sos! comment enlever tout les virus ect...... Résolu/Fermé

Question

Bonjour, mon pc portable (sous vista) est infesté de virus, trojan etc.... j'ai avira antivir personnal comme anti virus, il me detecte assez bien quand ya des virus donc je met par default, refuser l'aces mais des fois, il plante tout seul etc.... j'ai ete sur secuser.com pour analyse en ligne... j'ai du telecharger un fichier, housecall, quand je fais l'analyse il m'en trouve pas mal et quand je veux faire réparer les erreurs ect, mon pc plante d'un coup, ecran tout noir, ensuite bleu avec caractere blanc en anglais, il redemarre par la suite en me mettant que windows a reperer un arret non planifié ect..... comment je peux faire pour tout enlever s'il vous plait, merci



Configuration: Windows XP / Firefox 3.6.8

Wardurak · Answer

Salut,

Normalement après une analyse du PC par ton antivirus, celui-ci te propose de les supprimer, non ?

aurelia · Answer

salut, apres analyse, oui ca me marque les problemes qu'il a detecté, je les supprime... je lis que pour la plupart c'est des trojan etc... (potentiellement dangereux).... dans l'onglet ou il y en a qui ont ete mis en quarantaine, je les supprime aussi.... mais mon pc plante souvent, ouvre des fenetres tout seul etc... donc je pense pas que tout est ete enlevé correctement....toutes les 5 mins meme pas mon pc me previens qu'il y a un trojan... je fais refuser l'acces. mais ca continue....

Wardurak · Answer

Alors, peut être que ton antivirus n'est pas assez puissant. Est-ce que sont niveau de protection est configuré au maximum ?
Et sinon, en as tu déjà essayé un autre ? 
Il y a aussi un point essentiel dans ce cas; celui du téléchargement. Si tu télécharges beaucoup de données ça facilite l'insertion de virus.

babacool-13 · Answer

Bonsoir,

Pour tenter de te débarrasser de tes infections avec Antivir:

 1 -  Fait une mise à jour d'avira 
 2 -  Lance une analyse 
 3 - En fonction des résultats de l'analyse tu supprime éventuellement les menaces 




___________________________________________________________
Le meilleur antivirus est situé entre la chaise et le clavier

aurelia · Answer

wardurak, le logiciel est en fonction et au maximum... je n'en ai jamais essayé d'autres car je ne sais pas lequel pourrait etre le mieu m'y connais pas du tout. pour ce qui est du telecargement... a part des fichiers, document photos logiciel je ne vois pas 

babacool-13 j'ai fait tout....

babacool-13 · Answer

En fait j'ai pas compris ce que vous souhaitez faire ...  vous voulez vous désinfecter avec votre antivirus ? (avira car vous etes contaminés par un ver / virus / cheval de troie )

Babacool-13

hubertaaz · Answer

Bonsoir aurelia, 

Pour t'aider, il faut avoir un maximum d'éléments. 

* En premier un Copier/coller des rapports des antivirus. 

* En second une analyse de ton pc afin de détecter les infections et de déterminer les logiciels à utiliser pour la désinfection.  

Pour ce second point, fais ce qui suit :  

* Télécharge RSIT  de Random/Random, et enregistre le sur ton Bureau.  
* Double clique sur RSIT.exe pour lancer l'outil.  
* laisses le choix 1 month  
* Clique sur "Continue" à l'écran Disclaimer.  
* Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.  
* Une fois le scan terminé, deux rapports vont apparaître. 
Ps : les rapports se trouvent à cet endroit:  

C:\rsit\info.txt  

C:\rsit\log.txt  


Tutoriel pour t'aider 

Pour poster les fichiers, procède de la façon suivante : 

Clique sur ce lien :  

http://www.cijoint.fr/  

Clique sur Parcourir et cherche le fichier : C:\rsit\log.txt    

Clique sur Ouvrir.  

Clique sur "Cliquez ici pour déposer le fichier".  

Un lien de cette forme :  

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt  

est ajouté dans la page.  

Copie ce lien dans ta réponse et  tu fais de même pour C:\rsit\info.txt  

Je dois me déconnecter à présent mais je passe demain matin afin d'examiner tes rapports. 

Cordialement 
Celui qui pose une question est bête cinq minutes, celui qui n'ose pas l'est toute sa vie.  
(Proverbe chinois)

aurelia · Answer

oui voila, j'essai d'enlever tous les virus, vers, troja, cheval de troie, backdoor que j'ai sur mon pc portable... car meme avec analyse complete de avira, et que je supprime les menaces, ca recommence encore t encore ca n'arrte pas...

babacool-13 · Answer

Oké,
En effet suit la procedure de hubertaaz car nous n'avons aucune information sur ton virus / Cheval de troie / Ver ...   fait ce que te dit hubertaaz.
Cela nous permetra d'y voir un peut plus clair : )

Babacool-13

aurelia · Answer

merci beaucoup hubertaaz!!!
voici les rapports

http://www.cijoint.fr/cjlink.php?file=cj201007/cijG8safGI.txt
http://www.cijoint.fr/cjlink.php?file=cj201007/cijaAFT2nx.txt

babacool-13 · Answer

Comme hubertaaz semble être plus calé que moi je le laisse faire mais il semblera quand même que tu soit infecté . 

