a l'aide mon ordinateur est infecter

Question

Bonjour,

Mon ordinateur s'est soudainement mis en écran noir avec une fenêtre windows vista recorvery. D'autres fenêtres apparaissent parlant de rames et de problèmes de disque dur ainsi que d'erreur critique et que des clusters endommages le disque dur ont été détectés et des donnés privés sont en dangers. J'ai aussi l'espace ram est endommager enfin plein de message d'erreur
Est ce un virus? Comment l'éradiquer? mes fichiers sont-ils récupérables? 

Merci de pour vos réponses et votre aide


Configuration: Windows 7 / Firefox 4.0.1

jfkpresident · Accepted Answer

Hello,

Windows vista recovery est un rogue (malware) et on va le supprimer de ton pc:


* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Lance le.
* Lorsque demandé, tape 2 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

Smart91 · Answer

Bonjour,

- Télécharge sur le bureau RogueKiller de Tigzy
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 2 [DELETE] et valide
- Poste le rapport RKreport.txt présent sur le bureau.

* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe

Ensuite tu choisis l'option 6 et postes également le rapport

Smart

roroo07 · Answer

avec option 2 : RogueKiller V5.2.2 [05/06/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version Demarrage : Mode normal Utilisateur: pierrick [Droits d'admin] Mode: Suppression -- Date : 15/06/2011 09:19:30 Processus malicieux: 5 [SUSP PATH] JBrIvuwsjXBVY.exe -- c:\programdata\jbrivuwsjxbvy.exe -> KILLED [SVCHOST] svchost.exe -- Path not found -> KILLED [ROGUE ST] 33873656.exe -- c:\programdata\33873656.exe -> KILLED [SVCHOST] svchost.exe -- Path not found -> KILLED [SVCHOST] svchost.exe -- Path not found -> KILLED Entrees de registre: 11 [SUSP PATH] HKCU\[...]\Run : HKCU (C:\Users\pierrick\AppData\Roaming\directx\svchost.exe) -> DELETED [SUSP PATH] HKCU\[...]\Run : JBrIvuwsjXBVY (C:\ProgramData\JBrIvuwsjXBVY.exe) -> DELETED [WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Users\pierrick\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg) [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0) [HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0) Fichier HOSTS: 127.0.0.1 localhost ::1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt option 6 : RogueKiller V5.2.2 [05/06/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version Demarrage : Mode normal Utilisateur: pierrick [Droits d'admin] Mode: Raccourcis RAZ -- Date : 15/06/2011 09:21:27 Processus malicieux: 0 Attributs de fichiers restaures: Bureau: Success 36 / Fail 0 Lancement rapide: Success 15 / Fail 0 Programmes: Success 9823 / Fail 0 Menu demarrer: Success 49 / Fail 0 Dossier utilisateur: Success 20265 / Fail 0 Mes documents: Success 400 / Fail 0 Mes favoris: Success 35 / Fail 0 Mes images: Success 32 / Fail 0 Ma musique: Success 661 / Fail 0 Mes videos: Success 367 / Fail 0 Disques locaux: Success 2211 / Fail 0 Sauvegarde: [FOUND] Success 211 / Fail 4 Lecteurs: [C:] \Device\HarddiskVolume2 -- 0x3 --> Restored [D:] \Device\HarddiskVolume3 -- 0x3 --> Restored [E:] \Device\CdRom0 -- 0x5 --> Skipped [F:] \Device\HarddiskVolume4 -- 0x2 --> Restored [G:] \Device\HarddiskVolume5 -- 0x2 --> Restored [H:] \Device\HarddiskVolume6 -- 0x2 --> Restored [I:] \Device\HarddiskVolume7 -- 0x2 --> Restored [J:] \Device\CdRom1 -- 0x5 --> Skipped [K:] \Device\HarddiskVolume8 -- 0x2 --> Restored Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

jfkpresident · Answer

J'avais pas vu que Smart avais posté ....

