Virus avec Windows Live Messenger

Résolu/Fermé
Signaler
Messages postés
22
Date d'inscription
jeudi 7 février 2008
Statut
Membre
Dernière intervention
3 mars 2011
-
Messages postés
22
Date d'inscription
jeudi 7 février 2008
Statut
Membre
Dernière intervention
3 mars 2011
-
Bonjour!




Je sollicite votre aide pour un problème que j'ai rencontré, et vous remercie d'avance pour vos réponses :)

Et bien en fait pour partir avec le principal, j'utilise Windows Vista.
J'utilise également le logiciel de discussion instantanée Windows Live Messenger, et tout à l'heure j'ai eu une demande d'ajout d'adresse, comme un imbécile, j'ai accepté.

Je l'ai mis dans la catégorie "autres" avant d'identifier le contact en question, le nombre de contact est passé de 5 à 6, pour ensuite repasser à 5. L'adresse est donc devenue "invisible".

Il s'agirait donc d'un virus, ma question est donc simple: Comment m'en débarrasser? :p
Et par curiosité j'aimerai également savoir ce que ce virus pourrait être capable de faire.

Je vous remercie et espère pouvoir me dépêtrer de cette saleté de virus!
Et je me demande aussi, quel est l'intérêt de certains à créer de tels virus?


Bonne Soirée :)

14 réponses

Messages postés
3389
Date d'inscription
lundi 19 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
9 février 2014
552
bonsoir

on va essayer de d'aider.

fais ce scan de diagnostique

● Télécharges ZHPDiag ( de Nicolas coolman ).

ou http://www.premiumorange.com/zeb-help-process/zhpdiag.html ==> en bas de page


/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\

● Double clique sur le fichier d'installation, puis installes le avec les paramètres par défaut ( N'oublies pas de cocher " Créer une icône sur le bureau " )

● Lances ZHPDiag en double cliquant sur l'icône présente sur ton bureau

● Cliques sur la loupe en haut à gauche, puis laisse l'outil scanner.

● Une fois le scan terminé, cliques sur l'icône en forme de disquette et enregistres le fichier sur ton bureau.

● Rends toi sur http://www.cijoint.fr/

● Cliques sur " Parcourir " dans la partie " Joindre un fichier[...] "

● Séléctionnes le rapport ZHPdiag.txt qui se trouve sur ton bureau

● Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
0
Messages postés
22
Date d'inscription
jeudi 7 février 2008
Statut
Membre
Dernière intervention
3 mars 2011

Bonsoir,

Merci de venir m'aider! c'est très gentil!

Voici le lien du rapport:

http://www.cijoint.fr/cjlink.php?file=cj201010/cijmpzLQT3.txt
0
Messages postés
3389
Date d'inscription
lundi 19 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
9 février 2014
552
re

tu es effectivement infecté . Mais peut-etre rien à voir avec messenger !

infection chat-land ( ne va plus sur ce site)


Supprimes Spybot : devenu obsolète . Regardes ici pour le désinstaller proprement

*****************************************

Utilisation de ZHPfix

*fais un copié des lignes en gras suivantes

----------------------------------------------------------
O4 - Global Startup: C:\Users\Thibault\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\binternet.lnk . (.MY-IWEB.) -- C:\Users\Thibault\binternet.exe
[MD5.196F027F89D91192E853707D6311E7E2] - (.MY-IWEB - Pas de description.) -- C:\Users\Thibault\binternet.exe [413696]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cherche.us/keyword/
O8 - Extra context menu item: Recherche avec cherche.us . (.Pas de propriétaire - Pas de description.) -- C:\Users\Thibault\scriptjava.html
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} [DefaultScope] - (cherche.us) - http://www.cherche.usA%23FFFFF0%3B&q={searchTerms}
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline
O15 - Trusted Zone: [HKCU\...\Domains] *.chat-land.org
O15 - Trusted Zone: [HKCU\...\Domains\www] *.chat-land.org
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/fr/uno1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