Babacool-13

aurelia · Answer

pour sur que mon pc portable est plus qu'infecté, il plante de partout meme au demarrage..... j'attendrais qu'hubertazz me dise comment faire par la suite.. avant que ca ne prenne encore plus d'ampleur que ca l'est deja ! merci quand meme

hubertaaz · Answer

Bonjour aurelia et Babacool-13, 

aurelia ton pc est effectivement très infecté. 

Il va falloir passer plusieurs outils de désinfection à la suite. Suis bien mes indications. Même si ton pc se porte mieux, la désinfection ne sera terminée que lorsque je te le signalerais. En attendant, en plus des rapports, tu peux me communiquer les progrès que tu aperçois. 

* Télécharge AD-Remover sur ton Bureau. (Merci à C_XX)  

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe  

ou 

https://www.androidworld.fr/  

/!\ Ferme toutes applications en cours /!\  

/!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.  

- Double-clique sur l'icône Ad-remover située sur ton Bureau.  
- Sur la page, clique sur le bouton « Nettoyer »  
- Confirme lancement du scan  
- Laisse travailler l'outil.  
- Poste le rapport qui apparaît à la fin.  

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

Celui qui pose une question est bête cinq minutes, celui qui n'ose pas l'est toute sa vie.  
(Proverbe chinois)

aurelia · Answer

bonjour et merci!
alors voila, apres avoir désactiver provisoirement avira et spybott pour faire le nettoyage avec ad-r voici le rapport 

============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.7 (fr)] **

-- C:\Users\Aurél\AppData\Roaming\Mozilla\FireFox\Profiles\9uikfv6u.default\Prefs.js --
browser.download.lastDir, H:\Texte\Q\3
browser.startup.homepage, hxxp://www.facebook.com
browser.startup.homepage_override.mstone, rv:1.9.2.7

========================================

** Internet Explorer Version [8.0.6001.18928] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
SearchAssistant: 
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 28 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 29/07/2010 (5513 Octet(s)) 

Fin à: 15:04:08, 29/07/2010 
 
============== E.O.F ==============

aurelia · Answer

ok pour le rapport au dessus de scan etc je te le fais apres .....
la j'ai deja 20 elements infecté dans malwarebytes' :-(
ca met du temps mais je fais tout ca apres

aurelia · Answer

voici donc le rapport de ad-r avant "scan additionnel"

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 15:00:53 le 29/07/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
Aurél@PC-DE-AURÉL (Sony Corporation VGN-CS31S_P) 
 
============== ACTION(S) ==============


0,Fichier supprimé: C:\Users\Public\MyWebTattoo.exe
0,Dossier supprimé: C:\Users\Aurél\AppData\Roaming\SystemProc
0,Fichier supprimé: C:\Users\Aurél\AppData\Roaming\Mozilla\FireFox\Profiles\9uikfv6u.default\searchplugins\fast-browser-search.xml
0,Dossier supprimé: C:\Users\AURL~1\AppData\Local\Temp\AskSearch
0,Fichier supprimé: C:\Users\AURL~1\AppData\Local\Temp\ASKSUTBLOG
0,Dossier supprimé: C:\Users\Aurél\AppData\LocalLow\Conduit
0,Dossier supprimé: C:\Program Files\Conduit
0,Dossier supprimé: C:\Program Files\Fast Browser Search
0,Dossier supprimé: C:\Program Files\Search Guard Plus
0,Dossier supprimé: C:\Program Files\SGPSA

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Aurél\AppData\Roaming\Mozilla\FireFox\Profiles\9uikfv6u.default\Prefs.js --
Ligne supprimée: user_pref("CT2504091.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER... 
Ligne supprimée: user_pref("CT2504091.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT250... 
Ligne supprimée: user_pref("CT2567681.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_... 
Ligne supprimée: user_pref("CT2567681.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT256... 
Ligne supprimée: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "hxxp://www.fastbrowsersearch.com/results... 
Ligne supprimée: user_pref("browser.search.defaultenginename", "Fast Browser Search"); 
Ligne supprimée: user_pref("browser.search.defaultthis.engineName", "Messenger Plus Live France Customized Web Search... 
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2567681&Sea... 
Ligne supprimée: user_pref("browser.search.order.1", "Fast Browser Search"); 
Ligne supprimée: user_pref("browser.search.selectedEngine", "Messenger Plus Live France Customized Web Search"); 
Ligne supprimée: user_pref("keyword.URL", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=18&tid={428... 
Ligne supprimée: user_pref("sweetim.toolbar.previous.keyword.URL", "hxxp://www.fastbrowsersearch.com/results/results.... 
-- Fichier Fermé --
 

1,Clé supprimée: HKLM\Software\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2504091
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2567681
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKCU\Software\Conduit
0,Clé supprimée: HKCU\Software\SGPUpdater
0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Search Guard Plus

0,Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|RTHDBPL
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{91C18ED5-5E1C-4AE5-A148-A861DE8C8E16}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

rapport du scan de malwarebytes' en sachant qu'il y en a qui n'ont pas pu etre effacé meme apres suppression et qui sont dans "quarantaine".....

