problema de virus Résolu/Fermé

Question

Bonjour, 

j'ai depuis plusieurs semaines différents problèmes sur mon ordinateur sans soute dûs à un virus. 
Mon navigateur Mozilla se bloque régulièrement, et surtout ma page web parait avoir été infectée, via mon serveur FTP pour un virus présent dans mon ordinateur.

J'ai déjà fait plusieurs vérifications mais rien n'apparait, et un internaute du forum a essayé de m'aider, mais nous n'avons pas réussi à trouver la solution.

Quelqu'un pourrait donc m'aider à nouveau, car le problème de la page est vraiment problématique.



Configuration: Windows Vista / Internet Explorer 7.0

flo-91 · Answer

Salut, :


On va commencer par analyser ton pc, :

Télécharges Zhpdiag ici : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, dézippes le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme.

Clique sur Tous pour cocher toutes les cases des options.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

Rends toi sur http://www.cijoint.fr clic sur Parcourir, choisis le rapport sur ton bureau et clic sur Créer le lien,
Un lien te sera généré, postes le dans ta prochaine réponse .

picone · Answer

ça y est j'ai fait l'analyse, je poste le texte.

http://www.cijoint.fr/cjlink.php?file=cj201008/cijglm8rj5.txt

flo-91 · Answer

Tu serai bien infecté par Navipromo vu que tu as le logiciel Hot TV:

Cette infection affiche des fenêtres publicitaires intempestives et peut rediriger ta navigation.

Pour la traiter :

/!\ Utilisateur de VISTA et SEVEN : il faudrait déactiver l'UAC juste le temps de désinfection de votre pc, Vous le réactiverez plus tard :

Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

>Navilog<

>Telecharge et installe Navilog1 ici :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

>Double-clique sur navilog1.exe présent sur ton bureau

>Sélectionne la langue désirée dans le menu puis valide le choix par la touche « entrer »

>Petit message d'avertissement, appuie sur une touche pour passe à la suite

>un nouveau avertissement, appuie sur une touche pour suivre

>Vérification de l'installation de Navilog1 : si tout est bon, appuie sur une touche pour continuer

>Choisir option 1 : recherche/désinfection automatique

>La recherche va se lancer automatiquement et peut durée quelques minutes, patiente

>Une fois l'analyse terminée, appuie sur une touche pour que ton pc puisse redémarrer

>Au redémarrage du pc, Navilog va supprimer ce qu'il a trouvé, patiente quelques instants.

>Un rapport est gèneré par l'outil. Il se trouve à cette emplacement :

XP : demarrer/poste de travail/c:/cleannavi.txt
Vista : logo « demarrer »/ordinateur/c:/ cleannavi.txt

>Poste le rapport
*>flo-91<*®

N'hésitez pas a faire un tour dans la faq du forum ( rubrique astuce ),
il y a peut être déjà la solution à votre problème =)

picone · Answer

alors j'ai tout fait, ça ne m'étonne pas trop c'est vrai que je dois avoir quelque chose du genre, mais le rapport n'indique rien.
je le poste:
http://www.cijoint.fr/cjlink.php?file=cj201008/cij6r881fr.txt

flo-91 · Answer

Je me suis gourré dans le nom du logiciel :

C'est Hot Tv player et pas Hot Tv tout court qui installe l'infection ^^"

Pas grave, la suite :


Pour les ordinateurs équipés de Windows Vista et Windows 7, la désactivation du Contrôle des comptes utilisateurs est obligatoire
sous peine de ne pas pouvoir faire fonctionner correctement l'outil.
 Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

>Ad-Remover<

>Telecharge Ad-Remover et enregistre-le sur ton bureau :

https://www.commentcamarche.net/telecharger/securite/2547-ad-remover/

>Désactive ton antivirus le temps de la manip
>Déconnecte-toi d'Internet et ferme toutes applications en cours
>Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files).
>Au menu principal, choisis l'option  Nettoyer
>Poste le rapport généré (C:\Ad-Report-CLEAN.log).
>N'oublie pas de réactiver ton anti-virus

picone · Answer

ah, petite indication j'ai contacté mon serveur qui me dit qu'il a trouvé le  code suivant qui pertube la page: 


peut-être cela peut t'orienter??

picone · Answer

je poste le nouveau rapport:

http://www.cijoint.fr/cjlink.php?file=cj201008/cijtIeaB96.txt 

pardon pour le lien, je ne savais pas que cela pouvait être dangereux.

