Security Tool à l'attaque

Question

Bonjour, 

Je vous écris d'un PC de secours car Security Tool est venu faire un petit tour chez moi.

J'ai pu éteindre l'ordinateur qui n'est plus en ligne pour l'instant.

Je viens de prendre connaissance des derniers messages au sujet du monstre et accomplis le secours de premier niveau avant de poster des logs par ici.

Merci par avance à celui (celle) qui prendra le temps de regarder les dégâts.

Bien Cordialement.


Configuration: Windows Vista / Firefox 3.6.8

moment de grace · Answer

bonjour

as tu passé déjà des outils et déjà eu des rapports ?

choisirtoujours · Answer

Je suis en train de télécharger rkill en mode sans échec et préviens de la suite.

moment de grace · Answer

ok

alors je te guide

redémarrer le pc en mode sans échec avec prise en charge reseau

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php


Télécharge rkill 

Enregistre-le sur ton Bureau
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
change de lien de téléchargement en utilisant le suivant à partir d'ici:
https://download.bleepingcomputer.com/grinler/rkill.exe 
https://download.bleepingcomputer.com/grinler/rkill.exe 

Rkill COM: Rkill COM: 
https://download.bleepingcomputer.com/grinler/rkill.com
 https://download.bleepingcomputer.com/grinler/rkill.com 

Rkill SCR: Rkill RCS: 
https://download.bleepingcomputer.com/grinler/rkill.scr 
https://download.bleepingcomputer.com/grinler/rkill.scr 



une fois qu'il aura terminé lance 


Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

http://www.malwarebytes.org/mbam/program/mbam-setup.exe
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. 
Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. [b]Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection 
Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

choisirtoujours · Answer

Je suis en mode sans échec avec prise en charge réseau mais aucun des liens de téléchargement ne fonctionne. Je me suis même créé un compte sur Bleeping Computer mais ça ne fait rien. Les liens m'amènent vers des pages blanches ou un temps d'attente trop long interrompt l'accès à la page.

moment de grace · Answer

Attention, avant de commencer, lit attentivement la procédure, et imprime la

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Télécharge ComboFix de sUBs que tu renommes CHOISIR.exe avant de l'enregistrer sur ton Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

choisirtoujours · Answer

Je suis sous Vista et je sais que je dois passer en admin mais là mon souci c'est que je n'arrive même pas à l'appli.

choisirtoujours · Answer

Si je comprends bien cette aide... https://www.bleepingcomputer.com/virus-removal/remove-antivirus-system-pro ...

Il faut que je redémarre en mode sans échec pour vérifier que l'infection n'est pas allé trop loin ? 

If you are unable to connect to the site to download rkill, please go back and do steps 3-6 again and make sure the infection has not reenabled the proxy settings. You may have to do this quite a few times before you can get the rkill.com file downloaded. If you still cannot download the rkill.com program on the infected computer, you should download it to a clean computer and copy it to the infected one via a USB flash drive or CDROM.

moment de grace · Answer

il t'explique ce que je t'ai proposé au départ

combofix, peux tu le télécharger d'un autre pc, et à l'aide d'une clé usb le copier sur le pc malade

choisirtoujours · Answer

Ce n'est pas Combofix que j'ai du mal à télécharger mais Rkill. Je m'apprête à aller le récupérer sur un autre PC. C'est bien Rkill que je dois récupérer ?

moment de grace · Answer

laisse tomber rkill et fais combofix stp

en le téléchargeant de ton pc malade ou d'un autre sain + clé usb

choisirtoujours · Answer

OK. Merci. Je fais ça. A tt de suite

choisirtoujours · Answer

Cher Moment de grâce,

Voici mon rapport Combo.

ComboFix 10-09-09.04 - lipdubz 10/09/2010  19:43:46.1.2 - x86 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.3069.2487 [GMT 2:00]
Lancé depuis: c:\users\lipdubz\Downloads\ComboFix.exe
SP: Spybot - Search and Destroy *enabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\lipdubz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Security Tool.lnk
c:\users\lipdubz\AppData\Roaming\Microsoft\Windows\Templates\memory.tmp
c:\windows\system32\MailBee.dll
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
c:\windows\Temp\_ex-08.exe
c:\windows\Temp\_ex-68.exe
c:\windows\UA000106.DLL

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-08-10 au 2010-09-10  ))))))))))))))))))))))))))))))))))))
.

