Besoin d'aide pour enlever virus

Bonjour
Val693, Ad Aware est une daube, et ne fera pas le poids face à un rootkit
Si tu veux aider à la désinfection, je te conseille de faire une formation

suzuki123
Tu vas suivre mes conseils :
Déjà, vide la quarantaine de Malwarebytes

Ensuite, ton PC est infecté par un rootkit et autres

Télécharge TDSSKiller (de Kaspersky) sur ton bureau
https://support.kaspersky.com/downloads/utils/tdsskiller.exe

Double clique sur TDSSKiller pour le lancer (avec Vista/Seven, clic droit
dessus, et sur exécuter en tant qu'administrateur

Clique sur Start scan, et laisse l'outil travailler

Si des fichiers infectés sont trouvés, une nouvelle fenêtre va s'ouvrir

Si TDSS. tdl2 est détecté, l'option delete sera cochée par défaut

Si TDSS.tdl3 est détecté, vérifie que Cure est bien cochée

Si TDSS.tdl4 (\HardDisk0\MBR) est détecté, vérifie que Cure
est bien cochée

Si Suspicious file est indiqué, laisse l'option cochée sur Skip

Clique sur Continue, puis sur Reboot now pour
redémarrer le PC

Poste le rapport qui est sauvegardé dans C:\TDSSKiller_Quarantine\
JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS
heure de passage).

Ensuite
Télécharge Ad-Remover sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
https://www.androidworld.fr/ ( Miroir )

/!\ Ferme toutes tes applications ouvertes. /!\

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur Nettoyer.
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Il est sauvegardé dans C:\Ad-Remover-CLEAN[1].txt

Merci pour votre aide.

J'ai suivi la méthode de Jawa.

Rapport TDSSkiller : https://www.cjoint.com/?AHqr2qI3tV0
détection suspicious donc j'ai laissé skip.

et le rapport Ad-Remover :

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:41:16 le 16/08/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
Jerome@CHEZ-B7DAF5F03F ( )

============== ACTION(S) ==============

Service: "Application Updater" Stoppé et supprimé

Dossier supprimé: C:\Program Files\Application Updater
Dossier supprimé: C:\Documents and Settings\Jerome\Application Data\pdfforge
Dossier supprimé: C:\Program Files\pdfforge Toolbar
Dossier supprimé: C:\Documents and Settings\Jerome\Application Data\Search Settings
Dossier supprimé: C:\Program Files\Fichiers communs\Spigot

(!) -- Fichiers temporaires supprimés.

Clé supprimée: HKLM\Software\Application Updater
Clé supprimée: HKLM\Software\pdfforge
Clé supprimée: HKLM\Software\Search Settings
Clé supprimée: HKCU\Software\AppDataLow\Software\pdfforge
Clé supprimée: HKCU\Software\AppDataLow\Software\Search Settings
Clé supprimée: HKLM\Software\Classes\Installer\Products\53F25BCB65C42F943A6DDFDE450B8174
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\53F25BCB65C42F943A6DDFDE450B8174

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings

============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [5.0.1 (fr)] ****

HKLM_MozillaPlugins\Adobe Reader (x)
Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)

-- C:\Documents and Settings\Jerome\Application Data\Mozilla\FireFox\Profiles\7wvwsgq5.default --
Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Jerome\\Bureau
Prefs.js - browser.startup.homepage, www.google.com
Prefs.js - browser.startup.homepage_override.buildID, 20110707182747
Prefs.js - browser.startup.homepage_override.mstone, rv:5.0.1

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
HKCU_Extensions\SolidConverterPDF - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{259F616C-A300-44F5-B04A-ED001A26C85C} (?)
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 68 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 12 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 16/08/2011 17:41:46 (2918 Octet(s))

Fin à: 17:42:29, 16/08/2011

============== E.O.F ==============

Je pense pas avoir le temps de lire les prochaines instructions, je reviens vers toi demain matin.

Merci encore.

A plus.

Bonjour
Relance ZHPDiag, et clique sur la flèche verte
Télécharge et installe la nouvelle version
Ensuite relance ZHPDiag et clique sur la loupe pour le scan, puis héberge
le rapport, et transmet moi le lien

C'est fait.

