Trojan impossible à éradiquer Résolu/Fermé

Question

Bonjour à tous, 

Après avoir passé plusieurs semaines à écumer différents forums et essayé de multiples logiciels anti-virus et autres nettoyeurs, je me décide à m'inscrire afin de vous soumettre mon problème.

-----------------------------------------------------------------------------------------------------------------

Voici les symptômes contre lesquels je me bats en vain depuis plusieurs semaines :

- Au démarrage de pon PC portable, j'ai presque systématiquement un message m'indiquant que "Generic Host Process for Win32 Services" a rencontré un problème et doit fermer.

- De temps à autres, je suis obligé de redémarrer le service "Audio Windows" sans quoi je n'ai plus de son dans Winamp et WMP.

- Explorer se ferme (parfois sans rien dire !!) et il ne me reste que mon fond d'écran (je l'aime bien mais je préfèrerais garder l'accès aux raccourcis ainsi qu'au menu "démarrer"). Dans ce cas, même l'ouverture d'explorer en passant par le gestionnaire des tâches ne donne rien.

- Dans IE et Firefox, j'ai des fenêtres et des onglets qui s'ouvrent tout seuls.

- L'affichage de mon bureau change régulièrement d'apparence (passe de XP à windows 95 ou 98 ?).

-----------------------------------------------------------------------------------------------------------------

MBAM et Spybot ne trouvent rien d'anormal, pas plus que la version "scan en ligne" de Kaspersky qui, au bout de 2h, ne fait plus rien et bloque à 99% de fichiers scannés. Au bout de 3h d'attente, j'ai stoppé le scan -> impossible d'obtenir un rapport mais les 99% scannés ne montraient aucun fichier dangereux ou potentiellement infecté.

J'ai tenté plusieurs scan en ligne (ESET, bitdefender) et ce dernier m'a indiqué un éventuel troyan sur le fichier : C:\WINDOWS\system32\dlo90.dll.

Cette dll s'incruste dans explorer, iexplore et svchost. J'ai essayé de la supprimer par différents moyens (fix dans HiJackThis, suppression avec unlocker et killbox) -> rien n'y fait !! Même en arrêtant les services qui l'utilisent avec ProcessExplorer, impossible de la supprimer (y compris en "mode sans échec").

Caractéristiques de cette dll de 722ko : version 5.1.2600.5167 - Description : tiovmixf DLL - copyright : oxnviunbrm Corporation - nom d'origine du fichier : tiovmixf.dll

Si une âme charitable pouvait se pencher sur mon cas et m'aider, ce serait génial parce que là, après pratiquement 3 semaines de recherches et d'essais, je sèche...

Un grand merci d'avance.

PS : aucun site ne me permettant d'uploader mes rapports (ZHPDIAG et MBAM), je ne sais comment vous les transmettre (j'ai essayé cijoint.fr, 1fichier.com, http://dl.free.fr et j'obtiens le message suivant : "La connexion a été réinitialisée. La connexion avec le serveur a été réinitialisée pendant le chargement de la page.") Je n'ai pourtant ni pare-feu (pas bien, ni proxy).
      
      

      
        
        

          

La connexion avec le serveur a été réinitialisée pendant le chargement de la page.






Configuration: PC portalbe HP CompaqNX6310 (Celeron 430 @ 1.73GHz, 512Mo RAM, XP SP2)

H3RV3 · Answer

Salut,

Commence par analyser le fichier suspect comme ceci :

On va analyser un fichier :

&#9679; Va sur le site VirusTotal

&#9679; Clique sur le bouton "parcourir"

&#9679; Recherche le fichier présent ici ==> C:\WINDOWS\system32\dlo90.dll

&#9679; Clique sur le bouton "Send file"

&#9679; Patiente pendant le transfert du fichier

&#9679; Si un message apparaît, clique sur Reanalyse

&#9679; Copie/colle l'adresse présente dans la barre d'adresse dans ta réponse

&#9658; Aide en images

jlpjlp · Answer

slt 

analyse ce fichier sur virus total et colle nous le rapport  https://www.virustotal.com/gui/


C:\WINDOWS\system32\dlo90.dll

_______________


Télécharge OTL de OLDTimer ici :

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant "scan all users"

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Plop999 · Answer

Bonjour à tous les 2 et merci pour votre aide : 

Je procède par étape donc voici déjà le lien de l'analyse faite avec VirusTotal : 

http://www.virustotal.com/...

Par contre jlpjlp, je ne peux pas uploader sur cijoint.fr : j'ai toujours le message dont j'ai parlé en fin de mon premier post :-(

Plop999 · Answer

Je viens de retenter un upload sur cijoint.fr : toujours pas moyen... Si je poste les rapports directement ici, ça va faire une sacrée longueur...

H3RV3 · Answer

Ca sera trop long ici, essaie sur ce site : http://ww38.toofiles.com/fr/documents-homepage.html

Plop999 · Answer

http://ww38.toofiles.com/fr/oip/documents/txt/rapportmbam-log-2010-10-0611-09-49.html  

http://ww38.toofiles.com/fr/oip/documents/txt/7930_otl.html  

http://ww38.toofiles.com/fr/oip/documents/txt/extras.html 

Par contre, impossible d'uploader le rapport ZHPDiag même en le renommant !! A chaque fois je me retrouve avec le message "la connexion a été réinitialisée"...

