Virus security suite bloque mon pc Résolu/Fermé

Question

Bonjour, 
J'ai un virus apparemment déguisé sous forme d'antivirus... 
Des tas d'alertes "antivirus software alert, security warning" et plus rien ne fonctionne !!
Impossible de desinstaller le programme, de lancer un scan, de retourner à un point de restauration, ni meme d ouvrir une page internet!!!
Mon ordi ne peux plus rien faire,il n accepte pas les peripheriques externes.
Je suis connecté via un autre ordi,et pas de solution en vue,
Ce virus m a l air vraiment coriace,pas myen de le supprimer ni meme de formater le pc!!
Help svp!

moment de grace · Accepted Answer

bon

fais ceci stp

redémarrer le pc en mode sans échec avec prise en charge reseau

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php


Télécharge rkill 

Enregistre-le sur ton Bureau
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
change de lien de téléchargement en utilisant le suivant à partir d'ici:
https://download.bleepingcomputer.com/grinler/rkill.exe 
https://download.bleepingcomputer.com/grinler/rkill.exe 

Rkill COM: Rkill COM: 
https://download.bleepingcomputer.com/grinler/rkill.com
 https://download.bleepingcomputer.com/grinler/rkill.com 

Rkill SCR: Rkill RCS: 
https://download.bleepingcomputer.com/grinler/rkill.scr 
https://download.bleepingcomputer.com/grinler/rkill.scr 

Rkill PIF: Rkill PIF: 
http://download.bleepingcomputer.com/grinler/rkill.pif 
http://download.bleepingcomputer.com/grinler/rkill.pif

une fois qu'il aura terminé 


Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. 
Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. [b]Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection 
Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

mou-na5 · Answer

tu devrais efacer ton ancien compte de pc et faire un autre j'avais le meme probleme dans mon pc 
ou aller dans demarer\executer et taper ces noms:cookies.%temp% 
quand tu les ouvrira tu dois surprimer tout le contenu

gringo · Answer

Merci pour ton aide j ai fait à la lettre ce que tu m as demandé,voici le rapport,que dois je faire?

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4439

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

17/08/2010 23:42:48
mbam-log-2010-08-17 (23-42-48).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Elément(s) analysé(s): 287793
Temps écoulé: 1 heure(s), 11 minute(s), 49 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\CoreGuard (Rogue.CoreguardAV) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ZE18MW23GY (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Active Security (Rogue.ActiveSecurity) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wvtrqpsys (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xiuglihk (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antimalware (Rogue.AntiMalware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\metropolis (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ze18mw23gy (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Aymen\AppData\Local\Temp\gqqvvf.exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Users\Aymen\AppData\Local\Temp\60325cahp25ca0.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Aymen\AppData\Local\Temp\60325cahp25ca2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.

moment de grace · Answer

tu peux vider la quarantaine

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


si soucis avec ci joint. fr 

=> utiliser https://www.cjoint.com/
=>  utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html

gringo · Answer

C est fait! Merci pour ton aide Moment de grace!
Quelles sont les consignes une fois que le fichier est posté sur cijoint.fr?

moment de grace · Answer

ok

plusieurs choses à faire encore

1)

* Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


MBRfix



Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.



Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". 

Copie/Colle le rapport à l'écran dans ton prochain message

( ce rapport est sauvegardé dans ce dossier  C:\Program files\ZHPDiag\ZHPFixReport.txt ) 

..................................

2)

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe 

Miroir: 

https://www.androidworld.fr/ 

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ 

 Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « NETTOYER » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

................................

3)

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

? Télécharge List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

ou

http://www.archive-host.com

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em"


une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis TOOLs

puis Kill Proxy

postes le rapport

...............................

4)

relances List_Kill'em

choisis l'option Search

laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport C:\List'em.txt

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Même opération pour le rapport more.txt qui se trouve sur ton bureau

gringo · Answer

Voici le post de Ad report...

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 11:30:00 le 18/08/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
Aymen@PC-DE-AYMEN (Hewlett-Packard HP Pavilion dv5 Notebook PC) 
 
============== ACTION(S) ==============

Service: "ASKService" Stoppé et supprimé 
Service: "ASKUpgrade" Stoppé et supprimé 

0,Dossier supprimé: C:\Program Files\AskBarDis
0,Dossier supprimé: C:\Users\Aymen\AppData\LocalLow\Conduit
0,Dossier supprimé: C:\Program Files\Conduit

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
1,Clé supprimée: HKLM\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}
1,Clé supprimée: HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
1,Clé supprimée: HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
1,Clé supprimée: HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
1,Clé supprimée: HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton
0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton.1
0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl
0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl.1
0,Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin
0,Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin.1
0,Clé supprimée: HKLM\Software\Classes\ToolBand.EasyHideBtn
0,Clé supprimée: HKLM\Software\Classes\ToolBand.EasyHideBtn.1
0,Clé supprimée: HKLM\Software\Classes\ToolBand.SkypeIEHelper
0,Clé supprimée: HKLM\Software\Classes\ToolBand.SkypeIEHelper.1
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2504091
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKLM\Software\AppDataLow\AskBarDis
0,Clé supprimée: HKCU\Software\AskBarDis
0,Clé supprimée: HKCU\Software\Conduit
0,Clé supprimée: HKCU\Software\AppDataLow\AskBarDis
0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1