Je vous laisse ,bonne continuation a vous deux -;)

Smart91 · Answer

Maintenant tu vas faire ceci:

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser 
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Smart

Smart91 · Answer

OK

Smart

roroo07 · Answer

voici le rapport

 Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6859

Windows 6.1.7600
Internet Explorer 9.0.8112.16421

15/06/2011 11:37:03
mbam-log-2011-06-15 (11-37-03).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 310475
Temps écoulé: 54 minute(s), 23 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 16

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XTREMERAT (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Trojan.Agent) -> Value: HKCU -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\XtremeRAT\Mutex (Trojan.Agent) -> Value: Mutex -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\programdata\33873656.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\programdata\jbrivuwsjxbvy.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\pierrick\AppData\Local\microsoft\Windows	emporary internet files\Content.IE5\LQS8A6S2\server[1].exe (Trojan.MSIL) -> Quarantined and deleted successfully.
c:\Users\pierrick\AppData\Local\Temp\55611.exe (Trojan.MSIL) -> Quarantined and deleted successfully.
c:\Users\pierrick\AppData\Local\Temp\75659.exe (Trojan.MSIL) -> Quarantined and deleted successfully.
c:\Users\pierrick\AppData\Local\Temp\89171.exe (Trojan.MSIL) -> Quarantined and deleted successfully.
c:\Users\pierrick\AppData\Local\Temp\A94B.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\pierrick\AppData\Local\Temp\A96B.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\pierrick\AppData\Local\Temp\B234.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\pierrick\AppData\Local\Temp	mpA90D.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\pierrick\Desktopk_quarantine\33873656.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\pierrick\Desktopk_quarantine\jbrivuwsjxbvy.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\pierrick\AppData\Roaming\data.dat (Stolen.Data) -> Quarantined and deleted successfully.
c:\Users\pierrick\AppData\Roaming\svhost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\pierrick\AppData\Roaming\microsoft\Windows\--((mutex))--.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\pierrick\AppData\Roaming\directx\svchost.exe (Trojan.Agent) -> Delete on reboot.

Smart91 · Answer

Ton PC devrait aller beaucoup mieux 

Relance MBAM et vide la quarantaine
On va quand même faire un diagnostic pour voir s'il ne reste pas des infections.

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 comme antivirus, à l'alerte choisis "lancer normalement" 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Pas d'inquiétude, on désinstallera tous les outils que je t'ai fait téléchergé en fin de désinfection

Smart

Smart91 · Answer

Tu as peut-être une infection USB et il restes encore quelques traces.

Tu as aussi des barres d'outils totalement inutiles. Veux-tu qu'on les supprime.
Por te faire une idée, lis le dossier ci-desous:
Les Toolbars ce n'est pas obligatoires
 
On va vérifier pour l'infection USB

- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
-  Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
-Clique sur "Recherche"
- Laisse travailler l'outil
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Aide en images : "Recherche"

Smart

Smart91 · Answer

On va faire le nettoyage et la vaccination:
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
-  Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

Aide en images : "Nettoyage"

Smart

Smart91 · Answer

OK. On fait à ton rythme

Smart

Smart91 · Answer

Refais un scan ZHPDiag et poste le rapport via cijoint

Smart

Smart91 · Answer

OK. On va supprimer les restes et les barres d'outils inutilses.

- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
[HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}]
C:\Users\pierrick\AppData\Roaming\Mozilla\Firefox\Profiles\kbyxwly4.default\Extensions\dttoolbar@toolbarnet.com
O4 - HKCU\..\Run: [fsm] Clé orpheline
O4 - HKUS\S-1-5-21-1308429550-1673907390-3901756880-1000\..\Run: [fsm] Clé orpheline
O4 - Global Startup: C:\Users\pierrick\Desktop\Windows 7 Restore.lnk . (...)  -- C:\ProgramData\33873656.exe (.not file.)
O23 - Service:  (Microsoft SharePoint Workspace Audit Service) - Clé orpheline
O23 - Service:  (SQLAgent$SQLEXPRESS) - Clé orpheline
O23 - Service: Cache de police de Windows Presentation Foundation 4.0.0.0 (WPFFontCache_v0400) - Clé orpheline
O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} Clé orpheline
M2 - MFEP: prefs.js [pierrick - kbyxwly4.default\DTToolbar@toolbarnet.com] [] DAEMON Tools Toolbar v (.DT Soft Ltd..)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} . (.Pas de propriétaire - Toolbar Module.) -- C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O42 - Logiciel: DAEMON Tools Toolbar - (.DT Soft Ltd.) [HKLM] -- DAEMON Tools Toolbar
O43 - CFD: 29/04/2011 - 16:00:50 - [2467939] ----D- C:\Program Files\DAEMON Tools Toolbar
O69 - SBI: SearchScopes [HKCU] {0D7562AE-8EF6-416d-A838-AB665251703A} - (Facemoods Search) - http://start.facemoods.com
[MD5.2CA8B5CD5D2EDF2C033DB34E7E09DC1D] [SPRF] (.BabylonToolbar - Pas de description.) -- C:\Users\pierrick\AppData\Local\Temp\MyBabylonTB.exe   [1334800]
[HKLM\Software\Classes\CLSID\{64182481-4F71-486b-A045-B233BD0DA8FC}]
[HKLM\Software\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}]
[HKLM\Software\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\daemon tools toolbar]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17}
C:\Program Files\DAEMON Tools Toolbar
[MD5.85F50C18C0FB191F33EF72BE2559D925] [SPRF] (...) -- C:\Users\pierrick\AppData\Local\Temp\FFSetupSoftonic260.exe
EmptyTemp
EmptyFlash
FirewallRAZ
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

