Virus tenaceRésolu/Fermé

Question

Bonjour, j'ai plusieurs infections sur mon PC,j'ai réussi à en éradiquer certaines avec Malwarebyte et dr web cureit mais d'autres sont détectés mais ne peuvent être supprimées,et d'autres ont été mises en quarantaine mais je comprends pas la différence entre quarantaine et supprimées,ça veut dire qu'elles sont toujours là mais qu'elles n'agissent plus,c'est ça? Enfin le problème c'est que je sais plus comment faire,sur la plupart des sites où je vais j'ai des pubs pornos,j'ai peut-être été hacké sur Paypal,les recherches sur google sont longues à charger et une page "piègée" se met souvent en travers de mon chemin.

Quelqu'un aurait-il une solution?

Merci d'avance.

parisestmagic63 · Answer

démarre en sans échec et nettoie tout ca avec plusieurs outils genre malwarebytes, trojan remover, et ton anti virus

Smart91 · Answer

Bonjour,

On va faire un diagnostic de ton PC
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

ILoveDerry · Answer

Merci à vous de m'aider.
Smart91 j'ai un souci pour l'instant pour accéder au cite cijoint.fr,je vais réessayer plus tard en attendant je vais essayer l'idée de Parisestmagic63.A moins que je fais copier-coller le rapport ici?

ILoveDerry · Answer

C'est bon voici le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201012/cij8IPSbIX.txt

Doudou · Answer

tu as des pubs prono sur les sites ou tu vas ?? tu as peut-être des cookies dans ton ordi qui proviennent de ces sites-là. Fis un scan rapide avec ton antivirus et il les supprimera.

fais un diagnostic de ton PC (cf Smart91 )https://forums.commentcamarche.net/forum/affich-20342817-virus-tenace#2

si il est vraiment infecté par des virus et que tu ne peux pas t'en débarrasser il faudrait que tu ailles dans une boutique SPECIALISEE en matériel informatique (MICROGAT ou une autre) et que tu fasses un nettoyage complet de l'ordi (pour 30€ on l'a fait).

il faut que tu installe un antivirus payant (j'insiste sur payant car les gratuits laissent tout passer) dès que tu as fait cette réparation(je te conseilles Norton)
si tu utilise un contrôle parental vérifie qu'il ne bloque pas les mises à jour de l'antivirus (ça m'est arrivé avec celui de SFR par exemple)


voilà ;)

Smart91 · Answer

OK. tu es bien infecté par un rogue, un faux antivirus et qui en plus à modifié ton fichier Hosts d'où les redirections vers des sites porno. 

Fais ceci: 
- Télécharge sur le bureau RogueKiller 
- Quitte tous tes programmes en cours 
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur 
- Sinon lance simplement RogueKiller.exe 
- Lorsque demandé, tape 1 [SCAN] et valide 
- Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le. 

* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

ILoveDerry · Answer

RogueKiller V3.6.0 by Tigzy contact at www.sur-la-toile.com mail: tigzy44hotmailfr Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits Mode: Scan -- Time : 30/12/2010 15:11:10 Bad processes: Found: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSHNAS -> Task -> {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : C:\DOCUME~1\user\LOCALS~1\Temp\Dqq.exe Fichier HOSTS: 127.0.0.1 localhost 74.125.45.100 4-open-davinci.com 74.125.45.100 securitysoftwarepayments.com 74.125.45.100 privatesecuredpayments.com 74.125.45.100 secure.privatesecuredpayments.com 74.125.45.100 getantivirusplusnow.com 74.125.45.100 secure-plus-payments.com 74.125.45.100 www.getantivirusplusnow.com 74.125.45.100 www.secure-plus-payments.com 74.125.45.100 www.getavplusnow.com 74.125.45.100 safebrowsing-cache.google.com 74.125.45.100 urs.microsoft.com 74.125.45.100 www.securesoftwarebill.com 74.125.45.100 secure.paysecuresystem.com 74.125.45.100 paysoftbillsolution.com 74.125.45.100 protected.maxisoftwaremart.com 188.124.7.189 www.google.com 188.124.7.189 google.com 188.124.7.189 google.com.au 188.124.7.189 www.google.com.au 188.124.7.189 google.be 188.124.7.189 www.google.be 188.124.7.189 google.com.br 188.124.7.189 www.google.com.br 188.124.7.189 google.ca 188.124.7.189 www.google.ca 188.124.7.189 google.ch 188.124.7.189 www.google.ch 188.124.7.189 google.de 188.124.7.189 www.google.de 188.124.7.189 google.dk 188.124.7.189 www.google.dk 188.124.7.189 google.fr 188.124.7.189 www.google.fr 188.124.7.189 google.ie 188.124.7.189 www.google.ie 188.124.7.189 google.it 188.124.7.189 www.google.it 188.124.7.189 google.co.jp 188.124.7.189 www.google.co.jp 188.124.7.189 google.nl 188.124.7.189 www.google.nl 188.124.7.189 google.no 188.124.7.189 www.google.no 188.124.7.189 google.co.nz 188.124.7.189 www.google.co.nz 188.124.7.189 google.pl 188.124.7.189 www.google.pl 188.124.7.189 google.se 188.124.7.189 www.google.se 188.124.7.189 google.co.uk 188.124.7.189 www.google.co.uk 188.124.7.189 google.co.za 188.124.7.189 www.google.co.za 188.124.7.189 www.google-analytics.com 188.124.7.189 www.bing.com 188.124.7.189 search.yahoo.com 188.124.7.189 www.search.yahoo.com 188.124.7.189 uk.search.yahoo.com 188.124.7.189 ca.search.yahoo.com 188.124.7.189 de.search.yahoo.com 188.124.7.189 fr.search.yahoo.com 188.124.7.189 au.search.yahoo.com 188.124.7.189 www.youtube.com Finished

Smart91 · Answer

Mainrtenant tu vas faire ceci
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 2 [DELETE] et valide
- Poste le rapport RKreport.txt présent sur le bureau.

* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

Ensuite tu relances RogueKiller:
- Taper 3 pour restaurer une copie saine des hosts

Ensuite:
-  Télécharge Malwarebytes
-  Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
-  Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation) 
-  Lance une analyse complète en cliquant sur "Exécuter un examen complet"
-  Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
-  L'analyse peut durer un bon moment.....
-  Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
-  Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
-  Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
 