2010-09-10 17:49 . 2010-09-10 17:49	--------	d-----w-	c:\users\lipdubz\AppData\Local	emp
2010-09-10 17:49 . 2010-09-10 17:49	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-09-10 07:11 . 2010-09-10 07:11	1062912	----a-w-	c:\users\lipdubz\AppData\Roaming\20B73154E3B249297343669B02CE9E1A\mediafix70700en02.exe
2010-09-10 07:11 . 2010-09-10 07:11	--------	d-----w-	c:\users\lipdubz\AppData\Roaming\20B73154E3B249297343669B02CE9E1A
2010-09-09 00:23 . 2010-09-09 00:23	--------	d-----w-	c:\program files\iPod
2010-09-09 00:23 . 2010-09-09 00:24	--------	d-----w-	c:\program files\iTunes
2010-09-09 00:20 . 2010-09-09 00:21	--------	d-----w-	c:\program files\QuickTime
2010-09-09 00:15 . 2010-09-09 00:15	73000	----a-w-	c:\programdata\Apple Computer\Installer Cache\iTunes 10.0.0.68\SetupAdmin.exe
2010-09-07 08:01 . 2009-08-04 08:02	754688	----a-w-	c:\windows\system32\webservices.dll
2010-09-07 07:59 . 2010-09-07 07:59	--------	d-----w-	c:\users\lipdubz\AppData\Local\Windows Live
2010-08-22 19:38 . 2010-08-22 19:38	--------	d-----w-	c:\program files\Stop Motion Animator
2010-08-22 14:30 . 2010-09-08 07:03	--------	d-----w-	c:\users\lipdubz\Tracing
2010-08-22 14:29 . 2010-08-22 14:29	--------	d-----w-	c:\program files\Microsoft
2010-08-22 14:29 . 2010-08-22 14:29	--------	d-----w-	c:\program files\Windows Live SkyDrive
2010-08-22 14:29 . 2010-08-22 14:29	--------	d-----w-	c:\program files\Windows Live
2010-08-22 14:27 . 2010-08-22 14:27	--------	d-----w-	c:\program files\Common Files\Windows Live
2010-08-17 20:26 . 2010-05-27 20:08	81920	----a-w-	c:\windows\system32\iccvid.dll
2010-08-17 20:26 . 2010-06-11 16:16	274944	----a-w-	c:\windows\system32\schannel.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-10 17:40 . 2009-10-19 12:53	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2010-09-10 17:40 . 2009-10-19 12:53	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-09-10 17:38 . 2010-05-01 21:46	1356	----a-w-	c:\users\lipdubz\AppData\Local\d3d9caps.dat
2010-09-10 15:12 . 2008-01-21 08:40	693136	----a-w-	c:\windows\system32\perfh00C.dat
2010-09-10 15:12 . 2008-01-21 08:40	131124	----a-w-	c:\windows\system32\perfc00C.dat
2010-09-09 06:49 . 2009-11-12 18:28	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-09-09 00:23 . 2009-10-24 17:01	--------	d-----w-	c:\program files\Common Files\Apple
2010-08-18 01:05 . 2009-06-25 14:17	--------	d-----w-	c:\program files\Microsoft Works
2010-08-18 01:02 . 2009-06-25 14:15	--------	d-----w-	c:\programdata\Microsoft Help
2010-08-18 01:01 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-08-06 16:31 . 2010-03-17 19:01	--------	d-----w-	c:\users\lipdubz\AppData\Roaming\Skype
2010-08-06 14:07 . 2010-03-17 19:02	--------	d-----w-	c:\users\lipdubz\AppData\Roaming\skypePM
2010-07-26 15:07 . 2010-07-24 11:20	--------	d-----w-	c:\program files\McAfee Security Scan
2010-07-24 11:20 . 2010-07-24 11:20	--------	d-----w-	c:\programdata\McAfee Security Scan
2010-07-23 09:12 . 2010-03-17 18:59	--------	d-----r-	c:\program files\Skype
2010-07-23 09:12 . 2010-07-23 09:12	--------	d-----w-	c:\program files\Common Files\Skype
2010-07-23 09:12 . 2010-03-17 18:59	--------	d-----w-	c:\programdata\Skype