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4366

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

29/07/2010 17:49:00
mbam-log-2010-07-29 (17-49-00).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 284671
Temps écoulé: 2 heure(s), 4 minute(s), 10 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 20

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Windows\System32\dmsynth32.dll (Trojan.Tracur) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\.fsharproj (Trojan.Tracur) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Tracur) -> Data: c:\windows\system32\dmsynth32.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Tracur) -> Data: system32\dmsynth32.dll -> Delete on reboot.

Dossier(s) infecté(s):
C:\ProgramData\482575010 (Rogue.WindowsSmartSecurity) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Windows\System32\dmsynth32.dll (Trojan.Tracur) -> Delete on reboot.
C:\ProgramData\C_ISCII32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\ProgramData\d3d10_132.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\ProgramData\fdBthProxy32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\ProgramData\fdWCN32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\ProgramData\findnetprinters32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\ProgramData\fwcfg32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\ProgramData\icardie32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\ProgramData\davclnt32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\ProgramData\dbnetlib32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\ProgramData\DDEML32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\ProgramData\DfrgRes32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\ProgramData\dhcpcsvc632.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\ProgramData\dnsapi32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\ProgramData\dxtrans32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\ProgramData\EAPQEC32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\ProgramData\EhStorAPI32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\Aurél\AppData\Roaming\C80F.VIR (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Users\Aurél\AppData\Roaming\FE1C.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Windows\System32\dmutil32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.

rapport de rsit

http://www.cijoint.fr/cjlink.php?file=cj201007/cijQ77QBXx.txt

aurelia · Answer

mon pc a pourtant bien redémarré.... mais bon j'ai supprimé les quatres elements presents dans la quarantaine et j'ai redémarré....
voici de nouveau le scan de rsit
http://www.cijoint.fr/cjlink.php?file=cj201007/cijgrt73Wk.txt

hubertaaz · Answer

Je suis surpris qu'il n'y avait que 4 éléments dans la quarantaine.

Est-ce que le pc se comporte mieux?

On continue :

Désactive ton antivirus et Spybot, le temps nécessaire.

Télécharge Toolbar S&D de la Team IDN sur ton bureau :  

https://forums.cnetfrance.fr/tutoriels-securite-informatique/181457-toolbar-s-d-telecharger-et-utiliser

*	Double-clique dessus pour lancer l'installation. (pour Vista, il faut éventuellement faire unc clic droit et lancer en tant que Administrateur)
*	Accepte le contrat de licence.
*	Puis double-clique sur le raccourci Toolbar S&D présent sur ton bureau.
*	Sélectionne la langue souhaitée et valide par la touche entrée.
*	Choisis l'option 1 ( Recherche ).
*	Patiente jusqu'à la fin du scan.
*	Poste le rapport généré. ( C:\TB.txt )

aurelia · Answer

les 4 elements qu'il restait dans la quarantaine, c'est ceux que je n'avais pas pu supprimé lors de la premiere suppression des 25 elements infectés..... mais ceci dit la c'est bon

voici le rapport de toolbar s&d

 -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft® Windows Vista(TM) Édition Familiale Premium  ( v6.0.6002 ) Service Pack 2
   X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     T6500  @ 2.10GHz )
   BIOS : Default System BIOS
   USER : Aurél ( Administrator )
   BOOT : Normal boot
   C:\ (Local Disk) - NTFS - Total:287 Go (Free:113 Go)
   D:\ (USB)
   E:\ (USB)
   F:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [1] ( 29/07/2010|19:00 )

   [ UAC => 1 ]

   -----------\  Recherche de Fichiers / Dossiers ...

   C:\Users\AURL~1\AppData\Roaming\MICROS~1\Windows\Cookies\aurél@fr.bananalotto[2].txt
   C:\Users\AURL~1\AppData\Roaming\MICROS~1\Windows\Cookies\aurél@fr.minisite.bananalotto[2].txt

   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\Windows\system32\blank.htm"
   "Start Page"="https://www.msn.com/fr-fr"
   "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Search Bar"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "SearchMigratedDefaultURL"="https://www.google.com/webhp?gws_rd=ssl{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"
   "Default_search_url"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Url"="https://www.msn.com/fr-fr/actualite/"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="https://www.msn.com/fr-fr"
   "Default_Page_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Local Page"="C:\Windows\System32\blank.htm"
   "Search bar"="http://www.bing.com/spresults.aspx"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\Users\AURL~1\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\0JYR801W\a_2-5007-8-0-mode-calin-crack-crack[1].htm


   [ UAC => 1 ]


   1 - "C:\ToolBar SD\TB_1.txt" - 29/07/2010|19:01 - Option : [1]