Cela fait trois rapport à poster

Smart

ILoveDerry · Answer

Malwarebyte je l'ai déjà,je vais juste le mettre à jour.Tu dis que j'ai un faux antivirus,ce serait pas Dr web cureit? parce que quand j'ai fait les scans avec il m'a souvent demandé si je voulais enregistrer les modifications du fichier HOST et j'ai répondu oui à chaque fois... RogueKiller V3.6.0 by Tigzy contact at www.sur-la-toile.com mail: tigzy44hotmailfr Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits Mode: Remove -- Time : 30/12/2010 15:36:12 Bad processes: Deregistred: Fichier HOSTS: 127.0.0.1 localhost 74.125.45.100 4-open-davinci.com 74.125.45.100 securitysoftwarepayments.com 74.125.45.100 privatesecuredpayments.com 74.125.45.100 secure.privatesecuredpayments.com 74.125.45.100 getantivirusplusnow.com 74.125.45.100 secure-plus-payments.com 74.125.45.100 www.getantivirusplusnow.com 74.125.45.100 www.secure-plus-payments.com 74.125.45.100 www.getavplusnow.com 74.125.45.100 safebrowsing-cache.google.com 74.125.45.100 urs.microsoft.com 74.125.45.100 www.securesoftwarebill.com 74.125.45.100 secure.paysecuresystem.com 74.125.45.100 paysoftbillsolution.com 74.125.45.100 protected.maxisoftwaremart.com 188.124.7.189 www.google.com 188.124.7.189 google.com 188.124.7.189 google.com.au 188.124.7.189 www.google.com.au 188.124.7.189 google.be 188.124.7.189 www.google.be 188.124.7.189 google.com.br 188.124.7.189 www.google.com.br 188.124.7.189 google.ca 188.124.7.189 www.google.ca 188.124.7.189 google.ch 188.124.7.189 www.google.ch 188.124.7.189 google.de 188.124.7.189 www.google.de 188.124.7.189 google.dk 188.124.7.189 www.google.dk 188.124.7.189 google.fr 188.124.7.189 www.google.fr 188.124.7.189 google.ie 188.124.7.189 www.google.ie 188.124.7.189 google.it 188.124.7.189 www.google.it 188.124.7.189 google.co.jp 188.124.7.189 www.google.co.jp 188.124.7.189 google.nl 188.124.7.189 www.google.nl 188.124.7.189 google.no 188.124.7.189 www.google.no 188.124.7.189 google.co.nz 188.124.7.189 www.google.co.nz 188.124.7.189 google.pl 188.124.7.189 www.google.pl 188.124.7.189 google.se 188.124.7.189 www.google.se 188.124.7.189 google.co.uk 188.124.7.189 www.google.co.uk 188.124.7.189 google.co.za 188.124.7.189 www.google.co.za 188.124.7.189 www.google-analytics.com 188.124.7.189 www.bing.com 188.124.7.189 search.yahoo.com 188.124.7.189 www.search.yahoo.com 188.124.7.189 uk.search.yahoo.com 188.124.7.189 ca.search.yahoo.com 188.124.7.189 de.search.yahoo.com 188.124.7.189 fr.search.yahoo.com 188.124.7.189 au.search.yahoo.com 188.124.7.189 www.youtube.com Finished

ILoveDerry · Answer

question: pendant l'analyse avec Malwarebyte je peux laisser ouvert d'autres programmes?

Smart91 · Answer

Il est préférable que non pour MBAM

Dr Web CureIt n'est pas un faux anti-virus. C'est un outil puissant qu'il faut utiliser avec précaution ou alors se faire aider

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

ILoveDerry · Answer

Voilà c'est fait! Les virus ont été supprimés.Y a un moyen de savoir de quels sites ils proviennent exactement? Apparemment ils étaient sur la session de mon frère et j'aimerais bien savoir si ça a un rapport avec les jeux video,parce qu'il télécharge beaucoup de trucs en rapport avec ça.


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30/12/2010 19:14:18
mbam-log-2010-12-30 (19-14-18).txt

Type d'examen: Examen complet (A:\|C:\|D:\|E:\|)
Elément(s) analysé(s): 251437
Temps écoulé: 1 heure(s), 17 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Raphaël\Local Settings\Temp\CSM43.tmp (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
C:\Documents and Settings\Raphaël\Local Settings\Temp\MSI42.tmp (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.

Smart91 · Answer

Tu n'as pas fait la mise à jour de MBAM. Il faut que tu recommences et fais bien la mise jour du logiciel et dela base données

Pour répondre à ta remarque:
"Apparemment ils étaient sur la session de mon frère et j'aimerais bien savoir si ça a un rapport avec les jeux video,parce qu'il télécharge beaucoup de trucs en rapport avec ça." 

==> OUI tout à fait, surtout si il télécharge des cracks pour pouvoir utiliser gratuitement des jeux payants

Smart

ILoveDerry · Answer

la mise à jour?? si je l'avais faite.

Smart91 · Answer

On va faire autrement. Désinstalle MBAM. pour cela tu vas dans démarrER > MalwareByte's > Désinstaller MalwareByte

Ensuite tu le retélécharge sur ce lien:
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
Et refait un scan complet

Smart

Tigzy · Answer

Salut

As tu fait la manip avec le mode 3 de RogueKiller?
Serait il possible d'avoir le rapport?