Voici le lien ZHPDiag :

https://www.cjoint.com/?AHsoL1BBUyQ

On va vérifier quelque choses, car je vois des choses louches dans le rapport

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

* Télécharge Defogger (de jpshortstuff) sur ton Bureau
* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

Il faut impérativement désactiver tous tes logiciels de protection (antivirus,
antispyware, pare-feu) pour utiliser ce programme
Télécharge Gmer http://www.gmer.net/
* Clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.

Ok, c'est bon.

Le scan Gmer a pris un peu de temps.

Rapport Defogger:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 15:15 on 18/08/2011 (Jerome)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCU:AlcoholAutomount -> Removed

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)

-=E.O.F=-
-------------------------------------------------------------------------------------------------------

Rapport Gmer : https://www.cjoint.com/?AHsrnDlTVIz

Bien apparemment, le rootkit n'y ai plus, mais y'a des restants

On va cibler les restant avec ZHPFix

Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier

O81 - IFC: Internet Feature Controls [HKLM] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (tdssserv.Root)
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)
C:\Documents and Settings\Jerome\Application Data\B0D272F992AE71E89509FAE4A3F6716F => Infection Rogue (Possible)
[HKLM\Software\Classes\Installer\Features\53F25BCB65C42F943A6DDFDE450B8174] => Infection BT (Adware.BHO)
O43 - CFD: 26/05/2010 - 00:36:06 - [9069504] ----D- C:\Program Files\antivirus MS =>
O41 - Driver: (MpKsldea979df) . (. - .) - C:\WINDOWS\system32\MpEngineStore\MpKsldea979df.sys (.not file.) => Fichier absent
O43 - CFD: 16/08/2011 - 15:48:46 - [23025] ----D- C:\Program Files\PokerStars => PartyGaming PokerStars
O44 - LFC:[MD5.99F8C6EFEAEAE99DBE9516CB72E19F76] - 16/08/2011 - 16:42:29 ---A- . (...) -- C:\Ad-Report-CLEAN[1].txt [3488]
O64 - Services: CurCS - ??/??/???? - C:\WINDOWS\system32\MpEngineStore\MpKsldea979df.sys (.not file.) - MpKsldea979df (MpKsldea979df) .(...) - LEGACY_MPKSLDEA979DF => Fichier absent


* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Note: le rapport est sauvegardé dans C:\ZHP\ZHPFixReport.txt

Redémarre ton PC

Ensuite, poste moi un nouveau rapport ZHPDiag

Bonjour,

Voici le rapport ZHPFix :

Rapport de ZHPFix 1.12.3356 par Nicolas Coolman, Update du 17/08/2011
Fichier d'export Registre :
Run by Jerome at 19/08/2011 11:19:53
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Classes\Installer\Features\53F25BCB65C42F943A6DDFDE450B8174
SUPPRIME Driver Key: MpKsldea979df
SUPPRIME Key: Service Legacy: LEGACY_MPKSLDEA979DF

========== Valeur(s) du Registre ==========
SUPPRIME IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe

========== Fichier(s) ==========
SUPPRIME c:\ad-report-clean[1].txt

========== Récapitulatif ==========
3 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Fichier(s)

End of the scan in 00mn 05s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 19/08/2011 11:19:53 [902]
-------------------------------------------------------------------------------------------------------

et le rapport ZHPDiag : https://www.cjoint.com/?AHtlA0U9j2N

Merci. A+

Bonjour
Tu vas supprimer le dossier suivant :

Démarrer>exécuter, tape "%APPDATA%", et valide
Ensuite, supprime ce dossier
C:\Documents and Settings\Jerome\Application Data\B0D272F992AE71E89509FAE4A3F6716F

OK, c'est fait.

Surtout, vide la corbeille

On va nettoyer les outils qui ont servi :

Télécharge Del Fix (de Xplode), sur ton bureau

http://www.general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/3-delfix

Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)

Sélectionne Suppression

Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.