   -----------\  Fin du rapport a 19:01:23,32

aurelia · Answer

VOILA SECOND RAPPORT

  -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft® Windows Vista(TM) Édition Familiale Premium  ( v6.0.6002 ) Service Pack 2
   X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     T6500  @ 2.10GHz )
   BIOS : Default System BIOS
   USER : Aurél ( Administrator )
   BOOT : Normal boot
   C:\ (Local Disk) - NTFS - Total:287 Go (Free:112 Go)
   D:\ (USB)
   E:\ (USB)
   F:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [2] ( 29/07/2010|20:46 )

   [ UAC => 1 ]

   -----------\ SUPPRESSION

   Supprime! - C:\Users\AURL~1\AppData\Roaming\MICROS~1\Windows\Cookies\aurél@fr.bananalotto[2].txt
   Supprime! - C:\Users\AURL~1\AppData\Roaming\MICROS~1\Windows\Cookies\aurél@fr.minisite.bananalotto[2].txt

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\Windows\system32\blank.htm"
   "Start Page"="https://www.msn.com/fr-fr"
   "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Search Bar"="http://go.microsoft.com/fwlink/?linkid=54896"
   "SearchMigratedDefaultURL"="https://www.google.com/webhp?gws_rd=ssl{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"
   "Default_search_url"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Url"="http://go.microsoft.com/fwlink/?LinkId=75720"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="https://www.msn.com/fr-fr/"
   "Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Local Page"="C:\Windows\System32\blank.htm"
   "Search bar"="http://www.bing.com/spresults.aspx"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\Users\AURL~1\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\0JYR801W\a_2-5007-8-0-mode-calin-crack-crack[1].htm


   [ UAC => 1 ]


   1 - "C:\ToolBar SD\TB_1.txt" - 29/07/2010|19:01 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 29/07/2010|20:46 - Option : [2]

   -----------\  Fin du rapport a 20:46:49,78


MON PC VA LEGEREMENT, VOIR BEAUCOUP MIEUX. MOINS DE NOTIFICATIONS DE VIRUS

hubertaaz · Answer

Nous passons à la suite :

Merci à anthony5151

* Télécharge OTM (de OldTimer) sur ton Bureau.
* Double-clique sur OTM.exe afin de le lancer.
* Clique sur ce lien et copie le script qu'il contient.
* Colle le script dans le cadre « Paste Instructions for Items to be Moved » et clique sur Moveit.
* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.
* Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles
Le nom du rapport correspond au moment de sa création : date_heure.log 


* Ensuite, relance RSIT et poste moi le nouveau rapport : C:\rsit\log.txt sur Cijoint

Après cela, je pense que ton pc devrait aller beaucoup mieux, tiens-moi au courant.

A tout à l'heure ou à demain

aurelia · Answer

rapport otm

All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1172577E-63C0-4087-8932-37218AE4F722}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1172577E-63C0-4087-8932-37218AE4F722}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}\ not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"AppInit_DLLs"|"" /E : value set successfully!
========== FILES ==========
LoadLibrary failed for C:\ProgramData\dmsynth32.dll
C:\ProgramData\dmsynth32.dll moved successfully.
File/Folder C:\Windows\system32\dmsynth32.dll not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Aurél
->Temp folder emptied: 515118428 bytes
->Temporary Internet Files folder emptied: 748215213 bytes
->Java cache emptied: 51302462 bytes
->FireFox cache emptied: 44717305 bytes
->Google Chrome cache emptied: 5235359 bytes
->Flash cache emptied: 2189060 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56504 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 554274 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 44823372 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 743 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 1 347,00 mb
 
 
OTM by OldTimer - Version 3.1.15.0 log created on 07292010_212356

Files moved on Reboot...

Registry entries deleted on Reboot...



rapport rsit

http://www.cijoint.fr/cjlink.php?file=cj201007/cijK8ulY7K.txt


quelques notifications de virus sont revenu mais peu par rapport a avant

hubertaaz · Answer

Pour en terminer ce soir : 

* Rends-toi sur ce site : https://www.virustotal.com/gui/ 

* Clique sur parcourir et cherche ce fichier : C:\ProgramData\SysWoW32  

* Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

* Sauvegarde le rapport avec le bloc-notes. 

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.

Si tu ne trouves pas le fichier, fais ceci :
* Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
* Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
* Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée.

Nous tenterons de finaliser demain.