ILoveDerry · Answer

Voici le rapport en mode 3 RogueKiller V3.6.0 by Tigzy contact at www.sur-la-toile.com mail: tigzy44hotmailfr Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits Mode: FixHosts -- Time : 31/12/2010 10:23:49 HOSTS File: 127.0.0.1 localhost 74.125.45.100 4-open-davinci.com 74.125.45.100 securitysoftwarepayments.com 74.125.45.100 privatesecuredpayments.com 74.125.45.100 secure.privatesecuredpayments.com 74.125.45.100 getantivirusplusnow.com 74.125.45.100 secure-plus-payments.com 74.125.45.100 www.getantivirusplusnow.com 74.125.45.100 www.secure-plus-payments.com 74.125.45.100 www.getavplusnow.com 74.125.45.100 safebrowsing-cache.google.com 74.125.45.100 urs.microsoft.com 74.125.45.100 www.securesoftwarebill.com 74.125.45.100 secure.paysecuresystem.com 74.125.45.100 paysoftbillsolution.com 74.125.45.100 protected.maxisoftwaremart.com 188.124.7.189 www.google.com 188.124.7.189 google.com 188.124.7.189 google.com.au 188.124.7.189 www.google.com.au 188.124.7.189 google.be 188.124.7.189 www.google.be 188.124.7.189 google.com.br 188.124.7.189 www.google.com.br 188.124.7.189 google.ca 188.124.7.189 www.google.ca 188.124.7.189 google.ch 188.124.7.189 www.google.ch 188.124.7.189 google.de 188.124.7.189 www.google.de 188.124.7.189 google.dk 188.124.7.189 www.google.dk 188.124.7.189 google.fr 188.124.7.189 www.google.fr 188.124.7.189 google.ie 188.124.7.189 www.google.ie 188.124.7.189 google.it 188.124.7.189 www.google.it 188.124.7.189 google.co.jp 188.124.7.189 www.google.co.jp 188.124.7.189 google.nl 188.124.7.189 www.google.nl 188.124.7.189 google.no 188.124.7.189 www.google.no 188.124.7.189 google.co.nz 188.124.7.189 www.google.co.nz 188.124.7.189 google.pl 188.124.7.189 www.google.pl 188.124.7.189 google.se 188.124.7.189 www.google.se 188.124.7.189 google.co.uk 188.124.7.189 www.google.co.uk 188.124.7.189 google.co.za 188.124.7.189 www.google.co.za 188.124.7.189 www.google-analytics.com 188.124.7.189 www.bing.com 188.124.7.189 search.yahoo.com 188.124.7.189 www.search.yahoo.com 188.124.7.189 uk.search.yahoo.com 188.124.7.189 ca.search.yahoo.com 188.124.7.189 de.search.yahoo.com 188.124.7.189 fr.search.yahoo.com 188.124.7.189 au.search.yahoo.com 188.124.7.189 www.youtube.com Resetted HOSTS: Finished

Tigzy · Answer

mmh... Tu veux pas refaire un scan en mode 1, on dirait que le fichier hosts est locké. Va falloir que j'arrange ça 
Contributeur SECURITE 
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil

ILoveDerry · Answer

RogueKiller V3.6.0 by Tigzy contact at www.sur-la-toile.com mail: tigzy44hotmailfr Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits Mode: Scan -- Time : 31/12/2010 10:34:13 Bad processes: Found: Fichier HOSTS: 127.0.0.1 localhost 74.125.45.100 4-open-davinci.com 74.125.45.100 securitysoftwarepayments.com 74.125.45.100 privatesecuredpayments.com 74.125.45.100 secure.privatesecuredpayments.com 74.125.45.100 getantivirusplusnow.com 74.125.45.100 secure-plus-payments.com 74.125.45.100 www.getantivirusplusnow.com 74.125.45.100 www.secure-plus-payments.com 74.125.45.100 www.getavplusnow.com 74.125.45.100 safebrowsing-cache.google.com 74.125.45.100 urs.microsoft.com 74.125.45.100 www.securesoftwarebill.com 74.125.45.100 secure.paysecuresystem.com 74.125.45.100 paysoftbillsolution.com 74.125.45.100 protected.maxisoftwaremart.com 188.124.7.189 www.google.com 188.124.7.189 google.com 188.124.7.189 google.com.au 188.124.7.189 www.google.com.au 188.124.7.189 google.be 188.124.7.189 www.google.be 188.124.7.189 google.com.br 188.124.7.189 www.google.com.br 188.124.7.189 google.ca 188.124.7.189 www.google.ca 188.124.7.189 google.ch 188.124.7.189 www.google.ch 188.124.7.189 google.de 188.124.7.189 www.google.de 188.124.7.189 google.dk 188.124.7.189 www.google.dk 188.124.7.189 google.fr 188.124.7.189 www.google.fr 188.124.7.189 google.ie 188.124.7.189 www.google.ie 188.124.7.189 google.it 188.124.7.189 www.google.it 188.124.7.189 google.co.jp 188.124.7.189 www.google.co.jp 188.124.7.189 google.nl 188.124.7.189 www.google.nl 188.124.7.189 google.no 188.124.7.189 www.google.no 188.124.7.189 google.co.nz 188.124.7.189 www.google.co.nz 188.124.7.189 google.pl 188.124.7.189 www.google.pl 188.124.7.189 google.se 188.124.7.189 www.google.se 188.124.7.189 google.co.uk 188.124.7.189 www.google.co.uk 188.124.7.189 google.co.za 188.124.7.189 www.google.co.za 188.124.7.189 www.google-analytics.com 188.124.7.189 www.bing.com 188.124.7.189 search.yahoo.com 188.124.7.189 www.search.yahoo.com 188.124.7.189 uk.search.yahoo.com 188.124.7.189 ca.search.yahoo.com 188.124.7.189 de.search.yahoo.com 188.124.7.189 fr.search.yahoo.com 188.124.7.189 au.search.yahoo.com 188.124.7.189 www.youtube.com Finished

Smart91 · Answer

Re:

- Télécharge RstHosts (d'Xplode) sur ton bureau.
- Lance le et appuie sur Restaurer
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\RstHosts.txt )


Smart

Tigzy · Answer

Avant de vous laisser, tu habites Derry? :)
J'y ai vécu 3 mois

ILoveDerry · Answer

>>Avant de vous laisser, tu habites Derry? :) J'y ai vécu 3 mois 

ah ouais? :) euh nan,en fait c'est parce qu'en ce moment je lis les tomes de "ça" de Stephen King,je sais pas si tu connais mais si t'as de bons souvenirs de Derry je te conseille pas de les lire ;)

Bon ici je poste le rapport de Malwarebyte et celui de RstHost

http://www.cijoint.fr/cjlink.php?file=cj201012/cijlKMPMIz.txt

http://www.cijoint.fr/cjlink.php?file=cj201012/cijpe4t7CJ.txt

Smart91 · Answer

Je pense que la ville Derry dont parle Tigzy est celle d'Iralnde du Nord et le Derry de Stéphen King est un ville fictive du Maine aus USA pour ces romans.

Bon, RstHosts c'est OK. En revanche, il faut que tu refasses un scan complet MBAM
Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
-  Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
-  Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

J'ai mis en gras ce qui est important
Tu peux poster directement le rapport dans ta réponse, tu n'es pas obligé de passer par cijoint (le rapport n'est pas trop long)

