terminer le nettoyage de virus

Question

Bonjour, 
mon faible niveau informatique, m'entraine à vous écrire. Voilà, il y a deux semaines environ j'étais sur internet qui c'est fermé brusquement et un antivirus s'est lancé automatiquement, une icône s'est placée sur mon bureau tout cela sans intervention personnelle ce fameux antivirus se nome "security protection". Dès là cet antivirus m'a alerter sur de gros problème de protection de mon ordinateur et lors de mes refus d'activer la protection qu'il me suggérer, window se fermait tout seul et grosse galère pour ré-ouvrir ma session qui se fermait dès son ouverture. Ayant 2 utilisateurs différents j'ai pu retourné sur internet et voir qu'il s'agissait d'un faux antivirus et j'ai pu me débrouiller à bloquer ses effets grâce à des conseils lus sur votre forum.
Je tournais avec avast et window defender sur le conseil d'amis, étant novice sur l'utilisation d'internet j'ai omis toute mise à jour de ces logiciel, le PC a tourné pendant 6 mois au moins sans ces mises à jour.

Pour me sortir du virus j'ai utilisé malwarebytes et réinstallé avast, la cession à l'air de fonctionner normalement mais je ne sais que faire de mes fichier que j'ai placé en quarantaine. Je m'inquiète de supprimer les fichiers de ma liste de peur d'affecter le système de mon PC et je souhaiterai terminer le nettoyage correctement car j'ai l'impression d'avoir juste bricoler pour l'instant! qui pourrai me conseiller sur le contenu de cette fameuse liste!!

Vous en remerciant par avance, 


<config>Windows Vista / mozzillaFirefox

jlpjlp · Answer

bonsoir

colle le rapport de malwarebyte

et un rapport avec l option 1 de roguekiller
https://www.luanagames.com/index.fr.html

cabrier · Answer

Salut fenouil,

Tu as surement pris un rogue !
C'est un programme qui est censé te faire peur pour que tu achète un logiciel antimalware et qui en fait te rajoutera des malwares.

Télécharge sur le bureau 
https://www.luanagames.com/index.fr.html
Quitte tous tes programmes en cours
Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
Lorsque demandé, tape 1 [SCAN]et valide
Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.
* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe vraiment pas, renommez le fichier Roguekiller.exe en Winlogon.exe et réessayez.
@+

cabrier · Answer

Désolé jlpjlp, je te laisse la main !

cabrier · Answer

En fait la réponse est là !
http://tigzyrk.blogspot.com/2011/07/rogue-security-protection.html

fenouil66 · Answer

desol j'avais pas roguekiller et pas d'expérience dans ces manip j'ai les 2 rapports en txt sur mon bureau et je vais un peu abuser et faire sourire mais comment les joindres à mon message (ctrl C+ ctrl V ca marche pas)

MERCI pour ton aide

fenouil66 · Answer

ca y est j ai trouver comment poster les rapports je refais une analyse par malewarebyte car j'ai que le rapport de quand j'ai fait la manip quand j ai eu le soucis je poste le rapport actuel

jlpjlp · Answer

tu fais passer avec effectivement ctrl 
+c  : comme ceci :


https://www.commentcamarche.net/infos/25923-faire-un-copier-coller/


ou sinon pour transmettre ton rapport:
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

fenouil66 · Answer

Le rapport actuel de malewarebyte parait nettement plus léger que le précédent

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7622

Windows 6.0.6000
Internet Explorer 7.0.6000.16890

31/08/2011 22:41:43
mbam-log-2011-08-31 (22-41-30).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 167643
Temps écoulé: 6 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Juju\downloads\everest poker(2).exe (PUP.Casino) -> No action taken.
c:\Users\Juju\downloads\everest poker.exe (PUP.Casino) -> No action taken.
c:\Users\Juju\downloads\everest poker.fr.exe (PUP.Casino) -> No action taken.

