Phishing Résolu/Fermé

Question

Bonjour, je me suis trouve dirige a mon insu hier sur un site me reclamant 100? pour me redonner acces a mon ordi... Apres avoir tout plante puis redemarre en utilisant anti malware, spybot, multivirus cleaner et cc cleaner, adware, avoir fait un scandisk, mon ordi bug toujours avec une connexion internet bloquee apres quelques minutes et une impossibilite de fermer sauf directement a l alim... Je suis preneur d un conseil (XP, Firefox 11)

Configuration: iPhone - iPhone OS 5.0.1

Fish66 · Answer

Bonjour,

Nous allons effectuer un diagnostic de ton PC: 
*Télécharge ZHPDiag sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag" 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : http://pjjoint.malekal.com/
Si indisponible, tu peux essayer avec l'un de ces liens: 
https://www.terafiles.net/
https://www.casimages.com/

* Tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

Hébergement de rapport sur pjjoint.malekal.com

Rends toi sur pjjoint.malekal.com  
* Clique sur le bouton Parcourir  
* Sélectionne le fichier que tu veux héberger et clique sur Ouvrir  
* Clique sur le bouton Envoyer  
* Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015  

* Copie le lien dans ta prochaine réponse.   

@+

cgfd · Answer

Merci, je poste cela en fin de journee !

Fish66 · Answer

Re,

D'accord :-)

@+

Fish66 · Answer

Bonjour, Fais ceci suivant l'ordre stp : 1/ Télécharge AdwCleaner (merci à Xplode) Lance AdwCleaner Clique sur le bouton [ Suppression ] Patiente... Poste le rapport qui apparait en fin de recherche. Il se trouve également à C:\AdwCleaner[SX] (où X est un chiffre) 2/ * Télécharge de AD-Remover sur ton Bureau. http://security-domain.be/download/AD-Remover.html /!\ Ferme toutes applications en cours /!\ - Double sur l'icône Ad-remover située sur ton Bureau. -Pour vista/Seven : clique avec le bouton droit de la souris et choisis « exécuter en tant qu'administrateur » - Sur la page, clique sur le bouton « chercher » - Confirme lancement du scan - Laisse travailler l'outil. - Poste le rapport qui apparaît à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c 3/ * Telecharge et install link officiel : >>>USBFix ICI<<< ou : >>> ICI <<< (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir * Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris :exécuter en tant qu'administrateur pour vista/seven), l'installation se fera automatiquement * Clique sur "Recherche" * Laisse travailler l'outil * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur : C:\UsbFix.txt ) @+

Fish66 · Answer

Bonjour,
1/
/!\ Ferme toutes applications en cours /!\ 

- Double  sur l'icône Ad-remover située sur ton Bureau. 
-Pour vista/Seven : clique avec le bouton droit de la souris  et choisis « exécuter en tant qu'administrateur » 
- Sur la page, clique sur le bouton « Nettoyer »
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c

2/
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir   

* Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris   

:exécuter en tant qu'administrateur pour vista/seven), l'installation se fera   

automatiquement   

* Clique sur "Suppression"   

* Laisse travailler l'outil 

* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi  sauvegardé a la racine du disque dur : C:\UsbFix.txt  ) 

3/
* Lance Malwarebytes' Anti-Malware  
* Fais la mise à jour  
* Clique dans l'onglet  "Recherche"  
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"  
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"  

A la fin de l'analyse, si MBAM n'a rien trouvé :  

* Clique sur OK, le rapport s'ouvre spontanément  

Si des menaces ont été détectées :  

* Clique sur OK puis "Afficher les résultats"  
*Vérifie que toutes les lignes sont cochées 
* Choisis l'option "Supprimer la sélection"  
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"  
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"  

* Copie/colle le rapport dans le prochain message  


Remarque : 
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant  ce fichier puis en l'exécutant.

@+

cgfd · Answer

Bonjour, je viens de tout bloquer, je relance demain soir!

Fish66 · Answer

Bonjour,

Lance ZHPDiag depuis le bureau, clique sur l'onglet vert (flèche bas) pour faire la mise à jour et prépare stp un nouveau rapport ZHPDiag