----------------------------------------------------------
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Le texte que tu as copié sera présent
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse

************************************************

Supprimez les fichiers :
C:\Documents and Settings\%USERNAME%\binternet.exe
C:\Documents and Settings\%USERNAME%\scriptjava.htm

**************************************************


● Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX)

Déconnecte toi et ferme toutes les applications en cours

● Double-clique sur l'icône AD-Remover
Vista ou windows 7 => clic droit "executer en tant que...."
● Au menu principal, clique sur "Nettoyer"
● Confirme le lancement de l'analyse et laisse l'outil travailler
● Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


<gras<Note :</gras> Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. els de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

*****************************************

* Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau.
Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
* Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
* Clique sur "Recherche"
* Laisse travailler l'outil
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Aide en images :Tutoriel "Recherche"

Chaque difficulté rencontrée doit être l'occasion d'un nouveau progrès.

[Pierre de Coubertin]
0
Messages postés
22
Date d'inscription
jeudi 7 février 2008
Statut
Membre
Dernière intervention
3 mars 2011

Re,

Merci pour ces nouvelles infos!

Alors voici le rapport de ZHP Fix

Rapport de ZHPFix 1.12.3213 par Nicolas Coolman, Update du 27/10/2010
Fichier d'export Registre :
Run by Thibault at 27/10/2010 19:47:21
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O8 - Extra context menu item: Recherche avec cherche.us . (.Pas de propriétaire - Pas de description.) -- C:\Users\Thibault\scriptjava.html => Clé absente
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} [DefaultScope] - (cherche.us) - http://www.cherche.usA%23FFFFF0%3B&q={searchTerms} => Clé absente
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline => Clé supprimée avec succès
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ => Clé supprimée avec succès
[HKLM\SOFTWARE\Classes\CLSID\{5D6F45B3-9043-443D-A792-115447494D24}] => Clé supprimée avec succès
[HKCR\CLSID\{5D6F45B3-9043-443D-A792-115447494D24}] => Clé supprimée avec succès
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab => Clé supprimée avec succès
[HKLM\SOFTWARE\Classes\CLSID\{C3F79A2B-B9B4-4A66-B012-3EE46475B072}] => Clé supprimée avec succès
[HKCR\CLSID\{C3F79A2B-B9B4-4A66-B012-3EE46475B072}] => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O15 - Trusted Zone: [HKCU\...\Domains\www] *.chat-land.org => Valeur absente

========== Elément(s) de donnée du Registre ==========
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww12.cherche.us => Donnée supprimée avec succès
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ww12.cherche.us => Donnée supprimée avec succès
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ww12.cherche.us => Donnée supprimée avec succès
O15 - Trusted Zone: [HKCU\...\Domains] *.chat-land.org => Donnée supprimée avec succès

========== Fichier(s) ==========
c:\users\thibault\appdata\roaming\microsoft\windows\start menu\programs\startup\binternet.lnk => Supprimé et mis en quarantaine
c:\users\thibault\binternet.exe => Supprimé et mis en quarantaine
c:\users\thibault\scriptjava.html => Supprimé et mis en quarantaine


========== Récapitulatif ==========
9 : Clé(s) du Registre
1 : Valeur(s) du Registre
4 : Elément(s) de donnée du Registre
3 : Fichier(s)


End of the scan


*************************************************
Concernant les fichiers à supprimer, je ne les trouves pas sur mon disque dur C, ni le dossier Documents and Settings d'ailleurs.