CELUI DE RK

RogueKiller V5.3.4 [30/08/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Juju [Droits d'admin]
Mode: Recherche -- Date : 31/08/2011 22:13:07

Processus malicieux: 1
[SUSP PATH] lsnfier.exe -- c:\users\juju\appdata\roaming\microsoft\notification de cadeaux msn\lsnfier.exe -> KILLED [TermProc]

Entrees de registre: 6
[BLACKLIST] HKLM\[...]\services : usnjsvc ("C:\Program Files\MSN Messenger\usnsvc.exe") -> FOUND
[BLACKLIST] HKLM\[...]\services : usnjsvc ("C:\Program Files\MSN Messenger\usnsvc.exe") -> FOUND
[SUSP PATH] Notification de cadeaux MSN.lnk : C:\Users\Juju\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe -> FOUND
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (134.212.194.4:80) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

Fichiers / Dossiers particuliers:
[FOLDER] plugs : c:\users\juju\appdata\roaming\adobe\plugs --> FOUND
[FOLDER] shed : c:\users\juju\appdata\roaming\adobe\shed --> FOUND

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

jlpjlp · Answer

ok fais l'option 2 de roguekiller


puis


Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

ou sinon pour transmettre ton rapport:
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

fenouil66 · Answer

chose faites, adresse du lien
merci pour les explications

http://www.cijoint.fr/cjlink.php?file=cj201108/cijA7RA2nk.txt

jlpjlp · Answer

ok il y en a encore ... 


* télécharge adwcelaner et colle un rapport de suppression avec 
http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner 

* puis colle un rapport de suppression avec ad remover 




* puis télécharger tdsskiller et colle un rapport avec : 

* puis  colle un rapport avec un des 4 premeirs antivirus en ligne <== ici 

* puis remets pour conclure un rapport zhpdiag tout neuf et explique tes problèmes actuels 


a plus

fenouil66 · Answer

commence à nager un peu, je lance la recherche dans adwcleaner j'ai un rapport txt qui s'affiche, dois je faire une suppression dans le même logiciel ensuite?
désolé un peu dépasser je prèfère demander avant de faire une bêtise

fenouil66 · Answer

je colle tous les rapport ensemble (ou un par un) sur le forum ou tous sur cijoint?

jlpjlp · Answer

comme tu le sens :)

cela m'est égal

mais faire dans l'ordre pour ne pas interferer les rapports

je repasse demain

fenouil66 · Answer

bonjour, j'ai pu faire ce qui était demandé en respectant l'ordre des procédures, je tiens juste à préciser que lorsque j'ai réalisé le scan en ligne je n'est réalisé aucune action de suppression ou autre proposées le rapport est celui de l'analyse brute, 
De retour du travail après 19H encore merci

ADWCLEANER
http://www.cijoint.fr/cjlink.php?file=cj201109/cijARntdUV.txt

ADREMOVER
http://www.cijoint.fr/cjlink.php?file=cj201109/cijOnirxt2.txt

TDSSKILLER
http://www.cijoint.fr/cjlink.php?file=cj201109/cijPIEUTmL.txt

SCAN EN LIGNE
http://www.cijoint.fr/cjlink.php?file=cj201109/cijJFkevCm.txt

ZHPDIAG
http://www.cijoint.fr/cjlink.php?file=cj201109/cijhWAXNfh.txt

jlpjlp · Answer

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

---------------------------------------------------------- 

c:\program files\mozilla firefox\extensions\{a89aed22-9133-424c-88e7-c8235c5ff302}\install.js
c:\windows\system32\config\systemprofile\appdata\local\microsoft\windows	emporary internet files\content.ie5\464elodf\upgrade[7].cab
c:\users\juju\appdata\locallow\sun\java\deployment\cache\6.0\31\6468271f-7f8cb4df
c:\users\juju\appdata\locallow\sun\java\deployment\cache\6.0\31\6468271f-5e4faa19
c:\users\juju\appdata\locallow\sun\java\deployment\cache\6.0\12
\328deacc-27506157
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\ForceRenive]  
[HKLM\Software\CrazyLoader] 
C:\Users\Juju\AppData\Roaming	eamspeak2   



