Malware doctor... Des restes ? Résolu/Fermé

Question

Bonjour, J'ai eu quelques problèmes avec un petit résidus d'internet qui s'était installé sur mon ordinateur, ça a l'air plutôt connu, " Malware doctor ". Il semble que quelques autres infections s'étaient installées, dont une qui bloquait instantanement tout ce que je faisais en disant quelque chose comme " tel fichier.dll est contaminé, l'action est impossible, etc..". J'ai donc pensé à utiliser la commande "Alt-Ctrl-Supr" pour désactiver cette fonction qui me gênait si elle existait dans les processus, mais pas moyen, elle bloquait ça aussi. J'ai voulu télécharger Hijackthis pour le faire partir une bonne fois pour toutes, mais il bloquait parfois internet, ou Hijacthis lui-même ; et aucun des antivirus que j'essayais ne pouvait se lancer. Donc ce matin, je me suis levé avec une idée en tête ; j'ai appuyé sur "Ctrl-alt-supr" dès le lancement de Windows (avant que toute application nocive ne puisse se mettre en route) et j'ai retiré quelques processus qui me semblaient inconnus (je jète de temps en temps un oeil les processus qui marchent). J'ai éliminé des fichiers qu'Hijackthis trouvait dangeureux, et j'ai fait une analyse quelques temps après pour voir ceux qui persistaient, je vous l'envoie. Par ailleurs, je vais de suite installer " Spyware doctor " et voir si je peux compléter mes analyses... J'aimerais savoir si j'ai oublié quelque chose d'important, si vous pensez qu'il reste des traces ou quelque chose comme ça, et quelqu'un pourrait me conseiller quelque chose pour éviter d'attraper ce genre d'infection gênantes, ça m'arrive souvent (Le dernier était Win32 si je me souviens bien). Merci beaucoup de votre lecture, désolé pour ce long poste je tenais à être le plus précis possible pour ceux qui veulent bien m'aider. ^^ Après Malware doctor : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:33:09, on 18/08/2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe C:\WINDOWS\system32 askmgr.exe C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\TuneUp Utilities 2010\OneClick.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe Et après l'installation de Spyware doctor : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:26:17, on 18/08/2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32 askmgr.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\msiexec.exe C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: PC Tools Auxiliary Service (sdauxservice) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdcoreservice) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

mcvivien2 · Accepted Answer

Bonjour,,, Faisont autrement...... Télécharge >-> ZHPDiag <-< ( de Nicolas coolman ). --> Double clique sur le fichier d'installation (executer en tant qu'administrateur pour VISTA/7), puis installe le avec les paramètres par défaut en n'oubliant pas de cocher " Créer une icône sur le bureau " * Une fois installer : --> Double clique (clique droit pour VISTA/7) sur l'icône ZHPDiag présente sur ton bureau --> Clique sur la loupe en haut à gauche, le scan va se lancer --> Le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau (ZHPDiag.txt) . --> Le rapport sera aussi sauvegardé dans ce dossier ==> C:\Program files\ZHPDiag Pour poster le rapport: --> Rend toi sur Cjoint http://www.cijoint.fr/ --> Clique sur Parcourir dans la partie Sélectionnez le fichier que vous souhaîtez déposer --> Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau --> Clique ensuite sur " Cliquez ici pour déposer le fichier",, Un lien va se former, copie et colle le ici STP /!\ Héberge bien le rapport via cijoint comme demander;; sinon il ne passera pas entièrement sur le site /!\ P.S : si le lien donner plus haut ne marche pas,, Alors télécharge le ici : ftp://zebulon.fr/ZHPDiag%201.25.14.exe Dans l'attente de ton Lien :D

Corbeau Empaillé · Answer

Je n'arrive pas à mettre le fichier texte en ligne sur ton site "cijoint.fr", tu préfères que je t'envoie le contenu par message perso ou je tente un autre site d'hébergement ?

