Aïe, besoin d'aide! Virus Antimalware Doctor

Résolu/Fermé
Signaler
Messages postés
7
Date d'inscription
mardi 30 novembre 2010
Statut
Membre
Dernière intervention
3 décembre 2010
-
Messages postés
7
Date d'inscription
mardi 30 novembre 2010
Statut
Membre
Dernière intervention
3 décembre 2010
-
Bonjour,

J'ai besoin d'aide... Evidemmment c'est pour ça que je suis là.

Alors, mon PC s'est fait infecter par un virus qui porte le doux nom d'Antimalware Doctor . Grossomodo, il prend l'apparence d'un programme windows et se fait passer pour un pack de sécurité. Maintenant, je ne peux plus faire de recherches Internet via les moteurs de recherches sans que cela ne me renvoie vers des sites bourrés de virus... Je dois passer par les URL et encore ça ne marche pas toujours. Outre ce "léger" désagrément, je m'inquiète de quelques autres conséquences.

Du coup, j'ai trois petites questions. La première : ce virus est-il connu? La seconde : pourriez-vous m'aider à m'en debarrasser? Et enfin la troisième : ai-je à craindre pour mes données personnelles (banque sur Internet notamment...)?

Voila, je vous remercie d'avance du temps que vous allez prendre pour me répondre et espère qu'une solution est envisageable. Oui, vraiment!

14 réponses

Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
789
Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.



"Du coup, j'ai trois petites questions. La première : ce virus est-il connu? La seconde : pourriez-vous m'aider à m'en debarrasser? Et enfin la troisième : ai-je à craindre pour mes données personnelles (banque sur Internet notamment...)?"

==> Oui ce type de logiciel est très connu, c'est un rogue, c'est à dire un faux logiciel de sécurité qui affiche des alertes bidons pour essayer de te faire peur et te pousser à acheter un logiciel qui n'est qu'une coquille vide...
Oui on peut t'aider à t'en débarrasser ;)
Pour tes données personnelles, je ne sais pas (ça dépend si le rogue est accompagné d'autres infections), dans tous les cas, je te recommanderais d'éviter de faire des achats sur internet ou de consulter tes comptes pendant que ton ordi est infecté... et il serait prudent de changer tes mots de passe importants quand nous aurons terminé la désinfection.



Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

1
Messages postés
7
Date d'inscription
mardi 30 novembre 2010
Statut
Membre
Dernière intervention
3 décembre 2010

Bonjour Anthony, et merci beaucoup de ta réponse.

J'ai donc fait ce que tu as demandé avec ZHPDiag. Voici le lien avec le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201012/cij9ieJj4H.txt

Voila, j'attend la suite de tes instructions.
0
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
789
Il y a une infection de disques amovibles :

* Télécharge USBFix (de El desaparecido et C_XX) sur ton Bureau
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
* Fais un clic droit sur le programme USBFix et choisis 'Exécuter en tant qu'administrateur'.
* Au menu principal, clique sur "Suppression"
* Ton Bureau va disparaitre, puis l'ordinateur va redémarrer : c'est normal
* Laisse travailler l'outil jusqu'au bout
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse stp

Aide en images : Nettoyage



Désinstalle ces programmes inutiles :

Vuze Remote Toolbar
free-downloads.net Toolbar
Yahoo! Toolbar
Multi Virus Cleaner 2008

==> Les trois premiers sont des barres d'outils (souvent inutiles, elles alourdissent le navigateur et peuvent le rendre instable). Le dernier est un logiciel de sécurité inutile.