2010-07-19 13:46 . 2010-07-19 13:46	--------	d-----w-	c:\program files\Bonjour
2010-07-19 13:44 . 2010-04-01 17:31	--------	d-----w-	c:\program files\Safari
2010-07-19 13:42 . 2010-07-19 13:42	71992	----a-w-	c:\programdata\Apple Computer\Installer Cache\Safari 5.33.16.0\SetupAdmin.exe
2010-06-29 15:47 . 2010-08-17 20:25	834048	----a-w-	c:\windows\system32\wininet.dll
2010-06-28 16:13 . 2010-08-17 20:25	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-06-21 13:37 . 2010-08-17 20:25	2037760	----a-w-	c:\windows\system32\win32k.sys
2010-06-18 17:31 . 2010-08-17 20:25	36864	----a-w-	c:\windows\system32tutils.dll
2010-06-18 15:04 . 2010-08-17 20:25	302080	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-18 15:04 . 2010-08-17 20:25	144896	----a-w-	c:\windows\system32\drivers\srv2.sys
2010-06-16 16:04 . 2010-08-17 20:25	905088	----a-w-	c:\windows\system32\drivers	cpip.sys
2010-06-21 11:39 . 2009-11-13 08:12	119808	----a-w-	c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe" [2008-12-10 435512]
"TOSHIBA Online Product Information"="c:\program files\TOSHIBA\Toshiba Online Product Information	opi.exe" [2009-03-16 6158240]
"Google Update"="c:\users\lipdubz\AppData\Local\Google\Update\GoogleUpdate.exe" [2010-04-01 136176]
"scheduler_monitor"="c:\program files\ReaConverter 5.5 Pro\init_scheduler.exe" [2007-06-15 27136]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-14 1348904]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-01-11 246504]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-06-21 30192]
"Toshiba TEMPRO"="c:\program files\Toshiba TEMPRO\TemproTray.exe" [2009-03-23 1045904]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-04-21 61440]
"TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2009-03-06 468320]
"HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2009-03-09 55160]
"SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2009-03-31 503808]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2009-03-23 729088]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-05-15 7514656]
"NDSTray.exe"="c:\program files\TOSHIBA\ConfigFree\NDSTray.exe" [2009-06-03 304496]
"cfFncEnabler.exe"="c:\program files\TOSHIBA\ConfigFree\cfFncEnabler.exe" [2009-05-21 21840]
"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba	raybar.exe" [2008-09-26 417792]
"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaReminder.exe" [2009-03-04 96144]
"mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2010-02-11 1218008]
"UVS12 Preload"="c:\program files\Corel\Corel VideoStudio 12\uvPL.exe" [2008-06-09 397456]
"ClamWin"="c:\program files\ClamWin\bin\ClamTray.exe" [2009-11-03 86016]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-01-07 1394000]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-07-13 47904]
"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-05-15 1833504]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-08-10 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-01 421160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"="c:\program files\TOSHIBA\Toshiba Online Product Information	opi.exe" [2009-03-16 6158240]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]