Corbeau Empaillé · Answer

Voilà voilà,


Le fichier.rar ne voulait pas passer, j'en ai mis un Zip. 

http://www.cijoint.fr/cjlink.php?file=cj201008/cijdCUedyL.zip

J'espère que ça vous conviendra !

mcvivien2 · Answer

Re :D Ok,,, Tu a de belle Inféctions :/.... On va commencer par traiter tes infections de type Amovible.... Fait ceci : Télécharge >-> USBfix <-< ( El Desaparecido , C_XX & Chimay8 ) sur ton bureau. (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir(i) 1. --? Double clic (Clique droit executer en tant qu'administrateur"POUR VISTA/7) sur UsbFix.exe présent sur ton bureau . --> Au menu principal Choisis l'option " 1 " (recherche) -> Laisse travailler l'outil. --> Ensuite post le rapport UsbFix.txt qui apparaitra. (!) Le menu démarrer et les icônes Risque de disparaître, ou de s'intiller.. c'est normal (!) Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) /!\Certain Antivirus détècte USBfix comme une inféction,,dans ce cas désactiver votre protection en temps réel...il sagit d'un faux positif /!\ P.S : Si le lien de téléchargement ne marche pas alors essaye ici : https://www.ionos.fr/?affiliate_id=77097 Dans l'attente de ton rapport :D

Corbeau Empaillé · Answer

Voilà le rapport ! 


-> http://www.cijoint.fr/cjlink.php?file=cj201008/cijUfLYFiN.txt

mcvivien2 · Answer

Re :D

Bien,, on passe a la suppression ;)


1.
--? Double clic (clique "droit executer en tant qu'administrateur pour VISTA/7) Sur USBfix.exe présent sur ton bureau

--> Au menu principale choisis l'option "2" (Supression)

-> Laisse travailler l'outil

--> Ensuite post le rapport qui apparaitra
(!) Le menu démarrer et les icônes vont disparaître.. c'est normal (!)


*************************************************

2.
--? Double clic (clique "droit executer en tant qu'administrateur pour VISTA/7) Sur USBfix.exe présent sur ton bureau

--> Au menu principale choisis l'option "3" Vacciner

-> Laisse travailler l'outil

(!) Le menu démarrer et les icônes vont disparaître.. c'est normal (!)

Dans l'attente de ton rapport :D

Corbeau Empaillé · Answer

Le voici !

http://www.cijoint.fr/cjlink.php?file=cj201008/cijPTr7qIP.txt

Je l'ai appelé "UsbFix-supr". J'ai fait la vaccination, et il m'a répondu que la vaccination a été réalisée avec succès, avec entre parenthèses "Autorun.inf" ; c'était un fichier infecté ?

Corbeau Empaillé · Answer

(Je précise que j'ai dû envoyer un fichier de mise à jour à la base de donnée du logiciel parce qu'apparement il a rencontré quelques difficultés, sûrement une petite nouveauté..)
Voilà pour ce qui est de mon côté !

mcvivien2 · Answer

Bien,,

On va vérifier tous sa ;)

Relance un diagnostic avec ZHPdiag,, comme tu la fait précédemment STp°  
N'oublie pas d'héberger le rapport Via Cijoint 

Dans l'attente de ton lien  :D

Corbeau Empaillé · Answer

Le voici ! 