Pour info, voilà ce que m'avait annoncé bitdefender :

"1 fichier infecté a été détecté !
---------------------------------

C:\WINDOWS\system32\dlo90.dll --> Gen:Trojan.Heur.TC8ayyIyf6ac
  --> HKCR\CLSID\{47D63E6A-6E46-4EE0-BB8A-980143EEB951}\InprocServer32\(default)
  --> HKLM\System\ControlSet001\services\mnhvhfsv\Parameters\"ServiceDll"
  --> Processus explorer.exe (1936)
  --> Processus svchost.exe (1216)"

H3RV3 · Answer

OK, apparemment, il y a du rootkit, fais ceci :

&#9679; Télécharge ComboFix (de sUBs) sur ton Bureau de cette manière :
Fais un clic droit sur ce lien

&#9679; Choisis "enregistrer la cible sous ... " et  dans la fenêtre qui s'ouvre choisis ton bureau pour l'emplacement et tape CBFix.exe pour le nom.

&#9650; Ferme tous tes logiciels de protection et les programmes en cours

&#9650; ComboFix peut être amené à accéder à internet, il faut dans ce cas l'autoriser

&#9679; Sous XP : Double clique sur CBFix.exe
&#9679; Sous Vista/7 : Fais un clic droit sur CBFix.exe et sélectionne "Exécuter en tant qu'administrateur"

&#9679; Clique sur le bouton Oui dans la fenêtre d'avertissement

&#9679; Si tu es sous XP et que la console de récupération n'est pas installée, ComboFix va te proposer de l'installer, accepte en cliquant sur Oui.

&#9679; Laisse travailler l'outil et si il te demande de redémarrer le PC, accepte.

&#9679; Un rapport va s'ouvrir à la fin du processus, copie/colle le dans ta réponse
&#9650; Le rapport est sauvegardé dans C:\ComboFix.txt

Tutorial officiel de ComboFix

Plop999 · Answer

Le rapport vient seulement d'arriver; le voici : ComboFix 10-10-05.06 - atec 06/10/2010 18:59:06.1.1 - x86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.503.168 [GMT 2:00] Lancé depuis: c:\documents and settings\atec\Bureau\CBFix.exe * Un antivirus résident est actif . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\All Users.\documents\settings c:\windows\system32\dlo90.dll c:\windows\system32\drivers\bhorzupd.sys c:\windows\system32\driVERs ilix.sys c:\windows\system32\drivers\sntkmakj.sys c:\windows\system32\dumphive.exe c:\windows\system32\ltoku.dll c:\windows\system32\SrchSTS.exe c:\windows\system32 mp.reg c:\windows\system32\VCCLSID.exe c:\windows\system32\drivers ilix.sys . . . est infecté!! . . . Impossible de trouver un substitut valide. . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_MNHVHFSV -------\Legacy_SNTKMAKJ -------\Legacy_SSHNAS -------\Service_mnhvhfsv -------\Service_sntkmakj -------\Legacy_nilix -------\Service_nilix ((((((((((((((((((((((((((((( Fichiers créés du 2010-09-06 au 2010-10-06 )))))))))))))))))))))))))))))))))))) . 2010-10-06 17:14 . 2010-10-06 17:14 53248 ----a-w- c: emp\catchme.dll 2010-10-06 17:13 . 2010-10-06 17:13 16384 ----atw- c: emp\Perflib_Perfdata_724.dat 2010-10-06 16:59 . 2010-10-06 16:59 -------- d-----w- C:\quarantine 2010-10-06 15:58 . 2010-10-06 16:26 -------- d-----w- c: emp\plugtmp-1 2010-10-06 13:23 . 2010-10-06 13:27 -------- d-----w- c: emp\plugtmp 2010-10-06 09:56 . 2010-10-06 13:33 -------- d-----w- c: emp\KAV Updater update files 2010-10-06 09:55 . 2010-10-06 17:07 -------- d-----w- c: emp\jkos-atec 2010-10-06 09:49 . 2010-10-06 09:49 503808 ----a-w- c:\documents and settings\atec\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-508a16b5-n\msvcp71.dll 2010-10-06 09:49 . 2010-10-06 09:49 499712 ----a-w- c:\documents and settings\atec\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-508a16b5-n\jmc.dll 2010-10-06 09:49 . 2010-10-06 09:49 348160 ----a-w- c:\documents and settings\atec\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-508a16b5-n\msvcr71.dll 2010-10-06 09:49 . 2010-10-06 09:49 61440 ----a-w- c:\documents and settings\atec\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-21b6320c-n\decora-sse.dll 2010-10-06 09:49 . 2010-10-06 09:49 12800 ----a-w- c:\documents and settings\atec\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-21b6320c-n\decora-d3d.dll 2010-10-06 09:48 . 2010-10-06 13:31 -------- d-----w- c: emp\hsperfdata_atec 2010-10-06 09:47 . 2010-10-06 09:47 411368 ----a-w- c:\windows\system32\deployJava1.dll 2010-10-06 08:45 . 2010-10-06 08:45 -------- d-----w- c:\program files\ZHPDiag 2010-09-30 09:37 . 2010-09-30 09:37 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe 2010-09-28 17:34 . 2010-09-28 17:35 -------- d-----w- c:\documents and settings\atec\Application Data\QuickScan 2010-09-28 17:34 . 2010-09-08 18:45 615568 ----a-w- c:\documents and settings\atec\Application Data\Mozilla\Firefox\Profiles\humyin12.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll 2010-09-28 17:34 . 2010-09-08 18:45 640264 ----a-w- c:\documents and settings\atec\Application Data\Mozilla\Firefox\Profiles\humyin12.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins pqscan.dll 2010-09-27 05:46 . 2010-09-27 05:46 0 ----a-w- c:\windows sreg.dat 2010-09-27 05:45 . 2010-09-27 05:45 -------- d-----w- c:\documents and settings\atec\Local Settings\Application Data\Mozilla 2010-09-23 11:32 . 2010-09-23 11:32 -------- d-----w- c:\documents and settings\atec\Application Data\TeamViewer 2010-09-23 11:32 . 2010-09-23 11:32 -------- d-----w- c:\documents and settings\atec emp 2010-09-22 12:50 . 2010-09-22 12:50 -------- d-----w- C:\pcs 2010-09-22 12:43 . 2010-09-22 12:48 -------- d-----w- c:\program files\Systec 2010-09-22 12:42 . 2010-09-22 12:48 73216 ----a-w- c:\windows\ST6UNST.EXE 2010-09-21 07:07 . 1997-01-16 04:00 71680 ----a-w- c:\windows\ST5UNST.EXE 2010-09-21 07:07 . 1997-01-16 04:00 29696 ----a-w- c:\windows\system32\VB5StKit.dll 2010-09-17 19:07 . 2010-09-17 19:07 -------- d-----w- C:\VundoFix Backups 2010-09-17 08:33 . 2010-09-17 08:33 -------- d-----w- C:\!KillBox 2010-09-17 08:11 . 2010-09-17 08:12 -------- d-----w- c:\program files\Unlocker 2010-09-16 17:19 . 2010-09-17 07:17 -------- d-----w- c:\windows\BDOSCAN8 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-10-06 09:49 . 2007-04-23 15:24 -------- d-----w- c:\program files\Fichiers communs\Java 2010-10-06 09:47 . 2007-04-23 15:24 -------- d-----w- c:\program files\Java 2010-10-06 09:46 . 2004-08-17 08:20 79176 ----a-w- c:\windows\system32\perfc00C.dat 2010-10-06 09:46 . 2004-08-17 08:20 480448 ----a-w- c:\windows\system32\perfh00C.dat 2010-10-06 08:56 . 2010-08-02 06:59 -------- d-----w- c:\program files\CCleaner 2010-09-28 17:43 . 2010-07-24 10:57 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-09-15 14:28 . 2010-04-09 08:03 -------- d-----w- c:\program files\Winamp 2010-08-02 17:43 . 2010-07-30 19:07 112 ----a-w- c:\documents and settings\All Users\Application Data\5r7lvI0.dat 2010-07-31 08:34 . 2010-07-31 08:34 664 ----a-w- c:\windows\system32\d3d9caps.dat . [code]