----------------------------------------------------------
- Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse




ensuite passe un coup de ccleaner pour nettoyer les traces du pc


et enfin delfix pour supprimer ce qui a été utilisé (option de suppression) puis désinstalle delfix


voilà

dis nous comment va ton pc

a plus

fenouil66 · Answer

J ai lancé ZHPFIX et suite au nettoyage j'ai plus mon bureau et de barre des taches, je n'est plus que le gestionnaire des taches pour naviguer, de plus croyant avoir fait une bourde j'ai relancé ZHPFIX j'ai donc deux rapports je les postes
(je n'ait pas fait les étapes suivant ZHPFIX)

http://www.cijoint.fr/cjlink.php?file=cj201109/cijuRvhfKD.txt

http://www.cijoint.fr/cjlink.php?file=cj201109/cij4B5Rq2c.txt

jlpjlp · Answer

en redemarrant le pc cela persiste?

ne fais pas ccleaner et delfix et la suite pour le moment

fenouil66 · Answer

trop tard pour ccleaner je l'ai lancé via le gestionnaire des taches (entre les 2 rapports de ZHPFIX ci dessus) désolé je me suis senti bloqué j'aurai pas du faire, 
desolé pour l'attente de ma réponse j ai un peu galéré à faire un redémarrage propre, Ceci fait tout est revenu sur mon bureau, la barre des taches également

jlpjlp · Answer

ok si tout est revenu tu peux faire tout le reste

fenouil66 · Answer

taches terminées, l'icône du raccourci "security protection" est toujours sur le bureau, mais son icône à changée et par un clic droit dessus seul l'onglet "raccourcis" est dispo tout les autres affiche le message comme quoi le fichier "C:ect......." dans la cîble n'est pas valide, vérifier que le chemin d'accès soit correct, qu'en faire je le jette à la poubelle? Ma zone quarantaine d'avast est toujours remplie puisje supprimer ces fichiers maintenant??

Au cas ou le rapport de DELFIX

 http://www.cijoint.fr/cjlink.php?file=cj201109/cijH3Rgwcv.txt

Après puis je jeter tous les fichiers textes que j'ai sauver sur mon bureau tout au long des étapes

Merci encore

jlpjlp · Answer

remet un rapport roguekiller option 1

et zhpdiag

fenouil66 · Answer

ca y est
rapport roguekiller

http://www.cijoint.fr/cjlink.php?file=cj201109/cijyQqUgC0.txt

et zhpdiag

http://www.cijoint.fr/cjlink.php?file=cj201109/cijTzxPUnW.txt

jlpjlp · Answer

colle un rapport avec tdss

    Téléchargez TDSSKiller sur votre bureau


https://support.kaspersky.com/downloads/utils/tdsskiller.zip

    Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
    Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Cochez les et cliquez sur "Delete/Repair Selected".

    Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").



Informations complémentaires sur cet outil :
https://support.kaspersky.com/5350

fenouil66 · Answer

rien ne s'est affiché après l'analyse,
voici le rapport

http://www.cijoint.fr/cjlink.php?file=cj201109/cijgyi9wbS.txt

jlpjlp · Answer

- désinstalle cette barre de recherche:   Recherche France Toolbar  

- refais un rapport tdsskiller (supprime ce qui est trouvé)  

car tu as ignoré :
2011/09/01 22:00:09.0387 1540	LockedFile.Multi.Generic(sptd) - User select action: Skip 

- suivi d'un rapport zhpdiag et explique tes problèmes ensuite

jlpjlp · Answer

et 

l'onglet "raccourcis" est dispo tout les autres affiche le message comme quoi le fichier "C:ect......." dans la cîble n'est pas valide, vérifier que le chemin d'accès soit correct, qu'en faire je le jette à la poubelle?

OUI VIRE

 Ma zone quarantaine d'avast est toujours remplie puisje supprimer ces fichiers maintenant?? 

OUI SUPPRIME TOUT

fenouil66 · Answer

Rapport TDSSKILLER

http://www.cijoint.fr/cjlink.php?file=cj201109/cijgkARLUy.txt

et ZHPdiag
http://www.cijoint.fr/cjlink.php?file=cj201109/cijZuyAE3V.txt

le pc à l'air de tourner comme il faut je voudrais juste savoir si je peu maintenant supprimer ce qui traine dans ma zone quarantaine d'avast?

fenouil66 · Answer

Sincèrement désolé pour les répétitions pour virer les éléments, j'ai eu tes réponses en décalé !
sorry,

fenouil66 · Answer

ca y est tout supprimé, tu pense que je dois refaire la manip TDSSKILL + ZHPDIAG vu que je viens à peine de les sup maintenant?

