PC infecte antivirus softwar alertRésolu/Fermé

Question

Bonjour, 

Depuis tout à l'heure j'ai un pb "antivirus software alrt"
il me met " you computer is being attacked by an internet virus. It could be password-stealing attack , a trojan - dropper or similir.

details
Attack from : 92.190.176.9, port 20413
Attacked port : 7475
Threat : win32/Nuquel.E

frenchement là je ne sais pas quoi si quelqu'un pourrait m'aidez car mon ordinateur commencer a beuger je ne peut pas aller sur internet explorer , je ne peux pas désinstaller des fichers il me met qu'ils sont inffecter bref la loose 
HELP me :s


Configuration: Windows Vista / Firefox 3.5.8

fred08700 · Answer

bonjour

fais un scan de diagnostique

&#9679 Télécharges ZHPDiag ( de Nicolas coolman ).

	&#9679 Double clique sur le fichier d'installation, puis installes le avec les paramètres par défaut ( N'oublies pas de cocher " Créer une icône sur le bureau " )

	&#9679 Lances ZHPDiag en double cliquant sur l'icône présente sur ton bureau

	&#9679 Cliques sur la loupe en haut à gauche, puis laisse l'outil scanner.

	&#9679 Une fois le scan terminé, cliques sur l'icône en forme de disquette et enregistres le fichier sur ton bureau.

	&#9679 Rends toi sur www.cjoint.com

	&#9679 Cliques sur " Parcourir " dans la partie " Joindre un fichier[...] "

	&#9679 Séléctionnes le rapport ZHPdiag.txt qui se trouve sur ton bureau

	&#9679 Cliques ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

fred08700 · Answer

Télécharger rkill depuis l'un des liens ci-dessous:

http://download.bleepingcomputer.com/grinler/rkill.pif
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com
https://download.bleepingcomputer.com/grinler/rkill.exe

* Si vous avez un message qui signale que Rkill est un indésirable, ignorez la et lancez de nouveau Rkill après désactivation du logiciel le considérant comme néfaste.

Une bref fenêtre noire indiquera que l'installation s'est bien déroulée

N.B: ne pas redémarrer le pc après avoir fait Rkil sans quoi l'infection pourrait se réactiver 

ensuite lance ZHPdiag

fred08700 · Answer

essais ceci

&#9679 Télécharges OTH (de OldTimer) sur ton Bureau :

http://oldtimer.geekstogo.com/OTH.scr
http://oldtimer.geekstogo.com/OTH.com


&#9679  Lance OTH et clique sur "Kill All Processes" (tout devrait disparaître de ton écran à part OTH)
&#9679  Ensuite, clique sur "Start Misc Program" et lance ""ZHPdiag"
&#9679  Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
&#9679  Ne touche à rien pendant le scan.
&#9679  Lorsque la recherche sera terminée, un rapport apparaîtra.

(rapport de l'outil que tu as lancé)

Poste ce rapport dans ta prochaine réponse.

fred08700 · Answer

re

tu as affaire à un rogue

Les rogues sont des faux anti-spywares.Il sont seulement créés pour faire de l'argent.Ils se répandent à travers des infections virales ou via des popups de pubs ou d'alerte lorsque vous surfez.Les rogues peuvent aussi s'installer à votre insu. : lors de téléchargement et ouverte de cracks via des sites ou sur des réseaux P2P ou via des failles de sécurités lorsque vous surfez sur des sites douteux.
Lorsque vous êtes infecté, le faux anti-spyware se met en route automatiquement et vous détecte des menaces imaginaires, seulement pour vous nettoyer ces infections imaginaires, vous devez payer la version commerciale.
En règle général, ces infections sont accompagnées de fausses alertes indiquant que vous êtes infecté, soit en modifiant votre fond d'écran, soit via une icônes d'alerte souvent à côté de l'horloge.
Ils prennent généralement la place de l'antivirus dans le centre de sécurité.
Ces alertes vous harcèlent afin de vous faire acheter la version "commerciale".


essais directement ceci

  &#9679 Télécharges Malwarebytes			

   &#9679 Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.			