Ensuite fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag stp

0
J'ai bien suivi tes recommandations (sauf yahoo! Toolbar que je n'arrive pas à retrouver...)
En tout cas, Internet remarche maintenant. Je ne me retrouve plus sur n'importe quel site bourré de virus... Merci encore!
Voila le rapport UsbFix :

############################## | UsbFix 7.035 | [Suppression]

Utilisateur: Tinmar (Administrateur) # PC-DE-TINMAR [Acer Aspire 5315]
Mis à jour le 22/11/10 par El Desaparecido / C_XX
Lancé à 15:10:34 | 02/12/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Celeron(R) CPU 540 @ 1.86GHz
Microsoft® Windows Vista(TM) Édition Familiale Basique (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18975

Pare-feu Windows: Activé
Antivirus: avast! antivirus 4.8.1229 [VPS 090129-0] 4.8.1229 [Enabled | Updated]
Antivirus: Norton Internet Security 2007 [Enabled | (!) Outdated]
Firewall: Norton Internet Security 2007 [(!) Disabled]
RAM -> 2037 Mo
C:\ (%systemdrive%) -> Disque fixe # 70 Go (7 Go libre(s) - 10%) [ACER] # NTFS
D:\ -> Disque fixe # 70 Go (9 Go libre(s) - 13%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> CD-ROM
H:\ -> Disque amovible # 501 Mo (48 Mo libre(s) - 10%) [] # FAT
J:\ -> Disque fixe # 373 Go (10 Go libre(s) - 3%) [] # NTFS

################## | Éléments infectieux |


Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2450917664-1877954067-3686523861-1000
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2450917664-1877954067-3686523861-500
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-2450917664-1877954067-3686523861-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-2450917664-1877954067-3686523861-500
Supprimé! J:\$RECYCLE.BIN\S-1-5-21-1074235774-1662633791-3507180923-1000
Supprimé! J:\$RECYCLE.BIN\S-1-5-21-1582250601-263969711-3245014600-1000
Supprimé! J:\$RECYCLE.BIN\S-1-5-21-2450917664-1877954067-3686523861-1000
Supprimé! J:\$RECYCLE.BIN\S-1-5-21-2579775745-378935767-1141284184-1000
Supprimé! J:\$RECYCLE.BIN\S-1-5-21-403636769-2817859597-615571404-1000
Supprimé! J:\Recycler\S-1-5-21-1060284298-1336601894-725345543-1003
Supprimé! J:\Recycler\S-1-5-21-1060284298-261903793-725345543-1003
Supprimé! J:\Recycler\S-1-5-21-1128958174-2532084421-1230330047-1006
Supprimé! J:\Recycler\S-1-5-21-117609710-1844237615-1801674531-1003
Supprimé! J:\Recycler\S-1-5-21-484763869-1957994488-682003330-500
Supprimé! J:\Recycler\S-1-5-21-682003330-1606980848-839522115-1005
Supprimé! J:\Recycler\S-1-5-21-753913702-931955242-500067011-1006
Supprimé! J:\f.bat
Supprimé! J:\p.exe
Supprimé! J:\2nuk.com
Supprimé! J:\2u.com
Supprimé! J:\86l2qw.bat
Supprimé! J:\8dtyjjf.exe
Supprimé! J:\9u.exe
Supprimé! J:\cv8j.exe
Supprimé! J:\em8tqm.cmd
Supprimé! J:\g8k.exe
Supprimé! J:\hkn6k.bat
Supprimé! J:\hm1bfpuj.exe
Supprimé! J:\hx.exe
Supprimé! J:\kgji.exe
Supprimé! J:\ktly.exe
Supprimé! J:\lcw.exe
Supprimé! J:\mb9x.exe
Supprimé! J:\nkbd1v.exe
Supprimé! J:\qothmn.cmd
Supprimé! J:\rx.exe
Supprimé! J:\trikfx
Supprimé! J:\ukfbi3aw.exe
Supprimé! J:\wbj.exe
Supprimé! J:\xs6kpr0.exe

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{06f39be6-3d64-11df-91da-001b38708885}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{37dacab0-b488-11dd-b31c-001b38708885}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{4022e8af-f878-11dd-8599-001b38708885}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{53003926-1555-11de-be14-001b38708885}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{61803211-f9d3-11de-8b84-001b38708885}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{cac7a530-40a3-11df-adfd-001b38708885}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{f7060917-ac09-11de-9a0b-001b38708885}