http://www.cijoint.fr/cjlink.php?file=cj201008/cij5AOYyfL.zip

mcvivien2 · Answer

Bien,, Tu va maintenant faire ce qui suit ;) Tu a un fauc logiciel de sécuriter qui et insaller dans ton ordinateur... (Rogue) Fait ce qui suit : /!\ Attention il faut bien suivre les étapes et les faire dans l'ordre /!\ 1. Rkill (de Grinler), téléchargement Télécharge rkill depuis l'un des liens ci-dessous: Lien 1 : https://download.bleepingcomputer.com/grinler/rkill.com Lien 2 : https://download.bleepingcomputer.com/grinler/rkill.exe Lien 3 : https://download.bleepingcomputer.com/grinler/rkill.scr Lien 4 : http://download.bleepingcomputer.com/grinler/rkill.pif Enregistrer le fichier sur le Bureau. 2. Pas de processus de contrôle en temps réel Désactive le module résident de ton antivirus, antispaware, par feux etc...etc... 3. Rkill, exécution ->> (Clique droit executer en tant qu'administrateur pour VISTA/7) pour XP double clic ->> Une fenêtre à fond noir va apparaître et se refermer aussitôt (il ne fera que sa, en principe c'est asser rapide) /!\ Ne redémarre pas le pc /!\ P.S : Si rien ne se passe, ou si l'outil ne se lance pas, télécharge l'outil depuis un autre liens ci-dessus et tente une nouvelle exécution. (!) Le rapport se trouve sous C:\rkill/txt (!) ************************************************* 4. PUIS : Télécharge >-> Malwarebyte <-< http://www.malwarebytes.org/mbam/program/mbam-setup.exe --> Lance le programme d'installation et laisse toi guider.. (installe le avec ces paramètres par défaut) --> Une fois installer >>> ( ouvre le en mode administrateur pour Windows Vista/7 ) --> Clique sur l'onglet mise a jour, et mets le a jour (sinon inefficace), --> Retourne dans l'onglet recherche, et exécute un examen complet, --> Tu pourra si infection trouver, cliquer sur Afficher la Sélection Puis >> Effacer la sélection (si redémarrage demander, alors accepte) --> Âpres le redémarrage, un rapport va se générer, Poste le Ici STP° Dans l'attente de ton rapport :D

Corbeau Empaillé · Answer

Fini !

Alors avant de redémarrer j'ai enregistré le rapport, j'ai bien fait parce qu'après le redémarrage aucun autre n'est apparu... Je te le laisse ci-dessous :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijywjiOnH.zip

Je garde les logiciels que j'ai téléchargé pour toutes ces opérations dans un coin, on ne sait jamais...

Tu n'aurais pas un pare-feu et un logiciel anti-virus efficace à me conseiller pour éviter ce genre de problème à l'avenir ?

Ps: je vais refaire une dernière analyse rapide au cas où (avec le logiciel anti-malware)

mcvivien2 · Answer

Re :D

Nous n'avons pas fini,,,;)

No action taken.

Une fois l'analyse términer,, A tu bien Supprimer la selection ??

Ouvre Mbam..Rend toi dans l'onglet Rapport/log et poste moi le rapport qui si présente Stp ;)

Dans l'attente de celui-ci :D

Corbeau Empaillé · Answer

J'avais deux rapports enregistrés : celui que je t'ai envoyé un peu plus au dessus et celuici : 

http://www.cijoint.fr/cjlink.php?file=cj201008/cijoz5yHYU.zip


Dessus il semble que aucun infection n'aie été trouvée... Mais je crois que ça correspond au scan rapide que j'ai fait hier après le complet, juste pour revérifier. Le seul rapport correspondant au complet est au dessus. ^^
( http://www.cijoint.fr/cjlink.php?file=cj201008/cijywjiOnH.zip )

Ca t'ira l'ami ?

mcvivien2 · Answer

Bonjour ;) Bien,, ok,, alors dans ce cas tu a donc lancée l'analyse mais tu na pas lancer la suppression des élémen inféctieux !! Alors dans ce cas : Lance Malwarebytes.....<> Et Execute un Examen complet du pc.. Si element infécter on été déceller,, alors dans ce cas supprime la selection.. Puis poste moi le rapport qui te sera présenter au redémarage de l'ordinateur ;) Dans l'attente de ton rapport :D

Corbeau Empaillé · Answer

Il me semblait l'avoir fait, du coup j'ai regardé le logiciel... Je peux supprimer cette sélection, toutes les infections détectées sont en quarantaine ; je dois donc supprimer tous ces fichiers ?

Je demande, au cas où ça pourrait éviter de refaire un scan. ^^

Corbeau Empaillé · Answer

Voilà voilà !

http://www.cijoint.fr/cjlink.php?file=cj201008/cijGnJ7Uwy.zip

mcvivien2 · Answer

OK,, 

Tu est bien infester de Rootkit,, Fait ceci .... 

Attention a bien faire ce qu'il t'est indiquer ;) 

--> Télécharge ComboFix.exe (par sUBs) sur ton Bureau depuis un des lien suivant: 

-->> http://download.bleepingcomputer.com/sUBs/ComboFix.exe > 

Puis choisis "Enregistrer sous .." ==> vers le 'bureau" 

==>  Attention /!\ : renomme-le sous le nom « Utilisateurl.exe » (très important). 