Bonne soirée

aurelia · Answer

je ne retrouve pas C:\ProgramData\SysWoW32  meme dans recherche

aurelia · Answer

désolée je n'avais pas lu jusqu'a la fin.........

quand je clique sur parcourir, j'arrive maintenant a voir "programdata" et "syswow32"..... mais je fais ouvrir et y'a tous pleins de fichiers.... je n'arrive pas a prendre que ce dernier pour pouvoir faire send file

aurelia · Answer

voila j'ai pris le plus gros ficher +5000Ko.....
voici le rapport

Antivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2010.07.29.00	2010.07.28	-
AntiVir	8.2.4.32	2010.07.29	-
Antiy-AVL	2.0.3.7	2010.07.29	-
Authentium	5.2.0.5	2010.07.29	-
Avast	4.8.1351.0	2010.07.29	-
Avast5	5.0.332.0	2010.07.29	-
AVG	9.0.0.851	2010.07.29	-
BitDefender	7.2	2010.07.29	-
CAT-QuickHeal	11.00	2010.07.29	-
ClamAV	0.96.0.3-git	2010.07.29	-
Comodo	5584	2010.07.29	-
DrWeb	5.0.2.03300	2010.07.29	-
Emsisoft	5.0.0.34	2010.07.29	-
eSafe	7.0.17.0	2010.07.29	-
eTrust-Vet	36.1.7748	2010.07.29	-
F-Prot	4.6.1.107	2010.07.29	-
F-Secure	9.0.15370.0	2010.07.29	-
Fortinet	4.1.143.0	2010.07.29	-
GData	21	2010.07.29	-
Ikarus	T3.1.1.84.0	2010.07.29	-
Jiangmin	13.0.900	2010.07.29	-
Kaspersky	7.0.0.125	2010.07.29	-
McAfee	5.400.0.1158	2010.07.29	-
McAfee-GW-Edition	2010.1	2010.07.29	-
Microsoft	1.6004	2010.07.29	-
NOD32	5324	2010.07.29	-
Norman	6.05.11	2010.07.29	-
nProtect	2010-07-29.01	2010.07.29	-
Panda	10.0.2.7	2010.07.29	-
PCTools	7.0.3.5	2010.07.29	-
Prevx	3.0	2010.07.29	-
Rising	22.58.03.04	2010.07.29	-
Sophos	4.56.0	2010.07.29	-
Sunbelt	6660	2010.07.29	-
SUPERAntiSpyware	4.40.0.1006	2010.07.29	-
Symantec	20101.1.1.7	2010.07.29	-
TheHacker	6.5.2.1.328	2010.07.29	-
TrendMicro	9.120.0.1004	2010.07.29	-
TrendMicro-HouseCall	9.120.0.1004	2010.07.29	-
VBA32	3.12.12.6	2010.07.28	-
ViRobot	2010.7.29.3963	2010.07.29	-
VirusBuster	5.0.27.0	2010.07.29	-
Information additionnelle
File size: 6136710 bytes
MD5...: 6c8e7a8b8be4828a4f48ce8181b09e97
SHA1..: a90827133b1325ccbfe4c691890e8b03b9b9397e
SHA256: 4031eb64d430ababaa05438f41b371e65d6e7b21dfd01d761a9988d017964f03
ssdeep: 48:gvl4Nr0es9iwsgpqspRFpRIpRIHpR7m6E5Wtt/btDYmY:i4o9PseJp4uJlE54
tZY
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: QuickTime Movie (55.5%)
Generic MP4 container (33.3%)
MacBinary 2 header (11.1%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

merci a demain!!!

hubertaaz · Answer

Bonjour aurelia,  

Merci à anthony5151

1- * Concernant ce dossier : C:\ProgramData\SysWoW32 tu peux tenter de le supprimer manuellement.  
Si ça ne fonctionne pas :   
* Double-clique sur OTM.exe afin de le lancer.   
*Dans le cadre « Paste Instructions for Items to be Moved »   
Copie/colle le script suivant :  

 :files  
C:\ProgramData\SysWoW32  

:commands  
[emptytemp]   
  
et clique sur Moveit.  
* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.  
* Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles  
Le nom du rapport correspond au moment de sa création : date_heure.log   



2- * Ensuite ferme toutes tes applications et suis le chemin suivant :C:\Program Files	rend micro\Aurél.exe  
* Double clique sur l'icône Aurel.exe  
* Clique sur Scan  
* coche les lignes suivantes :  

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)  
O2 - BHO: (no name) - {F0626A63-410B-45E2-99A1-3F2475B2D695} - (no file)  
O3 - Toolbar: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files\Messenger_Plus_Live_France	bMess.dll (file missing)  

* Ensuite clique sur Fix checked et confirme en cliquant sur Oui.  



3- * Enfin redémarre ton pc et relance RSIT et poste-moi le rapport sur Cijoint  

Dis-moi si ton pc te pose encore des problèmes.  

@+  
Celui qui pose une question est bête cinq minutes, celui qui n'ose pas l'est toute sa vie.   
(Proverbe chinois)

aurelia · Answer

bonjour voici le rapport OTM

All processes killed
========== FILES ==========
C:\ProgramData\SysWoW32 folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Aurél
->Temp folder emptied: 904238 bytes
->Temporary Internet Files folder emptied: 916809 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 40753356 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 2549 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3274 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 41,00 mb
 
 
OTM by OldTimer - Version 3.1.15.0 log created on 07302010_161720

Files moved on Reboot...
File C:\Users\Aurél\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\W73AMYU1\ADSAdClient31[2].txt not found!