################## | Listing |

[02/12/2010 - 15:18:10 | SHD ] C:\$RECYCLE.BIN
[29/01/2008 - 23:32:06 | D ] C:\Acer
[18/09/2006 - 22:43:36 | N | 24] C:\autoexec.bat
[03/08/2010 - 11:25:01 | D ] C:\Autres
[16/09/2009 - 19:38:12 | D ] C:\Boot
[11/04/2009 - 07:36:36 | RASH | 333257] C:\bootmgr
[31/07/2007 - 09:16:37 | N | 8192] C:\BOOTSECT.BAK
[18/09/2006 - 22:43:37 | N | 10] C:\config.sys
[02/11/2006 - 13:59:44 | SHD ] C:\Documents and Settings
[03/01/2010 - 20:39:49 | D ] C:\HattrickOrganizer
[30/11/2010 - 09:19:36 | ASH | 2137071616] C:\hiberfil.sys
[08/10/2009 - 12:00:21 | N | 0] C:\IO.SYS
[08/10/2009 - 12:00:21 | N | 0] C:\MSDOS.SYS
[30/11/2010 - 09:19:33 | ASH | 2450866176] C:\pagefile.sys
[02/12/2010 - 10:20:04 | D ] C:\Program Files
[08/07/2010 - 22:20:57 | HD ] C:\ProgramData
[01/12/2010 - 20:08:04 | SHD ] C:\System Volume Information
[26/10/2010 - 22:07:05 | D ] C:\Temp
[02/12/2010 - 15:18:10 | D ] C:\UsbFix
[02/12/2010 - 15:10:56 | A | 4515] C:\UsbFix.txt
[29/01/2008 - 23:31:11 | D ] C:\Users
[12/10/2010 - 23:38:18 | D ] C:\Windows
[02/12/2010 - 15:18:10 | SHD ] D:\$RECYCLE.BIN
[31/05/2009 - 10:31:56 | D ] D:\erData
[25/11/2010 - 01:21:35 | D ] D:\Films
[06/03/2010 - 10:34:03 | D ] D:\Musique
[04/12/2007 - 02:37:41 | SHD ] D:\System Volume Information
[03/03/2009 - 21:06:43 | D ] E:\13 mars 2008 (E)
[02/12/2010 - 15:18:10 | SHD ] J:\$RECYCLE.BIN
[30/05/2009 - 19:54:35 | D ] J:\100% pur terroir
[09/11/2008 - 23:55:51 | D ] J:\adobe logiciel
[13/05/2010 - 19:57:36 | D ] J:\AUTOCAD
[13/05/2010 - 19:57:37 | D ] J:\copains
[13/05/2010 - 19:57:37 | D ] J:\Docs Camille
[04/05/2008 - 17:58:37 | D ] J:\Données Martin DD
[11/11/2010 - 00:06:29 | D ] J:\films Bertrand
[30/05/2009 - 18:18:52 | D ] J:\Films Camille
[05/08/2010 - 22:10:16 | D ] J:\Films Martin
[22/11/2010 - 22:27:28 | D ] J:\Films Matthieu
[24/09/2008 - 10:37:59 | D ] J:\Mauvais DIVX à retélécharger
[16/05/2010 - 17:57:45 | D ] J:\merci martijn
[14/05/2010 - 17:34:50 | D ] J:\Musique
[24/05/2010 - 16:09:05 | D ] J:\Musique Cam D
[24/11/2010 - 01:36:46 | D ] J:\Mémoire
[06/09/2009 - 11:06:55 | D ] J:\Photos camille
[02/12/2010 - 15:18:04 | SHD ] J:\RECYCLER
[30/11/2010 - 01:21:23 | D ] J:\Sauvegarde du PC 30-11-2010
[03/09/2010 - 22:09:55 | SHD ] J:\System Volume Information
[30/05/2009 - 17:59:22 | D ] J:\torchon brulé
[18/08/2009 - 20:41:54 | N | 3245002] J:\Ttc - Leguman.mp3

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
J:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-TINMAR.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |
0
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
789
Tu as branché 2 disques amovibles qui ont bien été désinfectés par USBFix. Note bien que si tu as d'autres disques amovibles (cartes mémoires, téléphones portables branchés en USB, caméra numérique... etc), il est important de les désinfecter de la même façon.