    &#9679 Fais la mise à jour du logiciel (elle se fait normalement à l'installation)			

    &#9679 Lance une analyse complète en cliquant sur "Exécuter un examen complet"			

    &#9679 Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"			

    &#9679 L'analyse peut durer un bon moment.....			

    &#9679 Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"		

    &#9679 Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"		

    &#9679 Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum		

&#9679 Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée		


Les créateurs d'infections utilisent les emplacements des fichiers système pour hébérger les infections, d'où les fichiers . dll ou exe dans ces series d'infections.		
MABM est très régulièrement mis à jour pour ne pas supprimer les fichiers légitimes de windows, donc pas de craintes de ce côté là.

fred08700 · Answer

non

mais prends celui(ci

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

fred08700 · Answer

re 

c'est l'inconvénient des rogues , il bloque les outils de désinfections 

essais smitfraudfix , il n'est plus à jour , mais peut éradiquer le problème 

    * Télécharge Smitfraudfix et enregistre le sur le bureau.       
      Redémarrer l'ordinateur en mode sans échec          
Comment redémarrer en mode sans échec ??          

    * Double cliquer sur smitfraudfix          
    * Sélectionner 2 pour supprimer les fichiers responsables de l'infection.          
    * A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.    
    * Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.    
    * Enregistre le rapport sur ton bureau    
    * Redémarrer en mode normal et poster le rapport.   

***************************** 

si rien 

essais malwarebytes en mode sans echec  

Chaque difficulté  rencontrée  doit être  l'occasion d'un nouveau progrès.  
  
[Pierre de Coubertin]

fred08700 · Answer

salut 

On va voir ! Mais Spyhunter 4 est néfaste , regardes ceci :http://assiste.com.free.fr/p/craptheque/spyhunter.html

essais de faire un scan ZHPdiag: https://forums.commentcamarche.net/forum/affich-18488779-pc-infecte-antivirus-softwar-alert#4 


Chaque difficulté  rencontrée  doit être  l'occasion d'un nouveau progrès.  
  
[Pierre de Coubertin]

fred08700 · Answer

tu as ouverts ZHPfix

ZHpdiag est en forme de parchemin , sur ton bureau !

si il ne fonctionne pas , fais celui-ci

&#9679 Télécharges Random's System Information Tool (RSIT)  de Random/Random, et enregistres le sur ton Bureau. 

sous windows 7 ==> regarder ici 

  &#9679 Double clique sur RSIT.exe pour lancer l'outil. 

  &#9679 Cliques sur "Continue" à l'écran Disclaimer. 

  &#9679 Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence. 

  &#9679 Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp 

 * Tutoriel illustré pour t'aider  

 *  pour héberger les rapports trop longs de RSIT

fred08700 · Answer

bonjour On avance -) Présence de Norton et Microsoft®Security Essentials ==> il ne faut qu' un seul antivius Désinstalles-en un ! ensuite ● Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) Déconnecte toi et ferme toutes les applications en cours ● Double-clique sur l'icône AD-Remover ● Au menu principal, clique sur "Nettoyer" ● Confirme le lancement de l'analyse et laisse l'outil travailler ● Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt ) (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. els de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. Chaque difficulté rencontrée doit être l'occasion d'un nouveau progrès. [Pierre de Coubertin]

jonathan78000 · Answer

Bonjour bonjour :) 

voilà le rapport fait par AD-Remover

======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 23/06/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:37:57 le 17/07/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Basique  Service Pack 2 (X86) 
jonathan@PC-DE-JONATHAN (Packard Bell BV EasyNote SL51) 
 
============== ACTION(S) ==============


0,Dossier supprimé: C:\Users\jonathan\AppData\LocalLow\Conduit
0,Dossier supprimé: C:\Program Files\Conduit

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\jonathan\AppData\Roaming\Mozilla\FireFox\Profiles\f7jxtjyk.default\Prefs.js --
Ligne supprimée: user_pref("CT2542115.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_... 
Ligne supprimée: user_pref("CT2542115.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT254... 
Ligne supprimée: user_pref("browser.search.defaultthis.engineName", "Softonic_France Customized Web Search"); 
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&Sea... 
-- Fichier Fermé --
 