*************************************************

Voici le rapport AD-Remover

======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 25/10/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:54:14 le 27/10/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
Thibault@PC-DE-THIBAULT (System manufacturer System Product Name)

============== ACTION(S) ==============


Fichier supprimé: C:\Users\Thibault\AppData\Roaming\Mozilla\FireFox\Profiles\ij9dmcw1.default\searchplugins\cherche.xml
Fichier supprimé: C:\Users\Thibault\tmp1.7
Dossier supprimé: C:\Program Files\Dealio
Dossier supprimé: C:\Users\Thibault\AppData\LocalLow\Search Settings
Dossier supprimé: C:\Program Files\Search Settings

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
Clé supprimée: HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
Clé supprimée: HKLM\Software\Classes\SearchSettings.BHO
Clé supprimée: HKLM\Software\Classes\SearchSettings.BHO.1
Clé supprimée: HKLM\Software\Dealio
Clé supprimée: HKLM\Software\Search Settings
Clé supprimée: HKLM\Software\Classes\Installer\Products\81337C0DA4B761D40A4CB3380F57AE88
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\81337C0DA4B761D40A4CB3380F57AE88
Clé supprimée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0393A3B9-7D81-4990-9E0E-5E5FCE69A92B}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{D0C73318-7B4A-4D16-A0C4-3B83F075EA88}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us

Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.11 (fr)] **

-- C:\Users\Thibault\AppData\Roaming\Mozilla\FireFox\Profiles\ij9dmcw1.default\User.js --
keyword.URL, hxxp://redirecterror.sfr.fr/?q=

-- C:\Users\Thibault\AppData\Roaming\Mozilla\FireFox\Profiles\ij9dmcw1.default\Prefs.js --
browser.download.dir, C:\\Users\\Thibault\\Downloads
browser.download.lastDir, C:\\Users\\Thibault\\Desktop\\PIC
browser.search.defaultenginename, Live Search
browser.search.defaulturl, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
browser.search.selectedEngine, Google
browser.startup.homepage, hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
browser.startup.homepage_override.mstone, rv:1.9.2.11
keyword.URL, hxxp://redirecterror.sfr.fr/?q=

-- C:\Users\Nadine\AppData\Roaming\Mozilla\FireFox\Profiles\s24rjpo5.default\Prefs.js --
browser.download.dir, C:\\Users\\Nadine\\Downloads
browser.startup.homepage_override.mstone, rv:1.9.2.11

-- C:\Users\Serge\AppData\Roaming\Mozilla\FireFox\Profiles\fwwme64t.default\Prefs.js --
browser.download.dir, C:\\Users\\Serge\\Downloads
browser.startup.homepage, hxxp://www.google.fr/
browser.startup.homepage_override.mstone, rv:1.9.2.10

========================================

** Internet Explorer Version [7.0.6002.18005] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\windows\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 7 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 27/10/2010 (4614 Octet(s))

Fin à: 19:55:33, 27/10/2010

============== E.O.F ==============

*************************************************************

Enfin, concernant USBfix, voici le rapport (je n'ai qu'une clé USB) :


############################## | FindyKill V5.052 |

# User : Thibault (Administrateurs) # PC-DE-THIBAULT
# Update on 23/10/2010 by El Desaparecido
# Start at: 20:05:15 | 27/10/2010
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org

# AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
# Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
# Internet Explorer 7.0.6002.18005
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1296 [VPS 090128-0] 4.8.1296 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 465,76 Go (315,08 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 465,64 Go (250,01 Go free) [Disque local] # NTFS
# F:\ # Disque amovible # 489,84 Mo (487,95 Mo free) # FAT
# G:\ # Disque CD-ROM

################## | Eléments infectieux |


################## | Registre |

[HKCU\Software\Classes\ed2k]
[HKCR\ed2k]

################## | Etat |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Uac : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | ! Fin du rapport # FindyKill V5.052 ! |


**************************************************


Voilà! Merci encore!
0
Messages postés
3389
Date d'inscription
lundi 19 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
9 février 2014
552
bonjour

1) relances ad-remover et cliques sur désinstaller

2) Concernant les fichiers à supprimer, je ne les trouves pas sur mon disque dur C, ni le dossier Documents and Settings d'ailleurs.
==> zhpfix s'en est occupé :

c:\users\thibault\binternet.exe => Supprimé et mis en quarantaine
c:\users\thibault\scriptjava.html => Supprimé et mis en quarantaine


3) tu n'a pas fait USBfix , mais un autre outil. ==> fais un scan avec usbfix , comme indiqué plus haut

prends ce lien pour usbfix : http://www.teamxscript.org/usbfixTelechargement.html


Chaque difficulté rencontrée doit être l'occasion d'un nouveau progrès.