Pense aussi à poster un nouveau rapport de ZHPDiag stp ;)


L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
0
Messages postés
7
Date d'inscription
mardi 30 novembre 2010
Statut
Membre
Dernière intervention
3 décembre 2010

Ok et voici le nouveau rapport :

http://www.cijoint.fr/cjlink.php?file=cj201012/cij2RFWEkq.txt
0
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
789
Ce script va cibler certains éléments à supprimer :

* Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
* Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix.
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse.



Ensuite, utilise ce logiciel de désinfection généraliste stp :

* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin de l'analyse, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp



Enfin, fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag

0
Messages postés
7
Date d'inscription
mardi 30 novembre 2010
Statut
Membre
Dernière intervention
3 décembre 2010

Ok, alors je commence la session rapport par celui de ZHPFix :

Rapport de ZHPFix 1.12.3225 par Nicolas Coolman, Update du 30/11/2010
Fichier d'export Registre :
Run by Tinmar at 02/12/2010 17:29:42
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Users\Tinmar\AppData\Local\Temp\GLB1A2B.EXE [153088] => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
HKCU\Software\Antimalware Doctor Inc => Clé supprimée avec succès
O51 - MPSK:{7478fa17-9e1d-11dd-a960-001b38708885}\Shell\AutoRun\command. (. - .) -- C:\Windows\system32\AdobeR.exe (.not file.) => Clé supprimée avec succès
HKCU\Software\Wp6JpSO5fh => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\Wp6JpSO5fh [Key] . (. - .) -- C:\ProgramData\zcfmzslk\rafmlijw.exe => Clé supprimée avec succès
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab => Clé supprimée avec succès
[HKLM\SOFTWARE\Classes\CLSID\{BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B}] => Clé supprimée avec succès
[HKCR\CLSID\{BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B}] => Clé supprimée avec succès
P2 - FPN: [HKLM] [@bittorrent.com/BitTorrentDNA] - (. - .) -- C:\Program Files\BitTorrent_DNA\npbtdna.dll (.not file.) => Clé supprimée avec succès
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}] => Clé supprimée avec succès
[HKCR\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}] => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\Conduit => Clé supprimée avec succès
HKCU\Software\Conduit => Clé supprimée avec succès
HKLM\Software\Conduit => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKUS\S-1-5-21-2450917664-1877954067-3686523861-1000\..\Run: [bootsecurity700rst.exe] C:\Users\Tinmar\AppData\Roaming\A7883B1574109544ED68721C1D1E5F83\bootsecurity700rst.exe (.not file.) => Valeur supprimée avec succès
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} => Valeur supprimée avec succès

========== Elément(s) de donnée du Registre ==========
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 91.121.179.142:3128 => Donnée supprimée avec succès

========== Préférences navigateur ==========
/*user_pref("CT2504091.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=");*/ => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\ProgramData\yggwqemi => Supprimé et mis en quarantaine
C:\ProgramData\zcfmzslk => Supprimé et mis en quarantaine
C:\Documents and Settings\Tinmar\Application Data\Mozilla\Firefox\Profiles\cs683cgz.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} => Supprimé et mis en quarantaine
C:\Program Files\Conduit => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\users\tinmar\appdata\roaming\microsoft\internet explorer\quick launch\shareaza.lnk => Supprimé et mis en quarantaine
c:\users\tinmar\appdata\roaming\microsoft\internet explorer\quick launch\vuze.lnk => Supprimé et mis en quarantaine
c:\programdata\zcfmzslk\rafmlijw.exe => Supprimé et mis en quarantaine
c:\users\tinmar\appdata\roaming\a7883b1574109544ed68721c1d1e5f83\bootsecurity700rst.exe () => Fichier absent
c:\program files\bittorrent_dna\npbtdna.dll () => Fichier absent

========== Logiciel(s) ==========
O42 - Logiciel: Antimalware Doctor - (..) [HKCU] -- Antimalware Doctor => Logiciel déjà supprimé


========== Récapitulatif ==========
1 : Processus mémoire
13 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
4 : Dossier(s)
5 : Fichier(s)
1 : Logiciel(s)
1 : Préférences navigateur