c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
TRDCReminder.lnk - c:\program files\TOSHIBA\TRDCReminder\TRDCReminder.exe [2009-2-24 391072]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~3\GOEC62~1.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

R2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-04-21 176128]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 ConfigFree Service;ConfigFree Service;c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe [2009-03-10 46448]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files\McAfee\SiteAdvisor\McSACore.exe [2009-01-23 203280]
R2 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:\program files\Toshiba TEMPRO\TemproSvc.exe [2009-03-23 116104]
R2 TMachInfo;TMachInfo;c:\program files\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe [2009-04-01 62776]
R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-06-21 30192]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]
R3 rcp_service;ReaConverter scheduler service;c:\program files\ReaConverter 5.5 Procp_scheduler.exe [2007-11-30 558592]
R3 SmartFaceVWatchSrv;SmartFaceVWatchSrv;c:\program files\TOSHIBA\SmartFaceV\SmartFaceVWatchSrv.exe [2008-08-25 77824]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S3 FwLnk;FwLnk Driver;c:\windows\system32\DRIVERS\FwLnk.sys [2006-11-20 7168]
S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-11-17 3668480]


--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - ECACHE

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Contenu du dossier 'Tâches planifiées'

2010-09-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1363155397-4145936558-3493671463-1000Core.job
- c:\users\lipdubz\AppData\Local\Google\Update\GoogleUpdate.exe [2010-04-01 17:57]

2010-09-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1363155397-4145936558-3493671463-1000UA.job
- c:\users\lipdubz\AppData\Local\Google\Update\GoogleUpdate.exe [2010-04-01 17:57]

2010-08-16 c:\windows\Tasks\McDefragTask.job
- c:\progra~1\mcafee\mqc\QcConsol.exe [2010-04-01 10:22]

2010-06-30 c:\windows\Tasks\McQcTask.job
- c:\progra~1\mcafee\mqc\QcConsol.exe [2010-04-01 10:22]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr
FF - ProfilePath - c:\users\lipdubz\AppData\Roaming\Mozilla\Firefox\Profiles\m04xsrab.default\
FF - prefs.js: browser.search.defaulturl - hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=
FF - component: c:\program files\McAfee\SiteAdvisor\components\McFFPlg.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - component: c:\users\lipdubz\AppData\Roaming\Mozilla\Firefox\Profiles\m04xsrab.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll
FF - plugin: c:\program files\Picasa2
pPicasa2.dll
FF - plugin: c:\program files\Virtools\3D Life Player
pvirtools.dll
FF - plugin: c:\users\lipdubz\AppData\Local\Google\Update\1.2.183.29
pGoogleOneClick8.dll
FF - plugin: c:\users\lipdubz\AppData\Roaming\Mozilla\plugins
pgoogletalk.dll
FF - plugin: c:\users\lipdubz\AppData\Roaming\Mozilla\plugins
pgtpo3dautoplugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: general.useragent.extra.ludi - LUDI2

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-RunOnce-<NO NAME> - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-10 19:49
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  TOSCDSPD = c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe?/i??????????6????V???V???V?( V?P  
  TOSHIBA Online Product Information = c:\program files\TOSHIBA\Toshiba Online Product Information	opi.exe?/i??? V ?? 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1363155397-4145936558-3493671463-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{33E9193C-918F-A829-5085-4CB2B6BE2565}*]
"dachmbee"=hex:64,62,70,61,69,6f,6a,6d,69,61,6c,68,70,6a,64,6c,70,6d,61,6e,6d,
   65,63,70,6e,67,68,63,67,63,67,6f,70,64,6f,67,6e,69,67,6f,00,00
"iadbgjoceadnppgnnk"=hex:6a,61,68,6f,62,70,63,66,6c,64,6d,63,62,65,65,67,6a,67,
   67,63,00,00
"hanaeabodeonepgj"=hex:6a,61,68,6f,62,70,63,66,6c,64,6d,63,62,65,65,67,6a,67,
   67,63,00,00

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-09-10  19:51:46
ComboFix-quarantined-files.txt  2010-09-10 17:51

Avant-CF: 61 979 496 448 octets libres
Après-CF: 70 338 080 768 octets libres

- - End Of File - - 17AAE05C2F2B625BA255A3F29A0D5D72

moment de grace · Answer

ok

en mode normal

peux tu faire ceci

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

choisirtoujours · Answer

Merci. Ca va mieux ? Du mal à télécharger ZHPdiag... Je persévère.

moment de grace · Answer

et ca  https://forums.commentcamarche.net/forum/affich-19144072-security-tool-a-l-attaque#3  tu peux le faire maintenant ?

choisirtoujours · Answer

Voilà, j'ai réussi à machiner et le rapport est là :  http://www.cijoint.fr/cjlink.php?file=cj201009/cijg7EegYt.txt

moment de grace · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

? Télécharge List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe


double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em"


une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport C:\List'em.txt

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Même opération pour le rapport more.txt qui se trouve sur ton bureau


si soucis avec ci joint. fr 

=> utiliser https://www.cjoint.com/
=>  utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html

choisirtoujours · Answer

Et voici les logs List'em  http://www.cijoint.fr/cjlink.php?file=cj201009/cijdU3Dm15.txt

Cordialement

moment de grace · Answer

1)

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 

C:\Users\lipdubz\AppData\Roaming\20B73154E3B249297343669B02CE9E1A\mediafix70700en02.exe



Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

.............................