[Pierre de Coubertin]
0
Messages postés
22
Date d'inscription
jeudi 7 février 2008
Statut
Membre
Dernière intervention
3 mars 2011

Bonsoir,

J'ai désinstallé ad-remover comme indiqué.

J'ai refait le scan avec le bon logiciel (désolé ^^)


Voici le rapport:
############################## | UsbFix 7.034 | [Recherche]

Utilisateur: Thibault (Administrateur) # PC-DE-THIBAULT [System manufacturer System Product Name]
Mis à jour le 25/10/10 par El Desaparecido / C_XX
Lancé à 23:26:12 | 28/10/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 7.0.6002.18005

Pare-feu Windows: Activé
Antivirus: avast! antivirus 4.8.1296 [VPS 090128-0] 4.8.1296 [Enabled | Updated]
RAM -> 3070 Mo
C:\ (%systemdrive%) -> Disque fixe # 466 Go (316 Go libre(s) - 68%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 466 Go (250 Go libre(s) - 54%) [Disque local] # NTFS
F:\ -> Disque amovible # 490 Mo (488 Mo libre(s) - 100%) [] # FAT
G:\ -> CD-ROM

################## | Éléments infectieux |



################## | Registre |

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{17aace33-6d20-11de-bf59-001e8c2d6b3a}
Shell\AutoRun\Command = G:\autorun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{2344c43e-de37-11dc-bf17-806e6f6e6963}
Shell\AutoRun\Command = D:\AutoRunCD.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{25eac880-245c-11de-9133-001e8c2d6b3a}
Shell\AutoRun\Command = F:\LaunchU3.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{2f0bb15c-d172-11df-92fb-001e8c2d6b3a}
Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe system.vbe

HKCU\.\.\.\.\Explorer\MountPoints2\{e81398c4-75a6-11dd-ac8a-001e8c2d6b3a}
Shell\Auto\Command = cmd /C launch.bat
Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL cmd /C launch.bat


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |



Voilà bonne soirée!
0
Messages postés
3389
Date d'inscription
lundi 19 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
9 février 2014
552
bonjour

on continu -)

* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
* Double clique sur le raccourci UsbFix sur ton Bureau
* Clique sur "Suppression"
* Laisse travailler l'outil
* Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)/list

:!: UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

Aide en images : Tutoriel "Nettoyage"

********************************

● Télécharges Malwarebytes

(NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici :
https://www.malekal.com/tutorial-aboutbuster/

● Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.

● Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

● Lance une analyse complète en cliquant sur "Exécuter un examen complet"

● Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

L'analyse peut durer un bon moment.....

● Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

● Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

● Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

● Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée


Les créateurs d'infections utilisent les emplacements des fichiers système pour hébérger les infections, d'où les fichiers . dll ou exe dans ces series d'infections.
MABM est très régulièrement mis à jour pour ne pas supprimer les fichiers légitimes de windows, donc pas de craintes de ce côté là.

*******************************

refais un scan ZHPDIAG pour voir où on en est !
0
Messages postés
22
Date d'inscription
jeudi 7 février 2008
Statut
Membre
Dernière intervention
3 mars 2011

Bonsoir!