Smart

ILoveDerry · Answer

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5426

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

31/12/2010 14:54:10
mbam-log-2010-12-31 (14-54-10).txt

Type d'examen: Examen complet (A:\|C:\|D:\|E:\|)
Elément(s) analysé(s): 280440
Temps écoulé: 1 heure(s), 15 minute(s), 52 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\documents and settings\Raphaël\application data\Dealio (PUP.Dealio) -> Quarantined and deleted successfully.
c:\documents and settings\Raphaël\application data\Dealioes (PUP.Dealio) -> Quarantined and deleted successfully.
c:\documents and settings\Raphaël\application data\Dealio	emp (PUP.Dealio) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\documents and settings\Raphaël\application data\Dealioes\widgets.xml (PUP.Dealio) -> Quarantined and deleted successfully.
c:\documents and settings\Raphaël\application data\Dealio	emp\http___www_dealio_com_rss_coupons-deals_dotd_.xml (PUP.Dealio) -> Quarantined and deleted successfully.

Smart91 · Answer

Normalement tu ne devaris plus avoir les pubs vers les sites porno
On va quand même faire une vérification
Relance MBAM et vide la quarantaine

Refais un scan ZHPDiag et poste le rapport via cijoint

Smart

ILoveDerry · Answer

http://www.cijoint.fr/cjlink.php?file=cj201012/cijMtDL8UL.txt

Smart91 · Answer

Juste avant que je parte faire la fête.

Il y a encore qq traces
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu nel'as pas télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified    [HKCU\Software\OfferBox]
[HKLM\Software\Trymedia Systems]    => Infection BT (Adware.Trymedia)
O43 - CFD: 21/07/2010 - 16:08:36 ----D- C:\Program Files\FileSubmit  
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SSHNAS 
O47 - AAKE:Key Export SP - "C:\Documents and Settings\Raphael\Bureau\Jeux\Half Life 2. Crack & Cd Key. Works Great!!\hl2.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- O47 - AAKE:Key Export SP - "H:\Call of Duty Modern Warfare 2\iw4mp.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- 
O47 - AAKE:Key Export SP - "H:\Raphaël\Jeux\TmUnitedForever\TmForever.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- 
O47 - AAKE:Key Export SP - "C:\Program Files\VCM\vcm_exe.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --  
O47 - AAKE:Key Export SP - "C:\Program Files\National Instruments\Vision\NIVisSvr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --    
[HKCU\Software\Conduit]    
[HKLM\Software\Conduit]   
O43 - CFD: 19/01/2010 - 17:09:30 ----D- C:\Program Files\Conduit   

---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Smart

ILoveDerry · Answer

Rapport de ZHPFix 1.12.3233 par Nicolas Coolman, Update du 30/12/2010
Fichier d'export Registre : 
Run by user at 31/12/2010 21:36:47
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKLM\SOFTWARE\Microsoft\Security Center AntiVirusOverride: Modified [HKCU\Software\OfferBox  => Clé absente
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SSHNAS  => Clé absente
HKCU\Software\Conduit  => Clé absente
HKLM\Software\Conduit  => Clé absente

========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\Documents and Settings\Raphael\Bureau\Jeux\Half Life 2. Crack & Cd Key. Works Great!!\hl2.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- O47 - AAKE:Key Export SP - "H:\Call of Duty Modern Warfar  => Valeur absente
O47 - AAKE:Key Export SP - "H:\Raphaël\Jeux\TmUnitedForever\TmForever.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --  => Valeur absente
O47 - AAKE:Key Export SP - "C:\Program Files\VCM\vcm_exe.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --  => Valeur absente
O47 - AAKE:Key Export SP - "C:\Program Files\National Instruments\Vision\NIVisSvr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --  => Valeur absente

========== Dossier(s) ==========
C:\Program Files\FileSubmit  => Dossier absent
C:\Program Files\Conduit  => Dossier absent


========== Récapitulatif ==========
4 : Clé(s) du Registre
4 : Valeur(s) du Registre
2 : Dossier(s)


End of the scan

Smart91 · Answer

Bonne Année.