End of the scan



Maintenant, celui de MalwareByte AntiMalware :

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5233

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

02/12/2010 19:42:25
mbam-log-2010-12-02 (19-42-25).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Elément(s) analysé(s): 321828
Temps écoulé: 1 heure(s), 34 minute(s), 18 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 18

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Autres\Usb Fix\UsbFix\quarantine\J\2nuk.com.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\Autres\Usb Fix\UsbFix\quarantine\J\8dtyjjf.exe.vir (Worm.Magania) -> Quarantined and deleted successfully.
c:\Autres\Usb Fix\UsbFix\quarantine\J\9u.exe.vir (Worm.Magania) -> Quarantined and deleted successfully.
c:\Autres\Usb Fix\UsbFix\quarantine\J\em8tqm.cmd.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\Autres\Usb Fix\UsbFix\quarantine\J\f.bat.vir (Worm.Magania) -> Quarantined and deleted successfully.
c:\Autres\Usb Fix\UsbFix\quarantine\J\g8k.exe.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\Autres\Usb Fix\UsbFix\quarantine\J\hkn6k.bat.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\Autres\Usb Fix\UsbFix\quarantine\J\hx.exe.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\Autres\Usb Fix\UsbFix\quarantine\J\kgji.exe.vir (Worm.Magania) -> Quarantined and deleted successfully.
c:\Autres\Usb Fix\UsbFix\quarantine\J\lcw.exe.vir (Worm.Magania) -> Quarantined and deleted successfully.
c:\Autres\Usb Fix\UsbFix\quarantine\J\nkbd1v.exe.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\Autres\Usb Fix\UsbFix\quarantine\J\rx.exe.vir (Worm.AutoRun) -> Quarantined and deleted successfully.
c:\Autres\Usb Fix\UsbFix\quarantine\J\ukfbi3aw.exe.vir (Worm.Magania) -> Quarantined and deleted successfully.
c:\Users\Tinmar\AppData\Roaming\microsoft\Windows\templates\memory.tmp (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Users\Tinmar\Desktop\Martin\m1 documentation\semestre 2\projet m1 director\adobe.director.v11.0.0.426.incl.keygen-haze\adobe.director.v11.0.0.426.incl.keygen-haze\Keygen.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\Users\Tinmar\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\Public\documents\Server\admin.txt (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\Public\documents\Server\server.dat (Malware.Trace) -> Quarantined and deleted successfully.


et enfin, le rapport ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201012/cij0JVBiM8.txt

Voila.
0
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
789
Je vois que tu utilises des cracks et keygens, pas étonnant que ton ordinateur soit infecté ! En plus d'être illégaux, les cracks sont l'un des principaux vecteurs d'infections aujourd'hui... Plus d'infos ici
Il faut les bannir complément... MalwareBytes en a supprimé un, mais si tu en as d'autres, il est fort possible que certains d'entre eux soient néfastes... C'est d'autant plus dommage qu'il existe souvent des logiciels gratuits équivalents aux logiciels payants.

D'ailleurs tu as un nombre impressionnant de logiciels de P2P (Ares, Lphant, Shareaza, Vuze, eMule)... Tu connais maintenant le risque de ces programmes !

D'autre part, il est fort possible qu'une des infections récupéraient des mots de passe (un des éléments supprimés par MalwareBytes a été identifié comme "Spyware.Passwords.XGen")


Utilise ce nouveau script stp, il y a encore quelques restes :

* Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
* Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix.
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse.


Ensuite, fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag (sans doute le dernier avant les conseils de finition)

0
Messages postés
7
Date d'inscription
mardi 30 novembre 2010
Statut
Membre
Dernière intervention
3 décembre 2010

Voici donc le dernier rapport :

Rapport de ZHPFix 1.12.3225 par Nicolas Coolman, Update du 30/11/2010
Fichier d'export Registre :
Run by Tinmar at 02/12/2010 22:10:50
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
SS - | Auto 21/06/2007 0 | "C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (CLTNetCnService) . (..) - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] oobefldr.dll => Valeur supprimée avec succès
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] oobefldr.dll => Valeur supprimée avec succès