c:\program files\Analog Devices\Core\smax4pnp .exe
c:\program files\Fichiers communs\Network Associates\TalkBack\TBMon .exe
c:\program files\HPQ\Default Settings\cpqset .exe
c:\program files\Java\jre1.5.0_06\bin\jusched .exe
c:\program files\Network Associates\Common Framework\UpdaterUI .exe
c:\program files\Synaptics\SynTP\SynTPEnh .exe

/code ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DKab1err"="c:\program files\Dell\Printer Software\ErrorApp\DKab1err.exe" [2006-10-21 521112] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsmqIntCert"="mqrt.dll" [2004-08-05 177152] "igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208] "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824] "igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784] "ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 94208] "UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2010-07-04 17408] "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10d.exe" [2009-11-03 257440] c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\ Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader eader_sl.exe [2005-9-23 29696] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] c:\windows\system32\dumprep 0 -k [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] 2009-03-05 14:07 2260480 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WatchDog] c:\program files\InterVideo\DVD Check\DVDCheck.exe [N/A] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "gusvc"=3 (0x3) "gupdate"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\WINDOWS\system32\DKabcoms.exe"= "c:\Program Files\Mozilla Firefox\firefox.exe"= R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [23/04/2007 09:58 58464] R3 dkab_device;dkab_device;c:\windows\system32\DKabcoms.exe -service --> c:\windows\system32\DKabcoms.exe -service [?] S3 GTIPCI21;GTIPCI21;c:\windows\system32\DRIVERS\gtipci21.sys --> c:\windows\system32\DRIVERS\gtipci21.sys [?] S3 STCFUx32;STC DFU Driver;c:\windows\system32\drivers\STCFUx32.sys [13/11/2008 15:10 7680] S4 gupdate;Service Google Update (gupdate);"c:\program files\Google\Update\GoogleUpdate.exe" /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?] --- Autres Services/Pilotes en mémoire --- *NewlyCreated* - ENTDRV51 *NewlyCreated* - SNTKMAKJ *Deregistered* - sntkmakj . Contenu du dossier 'Tâches planifiées' 2008-08-20 c:\windows\Tasks\shutdown.job - c:\windows\system32\shutdown.exe [2004-08-05 08:00] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ uInternet Connection Wizard,ShellNext = hxxp://www.hp.com/ uInternet Settings,ProxyOverride = IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html FF - ProfilePath - c:\documents and settings\atec\Application Data\Mozilla\Firefox\Profiles\humyin12.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ FF - prefs.js: network.proxy.type - 0 FF - component: c:\documents and settings\atec\Application Data\Mozilla\Firefox\Profiles\humyin12.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll FF - plugin: c:\documents and settings\atec\Application Data\Mozilla\Firefox\Profiles\humyin12.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins pqscan.dll FF - plugin: c:\program files\Java\jre6\bin ew_plugin pdeployJava1.dll ---- PARAMETRES FIREFOX ---- c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . - - - - ORPHELINS SUPPRIMES - - - - AddRemove-SLABCOMM&10C4&EA60 - c:\windows\system32\Silabs\DriverUninstaller.exe VCP CP210x Cardinal\SLABCOMM&10C4&EA60 AddRemove-Winamp Detect - c:\program files\Winamp Detect\UninstWaDetect.exe Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8226CEC5]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf84e6fc3 \Driver\ACPI -> ACPI.sys @ 0xf8348cb8 \Driver\atapi -> atapi.sys @ 0xf82bc7b4 \Driver\iaStor -> iaStor.sys @ 0xf81f2b58 IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80582490 ParseProcedure -> ntkrnlpa.exe @ 0x805815d0 SecurityProcedure -> ntkrnlpa.exe @ 0x80582b32 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80582490 ParseProcedure -> ntkrnlpa.exe @ 0x805815d0 SecurityProcedure -> ntkrnlpa.exe @ 0x80582b32 NDIS: Réseau local Broadcom 802.11b/g -> SendCompleteHandler -> NDIS.sys @ 0xf80f2b30 PacketIndicateHandler -> NDIS.sys @ 0xf80ff9a1 SendHandler -> NDIS.sys @ 0xf80dd87b user & kernel MBR OK ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(868) c:\windows\system32\sxs.dll - - - - - - - > 'lsass.exe'(928) c:\windows\system32\EntApi.dll - - - - - - - > 'explorer.exe'(4012) c:\windows\system32\EntApi.dll c:\windows\system32\ieframe.dll c:\windows\system32\browselc.dll c:\program files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll c:\progra~1\SPYBOT~1\SDHelper.dll c:\windows\system32\SXS.DLL c:\windows\system32\ODBC32.dll c:\program files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll . ------------------------ Autres processus actifs ------------------------ . c:\windows\System32\SCardSvr.exe c:\windows\system32\msdtc.exe c:\program files\Java\jre6\bin\jqs.exe c:\program files\Fichiers communs\LightScribe\LSSrvc.exe c:\program files\Network Associates\Common Framework\FrameworkService.exe c:\progra~1\NETWOR~1\COMMON~1 aPrdMgr.exe c:\program files\Network Associates\VirusScan\Mcshield.exe c:\program files\Network Associates\VirusScan\VsTskMgr.exe c:\windows\system32\wdfmgr.exe c:\windows\system32\igfxsrvc.exe c:\windows\system32\mqsvc.exe c:\windows\system32\mqtgsvc.exe c:\windows\system32\DKabcoms.exe c:\windows\system32\wscntfy.exe c:\windows\system32\wbem\wmiapsrv.exe c:\program files\Fichiers communs\Java\Java Update\jucheck.exe . ************************************************************************** . Heure de fin: 2010-10-06 19:26:58 - La machine a redémarré ComboFix-quarantined-files.txt 2010-10-06 17:26 Avant-CF: 41 718 894 592 octets libres Après-CF: 41 784 229 888 octets libres WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect - - End Of File - - 36FC4BCC05DEA14CDD6E3BBBC44EF7B2