Ensuite je voudrais vérifier  des fichiers

Va sur ce site https://www.virustotal.com/gui/
- Clique sur parcourir
- Dans nom du fichier colle ce fichier : C:\Users\pierrick\AppData\Local\Temp\i4jdel0.exe
- Clique sur Send File et puis reanalyze
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport
Le lien se trouve en haut dans la barre d'adresse du navigateur Internet
 
Et tu fais la même chose pour ce fichier:
C:\Users\pierrick\AppData\Local\Temp
etchk.exe

Et redémarre ton PC

Smart
-- 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

"Sinon pour ce qui s'agit des 2 dernier il ne sont pas présent sur mon ordinateur ?!"
Oui c'est normal, car avec ZHPFix j'ai vidé le dossier temporaire.
On va vérifier quand même. Pour cela refais un scan ZHPDiag, poste le rapport via cijoint.
Ensuite on va passer à la phase finale. il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart

Smart91 · Answer

Ok.

Fais les mises à jour suivantes:

Mise à jour Java 6 update 26 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 26

Mise à jour Adobe Reader 10.0.1
Désinstalle Adobe
Installer Adobe 10.0.1
Décoche la case "Inclure dans botre téléchargement la barre Google"

Mise à jour flashplayer vers la version 10.3.185.22 
* Ferme tous tes navigateurs
* A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstalle http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player_ax.exe ActiveX] (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour 

Optimisation:

- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
O4 - HKCU\..\Run: [fsm] Clé orpheline
O4 - HKUS\S-1-5-21-1308429550-1673907390-3901756880-1000\..\Run: [fsm] Clé orpheline
OPT:O4 - HKLM\..\Run: [NVRaidService] . (.NVIDIA Corporation - NVIDIA RAID Service French language.) -- C:\Windows\system32
vraidservice.exe
OPT:O4 - HKCU\..\Run: [Steam] . (.Valve Corporation - Steam.) -- C:\Program Files\Steam\steam.exe
OPT:O4 - HKUS\S-1-5-21-1308429550-1673907390-3901756880-1000\..\Run: [Steam] . (.Valve Corporation - Steam.) -- C:\Program Files\Steam\steam.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe
[HKLM\Software\BrowserChoice]
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

1. Désinstallation des outils

- Télécharge DelFix (d'Xplode) sur ton bureau. 
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur) 
- Sélectionne Suppression 
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message. 

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt ) 
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation. 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Il est nécessaire de désactiver puis réactiver la restauration système de Windows 7 pour la purger

Quelques conseils de Prévention

- Réactive l'UAC si ce n'est pas déjà fait. 

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

Installe l'extension de sécurité adblock plus 
pour bloquer les publicités 
==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html 

- Les logiciels gratuits à éviter

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas 

Smart

Smart91 · Answer

Incroyable il est revenu. ce sont des fausses alertes.

Relance RogueKiller avec l'option 2 et poste le rapport

Smart

Smart91 · Answer

On va faire autrement

Démarre en mode sans echec ==>
Démarrer en Mode Sans Echec

- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
O43 - CFD: 14/06/2011 - 22:31:56 - [1418] ----D- C:\Users\pierrick\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows 7 Restore
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Et ensuite redémarre le PC en mode normal et dis moi si tu as toujous les alertes

Smart

Smart91 · Answer

Est-ce que as reémarré et as-tu toujours les alertes

Smart

Smart91 · Answer

Ce que je ne comprends pas c'est comment il a pu revenir, alors que tout se passait bien jusque là.