Le lien que tu as mis dans ta réponse, qu'est ce que c'est?

flo-91 · Answer

C'est un lien sans virus tu peux y aller :)
Il donne des infos sur ton site que tu as donné plus haut, on remarque qu'il est dangereux.

La suite :


>Telecharge malwarebytes ici :


https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
. enregistres le sur le bureau
/!\Utilisateur de Vista : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

picone · Answer

alors ça a pris pas mal de temps pour le scan; visiblement il a trouvé deux éléments suspects.

je colle donc le rapport:Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4495

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

29/08/2010 02:33:01
mbam-log-2010-08-29 (02-33-01).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 360122
Temps écoulé: 2 heure(s), 25 minute(s), 6 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\drivers\klkgwebu.sys (Rootkit.Bubnix) -> Quarantined and deleted successfully.
C:\Users\helene picard\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

flo-91 · Answer

Ok, la suite :

> Télécharge GMER :
http://www2.gmer.net/gmer.zip

* Dézipper le programme.
* Double cliquer sur Gmer.exe
* Le programme se lance et fait un auto scan
(il s'agit de l'onglet : Rootkit/Malware).


=> Des lignes rouges doivent apparaître en cas d'infection :

* sur ces lignes rouges:
o Services: Clique droit puis delete service
o Process: Clique droit puis kill process
o Adl, file: Clique droit puis delete files

picone · Answer

il y a un problème avec le GMER, je l'ouvre, il commence à travailler et après il affiche le message suivant:
GMER has found system modification which might have been caused by ROOTKit activity. Do you want to scan?

j'ai dit que oui, mais après tout se bloque, programme et ordinateur.

Donc, pas possible de faire le scan.

flo-91 · Answer

On va faire autrement :


>Telecharge Combofix ici et enregistre le sur ton bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


# Ferme toutes les fenêtres de programme ouvertes, y compris celle-ci.

# Ferme ou désactivez tous les programmes Antivirus, Antispyware, ainsi que tout pare-feu en cours d'exécution car ils pourraient perturber le fonctionnement de ComboFix.

#Double clic sur l'icône de ComboFix située sur le Bureau. Note bien que, une fois que tu as lancé ComboFix, tu ne dois pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme. En fait, lorsque ComboFix tourne, ne touche plus du tout à ton pc. L'analyse peut prendre un certain temps, donc soit patient. 

#Une fenêtre présentant les différents sites autorisés de téléchargement de ComboFix s'affiche. Dans cette fenêtre, clique sur le bouton OK.

#Après la fin de la sauvegarde du Registre Windows, ComboFix va essayer de savoir si la Console de récupération est installée. Si tu ne l'a pas déja fait accepte.

#Ceci peut durer un certain temps, donc surtout soit patient. Si tu vois ton Bureau Windows disparaître, ne t'inquiete pas. C'est normal, et ComboFix restaurera votre Bureau avant de se terminer. Finalement, tu verras un nouvel affichage déclarant que le programme a presque fini et vous annonçant que le fichier rapport, ou log, se trouvera dans C:\ComboFix.txt.

#Poste ce rapport.

picone · Answer

bon, alors j'ai tout suivi, mais j'ai un problème. Tout est bloqué, je ne peux ouvrir aucun navigateur, le message suivant m'apparait:

tentative d'opération non autorisée sur une clé du registre marquée pour suppression.

Je ne peux ni accéder au panneau de configuration ni à la restauration du système.
Quand je vais au centre de sauvegarde et de restauration, on me met qu'il y a une erreur 32 du système.
Donc impossible d'utiliser l'ordinateur et impossible d'envoyer le rapport.