H3RV3 · Answer

Bien, il y a eu du ménage, comment va ton PC ?

jlpjlp · Answer

slt pour avancer


copier/coller le texte suivant en gras dans un fichier.txt que tu enregistres au format .bat (par exemple recherche.bat) puis lance le fichier et postes nous le rapport log.txt obtenu



@echo
dir %systemdrive%
ilix.sys /s >> log.txt
notepad log.txt
pause
del log.txt

Plop999 · Answer

@ H3RV3 : j'ai suivi en live le déroulement de ComboFix et il y a effectivement eu du ménage (dont le fichier dlo.dll dont je n'arrivait pas à me débarrasser depuis 3 bonnes semaines). A un moment donné, ComboFix a bien confirmé la présence d'un rootkit. Bien vu de ta part et merci pour toutes ces manips.

Ca fait près d'une heure que le PC tourne et que je ne constate plus les problèmes qui m'empoisonnaient ces derniers temps :-D

@jlpjlp : J'ai suivi ta manip'. Ca fait une dizaine de minute que ça mouline et pour le moment, je n'ai qu'un message dans la fenêtre DOS qui me dit que le fichier C:
ilix.sys est introuvable.
Le bloc-note ne m'indique que ceci : " Le volume dans le lecteur C n'a pas de nom.
 Le numéro de série du volume est 5D16-ECEA". Je laisse ouverte la fenêtre DOS ou c'est terminé une fois le bloc-note apparu ?

H3RV3 · Answer

Une fois le bloc note ouvert, la recherche est terminée, il n'a rien trouvé.
Je ne trouve aucune information concernant ce fichier nilix.sys je ne sais pas s'il est légitime.

Peux-tu essayer d'héberger à présent le rapport ZHPDiag stp.

jlpjlp · Answer

à la place 

fais cei: 

utilise SEAF  comme ceci 

https://forum.pcastuces.com/default.asp 

et recherche   ceci   nilix

________________

et si tu peux l'analyser sur virus total pour nous donner le rapport d'analyse

il est ici

c:\windows\system32\drivers
ilix.sys

jlpjlp · Answer

slt pas vraiment non plus mais j'aimerai voir si il en existe une copie dans son pc pour en mettre un non infecté

Plop999 · Answer

Bon alors je viens de faire une nouvelle tentative pour héberger le rapport ZHPDiag : toujours le même message de connexion réinitialisée. Ce qui me surprend, c'est que ce problème ne survient qu'avec le rapport ZHPDiag !! J'ai essayé d'uploader d'autres rapports : aucun soucis.
J'ai tenté de renommer le txt en doc, de copier/coller le contenu du rapport dans un document Word tout neuf : impossible à uploader (malgré tentative sur plusieurs sites).

Concernant le fichier nilix.sys, il ne se trouve plus dans c:\windows\system32\drivers
ilix.sys. Je suppose qu'il a été effacé par ComboFix ??

Je tente SEAF de suite...