Tu le nommes à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard. 
Puis clic sur [Enregistrer] 

- Avant d'utiliser ComboFix : 

==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. 

==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus par-feux etc...etc..., (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). 

--> Double clique sur l'icône de ComboFix.exe ( Utilisateurl.EXE ) du bureau ( clique droit "Exécuter en tant que Administrateur" pour VISTA/7), [Exécuter] et suivre les invites. 

- Si tu utilise Windows Vista/7, et si tu reçois un avertissement de l'UAC (Contrôle de compte d'utilisateur) te demandant si veux continuer, il faut cliquer sur le bouton [Continuer]. 

- /!\(Pour Xp)  il et impératif d'accepter d'installer la console de récupération pour ne pas gêner la désinfection /!\ 

- Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 
Accepter les alertes éventuelles. 
Laisse se dérouler le scan. 

/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme. 
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a plus de 40 étapes d'analyse). /!\ 
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc-notes sur le bureau. 

/!\ Attention : Il est très Possible que l'outil bloque à la fenêtre "Find3M" ; si c'est le cas, appuie simultanément sur les touches CTRL + ALT + SUPPR , clique sur l'un des deux CF#####.exe (où ##### sont des chiffres aléatoires) et le rapport sera généré ! 

==> Réactive la protection en temps réel de ton Antivirus par-feux etc...etc..., avant de te reconnecter à Internet. 

P.S : Le fichier rapport Combofix.txt, est automatiquement sauvegardé ici (C:\Combofix.txt) 
Copies et colles le rapport ici STP 

Se n'est pas en cherchant que l'on trouve.. Mais belle et bien en trouvant que l'on cherche ;-).....

Corbeau Empaillé · Answer

Vivien   =>   Voilà le compte rendu de cette analyse camarade : 

http://www.cijoint.fr/cjlink.php?file=cj201008/cijxCjZG0o.zip



Jawaryinti     =>    En effet ; je ne m'y connais pas trop, mais vu leur emplacement j'espère que ce sera remplacé... Tu sais à quoi servent précisement ces fichiers ?

mcvivien2 · Answer

Salut ;)...

Le Rootkit et toujour la ...
Fait ceci Stp :

->> Ouvre un nouveau document bloc note, (ou notpad) suivant la version de Windows),

Et copie / colle ce qui et nommer en gras dedans :

KillAll::

Driver::

lptksox

Rootkit::

c:\windows\system32\drivers\lptksox.sys

DDS::

uInternet Settings,ProxyOverride = <local>



->> Sauvegarde le fichier avec le nom suivant : CFScript.txt
Fait un glisser/déposer de ce fichier CFScript sur le fichier Utilisateurl.exe comme sur la capture :

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

->> Une fenêtre bleue va apparaître: ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

->> Patiente le temps du scan.Le bureau risque de disparaître à plusieurs reprises: c'est normal!

- Ne touche à rien tant que le scan n'est pas terminé

->> Une fois le scan achevé, un rapport va s'afficher ... poste le rapport Ici stp

Dans l'attente de ton rapport ;)...

 @ Jawaryinti

Je suis en train de me rnenseigner pour atapi.sys ;)

Xplode · Answer

J'interviens directement ici c'est plus simple ;-)

@Vivien,

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe 

-> Possible rootkit TDSS comme je t'avais dis par MP. Ce qui explique le atapi.sys patché,  donc faut faire passer TDSSKiller.

@++

mcvivien2 · Answer

@ Xplode

Merciiiii :D

@ Corbeau Empaill

Dans l'attente du rapport Combo ;) :D

++ ;l)

Corbeau Empaillé · Answer

Voilà le nouveau rapport : http://www.cijoint.fr/cjlink.php?file=cj201008/cijz49sUo3.zip

Je dois télécharger TDSS killer et faire une analyse/nettoyage avec ou pas ? =/

mcvivien2 · Answer

Re :D 

Refait ceci Stp... 