2)

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis l'option CLEAN
 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta reponse

choisirtoujours · Answer

Argh 2 nouveaux malwares sont apparus Antimalware et un autre ... ;( Impossible de trouver le fichier avec Virus Total. La recherche me renvoie uniquement vers le fichier List'em

choisirtoujours · Answer

J'arrive jusqu'à C/Utilisateurs/Lipdubz mais je ne trouve pas de appdata

choisirtoujours · Answer

Voilà ce que j'obtiens avec Virus Total et désolé pour les messages précédents J'avais mal lu tes indications concernant les fichiers cachés : 

http://www.virustotal.com/file-scan/reanalysis.html?id=51e7af05e30fa48fcb888cec3954d6266c0751e67d8409f93c832aea1b12f185-1284158486

choisirtoujours · Answer

J'éteins, je serais sûrement plus en forme demain matin. Merci beaucoup pour tout et encore désolé pour le petit moment de panique. Très bonne nuit / soirée. Bien Cordialement.

moment de grace · Answer

1)

https://forums.commentcamarche.net/forum/affich-19144072-security-tool-a-l-attaque#27

.................

2)

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis l'option CLEAN
 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta reponse

choisirtoujours · Answer

Bonjour,

J'espère que tout va.
Merci pour ta patience.

Voici le rapport Kill'em.text

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.0.3 ¤¤¤¤¤¤¤¤¤¤ 
 
User : lipdubz (Administrateurs) 
Update on 09/09/2010 by g3n-h@ckm@n ::::: 23.15
Start at: 10:27:24 | 11/09/2010

Intel(R) Core(TM)2 Duo CPU     T6500  @ 2.10GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Disabled