Registry entries deleted on Reboot...


et voici le rapport RSIT
http://www.cijoint.fr/cjlink.php?file=cj201007/cij0DoLxlt.txt

aurelia · Answer

j'ai remarqué qu'il n'y avait beaucoup moins de notifications de virus par rapport a avant (meme pas toutes les 5 mins), la depuis le redémmarrage de mon pc, jusque la, j'en ai eu qu'une........ mais j'ai remarqué dans ces notifications qu'en plus du nom du virus, il y avait son emplacement! donc je pourrais peut etre te le dire si j'ai le temps de le noté?
par contre, mon pc se met encore a planter...... par exemple il est en veille depuis un petit moment, je vais pour le "remettre" en marche, ecran tout noir ect.......... pas possible de voir quoi que ce soit donc obliger de l'eteindre et de le rallumer....

hubertaaz · Answer

J'aimerais effectivement avoir plus de détails sur ces notifications et aussi savoir  de quel logiciel elles émanent.

Le rapport RSIT est à présent clean.

Vu que certains problèmes persistent, nous allons utiliser un autre outil de diagnostic. 

*	Télécharge ZHPDiag (de Nicolas Coolman) 
* Laisse toi guider lors de l'installation 
* Il se lancera automatiquement à la fin de l'installation 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

aurelia · Answer

j'utilise donc avira antivir personnal comme anti virus et c'est de ce logiciel que me provient la notification d'eventuel virus.....
celui qui me revient depuis tout a l'heure c'est:
 
C:\_OTM\MovedFiles\07292010_212356\C_ProgramData\DmSynth32.dll

voici le rapport de zhpdiag
http://www.cijoint.fr/cjlink.php?file=cj201007/cijmkvjLHA.txt

hubertaaz · Answer

C:\_OTM\MovedFiles\07292010_212356\C_ProgramData\DmSynth32.dll 

C'est le rapport OTM. Tu peux le supprimer et ensuite le virer de la Corbeille. 

Tu me diras si ça a suffit à réduire Antivir au silence. 



Le rapport ZHPDiag montre une éventuelle infection de tes disques amovibles. 

* Télécharge USBFix (de Chiquitine29 et C_XX) sur ton Bureau 
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir 
* Double clique sur le programme USBFix sur ton Bureau. 
* Au menu principal, clique sur "Suppression" 
* Ton Bureau va disparaitre, puis l'ordinateur va redémarrer : c'est normal 
* Laisse travailler l'outil jusqu'au bout 
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse stp

Aide en images : Nettoyage 


EDIT : # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
         Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
         Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Celui qui pose une question est bête cinq minutes, celui qui n'ose pas l'est toute sa vie.  
(Proverbe chinois)

aurelia · Answer

pour ce qui est des entrées usb je ne branche que mon iphone......
mais j'ai mes freres qui y ont branché disque dur et clés usb..... ca pourrait venir de la..... mais ne les ayant pas sous la main, je n'ai pu faire ca qu'avec l'iphone....
je ne sais pas si ca sert a quelque chose mais voici le rapport


############################## | UsbFix 7.018 | [Suppression]

Utilisateur: Aurél (Administrateur) # PC-DE-AURÉL [Sony Corporation VGN-CS31S_P]
Mis à jour le 29/07/10 par El Desaparecido / C_XX
Lancé à 18:23:32 | 30/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU T6500 @ 2.10GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T6500 @ 2.10GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18928

Pare-feu Windows: Activé
RAM -> 3068 Mo 
C:\ (%systemdrive%) -> Disque fixe # 288 Go (114 Go libre(s) - 40%) [] # NTFS
F:\ -> CD-ROM

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{01266528-1b32-11df-a0f8-001dba720241}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0adaa928-1aef-11df-a0fe-0024338aa137}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{1217fc2c-487f-11df-bd89-0022fb833e48}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{447404b8-c3ff-11de-aec2-001dba77adc4}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{8a3c9c65-1b30-11df-9607-0024338aa137}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{8d9a4b8a-9e1e-11de-b2f5-0024338aa137}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{a363af19-7ed8-11de-985e-00a0c6000000}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{ae93191f-1b2a-11df-99c9-0024338aa137}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{bdc36143-7df2-11de-baa3-0024338aa137}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{cf0e6f5e-aab7-11de-93d8-001dba77adc4}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{d52f212e-b284-11de-b089-001dba77adc4}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{e2f7f6fd-5580-11df-ac56-0024338aa137}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{f2a6a824-bbff-11de-ac03-0024338aa137}

