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne vous l'a pas dit !

Dastiny · Answer

Relance Hijackthis ( "en tant qu'admin..." ) mais click sur " Do a scan only "
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide .
Tu vas cliquer sur les carrés des lignes suivantes :




Tu cliques en bas sur le bouton FIX CHECKED et valides . 


Tu ne m'as rien donnés à cocher normal?^^

sKe69 · Answer

oups désolé ! ...


voilà les 2 lignes à cocher :


O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"



:p

Dastiny · Answer

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Qoobox: trouvé !
C:\Navilog1: trouvé !
C:\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\Pierre\AppData\Local\VirtualStore\Program Files\ZHPDiag: trouvé !
C:\Users\Pierre\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis: trouvé !
C:\Users\Pierre\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Users\Pierre\Desktop\HijackThis.lnk: trouvé !
C:\Users\Pierre\Desktop\Gmer.zip: trouvé !
C:\Users\Pierre\Desktop\HJTInstall.exe: trouvé !
C:\Users\Pierre\Desktop\Resultat\UsbFix.txt: trouvé !
C:\Users\Pierre\Downloads\UsbFix.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
C:\Users\Pierre\Desktop\HijackThis.lnk: supprimé !
C:\Users\Pierre\Desktop\Gmer.zip: supprimé !
C:\Users\Pierre\Desktop\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Users\Pierre\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Users\Pierre\Desktop\Resultat\UsbFix.txt: supprimé !
C:\Users\Pierre\Downloads\UsbFix.exe: supprimé !
C:\Qoobox: supprimé !
C:\Navilog1: supprimé !
C:\Program Files\ZHPDiag: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: supprimé !
C:\Users\Pierre\AppData\Local\VirtualStore\Program Files\ZHPDiag: supprimé !
C:\Users\Pierre\AppData\Local\VirtualStore\Program Files\Trend Micro\HijackThis: supprimé !






Pour tout le reste c'est bon sauf la "vérification des erreurs" qui ne peut pas se lancer car c:\ est en execution elle a donc était planifier.

Aucun problème pour le Pc !



J'ai une petite question : j'avais une version pro d'avast avec une licence qui tient encore pour 1ans. Je pense donc qu'une version payante d'avast est plus performantes qu'une version gratuite de  Avira non?

sKe69 · Answer

Pour tout le reste c'est bon sauf la "vérification des erreurs" qui ne peut pas se lancer car c:\ est en execution elle a donc était planifier.  

Aucun problème pour le Pc !  


c'est normal ... 

il faut que tu reboot le PC et elle se lancera automatiquement ... 


fait le de suite et tiens moi au ju ... 



Je pense donc qu'une version payante d'avast est plus performantes qu'une version gratuite de Avira non? 

pas du tout ! ... surtout que ta version d'Avast était la 4.8 , une vrai passoire ... ^^ 



"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Dastiny · Answer

OK voila j'ai redémarré ça a durée 4sec j'ai même pas pus eu le temps de lire ce qui s'y passait. =/


Une passoire !!!

ok vaut mieux pas le remettre alors ;) .

sKe69 · Answer

bien ...



content d'avoir pu te rendre service .... domage dêtre passer par une ré-installe mais faut dire que tu étais salement infecté .... ^^




[u]Potasse ces quelques recommandations [/u]:


=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html 
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> [u]Surveillance[/u] : 
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement). 

=>  [b]Il faut absolument tenir à jour régulièrement Windows[/b] :

Via [i]Internet Explorer[/i] ( impératif ), rends toi sur Microsoft Update
http://www.update.microsoft.com/windowsupdate/v6/default.aspx

[b]Effectue toutes les mise à jour critiques proposées[/b] .
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
Démarrer / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis sur OK

=============================================================

=> Il faut mettre a jour la [b]console Java [/b]régulièrement aussi : 

( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.htm )

Donc pour se faire, rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d'éliminer les failles de sécurité présentes dans ces anciennes versions. 
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. 
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . 
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 

Autre astuce : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara

============================================================= 

=> Afin d'éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l'est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
- Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 
- Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. 