========== Elément(s) de donnée du Registre ==========
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 91.121.179.142:3128 => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\Common Files\Symantec Shared => Supprimé et mis en quarantaine
C:\ProgramData\Symantec => Fichier supprimé au reboot

========== Fichier(s) ==========
c:\windows\isrs-000.tmp => Supprimé et mis en quarantaine
c:\program files\common files\symantec shared\ccsvchst.exe () => Fichier absent


========== Récapitulatif ==========
1 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
2 : Dossier(s)
2 : Fichier(s)


End of the scan

Sinon, en ce qui concerne les cracks et keygens, j'ai fonctionné pendant des années avec des logiciels du type OpenOffice...mais cela a ses limites lorsque l'on nous oblige à travailler sur des logiciels Microsoft. C'est un exemple. Puis en ce qui concerne les logiciels de P2P, je ne les utilise plus depuis...qu'il y a des moyens plus surs - même si pas plus légaux. Je te remercie en tout cas de tes conseils, je sais qu'ils sont bons.
0
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
789
Si tu n'utilises plus ces logiciels de P2P, supprime les.
Pour le reste je comprends bien ;)


Poste un dernier rapport ZHPDiag stp

0
Messages postés
7
Date d'inscription
mardi 30 novembre 2010
Statut
Membre
Dernière intervention
3 décembre 2010

Ok, voila le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201012/cijTwDcqMV.txt

Dis moi s'il y autre chose à faire.
0
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
789
Je t'ai envoyé un MP (regarde l'enveloppe en haut à droite du site)


Ton ordinateur n'est plus infecté :)
Voici les conseils de finition :


1) Sécurise ton ordinateur

* Logiciels de protection :
Garde un antivirus (Avast dans ton cas) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. Ni plus, ni moins. Je te conseille donc de désactiver Windows Defender

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'utiliser le navigateur Firefox avec les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

* Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java (n'installe pas la barre d'outil proposée lors de l'installation)

* Adobe Reader n'est pas à jour, c'est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version.

* Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 ActiveX et Adobe Flash Player 10 Plugin. Ensuite, utilise ces deux liens pour installer la dernière version : Celui-ci pour l'ActiveX et celui-ci pour le plugin.

* Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce programme : Secunia PSI.



2) Optimisation :

* Télécharge Ccleaner. Installe le et lance le.
Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

* Pour limiter le nombre de programmes qui se lancent automatiquement au démarrage, clique sur Outils --> Démarrage --> Sélectionne les lignes suivantes et clique sur "Désactiver" : IgfxTray / HotKeysCmds / Persistence / RtHDVCpl / WMPNSCFG / Sidebar (seulement si tu n'utilises pas la barre de Gadgets de Windows) / Adobe Reader Speed Launcher / Adobe ARM

* Télécharge ce fichier --> lance le --> accepte la modification du Registre.

* Télécharge Defraggler. Installe le (décoche l'installation de la barre d'outil Yahoo qui est proposée lors de l'installation) puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".



3) Il faut supprimer tous les outils que nous avons utilisés : Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aider



4) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés) : pour ça, suis ce tutoriel stp.



5) Prévention : Je te conseille vivement de lire cet article qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet



6) Précautions Pour finir, je t'invite à changer tous tes mots de passe importants (banque, ebay, paypal...), car certaines infections les récupèrent... De même, fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Ici, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

0
Messages postés
7
Date d'inscription
mardi 30 novembre 2010
Statut
Membre
Dernière intervention
3 décembre 2010

Ok, bah voila, j'ai tout fait, tout lu...

C'est bon de se sentir tout propre!!

Plus sérieusement, je suis comme le commun des internautes mortels, à savoir ignorants de la plupart des risques encourus via Internet. J'ignorais notamment - on avait déjà dû me le dire, mais quand la fainéantise nous tient... - que mes logiciels non-mis à jour pouvaient être une source si féconde d'infections.

En tout cas je te re-re...-remercie. Et j'espère que, cette fois, je n'oublierai pas tous ces conseils prodigués.

Ciao et bonne continuation à toi.
0