Mais cette fois ci : 

->> Ouvre un nouveau document bloc note, (ou notpad) suivant la version de Windows),  

Et copie / colle ce qui et nommer en gras dedans :  

TDL:: 
C:\WINDOWS\System32\drivers\atapi.sys 


->> Sauvegarde le fichier avec le nom suivant : CFScript.txt  
Fait un glisser/déposer de ce fichier CFScript sur le fichier Utilisateurl.exe comme sur la capture :  

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif  

->> Une fenêtre bleue va apparaître: ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.  

->> Patiente le temps du scan.Le bureau risque de disparaître à plusieurs reprises: c'est normal!  

- Ne touche à rien tant que le scan n'est pas terminé  

->> Une fois le scan achevé, un rapport va s'afficher ... poste le rapport Ici stp  

Dans l'attente de ton rapport ;)...  
Se n'est pas en cherchant que l'on trouve.. Mais belle et bien en trouvant que l'on cherche ;).....

Corbeau Empaillé · Answer

Le voici, chef ! 


http://www.cijoint.fr/cjlink.php?file=cj201008/cij8XKV4eG.zip

mcvivien2 · Answer

Bonjour ;)

ok,,

Désinstalle Spyware Doctor qui et Inutile...
Malwarebytes suffit emplement :D

Puis :
On va vérifier tous sa ;) 

Relance un diagnostic avec ZHPdiag,, comme tu la fait précédemment STp°  
N'oublie pas d'héberger le rapport Via Cijoint 

Dans l'attente de ton lien  :D

Corbeau Empaillé · Answer

Voilà le lien : 

http://www.cijoint.fr/cjlink.php?file=cj201008/cijjUOYR8d.zip

mcvivien2 · Answer

Bonjour :D 

le plus gros a bien été supprimmer mais il reste des traces ;)

Ok,, fait ceci : 

- Clique (Clique droit [b]executer en tant qu'administrateur pour Vista/7)[/b] sur ZHPFix présent sur le bureau ou l'icone en forme d'écu dans ZHPDiag 

- Copie seulement ce qui est en gras ci-dessous...:: 

===================================== 

O42 - Logiciel: Spyware Doctor 7.0 - (.PC Tools.) [HKLM] -- Spyware Doctor 
[HKCU\Software\Lavasoft] 
[HKLM\Software\Lavasoft] 
O64 - Services: CurCS - (.not file.) - awaorkog (awaorkog)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AWAORKOG 
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe 
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe 

===================================== 



- Clique sur "H" le texte en dessous va disparaitre pour laisser place aux ligne si dessous 

- Clique sur OK 

- Coche toutes les cases ou clique sur tous puis Nettoyer 

- Poste le résultat qui va apparaitre Stp° 

Dans l'attente de ton rapport :D 
Se n'est pas en cherchant que l'on trouve.. Mais belle et bien en trouvant que l'on cherche ;).....

Corbeau Empaillé · Answer

Je t'ai fait ça en coup de vent dans le passage, j'ai un petit truc à faire en ville ; je te laisse un copier/coller, j'espère que ça t'ira ! 

---------------------

Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-21-08-2010-22-09-11.txt
Run by Propriétaire at 21/08/2010 22:09:11
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\Lavasoft  => Clé supprimée avec succès
HKLM\Software\Lavasoft  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - awaorkog (awaorkog) .(.Pas de propriétaire - Pas de description.) - LEGACY_AWAORKOG  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur absente

========== Logiciel(s) ==========
O42 - Logiciel: Spyware Doctor 7.0 - (.PC Tools.) [HKLM] -- Spyware Doctor  => Logiciel supprimé avec succès


========== Récapitulatif ==========
3 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Logiciel(s)


End of the scan


------------------------------


Pourquoi Spyware doctor a été supprimé ? Il contenait quelque chose qui nuisait à l'ordinateur ?

mcvivien2 · Answer

Re ;)

Non tous simplement que spywaredoctor ne sert a rien ,,
Tu a malwarebyte qui est dix fois plus éfficace...

cela n'aurais fait que d'alourdir ton ordinateur dans le cas inverse :D

ok,,

on va vérifier ;)

Relance un diagnostic avec ZHPdiag,, comme tu la fait précédemment STp°  
N'oublie pas d'héberger le rapport Via Cijoint 