On va faire aurement. En mode normal

* Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur Start Scan pour démarrer l'analyse.
* Si des éléments néfastes sont identifiés par l'outil, vérifie que Cure est bien coché. S'il indique "suspicious", laisse l'option Skip.
* Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.
* Un rapport s'ouvrira au redémarrage de l'ordinateur.
* Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt

Si TDSS Bloque voire la procédure d'angélique sur W-T
http://web-tranquille.fr/borne-appel-urgence/tdsskiller-qui-bloque-mbr/msg18118/#msg18118

Smart

Smart91 · Answer

C'est une boneen chose pas de rootKit. 
Est-que tu peux essayer de relancer RogueKiller en option 2 

On va bien réussir à l'éradiquer celui-ci. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Essaie de renommer RogueKiller.exe en Winlogon.exe
Et relance le.
Si cela ne marche tojurs pas essie en mode sans echec. et si cela ne marche toujoursj j'ai encore une autre possibilité

Smart

Smart91 · Answer

Je vais voir avec le développeur de RogueKiller.

En attendant on va faire ceci:

- Désactive ton antivirus 
- Désactive Windows Defender si présent 
- Désactive ton pare-feu 

Ferme toutes tes appilications en cours. 

Télécharge et enregistre Pre_Scan  sur ton bureau : 
S'il n'est pas sur ton bureau coupe-le de ton dossier téléchargements et colle-le sur ton bureau 

Avertissement: Il y aura une extinction courte du bureau --> pas de panique. 

Une fois téléchargé, lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau. 
Si l'outil détecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy" 
Si Pre-Scan ne veut pas se lancer, renomme-le winlogon , ou change son extension en .com ou .scr 
Il se peut que l'outil soit un peu long sur la réattribution des fichiers, tout depend du nombre de fichiers à analyser , laisse l'outil travailler. 
Poste le rapport Pre_Scan.txt qui apparaitra sur le bureau en fin de scan 

NE LE POSTE PAS SUR LE FORUM (il est trop long) 

- Clique sur ce lien : http://www.cijoint.fr/ 
- Clique sur Parcourir et cherche le fichier Pre_Scan.txt 
- Clique sur Ouvrir. 
- Clique sur "Cliquez ici pour déposer le fichier". 
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt est ajouté dans la page. 
- Copie ce lien dans ta réponse. 

Smart

Tigzy · Answer

Bonjour

Tu as toujours le même fichier RogueKiller qu'au début?
Si oui , télécharge une nouvelle copie, ce doit être la version 5.2.3

Smart91 · Answer

En effet il y a une oiuvelle version entre temps. Supprmiel l'ancienne et téléchage la nouvelle et Tu peux essayer avec la nouvelle version.
Tu ne m'as pas dit comment se comporte le PC aprs prscan qui retrouvé les fichiers infectés que l'on avait supprimés au début 

Smart

Tigzy · Answer

Effectivement j'ai un soucis encore, je pensais que c'était reglé.
N'insiste pas, ça vient du logiciel....

Smart91 · Answer

Relance le avec l'option 6

Smart

Smart91 · Answer

As-tu toujours les alertes ? 

Tu vas sur quel types de jeu ne ligne. C'est incroyable tout ce que l'on avait supprimé est revenu 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Relance ZHPDiag, clique sur la flèche verte pour faire la mise à jour et l'installer. refais un scan et poste le rapport via cijoint 


Edit : pour minecraft tu as la version légale ?