################## | Listing |

[30/07/2010 - 18:26:51 | SHD ] 	C:\$Recycle.Bin
[29/07/2010 - 15:04:08 | A | 5643] 	C:\Ad-Report-CLEAN[1].txt
[18/09/2006 - 23:43:36 | A | 24] 	C:\autoexec.bat
[18/09/2009 - 08:10:18 | SHD ] 	C:\Boot
[11/04/2009 - 08:36:36 | RASH | 333257] 	C:\bootmgr
[03/04/2009 - 20:09:21 | RAS | 8192] 	C:\BOOTSECT.BAK
[20/10/2009 - 20:51:20 | D ] 	C:\Click to Disc
[18/09/2006 - 23:43:37 | A | 10] 	C:\config.sys
[27/06/2009 - 13:40:07 | D ] 	C:\Documentation
[02/11/2006 - 15:02:03 | SHD ] 	C:\Documents and Settings
[07/11/2007 - 09:00:40 | A | 17734] 	C:\eula.1028.txt
[07/11/2007 - 09:00:40 | A | 17734] 	C:\eula.1031.txt
[07/11/2007 - 09:00:40 | A | 10134] 	C:\eula.1033.txt
[07/11/2007 - 09:00:40 | A | 17734] 	C:\eula.1036.txt
[07/11/2007 - 09:00:40 | A | 17734] 	C:\eula.1040.txt
[07/11/2007 - 09:00:40 | A | 118] 	C:\eula.1041.txt
[07/11/2007 - 09:00:40 | A | 17734] 	C:\eula.1042.txt
[07/11/2007 - 09:00:40 | A | 17734] 	C:\eula.2052.txt
[07/11/2007 - 09:00:40 | A | 17734] 	C:\eula.3082.txt
[15/07/2010 - 07:29:18 | D ] 	C:\f61c0ac96232390f8bff3337669f18
[07/11/2007 - 09:00:40 | A | 1110] 	C:\globdata.ini
[30/07/2010 - 16:27:17 | ASH | 3218055168] 	C:\hiberfil.sys
[02/06/2010 - 17:11:16 | D ] 	C:\ijji
[07/11/2007 - 09:03:18 | A | 562688] 	C:\install.exe
[07/11/2007 - 09:00:40 | A | 843] 	C:\install.ini
[07/11/2007 - 09:03:18 | A | 76304] 	C:\install.res.1028.dll
[07/11/2007 - 09:03:18 | A | 96272] 	C:\install.res.1031.dll
[07/11/2007 - 09:03:18 | A | 91152] 	C:\install.res.1033.dll
[07/11/2007 - 09:03:18 | A | 97296] 	C:\install.res.1036.dll
[07/11/2007 - 09:03:18 | A | 95248] 	C:\install.res.1040.dll
[07/11/2007 - 09:03:18 | A | 81424] 	C:\install.res.1041.dll
[07/11/2007 - 09:03:18 | A | 79888] 	C:\install.res.1042.dll
[07/11/2007 - 09:03:18 | A | 75792] 	C:\install.res.2052.dll
[07/11/2007 - 09:03:18 | A | 96272] 	C:\install.res.3082.dll
[27/06/2009 - 13:02:28 | A | 187] 	C:\Installer_Setup.log
[10/10/2009 - 11:32:37 | RASH | 0] 	C:\IO.SYS
[10/10/2009 - 11:32:37 | RASH | 0] 	C:\MSDOS.SYS
[27/06/2009 - 13:11:51 | RHD ] 	C:\MSOCache
[30/07/2010 - 16:27:15 | ASH | 3531853824] 	C:\pagefile.sys
[21/01/2008 - 04:32:31 | D ] 	C:\PerfLogs
[30/07/2010 - 17:41:27 | RD ] 	C:\Program Files
[30/07/2010 - 16:17:21 | HD ] 	C:\ProgramData
[03/04/2009 - 11:35:08 | A | 560] 	C:\RHDSetup.log
[28/07/2010 - 22:34:44 | D ] 	C:\rsit
[30/07/2010 - 17:23:05 | SHD ] 	C:\System Volume Information
[29/07/2010 - 20:46:49 | A | 2391] 	C:\TB.txt
[16/02/2010 - 20:56:08 | D ] 	C:\Temp
[29/07/2010 - 20:46:49 | D ] 	C:\ToolBar SD
[02/01/2010 - 23:33:36 | D ] 	C:\Update
[30/07/2010 - 18:26:51 | D ] 	C:\UsbFix
[30/07/2010 - 18:23:58 | A | 4614] 	C:\UsbFix.txt
[31/07/2009 - 20:01:18 | RD ] 	C:\Users
[31/07/2009 - 21:05:25 | D ] 	C:\VAIO Entertainment
[07/11/2007 - 09:00:40 | A | 5686] 	C:\vcredist.bmp
[27/06/2009 - 13:33:35 | A | 386652] 	C:\vcredist_x86.log
[07/11/2007 - 09:09:22 | A | 1442522] 	C:\VC_RED.cab
[07/11/2007 - 09:12:28 | A | 232960] 	C:\VC_RED.MSI
[30/07/2010 - 13:34:01 | D ] 	C:\Windows
[27/06/2009 - 13:40:07 | D ] 	C:\_FS_SWRINFO
[30/07/2010 - 18:22:15 | D ] 	C:\_OTM

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

hubertaaz · Answer

Oui le passage de UsbFix a servi car il y avait quelques clés du registre à supprimer. 

Il sera impératif de le repasser plus tard avec les autres périphériques branchés et me copier le rapport.

Peux-tu relancer ZHPDiag et me mettre le rapport sur Cijoint.

Je dois m'absenter pour environ une heure, à mon retour, j'examinerais le rapport.