Plop999 · Answer

Voilà le rapport SEAFlog : 

1. ========================= SEAF 1.0.0.8 - C_XX 
2.  
3. Commencé à: 21:43:39 le 06/10/2010 
4.  
5. Valeur(s) recherchée(s): 
6. nilix 
7.  
8. (!) --- Informations supplémentaires 
9. (!) --- Recherche registre 
10.  
11. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ====== 
12.  
13.  
14. "C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers
ilix.sys.vir" [ ----A---- | 0 o ] 
15. TC: 24/07/2010,11:22:36 | TM: 24/07/2010,13:03:23 | DA: 06/10/2010,18:59:34 
16.  
17.  
18. ========================= 
19.  
20.  
21. "C:\Qoobox\Quarantine\Registry_backups\Legacy_nilix.reg.dat" [ ----A---- | 1 Ko ] 
22. TC: 06/10/2010,19:08:54 | TM: 06/10/2010,19:08:54 | DA: 06/10/2010,19:08:54 
23.  
24.  
25. ========================= 
26.  
27.  
28. "C:\Qoobox\Quarantine\Registry_backups\Service_nilix.reg.dat" [ ----A---- | 1 Ko ] 
29. TC: 06/10/2010,19:08:54 | TM: 06/10/2010,19:08:54 | DA: 06/10/2010,19:08:54 
30.  
31.  
32. ========================= 
33.  
34.  
35.  
36. ====== Entrée(s) du registre ====== 
37.  
38.  
39. [HKLM\System\ControlSet002\Enum\Root\LEGACY_BEEP\xx_nilix_xx] 
40.  
41. ========================= 
42.  
43. Fin à: 21:45:48 le 06/10/2010 ( E.O.F ) 
44.  
45. =========================

Je retrouve aussi des traces de dlo90.dll dans le dossier Qoobox\quarantine ainsi que d'autres fichiers portant une extension supplémentaire ".vir". Vous pesez que je peux supprimer carrément ces fichiers ?

jlpjlp · Answer

si tu à le temps ce soir  et que H3RV3 n'est pas dispo , pour avancer colle le rapport d'un antivirus en ligne ( <= ici) avec bitdefender ou F secure

je laisse la main 

bonne soirée

Plop999 · Answer

Je vais relancer un coup de bitdefender en ligne. Merci pour ton aide précieuse; j'espère que H3RV3 est encore dans les parages... Sinon, j'attendrai demain matin :-)

Bonne soirée à toi également.

H3RV3 · Answer

Les fichiers trouvés par SEAF sont dans la quarantaine de ComboFix et ne sont donc plus actifs.
Je pense que le fichier nilix.sys n'avais rien de légitime, concernant le problème d'hébergement du rapport ZHPDiag, c'est étrange.

Fais le scan antivirus comme demandé par jlpjlp.

Plop999 · Answer

Clair que c'est étrange pour l'hébergement du rapport ZHPDiag. J'ai pourtant essayé plusieurs hébergeurs et différents "trucs" pour éventuellement tromper le site d'hébergement (renommer, changer l'extension, retiré les premières lignes du rapport, copier/coller le contenu du rapport dans un nouveau document word).

L'analyse avec BitDefender est en cours...

Plop999 · Answer

Voilà le rapport BitDefender :

http://ww38.toofiles.com/fr/oip/documents/html/rapportbitdefender.html

H3RV3 · Answer

Bon, çà a l'air OK.

Peux-tu essayer de faire un nouveau rapport ZHPDiag et de l'héberger.

Plop999 · Answer

Je viens de lancer un nouveau ZHPDiag : lors de l'upload, encore ce message de connexion réinitialisée !!?? C'est à n'y rien comprendre.

H3RV3 · Answer

Peux-tu essayer ici pour voir : https://www.androidworld.fr/

Plop999 · Answer

Ca me donne le même résultat !! A croire que le contenu même du rapport influe car j'ai essayé d'uploader un fichier txt banal : aucun problème mais si je colle dedans le contenu du rapport ZHPDiag, impossible de l'héberger :-(

Problème identique avec IE7 et Firefox.

H3RV3 · Answer

Bizarre, peux-tu encore faire un essai ici à tout hazard : https://www.sfr.fr/fermeture-des-pages-perso.html

En attendant, je vais me coucher, on continuera demain.

Plop999 · Answer

Idem :-( Je ne vois vraiment plus quoi faire pour héberger ce malheureux fichier texte.

En tout cas, mon PC se porte mieux (il tourne depuis 3 bonne heures sans les symptômes qui m'ont fait venir ici).

Merci à toi et jlpjlp d'avoir pris le temps de m'aider. Demain, je serai sur l'ordi en fin de matinée seulement. A suivre...

Bonne fin de soirée et merci encore.

H3RV3 · Answer

Bien, refais un rapport OTL stp.

Plop999 · Answer

Je vois que mon message de ce matin n'est pas passé !  

J'ai remis le PC en route ce matin et au bout de 45 minutes, ma barre des tâches s'est remise à changer d'aspect et sous Firefox, j'ai encore des onglets qui s'ouvrent seuls.  

Je viens de repasser un coup de combofix qui m'indique une activité de rootkit. Voici le rapport : https://www.sfr.fr/fermeture-des-pages-perso.html

Et, enfin, le rapport ZHPDiag que je viens de faire : https://www.sfr.fr/fermeture-des-pages-perso.html

Je repasse un coup d'OTL de suite...

Plop999 · Answer

Et voici le rapport OTL : https://www.sfr.fr/fermeture-des-pages-perso.html

H3RV3 · Answer

Bien, c'est bizarre qu'entre hier et aujourd'hui, un nouveau rootkit soit "apparu".