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

On recommence donc

- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
[HKCU\Software\Server]    => Infection USB (USB.Troj)
[HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}]    => Infection BT (Adware.BHO)
O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} Clé orpheline    => HiTRUST or W32/Istbar.WL@dl
O4 - HKCU\..\Run: [fsm] Clé orpheline    => Orphean Key not necessary
O4 - HKUS\S-1-5-21-1308429550-1673907390-3901756880-1000\..\Run: [fsm] Clé orpheline    => Orphean Key not necessary
O4 - Global Startup: C:\Users\pierrick\Desktop\Choix de navigateur .lnk . (.Microsoft Corporation.)  -- C:\Windows\System32\browserchoice.exe
O4 - Global Startup: C:\Users\pierrick\Desktop\Windows 7 Restore.lnk . (...)  -- C:\ProgramData\33873656.exe (.not file.)    => Fichier absent
O23 - Service:  (Microsoft SharePoint Workspace Audit Service) - Clé orpheline    => Orphean Key not necessary
O23 - Service:  (SQLAgent$SQLEXPRESS) - Clé orpheline    => Orphean Key not necessary
O23 - Service: Cache de police de Windows Presentation Foundation 4.0.0.0 (WPFFontCache_v0400) - Clé orpheline    => Orphean Key not necessary
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com    => Toolbar.Facemoods
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} . (.Pas de propriétaire - Toolbar Module.) -- C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O42 - Logiciel: DAEMON Tools Toolbar - (.DT Soft Ltd.) [HKLM] -- DAEMON Tools Toolbar    => Toolbar.DaemonTools
O43 - CFD: 16/06/2011 - 13:47:24 - [2191732] ----D- C:\Program Files\DAEMON Tools Toolbar    => Toolbar.DaemonTools
O69 - SBI: SearchScopes [HKCU] {0D7562AE-8EF6-416d-A838-AB665251703A} - (Facemoods Search) - http://start.facemoods.com    => Toolbar.Facemoods
[HKLM\Software\Classes\CLSID\{64182481-4F71-486b-A045-B233BD0DA8FC}]    => Toolbar.Facemoods
[HKLM\Software\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}]    => Toolbar.Facemoods
[HKLM\Software\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}]    => Toolbar.Facemoods
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\daemon tools toolbar]    => Toolbar.DaemonTools
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17}    => Toolbar.DAEMON Tools
C:\Program Files\DAEMON Tools Toolbar    => Toolbar.DaemonTools
EmptyTemp
EmpyFlash
FirewallRAZ
---------------------------------------------------------- 

- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

Smart

Smart91 · Answer

OK Refais un scan ZHPDiag et poste le rapport pour vérifier tout cela 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Tu vas reprebdre ce que j'avais dit ici ==> 
https://forums.commentcamarche.net/forum/affich-22367558-a-l-aide-mon-ordinateur-est-infecter#26 

Excepté pour l'optimisation tu vas prendre ce script: 

----------------------------------------------- 
O43 - CFD: 16/06/2011 - 14:01:52 - [1418] ----D- C:\Users\pierrick\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows 7 Restore 
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe 
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe 
[HKLM\Software\BrowserChoice] 
OPT:O4 - HKLM\..\Run: [NVRaidService] . (.NVIDIA Corporation - NVIDIA RAID Service French language.) -- C:\Windows\system32
vraidservice.exe 
OPT:O4 - HKCU\..\Run: [Steam] . (.Valve Corporation - Steam.) -- C:\Program Files\Steam\steam.exe 
OPT:O4 - HKUS\S-1-5-21-1308429550-1673907390-3901756880-1000\..\Run: [Steam] . (.Valve Corporation - Steam.) -- C:\Program Files\Steam\steam.exe 

------------------------------------------------- 

Et normalement cela devrait être bon

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Oui ce serait bien d'avoir les rapports

"aussi c'est normal que dans le menu demarrer -> tout les programmes j'ai plus rien dans les dossiers"

Relance RogueKiller avec l'option 6. Et si cela ne reviens pas il faudra le faire à la main

Smart

Smart91 · Answer

Je suppose que dans le menu démarrer tu n'as toujours pas tes programmes 
Dis moi quel programme tu veux mettre je te montre comment le faire et tu feras de même pour tous les autres. Mais c'est fastidieux. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Je n'ai pas teamviewer et je ne veux pas l'installer. :-( 
 En plus tu es sous Windows 7 et je n'ai de windows 7 sous la main pour tester. 
On verra cela demain ou dimanche, car là je ne suis plus disponible 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Désolé pour le retard mais j'étais absent ce week end

Par défaut, la nouvelle version d'Antivir bloque tous les autorun.inf même légitime. 
Tu peux désactiver cette nouvelle fonctionnalité comme ceci : 

* Configuration > Coche Mode expert 
* Guard > Recherche > Action si résultat positif > Autodémarrage 
* Décoche "Bloquer la fonction d'autodémarrage" 

Smart

Smart91 · Answer

De rien. Pour les raccourcis des progremmes dans le menu démarré, je n'ai pas beaucoup de temps en ce moment et en plus je n'ai pas de Windows 7 pour tester. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

roroo07 · Answer

ok mais je pense pas que sa change énormément entre windows xp ou windows 7 il ont garder les grandes lignes

A l'aide mon ordinateur est infecter

37 réponses

Votre réponse

Newsletters