Dans l'attente de ton lien  :D

Corbeau Empaillé · Answer

Le voici !

http://www.cijoint.fr/cjlink.php?file=cj201008/cijcmA36Af.zip

mcvivien2 · Answer

Re ;) Ok :D Comment ve comporte ton pC ?? Tu a Malwarebytes ! Alors relance le <> Et execute un examen complet du pC Poste le rapport en fin qui apparaitera en fin d'analyse et suppression STp° Dans l'attente de ton rapport ;)

Corbeau Empaillé · Answer

Me voilà ! La nuit aura été longue... Fiouh.

http://www.cijoint.fr/cjlink.php?file=cj201008/cij7XjFF8N.zip

gen-hackman · Answer

salut non c'est la quarantaine d'usbfix zippée pour l envoyer là ou la page internet s ouvre en fin de scan

mcvivien2 · Answer

Bonjour :D ne t'en fait pas,, LA nuit ma été aussi longue ;) Aujourd'hui c'est mon anniv ,,, alors je n'aurais pas total présence :D Pas d'inquietude je ne t'abandonne pas :D ...lol.... ok,, les menace détecter par malwarebytes et autres ... ne sont pas a prendre en compte ;) Il s'agit soit de faux positif,, Soit Nous viderons tes point de réstauration plus tard... Ce qui enlevera totalement les infection qui y sont présente ;) ok,, Met a jour adobe reader.. Ouvre le ... Dans l'onglet Aide..Selectionne Rechercher les mises a jours.. Et laisse toi guider.. Une fois la mise a jour installer redemarre ton ordinateur,, Puis : De même pour Firefox... MAis le a jour de le même mannierre .. ENSUITE : Télécharge >-> Javara <-< Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. SI ceci ne marche pas : * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. Alors installe Java ici : https://www.java.com/fr/download/ Puis passe a la suite de la procédure dans l'attente de tous sa :D

Corbeau Empaillé · Answer

Voilà le rapport de Java ; j'ai aussi installé le petit truc de sécurité qui allait avec une installation de Flash Player, un petit plus qui vérifie l'état de mon ordinateur ; j'ai vérifié la source et la fiabilité avant, le lien ne devrait pas être dangeureux. ^^
(C'est une installation "officielle" de toute façon, une mise à jour... Peu de chance !)


Le lien : http://www.cijoint.fr/cjlink.php?file=cj201008/cijaSjFYcX.zip

mcvivien2 · Answer

Re ;) ok ,,, Fait ceci maintenant : /!\ Si vous posséder déjà une version de ce logiciel,, il vous faut alors la désinstaller,, pour télécharger celle-ci /!\ Télécharge >-> Hijackthis <-< Enregistre le sur ton bureau, et exécute le fichier enregistrer, tu n'aura plus qu'a te laisser guider lors de l'instalation (installe le avec ces paramètre par défaut) Une fois télécharger, Si il ne se lance pas automatiquement alors clique sur le raccourcis créer sur ton bureau... Sélectionne Do a system scan and save a logfile Laisse le travailler, en fin de scan un rapport s'ouvre.. Poste le ici STp Dans l'attente de ton rapport ;) ++

Corbeau Empaillé · Answer

Yop !

Voilà le scan : http://www.cijoint.fr/cjlink.php?file=cj201008/cijpRsOmej.zip

Par contre, il voulait que je supprime des fichiers de Anti-vir, j'ai même lu "carte de performance", des fichiers de mon par-feu, etc... Je vais attendre que tu aies lu tout ça, je laisse mon ordi en veille avec Hijack-tis en stand-by pendant que je pars faire deux trois trucs en ville ; soit ce scan est foireux, soit mon anti-virus et mon pare-feu sont contaminés (je préfère le première solution personnellement =p)