Voici le rapport USBfix:
############################## | UsbFix 7.034 | [Suppression]

Utilisateur: Thibault (Administrateur) # PC-DE-THIBAULT [System manufacturer System Product Name]
Mis à jour le 25/10/10 par El Desaparecido / C_XX
Lancé à 16:34:19 | 29/10/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 7.0.6002.18005

Pare-feu Windows: Activé
Antivirus: avast! antivirus 4.8.1296 [VPS 090128-0] 4.8.1296 [Enabled | Updated]
RAM -> 3070 Mo
C:\ (%systemdrive%) -> Disque fixe # 466 Go (315 Go libre(s) - 68%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 466 Go (250 Go libre(s) - 54%) [Disque local] # NTFS
F:\ -> Disque amovible # 490 Mo (488 Mo libre(s) - 100%) [] # FAT
G:\ -> CD-ROM

################## | Éléments infectieux |


Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2152478756-3922319563-605102323-500
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-606752307-1838412762-3993958378-1000
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-606752307-1838412762-3993958378-1001
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-606752307-1838412762-3993958378-1002
Supprimé! E:\$RECYCLE.BIN\S-1-5-21-606752307-1838412762-3993958378-1000
Supprimé! E:\$RECYCLE.BIN\S-1-5-21-606752307-1838412762-3993958378-1001
Supprimé! E:\$RECYCLE.BIN\S-1-5-21-606752307-1838412762-3993958378-1002

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{17aace33-6d20-11de-bf59-001e8c2d6b3a}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{2344c43e-de37-11dc-bf17-806e6f6e6963}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{25eac880-245c-11de-9133-001e8c2d6b3a}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{2f0bb15c-d172-11df-92fb-001e8c2d6b3a}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{e81398c4-75a6-11dd-ac8a-001e8c2d6b3a}