On va faire une autre vérification :

&#9679; Si MBRChech n'est pas présent sur ton bureau, télécharge le ici

&#9679; Sous XP : Double clique sur MBRCHeck.exe présent sur ton bureau
&#9679; Sous Vista/7 : Fais un clic droit sur MBRCheck.exe présent sur ton bureau et sélectionne "Exécuter en tant qu'administrateur"

&#9679; Une fenêtre s'ouvre :
&#9650; Si tu as un message de ce genre : Done!  Press ENTER to exit...
Appuie sur Entrée
&#9650; Si tu as un message de ce genre : Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Appuie sur la touche N puis ur Entrée

&#9679; Un fichier texte de la forme MBRCheck_xx.xx.xx_xx.xx.xx s'est crée sur ton bureau, copie/colle son contenu dans ta réponse

Plop999 · Answer

Voilà pour MBRcheck (qui m'a signalé "Found non-standard or infected MBR.") : https://www.sfr.fr/fermeture-des-pages-perso.html

H3RV3 · Answer

OK, ton PC est-il un PC de marque ? (Acer, HP, Dell, ...)

Plop999 · Answer

C'est un HP Compax nx6310.

H3RV3 · Answer

OK, fais ceci :

&#9679; Relance MBRCheck.exe

&#9679; Attends jusqu'à voir le message "Wait until you see the following line: Enter 'Y' and hit ENTER for more options, or 'N' to exit:"

&#9679; Appuie sur la touche Y puis sur Entrée

&#9679; Quand le programme te demande "Enter your choice:" appui sur 1 puis sur Entrée

&#9679; Ensuite, à "Enter the physical disk number to fix (0-99, -1 to cancel):", appuie sur 0 puis sur Entrée

&#9679; Entre un nom de fichier (par exemple sauvegarde) puis sur Entrée

&#9679; Tu as de nouveau "Enter the physical disk number to fix (0-99, -1 to cancel):", appuie sur -1 puis sur Entrée et à nouveau sur Entrée


Ensuite :

&#9679; Relance MBRCheck.exe

&#9679; Attends jusqu'à voir le message "Wait until you see the following line: Enter 'Y' and hit ENTER for more options, or 'N' to exit:"

&#9679; Appuie sur la touche Y puis sur Entrée

&#9679; Quand le programme te demande "Enter your choice:" appui sur 2 puis sur Entrée

&#9679; Ensuite, à "Enter the physical disk number to fix (0-99, -1 to cancel):", appuie sur 0 puis sur Entrée

&#9679; A la liste des MBR "Available MBR codes:" apuuie sur 1 pour Windows XP puis sur Entrée

&#9679; A la question "Do you want to fix the MBR code ?", écris YES puis appuie sur Entrée

&#9679; Redémarre ton PC et copie/colle le nouveau rapport (le plus récent) présent sur ton bureau dans ta réponse

Plop999 · Answer

https://www.sfr.fr/fermeture-des-pages-perso.html

H3RV3 · Answer

Apparemment ce rapport date d'avant le redémarrage.
Supprime tous les fichiers MBRCheck_xx.xx.xx_xx.xx.xx.txt de ton bureau.

Refais un nouveau rapport comme çà :

&#9679; Sous XP : Double clique sur MBRCHeck.exe
&#9679; Sous Vista/7 : Fais un clic droit sur MBRCheck.exe et sélectionne "Exécuter en tant qu'administrateur"

&#9679; Une fenêtre s'ouvre :
&#9650; Si tu as un message de ce genre : Done!  Press ENTER to exit...
Appuie sur Entrée
&#9650; Si tu as un message de ce genre : Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Appuie sur la touche N puis ur Entrée

&#9679; Un fichier texte de la forme MBRCheck_xx.xx.xx_xx.xx.xx s'est crée sur ton bureau, copie/colle son contenu dans ta réponse

Plop999 · Answer

Voilà le nouveau : https://www.sfr.fr/fermeture-des-pages-perso.html

H3RV3 · Answer

OK, c'est pareil, la suite :

&#9679; ouvre le bloc note et copie/colle les lignes ci-dessous dedans :



RENV::
c:\program files\Analog Devices\Core\smax4pnp .exe
c:\program files\Fichiers communs\Network Associates\TalkBack\TBMon .exe
c:\program files\HPQ\Default Settings\cpqset .exe
c:\program files\Java\jre1.5.0_06\bin\jusched .exe
c:\program files\Network Associates\Common Framework\UpdaterUI .exe
c:\program files\Synaptics\SynTP\SynTPEnh .exe
Registry::
[HKEY_CURRENT_USER\Control Panel\Desktop]
"MenuShowDelay"="100"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
"AlwaysUnloadDll"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]
"link"=hex:00,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"EnableBalloonTips"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify]
"IconStreams"=-
"PastIconsStream"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole]
"SetCommand"=dword:00000001
"SecurityLevel"=dword:00000001



&#9679; Enregistre (Fichier -> enregistrer) le fichier sur ton bureau en lui donnant CFScript.txt comme nom et ferme le bloc-note

&#9679; Désactive tes protections et ferme tous les programmes

&#9679; Fais un glisser/déposer de ce fichier CFScript.txt sur ComboFix comme sur cette image

&#9679; Patiente pendant le scan, le bureau risque de disparaître et le PC pourrait redémarrer

&#9679; Un rapport va s'ouvrir à la fin du processus, copie/colle le dans ta réponse

&#9650; Le rapport est sauvegardé dans C:\ComboFix.txt

Plop999 · Answer

J'ai suivi tes manips; voici le rapport : https://www.sfr.fr/fermeture-des-pages-perso.html

H3RV3 · Answer

Bien, comment va le PC ?

Plop999 · Answer

Pour le moment, il a l'air de bien se porter. J'ai installé il y a quelques minutes un antivirus (Avira Antivir). Il n'y en avait pas sur la machine alors je pense que ça ne fera pas de mal.

Je vais laisser le PC tourner cet après-midi et je verrai en fin de journée comment il se comporte.

Dans tous les cas, je passerai te tenir au courant de l'évolution de la situation.

Encore un grand merci pour ton aide (et celle de jlpjlp).

@ tout à l'heure pour les nouvelles...

H3RV3 · Answer

D'accord, on continue dans la soirée, a+.