mcvivien2 · Answer

Bonjour ;) Je n'est pas très bien compris ce que tu voulais dire ?? Nous Utilison Hijackthis,, Mais aucune suppression ne te doit être demander :s On a juste fai un scan donc je comprend pas très bien :) ok,, Relance Hijackthis,, Mais cette fois-ci Selectionne Do a System Scan Only.. Laisse le travailler.. En fin de scan recherche et coche les cases suivantes : O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe Puis clique sur Fix checked ENSUITE : Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections : Télécharge >-> Tool Cleaner 2 <-< Sur ton Bureau ; --> Clique droit sur ToolsCleaner2.exe et clique sur "Exécuter en tant qu'administrateur" pour le lancer. Laisse le travailler (même s'il est écrit "Ne répond plus"). --> Clique sur Recherche et laisse le scan se terminer. --> Clique sur Suppression pour finaliser. --> Tu peux, si tu le souhaites, te servir des Options facultatives. --> Clique sur Quitter, pour que le rapport puisse se créer. --> Le rapport (TCleaner.txt) se trouve à la racine de ton disque dur (C:\)...Copie et colle le ici STP On passera a la suite une fois le rapport poster :D ++ ;)

mcvivien2 · Answer

Re ;) ok impec :D Maintenant : On va utilisé maintenant ce petit logiciel de nettoyage. Il ne fait que de nettoyer les fichiers temporaires, les fichier inutiles, et la bases de registre qui peut présenter pas mal d'erreur... (Ce n'est pas un logiciel qui traite les infections) --> Télécharge >-> Ccleaner <-< (si tu la déjà passe directement au chiffre 1) .. --> N'oublie pas de décocher installer yahoo toolbar... *Une fois installer : 1-> Lance le et va dans l'onglet option...Qui se trouve a gauche..puis sur avancé et décoche la case effacer uniquement les fichiers temporaires de Windows datant de plus de 24h --> Retourne dans l'onglet nettoyeur... --> commence par cliquer en bas sur analyse..une fois l'analyse terminer..clique sur nettoyer... --> une fois que tu a fini le nettoyage.. va dans l'onglet registre... --> commence par cliquer sur chercher les erreur... --> une fois qu'il a terminer de rechercher les erreur..Clique sur corriger les erreur sélectionnée..il te demandera si tu veux faire une sauvegarde..n'oublie surtout pas de confirmer sur oui..et d'installer la sauvegarde la ou tu t'en souviendra. Car il se peu que tu ai quelque problème avec certain logiciel d'ou la sauvegarde pour restaurer ton registre.. --> Recommence cette opération, jusqu'à qu'il n'y apparaisse plus d'erreur, ENSUITE : /!\ Trés important : On va vider t'est point de restauration system..ET creer un point propre sans infection.. Pour ce faire, Suit bien les instruction donner ICI : http://www.jenyburn.com/home/comment-nettoyer-tous-les-points-de-restauration Pour créer un point de restauration fait ceci : Menu Démarrer",>> "Tous les programmes",>> "Accessoires",>> "Outils système">> et "Restauration du système". sélectionne créer un point de restauration système et suit les indication, Au moment ou tu devra lui donner un nom, donne lui ce nom : PC CLEAN Et Voila :D Voici quelque conseil a garder a porter de main : ->> Windows Update Régulièrement à jour : http://www.windowsupdate.com/windowsupdate/v6/default.aspx ->> Pare-feu bien paramétré, je te Recommande Comodo : https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html ->> Tutoriel d'installation Comodo : https://www.malekal.com/tutorial-comodo-firewall/ ->> antivirus bien paramétré et mis à jour régulièrement, avec un scan complet régulier (Tous les jours, de préférence). ->> Faire un peu plus attention vis à vis de ta navigation (Évite les sites douteux : cracks, warez, sexe...) et Messenger ou hotmail, toujours scanner les fichiers joints, Evite en parti l'instalation de toolbars ->> Évite le téléchargement (P2P), qui reste un des principale facteur d'infection : https://forum.malekal.com/viewtopic.php?t=3208&start= ->> Nettoyer ton ordinateur une fois par mois minimum (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, défragmentation etc...etc...) ->> Scan journalier Anti-espion, Malwarebytes super efficace : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ ->> Toujours vérifier si Java et bien a jour : https://www.java.com/en/download/uninstalltool.jsp Voila quelque information, sur le type de menace que tu peux rencontrer,ou autre : http://www.malekal.com/menu_windows_securite.php Pourquoi garder son navigateur a jour : https://forum.malekal.com/viewtopic.php?t=12405&start=#p95936 Pour mettre à jour les logiciels sur ton PC, Je te conseil se logiciel qui reste très Utile : --> Télécharge ==> Secunia PCSI http://sd-2.archive-host.com/membres/up/103316443939106582/PSISetup.exe - Il te suffit de l'installer avec ces paramètres par défaut.. - Un fois installer, il et conseiller d'exécuter un scan Avec cet utilitaire.. /!\ Si mise a jour trouver Assure toi bien d'installer les logiciels en français /!\ Voila un petit logiciel très pratique permettant d'écraser les donner supprimer..Te servirent a gagner un peu de vitalité pour le Pc...et un peu d'espace disque : Telecharge ==> Prevent Restore https://privacyroot.com/apps-exe/wfds/setup_wfds.exe /!\ Ne l'utilise pas plus d'une fois par mois /!\ Tu peux installer Cette extension qui te préviendra un minimum sur les risque de ta navigation concernant les site Web visiter ... Pour Firefox : http://addons.mozilla.org/... Pour Internet Explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp Information complémentaire : https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise ------------ ======| ------------ Voila c'est tout Pour moi...... Si tu considères ton problème comme résolu, tu pourras effectivement le mettre en tant que tel : Pour ce faire..Il te suffit de cliquer sur Marqué comme résolu Juste au dessous de ton premier message,, Bonne fin de journée et bon surf ;-) @ + + + A tu des questions ??