################## | Listing |

[29/10/2010 - 16:36:06 | SHD ] C:\$Recycle.Bin
[18/09/2006 - 23:43:36 | N | 24] C:\autoexec.bat
[02/05/2009 - 12:17:47 | N | 1974] C:\avenger.txt
[10/10/2009 - 11:46:11 | D ] C:\Boot
[10/04/2009 - 23:36:38 | RASH | 333257] C:\bootmgr
[09/02/2008 - 02:44:49 | N | 8192] C:\BOOTSECT.BAK
[02/05/2009 - 12:25:50 | D ] C:\ComboFix
[02/05/2009 - 12:25:48 | N | 24172] C:\ComboFix.txt
[18/09/2006 - 23:43:37 | N | 10] C:\config.sys
[06/07/2008 - 21:12:06 | D ] C:\CtDriverInstTemp
[25/06/2010 - 19:25:03 | D ] C:\da29b70a83b677197bdc53
[02/11/2006 - 15:02:03 | SHD ] C:\Documents and Settings
[27/10/2010 - 20:12:34 | D ] C:\FyK
[27/10/2010 - 20:12:34 | N | 1518] C:\FyK.txt
[31/12/2009 - 09:59:28 | D ] C:\Garmin
[29/10/2010 - 09:28:00 | ASH | 3219644416] C:\hiberfil.sys
[10/02/2008 - 10:21:03 | D ] C:\JM
[15/10/2008 - 18:33:51 | D ] C:\Live! Cam
[13/11/2008 - 18:24:27 | RHD ] C:\MSOCache
[26/08/2009 - 13:25:52 | D ] C:\NVIDIA
[24/05/2010 - 00:00:42 | N | 230432] C:\PA207.DAT
[29/10/2010 - 09:27:59 | ASH | 3533443072] C:\pagefile.sys
[29/01/2009 - 14:00:47 | D ] C:\PerfLogs
[27/10/2010 - 19:55:21 | D ] C:\Program Files
[27/10/2010 - 19:51:36 | HD ] C:\ProgramData
[02/05/2009 - 12:25:50 | D ] C:\Qoobox
[02/05/2009 - 12:32:02 | N | 2314] C:\rapport.txt
[29/10/2010 - 09:38:43 | SHD ] C:\System Volume Information
[12/08/2007 - 13:10:28 | N | 720687104] C:\The.Simpsons.Movie.2007.TRUEFRENCH.DVDSCR.XviD-CiNEFOX-LuciFeR.avi
[29/02/2008 - 23:48:23 | N | 1213249732] C:\Transformers.avi.AVI
[29/10/2010 - 16:36:06 | D ] C:\UsbFix
[29/10/2010 - 16:34:25 | A | 3711] C:\UsbFix.txt
[18/02/2008 - 20:11:01 | D ] C:\Users
[06/07/2008 - 22:10:32 | D ] C:\WebCam
[06/07/2008 - 22:11:23 | D ] C:\WebCamNX
[07/10/2010 - 00:12:45 | D ] C:\Windows
[27/10/2010 - 19:47:21 | N | 34068] C:\ZHPExportRegistry-27-10-2010-19-47-21.txt
[29/10/2010 - 16:36:06 | SHD ] E:\$RECYCLE.BIN
[24/01/2010 - 11:23:32 | D ] E:\Adobe Photoshop Lightroom
[05/10/2010 - 23:14:21 | D ] E:\ALESA
[27/07/2010 - 12:54:25 | D ] E:\appart bubu
[03/02/2009 - 18:28:51 | D ] E:\Beauvais
[22/09/2010 - 16:04:59 | D ] E:\Chantal
[27/06/2010 - 12:27:52 | D ] E:\clé papa
[27/09/2010 - 21:35:47 | D ] E:\Cours GPN
[20/01/2009 - 19:01:53 | D ] E:\DS
[18/01/2009 - 11:21:56 | D ] E:\Elevage Piegeage
[04/02/2009 - 14:23:07 | D ] E:\Faire-part
[06/02/2010 - 23:08:39 | D ] E:\Fichiers Jeux
[29/04/2010 - 23:03:11 | D ] E:\Fraps
[10/09/2010 - 22:37:39 | D ] E:\Jeux
[08/04/2010 - 22:39:30 | D ] E:\Lycée
[18/01/2009 - 11:34:39 | D ] E:\Lycée scans
[27/07/2010 - 11:24:17 | D ] E:\Mariage
[26/10/2010 - 15:25:26 | D ] E:\Mes photos
[18/01/2009 - 11:26:29 | D ] E:\Moto
[13/03/2008 - 23:08:49 | RHD ] E:\MSOCache
[24/10/2010 - 11:43:49 | D ] E:\Musique MP4
[23/02/2010 - 21:21:30 | N | 37271781] E:\Méthode de musculation - 110 exercices sans matériel (Olivier LAFAY).pdf
[18/01/2009 - 11:31:58 | D ] E:\Naruto
[29/04/2009 - 19:11:50 | D ] E:\Nouveau dossier
[13/11/2008 - 19:14:24 | D ] E:\Office
[24/01/2010 - 11:24:13 | D ] E:\Permis Moto
[17/07/2010 - 21:56:33 | D ] E:\Photos
[12/02/2010 - 18:15:56 | D ] E:\Portable
[30/03/2009 - 20:31:31 | D ] E:\Post Bac
[29/12/2009 - 11:00:17 | D ] E:\Programmes
[18/02/2010 - 01:43:15 | D ] E:\Programmes formatage
[03/05/2009 - 09:21:52 | D ] E:\RECUP
[18/01/2009 - 11:25:48 | D ] E:\Retraite Papa
[01/06/2009 - 12:46:42 | D ] E:\Supports
[21/02/2008 - 22:58:00 | SHD ] E:\System Volume Information
[28/09/2010 - 19:44:34 | N | 486253] E:\VirtualDJ Local Database v6.xml
[17/07/2010 - 21:46:01 | D ] E:\Warhammer
[11/03/2009 - 15:42:08 | N | 1955840] F:\~WRL1903.tmp
[30/11/2010 - 12:20:54 | N | 165] F:\~$Etude sur le secteur du dépôt APO.pptx

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)


************************************************************


Voici le rapport Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4989

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

29/10/2010 18:10:28
mbam-log-2010-10-29 (18-10-28).txt

Type d'examen: Examen complet (C:\|E:\|)
Elément(s) analysé(s): 408847
Temps écoulé: 1 heure(s), 23 minute(s), 0 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

**********************************************************

Et enfin le rapport ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijImb6PlK.txt