Plop999 · Answer

A priori, tout semble bien se passer pour le moment. On verra si ça tient jusqu'à ce soir...

Plop999 · Answer

D'habitude, si je rabat l'écran du portable en le laissant allumé pendant mon absence, lorsque je le reprend, il est planté quasiment à chaque fois (bureau qui met un temps fou à ré-apparaître puis blocage complet nécessitant le redémarrage). Ce soir, en rouvrant l'écran, le pc est reparti au 1/4 de tour. On dirait que ça tient le choc :-)

Un grand merci à vous 2 car après 3 semaines de lutte, je ne pensais plus pouvoir m'en sortir autrement qu'en passant par la case "formatage".

Je vous redirai dans la soirée ou demain matin si l'amélioration se confirme...

Bonne soirée.

H3RV3 · Answer

Bien, çà n'est pas fini, la suite :

&#9679; Télécharger avenger.zip sur ton bureau

&#9679; Décompresse avenger.zip et lance avenger.exe

&#9679; Copie/colle le texte dans le cadre "Input script here" :



begin copying here:
Drivers to delete:
sntkmakj
Files to delete:
c:\windows\system32\drivers\sntkmakj.sys 


&#9679; Clique sur le bouton Execute et patiente

&#9679; Ton PC va redémarrer et un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport est sauvegardé dans C:\avenger.txt

Plop999 · Answer

Salut H3RV3,

Désolé mais je n'étais pas devant le PC hier soir. Voici donc le rapport d'Avenger : https://www.sfr.fr/fermeture-des-pages-perso.html

A priori, il n'a pas trouvé le fichier à supprimer...

jlpjlp · Answer

slt le lien n'est pas valide

Plop999 · Answer

Celui-ci devrait fonctionner : https://www.sfr.fr/fermeture-des-pages-perso.html

H3RV3 · Answer

Salut,

Cà a l'air pas mal, on va faire un peu de ménage :

&#9679; Sous XP : Double clique sur ZHPFix présent sur ton bureau
&#9679; Sous Vista/7 : Fais un clic droit sur ZHPFix présent sur ton bureau et sélectionne "Exécuter en tant qu'administrateur"

&#9679; Copie (Ctrl + C) le texte suivant :





O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} 
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} 
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} . (. - .) --  (.not file.)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} . (.not file.) - (.not file.)
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} . (.not file.) - (.not file.)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} . (.not file.) - (.not file.)
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe




&#9679; Clique sur l'icône représentant un H vert, le texte précédemment copier va apparaître

&#9679; Clique sur le bouton OK, Tous puis sur Nettoyer

&#9679; Copie/colle le rapport qui apparaîtra à la fin

&#9658; Aide en images

Plop999 · Answer

J'ai bien ZHPDiag mais je ne trouve pas de ZHPFix. D'après ce que je vois sur le net, il se charge en même temps que ZHPDiag mais je ne le vois nulle part.

H3RV3 · Answer

Regarde si tu l'as dans C:\Program Files\ZHPDiag
Ou lance ZHPDiag et clique sur le bouclier vert en haut vers la droite.


Merci de rester jusqu'à la fin de la désinfection.

Plop999 · Answer

J'ai mis à jour ZHPDiag et j'ai trouvé le truc pour accéder à ZHPFix.

Suite à ta manip, voici le rapport :

Rapport de ZHPFix 1.12.3206 par Nicolas Coolman, Update du 04/10/2010
Fichier d'export Registre : C:\ZHPExportRegistry-08-10-2010-11-30-19.txt
Run by atec at 08/10/2010 11:30:19
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7}  => Clé supprimée avec succès
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}  => Clé supprimée avec succès
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} . (.not file.) - (.not file.)  => Clé absente
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} . (.not file.) - (.not file.)  => Clé absente
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} . (.not file.) - (.not file.)  => Clé absente

========== Valeur(s) du Registre ==========
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} . (. - .) --  (.not file.)  => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur supprimée avec succès


========== Récapitulatif ==========
5 : Clé(s) du Registre
2 : Valeur(s) du Registre


End of the scan

H3RV3 · Answer

Bien, on va maintenant supprimer les différents outils utilisés :

&#9679; Télécharge DelFix.exe sur ton Bureau

&#9679; Double clique sur DelFix.exe

&#9679; Choisis l'option 2 (Suppression) et valide avec Entrée

&#9679; Patiente pendant que l'outil travaille, un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport est sauvegardé dans C:\DelFixSuppr.txt


Tu peux supprimer DelFix.exe

Plop999 · Answer

Voilà le rapport DelFix :

https://www.sfr.fr/fermeture-des-pages-perso.html

H3RV3 · Answer

OK, la suite :

Nettoyage des fichiers temporaires et de la base de registre :

&#9679; Télécharge Ccleaner

&#9679; Lance l'installation en double cliquant sur le fichier téléchargé

&#9679; Laisse les options par défaut lors de l'installation

&#9679; Lance Ccleaner

&#9679; Clique sur le bouton Nettoyer et clique sur OK dans la fenêtre d'avertissement

&#9679; Clique sur l'onglet Registre

&#9679; Clique sur le bouton Chercher les erreurs

&#9679; Clique sur le bouton Corriger les erreurs sélectionnées

&#9679; Refais la recherche d'erreurs jusqu'à ce qu'il n'en trouve plus


Suppression des points de restauration :
&#9679; Clique sur Démarrer
&#9679; Clique droit sur Poste de travail
&#9679; Clique sur Propriétés
&#9679; Clique sur l'onglet Restauration du système
&#9679; Clique sur Restauration système
&#9679; Coche la case Désactiver la Restauration du système sur tous les lecteurs
&#9679; Clique sur Appliquer
&#9679; Clique sur Oui au message "Voulez-vous vraiment désactiver la restauration système ?"
&#9679; Décoche la case Désactiver la Restauration du système sur tous les lecteurs
&#9679; Clique sur Appliquer
&#9679; Clique sur OK

Création d'un nouveau point de restauration :
&#9679; Clique sur Démarrer
&#9679; Clique sur Programmes
&#9679; Clique sur Accessoires
&#9679; Clique sur Outils système
&#9679; Clique sur Restauration système
&#9679; Active la restauration si un message le demande
&#9679; Sélectionne Créer un point de restauration
&#9679; Clique sur Suivant
&#9679; Entre une Description
&#9679; Clique sur Créer
&#9679; Clique sur Fermer

Plop999 · Answer

Opérations ci-dessus réalisées; au second passage de CCCleaner, déjà plus aucune erreur à corriger (mais 35 au 1er passage).