J'aimerais savoir si tu reçois encore des notifications de Avira Antivir.

aurelia · Answer

http://www.cijoint.fr/cjlink.php?file=cj201007/cija0FONKw.txt

pour le moment depuis la suppression du dossier movedfiles, plus aucune notification

aurelia · Answer

moi je pars en week end je reviendrais que dimanche soir..... a bientot et merci

hubertaaz · Answer

Je pense que nous touchons au but.

Il restera à faire le ménage, c'est-à-dire le nettoyage des outils qui ont servi à la désinfection et ensuite purger la restauration système afin de ne pas faire resurgir l'infection.

Il restera aussi à repasser UsbFix pour les supports amovibles afin de ne pas réinfecter le pc.

Pour le ménage : 

Télécharge Tools Cleaner 2 sur ton bureau ici: https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

    * Double-clique sur Tools Cleaner2 pour l'exécuter. (Si tu es sous Vista, clique droit sur le fichier Tools Cleaner 2 et exécute-le en tant qu'administrateur.)
    * Clique sur Recherche et laisse-la se dérouler
    * Clique sur Suppression pour finaliser.
    * Tu peux, si tu le souhaites, te servir des Options facultatives.
    * Clique sur Quitter pour obtenir le rapport.
    * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:)

Tu feras cela quand tu pourras.

Excellent week end et à bientôt.

aurelia · Answer

bonjour! voici le rapport

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\TB.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\catchme.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files\ZHPDiag\catchme.exe: supprimé !
C:\TB.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\Program Files\Ad-remover: supprimé !
C:\Program Files\ZHPDiag: supprimé !

hubertaaz · Answer

Bonjour aurelia,  

Maintenant que le ménage est fait et si ton pc fonctionne toujours normalement,  tu peux purger la restauration système : https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista  

* Pour terminer, voici quelques conseils pour mieux protéger ton ordi des malwares :   

1/ Les téléchargements en P2P sont extrêmement dangereux et de surcroit pour la plupart interdits par la loi.   

2/ L'utilisation de programmes "crackés" est à proscrire pour les mêmes raisons.   

3/ Il faut prendre tout son temps lorsqu'on est invité à cliquer sur un lien, on n'a rien à gagner en voulant concurrencer Lucky-Lucke.   

4/ Aucune protection n'est infaillible, l' antivirus le plus efficace est situé entre la chaise et le clavier.   

5/ A faire à chaque installation d'un logiciel ou d'un fichier sur le pc : mise à jour MalwareBytes et analyse du logiciel ou du fichier avec MalwareBytes (Clic droit sur le dossier) et même analyse avec ton antivirus.   

6/ Une fois par semaine une analyse complète avec ton antivirus, idem avec Malwarebytes et CCleaner (nettoyeur et registre). Si tu surfes beaucoup, je te conseille de faire le nettoyage avec CCleaner journellement. (Pas le registre).   

* Autres conseils : vérifier régulièrement que l'on utilise la dernière version de certains logiciels car les anciennes contiennent des failles de sécurité, voici une liste non exhaustive de ces logiciels :   

Windows (windows update)   
Internet explorer   
Firefox   
CCleaner  
Java : https://www.java.com/fr/download/uninstalltool.jsp   
Adobe (Acrobat) Reader : https://get2.adobe.com/reader/otherversions/   

* Je t'ai communiqué les liens pour télécharger Java et Adobe car dans la mesure du possible, il faut toujours télécharger des logiciels sur le site de l'éditeur.   

* Un petit logiciel sympa à installer : https://filehippo.com/windows/tuning-utilities/   
En l'exécutant il te dira quels sont les versions plus récentes de certains logiciels installés sur ton pc (n'installe pas les version "Bêta" qui sont des versions test)   

* Tu peux aussi vérifier si tes logiciels sont à jour ici : https://www.flexera.com/products/operations/software-vulnerability-management.html   

* Un logiciel très intéressant   
https://www.commentcamarche.net/telecharger/securite/20949-spywareblaster/ (ce petit logiciel, qui fonctionne en arrière-plan, bloque entre-autres l'installation d'actives X nuisibles)   

Tutoriel : https://www.malekal.com/tutorial-spywareblaster/  

* Bon surf et à ta disposition en cas de questions éventuelles.  

@+  

EDIT : j'allais oublier de te rappeler que dès que tu auras récupéré les disques amovibles infectés, il faudra réinstaller et lancer UsbFix

Tu pourras poster le rapport ici.

Celui qui pose une question est bête cinq minutes, celui qui n'ose pas l'est toute sa vie.   
(Proverbe chinois)

aurelia · Answer

merci beaucoup hubertaaz!!!!!
dis moi, j'ai desactiver la restauration systeme la, je la recoche de suite ou je redemarre le pc avant?

aurelia · Answer

ok pas de souci, en tout cas, merci ecore....
le sujet est donc aussi résolu pour ma part... 
juste je fais comment pour le marquer en resolu? merci

Sos! comment enlever tout les virus ect......

41 réponses

Discussions similaires

Newsletters