0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.6001.18943] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 16 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 18/08/2010 (5461 Octet(s)) 

Fin à: 11:32:58, 18/08/2010 
 
============== E.O.F ==============

gringo · Answer

Et voici le rapport de list kill them

¤¤¤¤¤¤¤¤¤¤ Proxy deleted :

Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings  : ProxyServer

gringo · Answer

Voici le lien de list'em

http://www.cijoint.fr/cjlink.php?file=cj201008/cijWYo40M4.txt 

J attends les instructions
Encore Merci

moment de grace · Answer

le rapport n'est pas complet... 

1) 

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.  
mais cette fois-ci :  

choisis l'option CLEAN 
ton PC va redemarrer,  

laisse travailler l'outil.  

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,  

colle le contenu dans ta reponse 

................................ 

2) 

* Télécharge Random's System Information Tool (RSIT) de Random/Random. 

(outil de diagnostic)

http://images.malwareremoval.com/random/RSIT.exe 

* Enregistre le sur ton Bureau. 

* Double clique sur RSIT.exe pour lancer l'outil. 

* Clique sur "Continue" à l'écran Disclaimer. 

* Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) 

et tu devras accepter la licence. 

* Une fois le scan terminé, deux rapports vont apparaître 


Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne chaque rapport 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


si soucis avec ci joint. fr 

=> utiliser https://www.cjoint.com/
=>  utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html


Les rapports se trouvent à cet endroit: 
C:\rsit\info.txt 
C:\rsit\log.txt




CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

gringo · Answer

Voici le nouveau rapport de ZHP diag:

http://www.cijoint.fr/cjlink.php?file=cj201008/cijKnTMfgG.txt 

Celui de Kill'em:

http://www.cijoint.fr/cjlink.php?file=cj201008/cijrhjipUt.txt 

Ainsi que les 2 rapports de RSIT:

http://www.cijoint.fr/cjlink.php?file=cj201008/cijgjq3dqM.txt 

http://www.cijoint.fr/cjlink.php?file=cj201008/cijKteALH0.txt 

Merci

moment de grace · Answer

ok

je n'ai pas eu le rapport de la manip MBRfix

donc

* Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


MBRfix



Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.



Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". 

Copie/Colle le rapport à l'écran dans ton prochain message

( ce rapport est sauvegardé dans ce dossier  C:\Program files\ZHPDiag\ZHPFixReport.txt )

gringo · Answer

Voila je pense que tu as tt ce qu il faut

http://www.cijoint.fr/cjlink.php?file=cj201008/cijwEugKXe.txt

moment de grace · Answer

ok

comment va le pc ?

gringo · Answer

Là tout est redevenu normal, à part un message dans la barre des tâches,"Windows a bloqué certains programmes de demarrage"...
Est ce que çà a à voir avec les manip faites? parceque je n avais pas ce message avant...

moment de grace · Answer

ce n'est normal je pense

fait un nouveau rapport ZHPdiag et poste le lien stp

gringo · Answer

Voila:

http://www.cijoint.fr/cjlink.php?file=cj201008/cij3h3jkfG.txt

moment de grace · Answer

Attention, avant de commencer, lit attentivement la procédure, et imprime la 

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs  sur ton Bureau : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 

---> Double-clique sur ComboFix.exe 
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 
(si il te propose de l'installer remets provisoirement internet)

---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

gringo · Answer

J ai eu du mal a demarrer combo, il ne m a pas demander d installer la console de recuperation et je n ai pas eu besoin de cliquer sur la touche 1,il a qd meme scanner l ordi et il me l a redemarrer et editer un rapport, voici le lien:
http://www.cijoint.fr/cjlink.php?file=cj201008/cijsi7YJea.txt

moment de grace · Answer

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour gringo, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::


NetSvc::



Folder::

c:\users\Aymen\AppData\Local\dpmmsqgqg  
c:\users\Aymen\AppData\Roaming\lowsec


* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://nsa05.casimages.com/img/2009/02/15/090215120407220272.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

gen-hackman · Answer

bonsoir ne t'affoles pas , redemarre ton pc

gen-hackman · Answer

ok c'est cool ^^

moment de grace viendra continuer avec toi dès que dispo :)

moment de grace · Answer

ok 

même manip que là 

https://forums.commentcamarche.net/forum/affich-18851839-virus-security-suite-bloque-mon-pc#23 

avec ce texte 


KillAll::  
NetSvc::  

ezSharedSvc  


CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

gringo · Answer

OK c est fait, mais je dois tjrs redermarer le pc après le scan sinon il ne m ouvre pas le net.