jlpjlp · Answer

oui il faut être sûr qu'il n'y a plus d'infection car tu as ceci:
https://www.commentcamarche.net/faq/18103-supprimer-le-rootkit-w32-tdss-alureon

fenouil66 · Answer

bonjour, je reprend la discution que maintenant j ai vraiment eu pas mal de boulot hier, je relance donc un coup de TDSSKILL et ZHPDIAG et poste le rapport

Merci pour tout

fenouil66 · Answer

rapport TDSSKILL
http://www.cijoint.fr/cjlink.php?file=cj201109/cijupssffh.txt

ZHPDIAG

http://www.cijoint.fr/cjlink.php?file=cj201109/cijn9DM5Y1.txt

jlpjlp · Answer

ok comment va le pc ?

colle un rapport de recherche avec usbfix après avoir branché tes supports externes

http://www.teamxscript.org/usbfix.html

fenouil66 · Answer

bonsoir, fini le week-end et enfin la journée de boulot ! Je reprend ce soir car je voulais te laisser tranquille le week-end, je n'ai pas pu télécharger USBFIX depuis le lien, je précise que je n'ai pas d'accessoires en usb hormis la clé que j'ai utilisé pour sauver toutes mes photos avant de m'attaquer au virus, pense tu qu'il soit préférable de faire une analyse de ma clé, je me débrouille à ce moment là pour télécharger USBFIX, à part ça le PC va bien aucun signes anormal, j'ai relancer un scan d'avast qui ressort vierge

Merci,

fenouil66 · Answer

J ai télécharger USBFIX voici le rapport
http://www.cijoint.fr/cjlink.php?file=cj201109/cij6x6n1wV.txt

jlpjlp · Answer

ok colle un rapport de nettoyage avec usbfix

puis colle un rapport de suppression avec delfix

puis désisntalle delfix

puis désactive ta restauration système pour purger les virus sauvegardés dedans puis réactive la et crée un nouveau point de restauration https://www.bing.com/search?q=d%C3%A9sactiver+restauration&form=MOZSBR&pc=MOZI&toHttps=1&redig=A11FE80AB8744C6F89A8C34599387927



si tout est ok c'est bon pour toi !!!

fenouil66 · Answer

J'ai fait une bétise j'ai enchainé les 2 étapes sans collé le rapport de nettoyage usbfix résultat après delfix y a plus rien dedans, j'envoi quand même celui de delfix 

http://www.cijoint.fr/cjlink.php?file=cj201109/cijhc9I17x.txt

je ne fait peut être pas la suite??

je sens bien que je vais encore t'enquiquiner demain! 

en tout cas merci pour tout,

jlpjlp · Answer

pas grave


refais usbfix option 1 et colle le rapport puis désinstalle usbfix 

puis fais le reste indiqué

a plus

fenouil66 · Answer

désoler pour mes réponses tardives le boulot à repris comme il faut et donc un peu de manque de temps perso! dans l'ordre ce coup ci, rapport usbfix option 1? j'ai juger que c'était l'option "recherche"

http://www.cijoint.fr/cjlink.php?file=cj201109/cijB0Nvmnq.txt

je continu,

merci pour toutes tes réponses,

fenouil66 · Answer

rapport delfix

http://www.cijoint.fr/cjlink.php?file=cj201109/cijUQcMQ2h.txt

fenouil66 · Answer

ca y est j ai fait la désactivation et réactivation avec un point de restauration, on va bien voir comment ce comporte l'ordi

merci

jlpjlp · Answer

ok c'est tout bon!

tu diras dans quelques jours ou semaines si tout est ok

bonne suite

fenouil66 · Answer

Bravo les génies, un grand merci pour toute cette disponibilité et ces aiguillages à travers tes messages, je tiendrai au jus sur ce qu'il en est, dommage si j'avais une adresse je t'enverrai volontiers un peu de vin de chez nous c'est largement mériter  ! vraiment merci à bientôt je tiendrai au courant quoi qu'il arrive

Terminer le nettoyage de virus

44 réponses

Discussions similaires

Newsletters