H3RV3 · Answer

Très bien, maintenant les mises à jour à installer :

Service Pack 3 de Windows XP et Internet Explorer 8 :

&#9679; Rends toi sur le site de Windows Update

&#9679; Installe l'ActiveX si il te le demande

&#9679; Clique sur le bouton Rapide puis sur le bouton Installer les mises à jour

&#9679; Redémarre ton PC à la fin de l'installation et retourne sur le site tant que des nouvelles mises à jour sont détectées

Note : Si la version 8 de Internet Explorer ne t'a pas été proposée, tu peux la télécharger ici.


Java : 

    &#9679; Télécharge JavaRa.zip
 
    &#9679; Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)
 
    &#9679; Double-clique sur le répertoire JavaRa obtenu.
 
    &#9679; Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)
 
    &#9679; Clique sur Search For Updates.
 
    &#9679; Sélectionne Update Using jucheck.exe puis clique sur Search.
 
    &#9679; Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes.
 
    &#9679; Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions.
 
    &#9679; Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
 
    &#9679; Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.
 
    * Note : le rapport se trouve aussi là : ( C:\JavaRa.log )
 
    &#9679; Ferme l'application
    

Acrobat Reader :

&#9679; Désinstalle la version 7 en te rendant dans le menu démarrer, le panneau de configuration puis ajout/suppression de programmes

&#9679; Télécharge sur ton bureau la version 9.4.0 à partir de ce lien

&#9679; Lance AdbeRdr940_fr_FR.exe et suis les instructions

Plop999 · Answer

MàJ XP faite (78 mises à jour à telecharger !!).

JavaRa OK; rapport ici : https://www.sfr.fr/fermeture-des-pages-perso.html

Adobe 9 en cours d'installation.

Plop999 · Answer

AcroReader9 installé :-)

H3RV3 · Answer

Parfait, le PC tourne toujours correctement ?

Plop999 · Answer

Oui, impec'. Après ces semaines de galère, ça fait du bien de pouvoir le réutiliser normalement sans plantage et pubs intempestives :-D

Un grand grand merci pour ton aide (et celle de jlpjlp) car sans vous, je me voyais bien envoyer le bestiau par la fenêtre...

Au moins maintenant, je sais où m'adresser en cas de soucis.

Encore merci et bon week-end :-)

H3RV3 · Answer

Bien, je te donne les dernières "recommandations" :

Pour garder tes logiciels à jour, tu peux utiliser régulièrement Update Checker comme ceci :

&#9679; Télécharge Update Checker de FileHippo.com sur ton bureau

&#9679; Exécute UpdateChecker.exe et patiente pendant qu'il vérifie les versions de tes logiciels installés

&#9679; Une page internet va s'ouvrir avec les mises à jour disponible

&#9679; Clique sur les flèches vertes pour accéder aux nouvelles mises à jour que tu souhaites installer (n'installe pas les programmes betas)


Tu peux désinstaller Ad-Aware de Lavasoft qui est obsolète en passant par le menu démarrer, le panneau de configuration puis ajout/suppression de programmes.


Tu peux garder Malwarebytes et Ccleaner afin de faire un scan de temps en temps avec.


Je te conseille aussi ces extensions pour améliorer la sécurité de la navigation avec Firefox :

&#9679; WOT (Web Of Trust) : cette extension permettra de savoir, quand tu accèdes à un site ou en faisant une recherche sur Google, s'il s'agit d'un site de confiance ou au contraire à éviter.
Lien de l'extension : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

&#9679; Adblock Plus : cette extension permet de bloquer les pages ou bannières publicitaires. Cela permet de ne pas être envahit par toutes les publicités et accélère l'accès aux pages web.
Lien de l'extension : https://addons.mozilla.org/fr/firefox/addon/adblock-plus/


A savoir :

Le plus grand risque d'infection, c'est toi.

Réfléchi avant d'ouvrir un mail, de télécharger un fichier, de cliquer sur un lien ou d'aller sur un réseau P2P.

Garde ton système d'exploitation ainsi que tous tes logiciels à jour.

Un peu de lecture : Sécuriser son ordinateur (merci à Malekal)

Si après çà tu n'as plus de problème/question, tu peux mettre le sujet en résolu.

Plop999 · Answer

Je prends bonne note de tes recommandations et je viens d'installer les extensions pour FireFox et ai téléchargé Update Checker.

Pour la lecture du sujet de Malekal, je m'y attellerai d'ici peu; je pense que j'y apprendrai pas mal de choses intéressantes (j'en ai déjà appris depuis ces 2 jours passés sur ce forum).

A priori, le PC semble bien se porter :-D

Encore un grand merci; heureusement qu'il y a des âmes charitables sur le web pour nous venir en aide.

Merci beaucoup pour ton aide et tes conseils H3RV3.

Bon week-end et @ une prochaine ici... mais pas trop tôt ;-)

Trojan impossible à éradiquer

64 réponses

Discussions similaires