Que dois-je faire?

picone · Answer

ah merci bien pour l'aide, je ne m'en sortais pas.

alors je poste le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201008/cijUnVBp35.txt

flo-91 · Answer

Bon et maintenant tu peux utiliser Gmer ?
Toujours en mode sans echec si ca ne marche pas en mode normal.

picone · Answer

bonjour, 

je viens d'essayer le GMER en mode sans échec, mais le même message m'apparait.

j'ai aussi des fenêtres de publicité intempestives qui surgissent, mais mon pc les bloque.

flo-91 · Answer

Tu vas utiliser l'outil The avenger en suivant ce tuto :

http://www.bibou0007.com/outils-specifiques-f78/tutorial-the-avenger-anti-rootkit-t1608.htm


Tu posteras le rapport.

picone · Answer

ça y est c'est fait, voici le rapport. Apparemment il n'y a rien:



Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Completed script processing.

*******************

Finished!  Terminate.

gen-hackman · Answer

Tu serai bien infecté par Navipromo vu que tu as le logiciel Hot TV:

Cette infection affiche des fenêtres publicitaires intempestives et peut rediriger ta navigation.

peut rediriger ta navigation.

completement faux !!

gen-hackman · Answer

navipromo ne redirige pas la navigation !

picone · Answer

et qu'est ce que je peux faire alors??

picone · Answer

j'ai vu que oui, j'ai un problème effectivement, mais comment puis-je le résoudre? 
Quelqu'un peut-il m'aider pour me défaire de ce navipromo?

gen-hackman · Answer

salut pour avancer desinstalle spybot , et si flo ne peut pas revenir , je terminerai ta desinfection (enfin....si tu le veux bien ! :))

picone · Answer

spybot, je ne le trouve pas. Je ne sais pas s'il est caché ou pas, par contre j'ai désinstaller spywareblaster.

donc voilà où j'en suis. Toujours avec mozilla qui bloque et les fenêtres intempestives de pub.

ok pour continuer la désinfection.

gen-hackman · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge ici :List_Kill'em

 et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

choisis l'option Search

&#9654 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier C:\List'em.txt 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

picone · Answer

voilà le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201009/cijJZT6D5n.txt 

et le moretxt:

http://www.cijoint.fr/cjlink.php?file=cj201009/cijVad48SN.txt

gen-hackman · Answer

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Clean

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

picone · Answer

voilà le rapport après le clean:

http://www.cijoint.fr/cjlink.php?file=cj201009/cijP6NIGPf.txt

gen-hackman · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

picone · Answer

voilà le rapport OTL 

http://www.cijoint.fr/cjlink.php?file=cj201009/cijXUt6vEk.txt 

et l'extra:
http://www.cijoint.fr/cjlink.php?file=cj201009/cijssUOJga.txt

picone · Answer

j'ai posté hier les deux rapports, qu'est ce qu'il en est? Que dois-je faire maintenant?

gen-hackman · Answer

salut

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:Services
klkgwebu 

:OTL
IE - HKU\S-1-5-21-544604208-4200688504-1021685291-1000\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found       => Yahoo Companion!  
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11   
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14  
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17    
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present  
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)  
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)  


:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionun]
"Adobe Reader Speed Launcher"=-
"iTunesHelper"=-
"TkBellExe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=145

:Files
C:\Windows\System32\drivers\klkgwebu.sys  
C:\Users\helene picard\AppData\Roaming
vModes.* 
C:\*.sqm
C:\Users\helene picard\AppData\Roaming\hwzypv.dat  
C:\ProgramData
tuser.pol    
@Alternate Data Stream - 98 bytes -> C:\ProgramData\TEMP:DFC5A2B2
@Alternate Data Stream - 115 bytes -> C:\ProgramData\TEMP:5C321E34
   
:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

picone · Answer

alors j'ai fait les corrections, je le copie ici parce que ci-joint ne me laisse pas l'envoyer:

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== SERVICES/DRIVERS ==========
Error: No service named klkgwebu was found to stop!
Service\Driver key klkgwebu not found.
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-544604208-4200688504-1021685291-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ deleted successfully.
Prefs.js: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17 removed from extensions.enabledItems
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Starting removal of ActiveX control {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
C:\Windows\Downloaded Program Files\erma.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionun\Adobe Reader Speed Launcher deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionun\iTunesHelper deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionun\TkBellExe deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\"NoDriveTypeAutoRun"|145 /E : value set successfully!
========== FILES ==========
File move failed. C:\Windows\System32\drivers\klkgwebu.sys scheduled to be moved on reboot.
C:\Users\helene picard\AppData\Roaming
vModes.001 moved successfully.
C:\Users\helene picard\AppData\Roaming
vModes.dat moved successfully.
C:\sqmdata00.sqm moved successfully.
C:\sqmdata01.sqm moved successfully.
C:\sqmdata02.sqm moved successfully.
C:\sqmdata03.sqm moved successfully.
C:\sqmnoopt00.sqm moved successfully.
C:\sqmnoopt01.sqm moved successfully.
C:\sqmnoopt02.sqm moved successfully.
C:\sqmnoopt03.sqm moved successfully.
C:\Users\helene picard\AppData\Roaming\hwzypv.dat moved successfully.
C:\ProgramData
tuser.pol moved successfully.
ADS C:\ProgramData\TEMP:DFC5A2B2 deleted successfully.
ADS C:\ProgramData\TEMP:5C321E34 deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 41661 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: helene picard
->Temp folder emptied: 28954741 bytes
->Temporary Internet Files folder emptied: 40439583 bytes
->Java cache emptied: 71892815 bytes
->FireFox cache emptied: 48794122 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 971776 bytes
->Flash cache emptied: 2010927 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 536508 bytes
RecycleBin emptied: 5449393 bytes
 
Total Files Cleaned = 190,00 mb
 
 
OTL by OldTimer - Version 3.2.11.0 log created on 09032010_174807
 
OTL by OldTimer - Version 3.2.11.0 log created on 09032010_174807

Files\Folders moved on Reboot...
File\Folder C:\Windows\System32\drivers\klkgwebu.sys not found!
File\Folder C:\Windows	emp\TMP00000001E46E5015F2062D00 not found!

Registry entries deleted on Reboot...

gen-hackman · Answer

bien refais un scan OTL avec les memes reglages stp

picone · Answer

voilà le rapport, j'espère que c'est le bon, vu que j'en avais plusieurs, mais oui je crois que c'est le bon.

à part ça, c'est normal d'avoir une fenêtre de pub qui s'ouvre chaque fois (bon, elle est bloquée par l'ordinateur) que je suis sur le forum?

picone · Answer

oups, j'ai oublié le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201009/cijfaDtv6y.txt 

pardon!

gen-hackman · Answer

supprime combofix , puis retelecharge-le sans oublier de le renommer à l enregistrement sur le bureau

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

ensuite relance le

picone · Answer

voilà le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201009/cijOOdcyHd.txt

gen-hackman · Answer

il est en train de jouer avec nous c't'enfoir****** tu n'as pas renommé combofix non plus.... __________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: Driver:: klkgwebu ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

picone · Answer

ah mince, je n'ai pas renommé cette fois-ci non plus le combofix, mais en fait je ne sais pas en quoi ça consiste le renommer, c'est lui donner un autre nom????

Quant au glisser/déposer ce fichier script, je l'ai fait comme j'ai pu, j'espère que cela a fonctionné.
bon voilà le nouveau rapport, à voir ce que ça donne. Merci en tout cas pour le coup de main.

gen-hackman · Answer

il est ou ?

picone · Answer

il est là, pardon, j'ai oublié de coller le lien, c'est moi qui finit par avoir le virus au final!

