besoin d'aide pour désinfection du pc Résolu/Fermé

Question

Bonjour, 


Configuration: Windows XP / Firefox 3.5.2

Que dois je faire pour être sure que mon pc n'est plus touché par le rogue (MS Removal Tool) ?
J'ai réalisé toutes les étapes indiquées ici : http://www.commentcamarche.net/faq/31375-rogue-ms-removal-tool-system-tool 
Merci d'avance

Utilisateur anonyme · Answer

bonsoir,

* Télécharge ZHPDiag sur ton bureau :


https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
ou 
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://dl.free.fr
ou :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou : 
https://www.terafiles.net/


tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

s4ndr4 · Answer

Voilà le lien 
http://www.cijoint.fr/cjlink.php?file=cj201104/cijjaN58Od.txt

Utilisateur anonyme · Answer

*	Télécharge de AD-Remover sur ton Bureau. (Merci à l'équipe TeamXscript)
http://www.teamxscript.org/adremoverTelechargement.html
 ( Lien officiel )

https://www.androidworld.fr/
 ( Miroir )
/!\ Ferme toutes applications en cours /!\ 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « Nettoyer »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

s4ndr4 · Answer

Je n'arrive pas à  valider mon message, il y a marquée "titre du message non renseigné"

s4ndr4 · Answer

J'ai copié le rapport dans un document word que j'ai hébergé sur cijoint, voici le lien :
http://www.cijoint.fr/cjlink.php?file=cj201104/cijSjfQv77.rtf

J'espère que ça ira car c'est le seul moyen que j'ai trouvé pour pouvoir poster le rapport.

Utilisateur anonyme · Answer

bonjour, 
relance ADR, clique sur désinstaller, 


repasse un nouveau zhpdiag, 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)  
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :  
http://dl.free.fr  
ou :  
http://www.cijoint.fr/  
ou :  
http://ww38.toofiles.com/fr/documents-upload.html  
ou :  
https://www.terafiles.net/  


O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø  

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire. Une fois ton problème passé, coche ton message comme résolu.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

s4ndr4 · Answer

Lorsque je lance zhpdiag, avast me dit :  
"Vous lancez une application qui peut représenter un risque potentiel. Nous recommandons fortement de lancer cette application dans l'environnement virtualisé de la Sandbox avast! pour prévenir les risques. 

Actions à effectuer : 
Lancer dans la Sandbox (recommandé) 
  ou 
Lancer normalement 
  ou 
Annuler le lancement"

Que dois je faire ?

Utilisateur anonyme · Answer

choisis lancer normalement ! 

je fais remonter l'info au concepteur de zhpdiag  :-) 


O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø  

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire. Une fois ton problème passé, coche ton message comme résolu.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

s4ndr4 · Answer

Ok je fais comme ça alors :)

s4ndr4 · Answer

Voilà le rapport : http://www.cijoint.fr/cjlink.php?file=cj201104/cijKItskxK.txt 

Par contre je pense qu'il y a un problème, j'ai du recommencer l'analyse au moins 5 fois, à chaque fois qu'elle était terminée je pouvais ni  l'enregistrer, ni ouvrir quoi que ce soit (document, musique ....) et je ne pouvais plus redémarrer le pc....

Utilisateur anonyme · Answer

bonjour,
comment tu as fait pour redemarer le pc ?

depuis quend le problème est survenu ?

télecharge ce fichier et enregistre le sur ton bueau :

http://www.cijoint.fr/cjlink.php?file=cj201104/cijxjprgev.txt



*	Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 


fais un Glisser/déposer du fichier que tu viens de tlecharger dans la fênetre de zhpfix.

 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

s4ndr4 · Answer

Pour le redémarrer, obliger d'appuyer sur le bouton de la tour...
Depuis hier, je pense que ça vient de la mise à jour d'avast.

s4ndr4 · Answer

Voilà le rapport :

Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
Fichier d'export Registre : H:\ZHPExportRegistry-13-04-2011-08-35-33.txt
Run by Jose at 13/04/2011 08:35:33
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
O42 - Logiciel: Widestream6 - (.Secure Digital Services.) [HKLM] -- {835525BE-63BD-4EC4-9425-00CEAD4849C2}  => Clé supprimée avec succès
O51 - MPSK:{79d6f2ba-8646-11de-a461-00248c883ff5}\AutoRun\command - ClÃ© orpheline  => Clé supprimée avec succès
HKCU\Software\WideStream  => Clé supprimée avec succès
HKLM\Software\widestream  => Clé supprimée avec succès

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified  => Donnée supprimée avec succès

========== Dossier(s) ==========
H:\Documents and Settings\Jose\Local Settings\Application Data\widestream6 Air  => Supprimé et mis en quarantaine
H:\Documents and Settings\Jose\Application Data\widestream  => Supprimé et mis en quarantaine
H:\Documents and Settings\Jose\Application Data\widestream  => Dossier absent


========== Récapitulatif ==========
4 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
3 : Dossier(s)


End of the scan

Utilisateur anonyme · Answer

pour le redemarrage juste une fois ou tout le temps depuis hier ?

s4ndr4 · Answer

Juste hier, après chaque lancement d'analyse avec ZHPDiag

Utilisateur anonyme · Answer

ok,

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

http://prm753.bchea.org/JavaRa.zip

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).

* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.	

Tuto :
https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara

s4ndr4 · Answer

Lorsque je sélectionne "mettre à jour via jucheck.exe" et que je clique sur rechercher, rien ne se passe.

Utilisateur anonyme · Answer

ok,

vas dans le menu demarrer, paramètres, panneau de configuration, ajout suppression de programmes, trouve java, désinstalle la.

retélécharge la dernière version ici :

https://www.java.com/fr/download/

garde toujours les logiciels comme java et Adobe à jour  :-)

après la miseà jour et un redemarrage, donne moi des nouvelles avat de finaliser la désinfection  ;-)

s4ndr4 · Answer

Re, 

J'ai désinstallé et téléchargé la dernière version de java. 
Je re essaye JavaRa.exe ?

Utilisateur anonyme · Answer

si tu as désinstallé les vieilles versions, pas besoin de relancer javara !

comment va le pc avant de finir la désinfection ?

s4ndr4 · Answer

Ok :-)
Je pense que ça va, plus de bug pour le redémarrage, il fonctionne comme avant.

Utilisateur anonyme · Answer

ok,

il reste encore quelques étapes avant la fin  :-)

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 
ou ici :
 https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

s4ndr4 · Answer

Je suis en train de faire le scan et avast vient de s'ouvrir en me disant qu'un cheval de troie a été bloqué.

Utilisateur anonyme · Answer

si tu vois qu'avast t'enchose, désactive le juste le temps de scan, 

sur ce, bonne nuit et @ demain :-)

s4ndr4 · Answer

Ok :)
Bonne nuit. A demain ^^

Utilisateur anonyme · Answer

:-)

s4ndr4 · Answer

Voilà le rapport : 

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6354

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13/04/2011 23:35:22
mbam-log-2011-04-13 (23-35-22).txt

Type d'examen: Examen complet (H:\|I:\|)
Elément(s) analysé(s): 321530
Temps écoulé: 1 heure(s), 3 minute(s), 54 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
h:\documents and settings\all users\application data
bb16635kbfol16635
bb16635kbfol16635.exe (Rogue.MSRemovalTool) -> Quarantined and deleted successfully.
h:\system volume information\_restore{f8015b37-05a1-48a5-9edc-d7c97c934d3c}p720\a0109958.exe (Rogue.MSRemovalTool) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

bonjour,
relance MBAM, vide sa quarantaine seulement,

voilà suite et fin  ;-)


. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ 

.double-cliques sur le fichier pour lancer l'installation 
.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur suivant 
.lis la licence et j'accepte 
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer 
.double-cliques sur l'icône de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option et puis avancé 
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur 
.cliques sur windows et dans la colonne avancé 
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
.cliques sur analyse une fois l'analyse terminé 
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.cliques maintenant sur registre et puis sur rechercher les erreurs 
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
.il supprime et fermer tu vérifies en relançant rechercher les erreurs 
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
.tu peux fermer Ccleaner

tuto installation & nettoyage : 
https://www.donnemoilinfo.com/tuto/CCleaner/


*	pour supprimer les outils de désinfection
:
Télecharge Delfix sur ton bureau :

http://www.teamxscript.org/too/Xplode/DelFix.exe

*Clique sur le bouton «  Suppression » et poste son rapport sur ton prochain message
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.

*	Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :
 
Pour XP :          https://www.commentcamarche.net/faq/5097-virus-system-volume-information 


*	fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

s4ndr4 · Answer

Rapport Delfix : 
# DelFix v7.7 - Rapport créé le 14/04/2011 à 19:20
# Mis à jour le 13/04/11 à 16h par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Jose - DUARTE (Administrateur)
# Exécuté depuis : H:\Documents and Settings\Jose\Bureau\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~


~~~~~~ Fichier(s) ~~~~~~


~~~~~~ Registre ~~~~~~


~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "H:\DelFixSuppr.txt" - [581 octets] ##########

Utilisateur anonyme · Answer

ok,

pase à la suite  :-)

s4ndr4 · Answer

Ok :)
Je démarre le scan ;)

Utilisateur anonyme · Answer

;-)

s4ndr4 · Answer

Le scan est terminé, il y a aucune menace détectée, 0 fichier infecté.

Utilisateur anonyme · Answer

crée un nouvveau point de restauration système tout beau et tout neuf  :-)


sur ce, bon surf  ;-)

s4ndr4 · Answer

Ok :-)
En tout cas, merci beaucoup pour ton aide !!!

Utilisateur anonyme · Answer

;-)

Besoin d'aide pour désinfection du pc

36 réponses