Corbeau Empaillé · Answer

Merci pour tous ces conseils l'ami ! 

Avant de valider cet article comme résolu, j'aurais une dernière question parce qu'elle vient de me traverser l'esprit... Je ne télécharge que rarement, mais si par hasard ça m'arriverait (généralement une fois tous les trois ou quatre mois, quand un fichier m'interresse et que je ne le trouve nullepart ailleurs que via Bittorrent que j'utilise dans ce genre de cas) ; est-ce que si j'analyse un fichier avant de l'ouvrir je peux y trouver la menace avant qu'elle ne s'active, ou elle s'active une fois "le lien" crée avec mon ordinateur ?

Je me suis toujours demandé à partir de quand une infection s'installe ou se déclenche sur un ordinateur, et si il y a un moyen de "contrôler" sa naissance. =/

mcvivien2 · Answer

Tu peux éffectivement analyser tes fichier comme je te l'ai mis dans les conseils ;)
Ce qui te garanti au moin une petite sécuriter en plus ;)

Tu peux pour plus de sureté analyser un par un les fichier aussi ici :
https://www.virustotal.com/gui/
40 antivirus au lieu de un seul je pense que ce n'est pas de refus :D
Gratuit en plus de sa ;)

Sinon il ne faut pas oublier que ce n'est qu'une assurance en plus ;)

Si tu reçoi un fichier qui en fait et une toute nouvelle menaces..
Alors dans ce cas,, même analyser ...sur analyser et réanaliser,,
Si cette menaces n'est pas encrée dans la version viral de l'antivirus...
Ne sera en aucun cas idenifier...

Ce qui n'est pas rare du tout !

Le meilleur et jepense de ne pas télécharger ;)

Voila...Voila....

En éspérant avoir répondu au mieux :D

++ ;)

Corbeau Empaillé · Answer

Je vois... Et plusieurs anti-virus en marche sur le même ordinateur, ça ne pose aucun problème ? Ils ne se détectent pas l'un et l'autre comme étant des menaces ou quelque chose comme ça ?

mcvivien2 · Answer

Ce ne sont pas des antivirus a installer sur l'ordinateur ;)
Ceci et un service gratuit d'analyse en ligne :D

Ne Jamais installer plusieurs Antivirus sur Un Ordinateur ;)

Corbeau Empaillé · Answer

Okay okay !

Bon allez, je ferme le sujet, je pense que c'est réglé.... Pour les autres questions, j'irai dans d'autres topics !

Merci du coup de main, et à bientôt peut-être. ;)

Malware doctor... Des restes ?

45 réponses

Discussions similaires