C:\ -> Disque fixe local | 148,89 Go (62,22 Go free) [Vista] | NTFS
E:\ -> Disque fixe local | 147,73 Go (141,55 Go free) [Data] | NTFS
F:\ -> Disque CD-ROM
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\Windows\System32\smss.exe ----724 Ko
C:\Windows\system32\csrss.exe ----6172 Ko
C:\Windows\system32\wininit.exe ----4064 Ko
C:\Windows\system32\csrss.exe ----9296 Ko
C:\Windows\system32\services.exe ----7212 Ko
C:\Windows\system32\lsass.exe ----8340 Ko
C:\Windows\system32\lsm.exe ----4024 Ko
C:\Windows\system32\svchost.exe ----6648 Ko
C:\Windows\system32\svchost.exe ----6644 Ko
C:\Windows\system32\atiesrxx.exe ----2996 Ko
C:\Windows\system32\winlogon.exe ----5808 Ko
C:\Windows\System32\svchost.exe ----12668 Ko
C:\Windows\System32\svchost.exe ----69160 Ko
C:\Windows\system32\svchost.exe ----31756 Ko
C:\Windows\system32\SLsvc.exe ----11620 Ko
C:\Windows\system32\svchost.exe ----12464 Ko
C:\Windows\system32\atieclxx.exe ----4532 Ko
C:\Windows\system32\svchost.exe ----17144 Ko
C:\Windows\System32\spoolsv.exe ----10624 Ko
C:\Windows\system32\svchost.exe ----14628 Ko
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe ----4080 Ko
C:\Program Files\Bonjour\mDNSResponder.exe ----5080 Ko
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe ----2748 Ko
C:\Program Files\McAfee\SiteAdvisor\McSACore.exe ----6184 Ko
c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe ----7644 Ko
C:\Windows\system32undll32.exe ----3756 Ko
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe ----54940 Ko
C:\Program Files\McAfee\MPF\MPFSrv.exe ----15328 Ko
C:\Program Files\McAfee\MSK\MskSrver.exe ----5212 Ko
C:\Windows\system32\svchost.exe ----4788 Ko
C:\Windows\system32\svchost.exe ----6424 Ko
C:\Program Files\Toshiba TEMPRO\TemproSvc.exe ----14752 Ko
C:\Program Files\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe ----9808 Ko
C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe ----3120 Ko
C:\Windows\system32\TODDSrv.exe ----3564 Ko
C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe ----3596 Ko
C:\Windows\System32\svchost.exe ----2216 Ko
C:\Windows\system32\SearchIndexer.exe ----14660 Ko
C:\Program Files\TOSHIBA\SmartFaceV\SmartFaceVWatchSrv.exe ----5692 Ko
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe ----796 Ko
C:\Windows\system32	askeng.exe ----5520 Ko
C:\Windows\system32	askeng.exe ----10508 Ko
c:\PROGRA~1\mcafee.com\agent\mcagent.exe ----8156 Ko
C:\Windows\system32\Dwm.exe ----40096 Ko
C:\Windows\Explorer.EXE ----46940 Ko
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe ----7720 Ko
C:\Program Files\Common Files\Java\Java Update\jusched.exe ----3428 Ko
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe ----5684 Ko
C:\Program Files\Toshiba TEMPRO\TemproTray.exe ----38060 Ko
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe ----5920 Ko
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe ----2808 Ko
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe ----11172 Ko
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe ----9212 Ko
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe ----5432 Ko
C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe ----6240 Ko
C:\Program Files\TOSHIBA\Registration\ToshibaReminder.exe ----40080 Ko
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe ----3868 Ko
C:\Program Files\iTunes\iTunesHelper.exe ----11836 Ko
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe ----3464 Ko
C:\Program Files\TOSHIBA\Toshiba Online Product Information\TOPI.exe ----5808 Ko
C:\Program Files\Windows Media Player\wmpnscfg.exe ----5048 Ko
C:\Users\lipdubz\AppData\Roaming\20B73154E3B249297343669B02CE9E1A\mediafix70700en02.exe ----16560 Ko
C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe ----3292 Ko
C:\Program Files\Windows Media Player\wmpnetwk.exe ----8528 Ko
C:\Windows\system32\wbem\wmiprvse.exe ----12440 Ko
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe ----7668 Ko
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe ----9412 Ko
C:\Program Files\iPod\bin\iPodService.exe ----5140 Ko
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe ----2680 Ko
C:\Windows\system32\conime.exe ----3436 Ko
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe ----2680 Ko
c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe ----5108 Ko
C:\Windows\system32\cmd.exe ----2520 Ko
C:\Program Files\List_Kill'em\ERUNT.EXE ----5876 Ko
C:\Program Files\List_Kill'em\pv.exe ----5780 Ko
 
¤¤¤¤¤¤¤¤¤¤ Files/folders : 

 
Quarantined & Deleted !! : C:\Windows\Temp\Cab9A2C.tmp 
Quarantined & Deleted !! : C:\Windows\Temp\CabA4F5.tmp 
Quarantined & Deleted !! : C:\Windows\Temp\CabA90A.tmp 
Quarantined & Deleted !! : C:\Windows\Temp\CabC206.tmp 
Quarantined & Deleted !! : C:\Windows\Temp\CabFB4E.tmp 
Quarantined & Deleted !! : C:\Windows\Temp\Tar9A3C.tmp 
Quarantined & Deleted !! : C:\Windows\Temp\TarA544.tmp 
Quarantined & Deleted !! : C:\Windows\Temp\TarA90B.tmp 
Quarantined & Deleted !! : C:\Windows\Temp\TarC2C2.tmp 
Quarantined & Deleted !! : C:\Windows\Temp\TarFB6F.tmp 
Quarantined & Deleted !! : C:\Users\lipdubz\AppData\Local\GDIPFONTCACHEV1.DAT 
 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Run : mediafix70700en02.exe  
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives  
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives  
Deleted : "HKCU\Software\Antimalware Doctor Inc"  
Deleted : "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor"  
Deleted : HKCR\interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc}  
Deleted : HKCR\interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff}  
Deleted : HKCR\interface\{cf54be1c-9359-4395-8533-1657cf209cfe}  
Deleted : HKCR\TypeLib\{D518921A-4A03-425E-9873-B9A71756821E}  
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}  
Deleted : HKCU\SOFTWARE\OTGV1DNWQQ  
Deleted : HKLM\Software\Conduit  