-> autre très bon soft similaire dans cette astuce : 
https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
 
===========================================================
* [u] le pare- feu de Xp vaut rien , je te conseille fortement dans installer un [/u]:
( [b]Important[/b] > si votre antivirus fait aussi pare-feu , ne pas en installer un autre ! conflits et plantages assurés ! )

Armor ou Comodo sont très bien ( en anglais mais gratuit )...Tu trouveras tout ce qu'il faut ici :
https://www.commentcamarche.net/telecharger/securite/pare-feu/

[u]tutos[/u] :
https://www.malekal.com/tutorial-online-armor-free/
https://www.malekal.com/tutorial-comodo-firewall/

( Attention : pour Comodo 3 , choisir uniquement l'installation du pare-feu [b]seul[/b].Et ne pas installer la barre d'outil pour les navigateurs ! )

En deuxieme choix ( gratuit aussi ) :
->Comodo ancienne version 2.4 ( en francais ) : 
http://download.comodo.com/cpf/download/setups/release/languages/CFP_Setup_English_French_2.4.16.174.exe
tuto: https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389

->PC Tools Firewall Plus (en français) :
https://fr.norton.com/
Tuto : http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/

(Note: pensez bien à désactiver le pare-feu de Windows avant de lancer l'installe de tout autre pare-feu !)

* [u]teste l'efficacité de ton pare-feu ici ( à titre indicatif ):[/u]
http://www.zebulon.fr/outils/scanports/test-securite.php

* tests firewall: http://www.matousec.com/index.html 

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s'ils restent ouverts) : 

ZebProtect (application ne nécessitant pas d'installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html 

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html 

================================================================ 

[u]Pour une meilleur sécurité lorsque tu surfes [/u]: 

* Je te conseille d'utiliser le navigateur " [b]FireFox[/b] " :
télécharge le ici -> http://www.mozilla-europe.org/fr/
ou -> https://www.commentcamarche.net/telecharger/web-internet/9879-firefox/

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

-> [u]Tutorial pour sécuriser Firefox [/u]:
https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ 

* tu peux installer cet Add-ons : [b]WOT[/b] ( gratuit / compatible IE et FireFox )
-> Firefox https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp - IE https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
-> Démo : http://www.mywot.com/fr/demo
Très simple et léger , [i]WOT[/i] permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

* [b]Noscript [/b]est un autre "Add-ons" ( pour Firefox ) qui empêche l'exécution de scripts en provenance des sites Web. 
Il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée : 
http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net
https://addons.mozilla.org/fr/firefox/addon/noscript/

=================================================================
[u][b]=> Rappel sur les principales causes d'infection [/b]:[/u] 

A lire > https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf
( merci aux auteurs de ce pdf )

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 

[u]Les dangers des cracks[/u] : 
https://forum.malekal.com/viewtopic.php?t=893&start=

-> Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

-> Fléaux du moment par le biais de pseudo crack sur réseau P2P : [b]Virut/Scrible[/b] !
> https://www.futura-sciences.com/tech/actualites/informatique-virut-scribble-retour-infection-redoutable-18310/


* [u]Le P2P [/u]( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): 

[u]Les conséquences du P2P [/u]: https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 

Pourquoi éviter le P2P (emule ,Shareaza, kazza ... ect):
> http://www.libellules.ch/... 
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
> https://lexpansion.lexpress.fr/actualite-economique/
 

*[u]IE >  Faire attention avec les [b]ActiveX[/b] [/u]:
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment : 
http://assiste.com.free.fr/p/abc/c/anti_activex.html


* Prévention sur deux autres types d'infection d'actualité : 

[b]MSN prévention[/b] : 
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
 

[b]Infection par supports amovibles [/b](clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ 
https://forum.malekal.com/viewtopic.php?f=45&t=5544 

* [u]Rappel sur l'utilisation d'une version piratée de Windows[/u] :
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows

=================================================================

[u]Bon à savoir [/u]:

* La "[b]Console de récupération[/b]" ( XP ): 
face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable. 
tutoriels ici : 
https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm .
https://www.informatruc.com

Equivalent Vista : http://www.forum-vista.net/forum/

* Conserve une sauvegarde des fichiers importants ( Sur CD/DVD rom ,DD externe ,ect ...). 

* Ne pas telecharger n'importe quoi, éviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games, ...ect

* Analyser les fichiers reçus/téléchargés :
Pour les adeptes du Peer 2 Peer ( que je déconseille fortement ),toujours analyser les fichiers telechargés avec l'antivirus, l'anti-spyware/malaware du PC avant de les executer ... Cela minimise les risques ( mais ceux-ci restent tout de même présents ! ) 
Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir .
Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus .

* Idées reçus en sécurité informatique ( très instructif ) > 
http://www.libellules.ch/idees_recues_securite.php

=================================================================


Voilou ....


bonne suite à toi ... =)


A+

Dastiny · Answer

Ok et bien merci beaucoup de m'avoir  aider pendant toute cette semaine et d'avoir sauver mon Pc :)

Heureusement qu'il y a des gens comme vous ;)


Si il y a des problèmes ou quoi je te recontacte !



Merci encore bye.

Virus sur windows defender et autres ...

55 réponses

Newsletters