Il faut recommencer avec ZHPFix

Colle bien les lignes ci-dessus dans la fenêtre H:
---------------------------------------------------------- 
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKCU\Software\OfferBox]
[HKLM\Software\Trymedia Systems]
O43 - CFD: 21/07/2010 - 16:08:36 ----D- C:\Program Files\FileSubmit 
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SSHNAS
O47 - AAKE:Key Export SP - "C:\Documents and Settings\Raphael\Bureau\Jeux\Half Life 2. Crack & Cd Key. Works Great!!\hl2.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "H:\Call of Duty Modern Warfare 2\iw4mp.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "H:\Raphaël\Jeux\TmUnitedForever\TmForever.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "C:\Program Files\VCM\vcm_exe.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "C:\Program Files\National Instruments\Vision\NIVisSvr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
[HKCU\Software\Conduit]
[HKLM\Software\Conduit]
O43 - CFD: 19/01/2010 - 17:09:30 ----D- C:\Program Files\Conduit 

---------------------------------------------------------- 

Il faut copier réellement ces lignes telles quelles ne rien ajouter ou enlever

Smart

ILoveDerry · Answer

Bonne année à toi aussi :)


Rapport de ZHPFix 1.12.3233 par Nicolas Coolman, Update du 30/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-01-01-2011-13-17-02.txt
Run by user at 01/01/2011 13:17:02
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\OfferBox  => Clé supprimée avec succès
HKLM\Software\Trymedia Systems  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SSHNAS  => Clé absente
HKCU\Software\Conduit  => Clé absente
HKLM\Software\Conduit  => Clé absente

========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\Documents and Settings\Raphael\Bureau\Jeux\Half Life 2. Crack & Cd Key. Works Great!!\hl2.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --  => Valeur absente
O47 - AAKE:Key Export SP - "H:\Call of Duty Modern Warfare 2\iw4mp.exe" [Enabled] .(.) (.not file.) --  => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "H:\Raphaël\Jeux\TmUnitedForever\TmForever.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --  => Valeur absente
O47 - AAKE:Key Export SP - "C:\Program Files\VCM\vcm_exe.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --  => Valeur absente
O47 - AAKE:Key Export SP - "C:\Program Files\National Instruments\Vision\NIVisSvr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --  => Valeur absente

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified  => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\FileSubmit  => Dossier absent
C:\Program Files\Conduit  => Dossier absent


========== Récapitulatif ==========
5 : Clé(s) du Registre
5 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
2 : Dossier(s)


End of the scan

Smart91 · Answer

Là c'est OK.

Refais un scan ZHPDiag et poste le rapport via cijoint pour une dernière vérification.
Ensuite on va passer à la phase finale. il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseills de prévention quand on surfe sur Internet

Smart

ILoveDerry · Answer

http://www.cijoint.fr/cjlink.php?file=cj201101/cijlpCAu5N.txt

Smart91 · Answer

Fais les mises à jour suivantes:

Mise à jour Java 6 update 23 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 23

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour 

Optimisation:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu nel'as pas télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
OPT:O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-117609710-1547161642-682003330-1005-117609710-1547161642-682003330-1003\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-21-117609710-1547161642-682003330-1005-117609710-1547161642-682003330-1003\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
OPT:O4 - Global Startup: C:\Documents And Settings\user\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.1.lnk . (.Pas de propriétaire.)  -- C:\Program Files\OpenOffice.org 3\program\quickstart.exe

---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse 

1. Désinstallation des outils

Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer » 
Tutoriel pour t'aide 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Désactiver la restauration système et céer un point de restauration 
Dans la barre des tâches de Windows, clique sur Démarrer. 
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
Clique sur Appliquer. 
Ensuite décoche "Désactiver la restauration du systeme" 
Clique sur appliquer puis ok 
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

- Par rapport au P2P : http://www.libellules.ch/... 

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas 

Smart

ILoveDerry · Answer

Eh bien un grand merci à toi Smart! Je commence l'année 2011 avec un pc tout nickel :)

Smart91 · Answer

Heureux de t'avoir aidé

Smart

Virus tenace

35 réponses

Discussions similaires

Newsletters