http://www.cijoint.fr/cjlink.php?file=cj201009/cijy1twCWh.txt

gen-hackman · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: https://forums.commentcamarche.net/forum/affich-19000240-problema-de-virus?full Extra::[4] c:\windows\system32\drivers\klkgwebu.sys Rootkit:: c:\windows\system32\drivers\klkgwebu.sys Folder:: c:\windows\TEMP\TMP00000006472BDAD58388E7F2 ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

picone · Answer

voici le nouveau rapport:

http://www.cijoint.fr/cjlink.php?file=cj201009/cijCIs1954.txt 

où on en est?

gen-hackman · Answer

salut vide le contenu de ce dossier :

c:\windows\TEMP\

picone · Answer

bonjour, 

ça y est, c'est fait.

gen-hackman · Answer

salut

mets malwarebytes à jour et fais un scan complet puis poste le rapport

picone · Answer

voilà le rapport de malwarebytes:

http://www.cijoint.fr/cjlink.php?file=cj201009/cijOF2xboG.txt

picone · Answer

voilà le rapport après suppression des éléments trouvés: 

http://www.cijoint.fr/cjlink.php?file=cj201009/cijX5g0Nyf.txt

gen-hackman · Answer

des soucis persistent ?

picone · Answer

Dans l'ensemble ça l'air d'aller plutôt mieux.

deux petites choses:

1- j'ai toujours une fenêtre de pub qui apparait, mais qui est bloquée quand je suis sur comment ça marche, est-ce normal?

2-mon navigateur mozilla bloque tout le temps, à quoi est-ce dû? Dois-je le réinstaller?

gen-hackman · Answer

j'ai toujours une fenêtre de pub qui apparait, mais qui est bloquée quand je suis sur comment ça marche, est-ce normal? 

dis m'en plus ?

picone · Answer

eh bien chaque fois que j'ouvre une page de comment ça marche, comme le forum par exemple, il y a un petit signal sonore qui m'avertit qu'une fenêtre intempestive de publicité s'est ouverte, mais l'ordinateur la bloque tout de suite (donc elle ne s'ouvre pas), j'ai pas le souvenir que cela faisait ça avant.

gen-hackman · Answer

fais ce grand menage , on avisera ensuite : Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace ▶---> Télécharge ToolsCleaner2sur ton Bureau. * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer. * Clique sur Recherche et lais se le scan agir. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options Facultatives. * Clique sur Quitter pour obtenir le rapport. * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). ___________________________________________________ ▶ Tu peux supprimer ToolCleaner ___________________________________________________ ▶ Télécharge :ATF Cleaner par Atribune Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ ▶ Tu peux garder ATF pour d'eventuels nettoyages un peu plus poussés __________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ si tu as installé Antivir : Configuration ________________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK.

picone · Answer

bonjour, 

bon alors je poste le rapport de tool cleaner:
http://www.cijoint.fr/cjlink.php?file=cj201009/cijtWAa6Nm.txt 

et je vais continuant à faire le reste.

Mais j'aimerais savoir: pour Mozilla qui plante tout le temps (ce qui rend impossible la navigation) que puis-je faire? Le réinstaller?

Et les fenêtres de pub de comment ça marche, c'est normal?

Merci de m'éclaircir sur le sujet.

gen-hackman · Answer

les fenêtres de pub de comment ça marche, c'est normal? 

oui inscris-toi elles disparaitront

mozilla , desinstalle et reinstalle

picone · Answer

oui inscris-toi elles disparaitront 


Qu'est ce que ça veut dire? Où dois-je m'inscrire?

gen-hackman · Answer

https://www.commentcamarche.net/infos/25881-etre-membre-de-commentcamarche-pourquoi-comment/

picone · Answer

bonjour, 

désolée, j'ai eu beaucoup de travail et n'ai pas pu faire les dernières opérations. 
Bon, tout a l'air de fonctionner, pas de problèmes nouveaux.

Donc, merci pour l'aide et les conseils, ça m'a été très utile.
Je vais cliquer sur question résolue.
Merci.

picone · Answer

bon, je ne trouve pas pour cliquer sur question résolue, ça n'apparait nulle part???

gen-hackman · Answer

bonsoir je m'en occupe pour toi

Problema de virus

61 réponses

Discussions similaires