Voilà! :-)
0
Messages postés
3389
Date d'inscription
lundi 19 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
9 février 2014
552
re

relances usbfix ==> désinstaller

Utilisation de ZHPfix

*fais un copié des lignes en gras suivantes

----------------------------------------------------------
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} - (cherche.us) - http://www.cherche.usA%23FFFFF0%3B&q={searchTerms}
O4 - Global Startup: C:\Users\Thibault\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\The Lord of the Rings The Battle for Middle-earth II.LNK - Clé orpheline

----------------------------------------------------------
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Le texte que tu as copié sera présent
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse

*************************************

Adobe reader n'est pas jour , faille de sécurité importante

Va dans "ajout/suppression de programmes"
désinstalles te version de adobe reader et remets cette version
https://get2.adobe.com/fr/reader/otherversions/ ==> décoches McAfee

mets à jour vista

***********************************
Suppression des fichiers inutiles

Télécharge CCleaner version slim.
* Installe le puis lance le.
* va dans " options" ==> "avancés" et décoches " effacer uniquement ------24 heures"
* Clique sur Nettoyeur => Analyse => Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche.
* Enfin, clique sur Registre => corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs.

Tu peux garder ce programme et l'utiliser régulièrement (une fois par mois).

====> donne des nouvelles et on terminera si tout va bien
0
Messages postés
22
Date d'inscription
jeudi 7 février 2008
Statut
Membre
Dernière intervention
3 mars 2011

Re,

J'ai désinstallé USBFix

Voici le rapport de ZHPFix:
Rapport de ZHPFix 1.12.3213 par Nicolas Coolman, Update du 27/10/2010
Fichier d'export Registre : C:\ZHPExportRegistry-29-10-2010-18-42-16.txt
Run by Thibault at 29/10/2010 18:42:16
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Elément(s) de donnée du Registre ==========
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} - (cherche.us) - http://www.cherche.usA%23FFFFF0%3B&q={searchTerms} => Donnée remplacée avec succès

========== Fichier(s) ==========
c:\ => Supprimé et mis en quarantaine


========== Récapitulatif ==========
1 : Elément(s) de donnée du Registre
1 : Fichier(s)


End of the scan

***********************************************************

J'ai désinstallé adobe reader, et réinstallé le dernier.

Mise à jour de Vista en cours.

***********************************************************

J'ai également utilisé CCCleaner et il n'y as plus d'erreur de détectée.

Voilà! :)
0
Messages postés
3389
Date d'inscription
lundi 19 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
9 février 2014
552
bien

Ton pc est clean

supprimes ce qui a servi à la désinfection

Télecharge Delfix sur ton bureau :
http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

*Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.

***********************************************

Pour diminuer le temps de démarrage de windows :

* Ouvrez l'utilitaire de configuration système :
o Faites : démarrer ==> Exécuter ==> tapez msconfig
o Ensuite, allez sur l'onglet Démarrage, décocher les programmes qui vous semblent inutiles au démarrage de votre PC. Cela n'empêchera pas les programmes de s'exécuter quand vous en aurez besoin, mais permettra à votre PC de démarrer plus vite.
ne laisser que antivirus et parefeu ( si présent)

N'hésitez pas, vous pouvez relancer l'utilitaire pour réactiver un élément décoché par erreur.

***********************************************

Suppression des fichiers inutiles

Télécharge CCleaner version slim.
* Installe le puis lance le.
* va dans " options" ==> "avancés" et décoches " effacer uniquement ------24 heures"
* Clique sur Nettoyeur => Analyse => Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche.
* Enfin, clique sur Registre => corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs.

Tu peux garder ce programme et l'utiliser régulièrement (une fois par mois).

***********************************************

Défragmentation

[x] Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs.
[o] Télécharge Defraggler.
[o] Un tutoriel pour son utilisation est disponible ici.

*********************************************

Vérification des disques

[x] Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ )
[x] Clique sur [Propriété] puis sur l'onglet [Outils]
[x] Clique sur [Vérifier maintenant] puis coche les deux cases présentes.
[x] Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage )

********************************************

Purger la restauration système

https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista


[x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.