Voici le lien du rapport combo fix:

http://www.cijoint.fr/cjlink.php?file=cj201008/cijSqLLESn.txt

moment de grace · Answer

ok

on fait le point sur tes soucis

comment va le pc

fait un nouveau ZHPdiag stp

gringo · Answer

Ben toujours le meme msg dans la barre des taches avec un logo"programmes de demarrage bloqués"  mais je pense que c est rien de grave ça concerne uniquement des programme de mes telephonnes ou de oovoo (programme comme skype),
Qu est ce que je dois faire maintenant, est ce que le virus est completement viré?

Voici le rapport de ZHPdiag

gringo · Answer

http://www.cijoint.fr/cjlink.php?file=cj201008/cijejn87Hc.txt

moment de grace · Answer

Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified     
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified     
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522     
[HKCU\Software\AppDataLow\Toolbar]     
[HKCU\Software\JRMX9X1GML]     
[HKCU\Software\wnxmal]    


Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message

gringo · Answer

Voila

http://www.cijoint.fr/cjlink.php?file=cj201008/cijrgZQ7nu.txt

moment de grace · Answer

ce n'est pas le rapport que j'attendais 

tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

gringo · Answer

ah ok je l ai trouvé:
http://www.cijoint.fr/cjlink.php?file=cj201008/cijncoNahL.txt

moment de grace · Answer

pour répondre à ta question du dessus

il n' y plus trace de quelque infection

si , à part ces messages de blocage dont j'ignore la cause, tu me confirmes la bonne santé du pc, alors nous finalisons notre affaire

gringo · Answer

Super!
Je suis très content, merci à moment de grace pour tout le temps passé, et ça n'a pas été facile!
Moment de grace encore tous mes compliment pour ton efficacité!!
Bravo à toi!

moment de grace · Answer

On finit proprement alors

..........................

1)

Mettre à jour la Console Java ? : 
https://www.java.com/fr/download/uninstalltool.jsp

et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). 

voici pour desinstaller : 

JavaRa 
http://raproducts.org/click/click.php?id=1

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. 
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
* Choisis Français puis clique sur Select. 
* Clique sur Recherche de mises à jour. 
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. 
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. 
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. 
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. 
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. 
* Ferme l'application. 

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. 


.............

2)

* Lancez Adobe Reader
* Cliquez sur Edition --> Préférences --> JavaScript
* Décochez "Activer Acrobat JavaScript"
* Validez

....................

3)
IMPORTANT

Purger la restauration systeme XP

http://www.bibou0007.com/windows-xp-f101/purger-la-restauration-du-systeme-sous-windows-xp-t151.htm


.................

4)
Clique droit sur l'icône ZHPFix.exe sur ton Bureau, 
puis sélectionne 'Exécuter en tant qu'administrateur'. 

Clique sur le A rouge (Nettoyeur de Tools). 

Clique sur Nettoyer. 

Fais redémarrer l'ordi pour terminer le nettoyage.

........................................

Recommandations pour l'avenir

Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
-	logiciels non à jour (windows, internet explorer, java, adobe reader etc)
-	installation de toolbar
-	fréquentation de sites piégés
-	P2P
-	Application de cracks
-	Supports usb

Pour t'aider dans cette tâche, voici quelques pistes

 Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/

 Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus 
pour bloquer les publicités
 http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

............................

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

........................

Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

..........................

Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) 
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
Au menu principal, choisis l'option 3 (Vaccination).
............................

garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
 https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse 

..........................
utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html

........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

http://www.libellules.ch/...

gringo · Answer

J ai fais les MAJ,par contre pas la restauration car ton modele est sur XP et j ai vista,mais c pas très grave j ai mis ccleaner, et je suis tes instructions,merci pour ts tes conseils encore une fois, tu m as donner de quoi etudier qlq tps, je pourrai peut etre un jour aider du monde moi aussi!
En tout cas je garde tes astuces au chaud,et les armes que tu m as donné aussi pour parer aux mauvaises surprises du net.

Encore merci!

moment de grace · Answer

Purger la restauration systeme vista
https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista

Ludo81 · Answer

Bonjour,
Il se trouve que j'ai le meme problem que Gringo !!!
quelqu'un pourrait m'aider s'il vous plait
J'ai security suite qui est survenu et qui me bloque tous mes programmes
Merci

juju85 · Answer

Bonjour
Il se trouve que moi aussi j'ai security suite qui s'est introduit sur mon ordinateur et je voulais savoir si je pouvais appliquer les astuces données ci-dessus par "moment de grace" ou si je doit ouvrir un sujet uniquement pour mon cas?
Je vous remercie à l'avance

gringo · Answer

Bonjour,

Idem pour toi, ouvres un sujet te concernant, car on ne sait pas comment le virus a affecté ton pc, quelqun de cométant te prendras en charge.
Bonne chance