Voila le rapport DelFix :

# DelFix v8.1 - Rapport créé le 19/08/2011 à 18:07
# Mis à jour le 20/06/11 à 19h par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Jerome - CHEZ-B7DAF5F03F (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Jerome\Bureau\DelFix-8.1.exe
# Option [Suppression]

~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\Scan
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\TDSSKiller.2.5.15.0_16.08.2011_17.35.35_log.txt
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\Jerome\defogger_reenable
Supprimé : C:\Documents and Settings\Jerome\Bureau\AD-R.exe
Supprimé : C:\Documents and Settings\Jerome\Bureau\Ad-Remover.lnk
Supprimé : C:\Documents and Settings\Jerome\Bureau\Defogger.exe
Supprimé : C:\Documents and Settings\Jerome\Bureau\defogger_disable.log
Supprimé : C:\Documents and Settings\Jerome\Bureau\tdsskiller.exe
Supprimé : C:\Documents and Settings\Jerome\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Jerome\Bureau\ZHPDiag2.exe
Supprimé : C:\Documents and Settings\Jerome\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
ACL -> [F] & Clé Supprimée : HKLM\SOFTWARE\Swearware

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [2257 octets] ##########

Ok, c'est fait.

Dernières recommandations pour préserver et entretenir ton PC:

*Il faut garder Malwarebytes pour scanner une fois de temps en temps ton PC, et
pense à le mettre à jour avant chaque scan.
*Pense à garder à jour Windows et tous tes logiciels pour éviter les failles de sécurité
*Nettoye ton PC régulièrement avec C Cleaner.
*Il faut défragmenter régulièrement le disque dur pour éviter les ralentissements,
et une usure trop rapide du disque dur.
*Soit prudent quand tu surfes, et fait attention lorsque tu installes un logiciel gratuit
et que tu le mets à jour, il faut refuser les compléments, telles que les barres d'outil.
*Ne télécharge pas de logiciel que tu ne connais pas, sur des sites que
tu ne connais pas.
*Mieux vaut télécharger des logiciels connus sur des sites de très bonne réputation,
si tu as un doute sur un logiciel que tu veux télécharger, vérifie d'abord sa légitimité.
Je conseille de télécharger les logiciels sur les sites officiels.
*Les logicels P2P( Shaeraza, Bittorent, Emule, limewire), sont à bannir, car
on risque de télécharger avec des fichiers infectés. Attention, ne télécharge jamais
de cracks avec les logiciels P2P, car tu risques d'attraper le Bagle (ver), ou le Virut,
virus dangereux.
*Sache que le meilleur anti-virus, c'est ta propre vigilence.
*Fait très attention aussi aux pubs qui proposent des faux logiciels de sécurité,
des faux anti-spyware, et des faux nettoyeurs de registre, qui sont appelés rogues,
ne clique jamais sur les bannières publicitaires, et fait attention aux fausses pages
de scan qui te proposent sans rien installer, de scanner ton PC pour voir s'il
est infecté, en fait, ils te proposent un rogue qui va s'installer sans autorisation
sur ton PC, puis va effectuer de faux balayages, va afficher de fausses alertes
pour te pousser à acheter une version commerciale.
*Evite le plus possible les sites de streaming qui son piégés par des rogues.
*Ne télécharge aussi jamais de logiciels proposés par EoRezo, car ils sont
néfastes. Ils peuvent modifier la page d'accueil et la base de registre, puis évite
de télécharger Tuto4PC, car c'est néfaste
*Evite de t'inscrire sur le site Chat Land, car il y a une option piégée dedans qui
par la suite peut provoquer un détournement de page d'accueil de ton navigateur
et modifier le moteur de recherche
*Il est indispensable de faire des sauvegardes régulièrement dans un support
externe, car en cas d'infection, tu auras un double des tes documents importants.

Pour ceux qui ont Firefox, je conseille ce module qui nous prévient si on visite
un site dangereux
https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

Ok, merci pour tes conseils.

Pour vérification j'ai fait une analyse complète avec malwarebytes et mon antivirus : aucune menace détecté. C'est nickel.

Encore merci pour ton aide.

Bonne continuation.

Bonjour
Cool
Bonne journée