0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.6 (fr)] **

-- C:\Users\jonathan\AppData\Roaming\Mozilla\FireFox\Profiles\f7jxtjyk.default\Prefs.js --
browser.search.selectedEngine, Bing
browser.startup.homepage, hxxp://fr.msn.com/
browser.startup.homepage_override.mstone, rv:1.9.2.6

-- C:\Users\gouly\AppData\Roaming\Mozilla\FireFox\Profiles\dcosozu8.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.1.8

========================================

** Internet Explorer Version [8.0.6001.18928] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 4 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 18 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 17/07/2010 (3321 Octet(s)) 

Fin à: 18:41:03, 17/07/2010 
 
============== E.O.F ==============

fred08700 · Answer

salut

Supprimes spyhunter 4  , si tu l'as encore !

ensuite

  &#9679 Télécharges Malwarebytes			

   &#9679 Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.			

    &#9679 Fais la mise à jour du logiciel (elle se fait normalement à l'installation)			

    &#9679 Lance une analyse complète en cliquant sur "Exécuter un examen complet"			

    &#9679 Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"			

    &#9679 L'analyse peut durer un bon moment.....			

    &#9679 Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"		

    &#9679 Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"		

    &#9679 Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum		

&#9679 Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée		


Les créateurs d'infections utilisent les emplacements des fichiers système pour hébérger les infections, d'où les fichiers . dll ou exe dans ces series d'infections.		
MABM est très régulièrement mis à jour pour ne pas supprimer les fichiers légitimes de windows, donc pas de craintes de ce côté là.

fred08700 · Answer

salut

Refais un scan ZHPdiag pour controle

fred08700 · Answer

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-) 
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
* Copie/colle les lignes en gras suivantes et place les dans ZHPFix : 

---------------------------------------------------------- 
O64 - Services: CurCS - (.not file.) - esgiguard (esgiguard) .(.Pas de propriétaire - Pas de description.) - LEGACY_ESGIGUARD 
O69 - SBI: C:\Users\jonathan\AppData\Roaming\Mozilla\Firefox\Profiles\f7jxtjyk.default\searchplugins\conduit.xml 
O69 - SBI: prefs.js [jonathan - f7jxtjyk.default] user_pref("CT2542115.SearchEngine", "Recherche|| 
O44 - LFC:[MD5.F9B2C6A8E5EA107CB8A10F91F65CA53D] - 17/07/2010 - 17:41:04 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-CLEAN[1].txt [3451]     
O42 - Logiciel: Norton Internet Security 2009 - (.Pas de propriétaire.) [HKLM]     

---------------------------------------------------------- 

* Clique sur « Tous », puis sur « Nettoyer » 
* Copie/colle la totalité du rapport dans ta prochaine réponse 

 java n'est pas à jour , désinstalles ta version :  Java 6 Update 11 dans ajout/suppression de programmes  
et installes cette version : https://www.java.com/fr/download/  



Chaque difficulté  rencontrée  doit être  l'occasion d'un nouveau progrès.  
  
[Pierre de Coubertin]

fred08700 · Answer

tu dois avoir un raccourci ZHPfix sur ton bureau


Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-) 

Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 

Copie/colle les lignes en gras suivantes et place les dans ZHPFix 

O64 - Services: CurCS - (.not file.) - esgiguard (esgiguard) .(.Pas de propriétaire - Pas de description.) - LEGACY_ESGIGUARD
O69 - SBI: C:\Users\jonathan\AppData\Roaming\Mozilla\Firefox\Profiles\f7jxtjyk.default\searchplugins\conduit.xml
O69 - SBI: prefs.js [jonathan - f7jxtjyk.default] user_pref("CT2542115.SearchEngine", "Recherche||
O44 - LFC:[MD5.F9B2C6A8E5EA107CB8A10F91F65CA53D] - 17/07/2010 - 17:41:04 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-CLEAN[1].txt [3451]
O42 - Logiciel: Norton Internet Security 2009 - (.Pas de propriétaire.) [HKLM] 

* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse

fred08700 · Answer

Le A rouge , c'est le nettoyeur de tools , n'y touche pas actuellement

Clique sur le  H et colle mes lignes en gras

ensuite 

* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse

jonathan78000 · Answer

Un logiciel qui s'appel ITECIR Driver setup est installer c'est normal?

mis a part cela
Voici le rapport :
Rapport de ZHPFix v1.12.3122 par Nicolas Coolman, Update du 15/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-18-07-2010-17-38-01.txt
Run by jonathan at 18/07/2010 17:38:01
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé du Registre ==========
O42 - Logiciel: Norton Internet Security 2009 - (.Pas de propriétaire.) [HKLM]  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - esgiguard (esgiguard) .(.Pas de propriétaire - Pas de description.) - LEGACY_ESGIGUARD  => Clé supprimée avec succès

========== Préférences navigateur ==========
/*user_pref("CT2542115.SearchEngine", "Recherche||https://www.bing.com/search?q=UCM_SEARCH_TERM&pc=cosp&ptag=G6C999A6E56D0BB89&form=CONTLB&conlogo=CT3210127");*/  => Valeur supprimée avec succès

========== Fichier ==========
c:\users\jonathan\appdataoaming\mozilla\firefox\profiles\f7jxtjyk.default\searchplugins\conduit.xml  => Supprimé et mis en quarantaine
c:\ad-report-clean[1].txt  => Supprimé et mis en quarantaine

========== Logiciel ==========
O42 - Logiciel: Norton Internet Security 2009 - (.Pas de propriétaire.) [HKLM]  => Logiciel supprimé avec succès


========== Récapitulatif ==========
2 : Clé du Registre
2 : Fichier
1 : Logiciel
1 : Préférences navigateur


End of the scan

fred08700 · Answer

Un logiciel qui s'appel ITECIR Driver setup est installer c'est normal? 

non , pas normal

refais un scan ZHPdiag

fred08700 · Answer

ok 

c'est propre 

relance malwarebytes et vides la quarantaine 
------------------------------------------ 
Relances ZHPfix , pour supprimer les outils de désinfections 
* clique sur le A rouge 
* vérifie que tout soit cochés 
* nettoyer  
-------------------------------------------- 
 &#9679 Télécharges Ccleaner lis bien le tutoriel pour t'en servir correctement  

clique :   - Download from FileHippo.com
   
 &#9679 Fais le nettoyage et recherche les erreurs du registre comme expliqué en bas du tutoriel.  
-------------------------------------------- 
Comment va le PC ? 

Chaque difficulté  rencontrée  doit être  l'occasion d'un nouveau progrès.  
  
[Pierre de Coubertin]

fred08700 · Answer

télécharges et exécutes hijackthis et suis le tutoriel

https://forums.cnetfrance.fr/tutoriels-securite-informatique/1549-hijackthis-comment-l-utiliser

fred08700 · Answer

bonsoir

Suites aux MPs

je récapitule :

* proxy fixé par ZHPfix
*Passage de MyHost

==> plus de problèmes pour les mises à jours et de connections de ce genre 

Safari ne parvient pas à ouvrir la page « https://www.msn.com/fr-fr ». L'erreur est : « Un problème est survenu lors de la communication avec le serveur proxy web (HTTP). » (CFURLErrorDomain:306) Choisissez Aide > Signaler un bogue à Apple, notez le numéro d'erreur et décrivez ce que vous avez fait avant l'affichage du présent message.

et pour internet explorer voici le message : www.msn.com n'est pas configurer pour établir une connexion au port (service web (http) avec cet ordinateur. 

jonathan78000: Pense à la mise à jour de Java est tout est OK -)

jonathan78000 · Answer

TOUT est okey le pc va mieux et internet fonctionne correctement un grand merci a toi Fred08700 :D

fred08700 · Answer

re

pas de souci -)

un peu galère mais très constructif .

Bon surf et a+

PC infecte antivirus softwar alert

22 réponses

Newsletters