[x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant.



*************************************************

logiciels à garder:

malwarebytes et ccleaner (faire un scan , 1 fois par semaine)

************************************************

Liens utiles

- Les dangers du P2P
- La sécurité de son PC, c'est quoi?
- Sécuriser son ordinateur
- Pourquoi maintenir son navigateur à jour?
- Les toolbars c'est pas obligatoire

**********************************************

installes ces deux extensions pour firefox

wot permet de naviguer et d'acheter sur Internet en toute sécurité.
adblocks qui est un bloqueur de pubs
0
Messages postés
22
Date d'inscription
jeudi 7 février 2008
Statut
Membre
Dernière intervention
3 mars 2011

Salut!

Un grand merci pour ton aide! C'est vraiment super sympa, heureusement qui a des gens pour contrer ceux qui s'amusent à faire des virus!

En plus tu as dû être patient car par moments je galérais un peu^^

Je penses faire tout ce que tu as dit, j'ai pris conscience que c'est important d'entretenir de la sorte son PC...

Encore un grand merci! =D


Voilà le rapport de DelFix:

Rapport DelFix v6.0 - 30/10/2010 à 12:40,58
Mis à jour le 22/10/10 à 13h30 par Xplode
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
Navigateur : Internet Explorer [Navigateur par défaut]
Processeur : AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
Mémoire vive totale : 2,99 Go
Nom d'utilisateur : Thibault - PC-DE-THIBAULT (Administrateur)
Exécuté depuis : C:\Users\Thibault\Downloads\DelFix.exe


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\USBFix
Supprimé : C:\FyK
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\UsbFix_Upload_Me_PC-DE-THIBAULT.zip
Supprimé : C:\FyK.txt
Supprimé : C:\rapport.txt
Supprimé : C:\avenger.txt
Supprimé : C:\ZHPExportRegistry-27-10-2010-19-47-21.txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\sed.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\zip.exe
Supprimé : C:\Windows\System32\tmp.reg
Supprimé : C:\Windows\System32\tmp.txt
Supprimé : C:\Users\Thibault\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Thibault\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Thibault\Downloads\UsbFix.exe
Supprimé : C:\Users\Thibault\Downloads\ZHPDiag TEST.zip

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

########## EOF - "C:\DelFixSuppr.txt" - [1878 octets] ##########
0
Messages postés
3389
Date d'inscription
lundi 19 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
9 février 2014
552
bonjour

content pour toi. Fais maintenant attention sur messenger . Une petite astuce

Comment configurer correctement MSN ou WLM de sorte de ne pas accepter les fichiers téléchargés par erreur ?

Pour MNS et WLM

* Rendez vous dans MSN>Outils>Options...>Sécurité et décochez les 2 caches suivantes
o autoriser l'affichage des liens dans la fenetre e conversation
o Ouvrir WLM quand je clique sur un lien ...

* Si vous possédez MSN+ ou WLM+, il vous faudra également vous rendre dans les options de configuration de ce dernier : Plus!>Préférences...>Principal>Conversations et s'assurer que la case suivante est bien décochée
o Accepter automatiquement les requêtes

* Rendez vous dans votre MSN ou WLM, puis, Outils>Options...>Transfert de fichiers, et assurez vous que la case suivante est bien cochée
o Rejeter automatiquement le transfert de fichiers pour les types de fichiers dangereux
o Cette option sélectionnée, cela permettra de refuser par défaut tous les fichiers proposés possédant les extensions suivantes (tableau blanc à mi-page)

je mets en résolu , bon surf et bon week-end
0
Messages postés
22
Date d'inscription
jeudi 7 février 2008
Statut
Membre
Dernière intervention
3 mars 2011

Merci beaucoup pour toutes ces astuces, je les aient suivies, et ça aide! =D

Merci Encore! ;)

Bon Dimanche
0