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.msn.com/fr-fr/?ocid=iehp
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	=         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	=         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.google.com/?gws_rd=ssl
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
cval	=      	1 () 
FirewallDisableNotify	=      	0 (0x0) 
AntiVirusDisableNotify	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
FirstRunDisabled	=      	1 () 
AntiVirusOverride	=      	0 (0x0) 
FirewallOverride	=      	0 (0x0) 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Wlansvc : Start = 2   
 SharedAccess : Start = 2   
 windefend : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK 
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 

FEATURE_BROWSER_EMULATION | svchost : 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 
kernel: MBR read successfully
user & kernel MBR OK 
 
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

moment de grace · Answer

tu disais avoir eu des alertes

as tu un rapport de ca ?

choisirtoujours · Answer

Non. C'est juste qu'il y a toujours cet espèce de truc sur mon bureau après plusieurs redémarrages... http://www.cijoint.fr/cjlink.php?file=cj201009/cijBjCwRgR.jpg

choisirtoujours · Answer

Je sors faire quelques courses mais prolonge dès mon retour si tu as d'autres précieux conseils. Merci par avance. A tte.

moment de grace · Answer

on va arranger ca


Téléchargez MalwareByte's Anti-Malware (que tu pourras garder)


https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

choisirtoujours · Answer

Ca a l'air de vouloir s'arranger. En tout cas, l'avertissement n'apparait plus http://www.cijoint.fr/cjlink.php?file=cj201009/cijHSXcESC.txt

moment de grace · Answer

ok

vide la quarantaine de mbam

puis

Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

choisirtoujours · Answer

Fichiers de la quarantaine de MBAM supprimés. Voici le nv rapport ZHP Diag http://www.cijoint.fr/cjlink.php?file=cj201009/cijlRAJt7L.txt

moment de grace · Answer

1)

Mettre à jour internet explorer  (même si tu ne l'utlises pas)
https://support.microsoft.com/fr-fr/allproducts
..........................

2)

Mettre à jour la Console Java ? : 
https://www.java.com/fr/download/uninstalltool.jsp

et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). 

voici pour desinstaller : 

JavaRa 
http://raproducts.org/click/click.php?id=1

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. 
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
* Choisis Français puis clique sur Select. 
* Clique sur Recherche de mises à jour. 
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. 
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. 
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. 
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. 
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. 
* Ferme l'application. 

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. 


.............

3)

* Lancez Adobe Reader
* Cliquez sur Edition --> Préférences --> JavaScript
* Décochez "Activer Acrobat JavaScript"
* Validez

....................

4)
IMPORTANT

Purger la restauration systeme vista
https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista
.................

5)
Clique droit sur l'icône ZHPFix.exe sur ton Bureau, 
puis sélectionne 'Exécuter en tant qu'administrateur'. 

Clique sur le A rouge (Nettoyeur de Tools). 

Clique sur Nettoyer. 

Fais redémarrer l'ordi pour terminer le nettoyage.

............................................................
Recommandations pour l'avenir

Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
-	logiciels non à jour (windows, internet explorer, java, adobe reader etc)
-	installation de toolbar
-	fréquentation de sites piégés
-	P2P
-	Application de cracks
-	Supports usb

Pour t'aider dans cette tâche, voici quelques pistes

 Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/

 Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus 
pour bloquer les publicités
 http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

............................

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

........................

Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

..........................

Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) 
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
Au menu principal, choisis l'option 3 (Vaccination).
............................

garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
 https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse 

..........................
utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html

........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

http://www.libellules.ch/...

choisirtoujours · Answer

Salut Moment,

Merci pour toutes ces infos et pour m'avoir sorti du pétrin.
Tu fais ça bien. Super bien même.

Je continuerais à agir une partie de mon dimanche.

Je suis, en règle générale, assez prudent et crois savoir comment s'étaient introduites ces cochonneries.
Je continue à bétonner et suivrais tout à fait tes conseils de vigilance.

Te tiens au courant de ma mission accomplie demain.

Encore merci.

Très bon Week-end à toi.

Bien Cordialement.

Security Tool à l'attaque

34 réponses

Votre réponse

Discussions similaires

Newsletters