@+

Fish66 · Answer

Bonjour, 1/ * Désinstalle spybot, il ne sert à rien * Désinstalle également : SPYWAREfighter Un antispyware gratuit ne sert à rien * Désinstalle aussi : O42 - Logiciel: Force Download Toolbar O42 - Logiciel: Protection ZoneAlarm Toolbar O42 - Logiciel: SweetIM Toolbar for Internet Explorer 2/ Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) O2 - BHO: (no name) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Infection BT (Adware.SocialSkinz) O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\OfferBoxUpdate.job => Infection PUP (PUP.OfferBox) [HKLM\Software\AntimalwareSolution] => Infection BT (Mal/Generic-A) O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\Nosibay => Infection PUP (Adware.SPointer) FirewallRAZ EmptyTemp EmptyFlash Puis Lance ZHPFix depuis le raccourci du bureau . * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. Clique sur le bouton GO Copie/Colle le rapport à l'écran dans ton prochain message. 3/ * Telecharge et install link officiel : >>>USBFix ICI<<< ou : >>> ICI <<< (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir * Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris :exécuter en tant qu'administrateur pour vista/seven), l'installation se fera automatiquement * Clique sur "Suppression" * Laisse travailler l'outil * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur : C:\UsbFix.txt ) @+

Fish66 · Answer

Bonjour,

Avant d'utiliser ComboFix :  

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :  

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix  

* Télécharge Defogger (de jpshortstuff) sur ton Bureau  
* Lance le  

* Une fenêtre apparait : clique sur "Disable"  

* Fais redémarrer l'ordinateur si l'outil te le demande  

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"  

===================================================  

Attention, avant de commencer, lit attentivement la procédure  

******************************************************** 

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\  

* Fais un clic droit sur ce lien, enregistre le dans ton bureau 
Voici Aide combofix 

* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  
 

*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)  

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets internet)  

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

*Note : Le rapport se trouve également là : C:\ComboFix.txt

@+

Fish66 · Answer

Salut, =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ----------------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : * Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) * Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : * Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : __________________________________________________ KillAll:: Folder:: c:\program files\Force Download Toolbar Rootkit:: d:\docume~1\fd\LOCALS~1\Temp\pfsvgae.sys Driver:: pfsvgae Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PHIME2002ASync"=- "PHIME2002A"=- "tsnp2std"=- __________________________________________________ * Enregistre ce fichier sous le nom CFScript * Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif * Combofix se lance, laisse toi guider.. * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! * Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt @+

Fish66 · Answer

Bonjour,

* Ouvre ton menu démarrer  

-> Si tu es sur XP, ouvre exécuter, tape cmd et valide par pression sur la touche Enter  

-> Sur Vista/Seven, dans le champ "Recherche" tape cmd , sur le résultat qui apparait, clic droit > exécuter en tant qu'administrateur  

* Dans la fenêtre noire, tape sfc /scannow et laisse Windows réparer les fichiers.

@+

Fish66 · Answer

Re,

Utilise un autre navigateur et dis moi s'il y'a une différence ! merci

@+

Fish66 · Answer

Re,

Connecte le câble d'internet directement au PC sans passer par aucun intermédiaire (box,...) . Tiens moi au courant, merci

@+

Fish66 · Answer

Bonjour,

Puisqu'en utilisant le WIFI il n'y' a aucun problème, vérifie alors les connexions, ça devrais marcher!
Utilise alors le wifi pour continuer la désinfection

Lance ZHPDiag depuis le bureau, clique sur l'onglet vert (flèche bas) pour faire la mise à jour et prépare stp un nouveau rapport ZHPDiag

@+

Fish66 · Answer

Bonjour,
1/
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 




[HKLM\Software\AntimalwareSolution]    => Infection BT (Mal/Generic-A)
R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files\Vuze_Remote\prxtbVuz2.dll
R3 - URLSearchHook: Vuze Remote Toolbar - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files\Protection_ZoneAlarm\prxtbProt.dll
O2 - BHO: Vuze Remote - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\prxtbVuz2.dll
O2 - BHO: Protection ZoneAlarm - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Protection_ZoneAlarm\prxtbProt.dll
O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\prxtbVuz2.dll
O3 - Toolbar: Protection ZoneAlarm Toolbar - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Protection_ZoneAlarm\prxtbProt.dll
O8 - Extra context menu item: Add to Windows &Live Favorites - (.not file.) - http:\favorites.live.com\quickadd.aspx
O42 - Logiciel: Protection ZoneAlarm Toolbar - (.Protection ZoneAlarm.) [HKLM]    => Protection ZoneAlarm
[HKCU\Software\Protection_ZoneAlarm]    => Toolbar.Conduit
[HKLM\Software\Protection_ZoneAlarm]    => Toolbar.Conduit
O43 - CFD:Common File Directory ----D- C:\Program Files\Protection_ZoneAlarm    => Toolbar.Conduit





Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.

2/
Avira, Pare-feu : Zone Alarm et Malwarebytes suffisent.

Je te conseille de désinstaller : Preventon AV Scanning Service

@+

Fish66 · Answer

Bonjour ,
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 



[MD5.4FA9FFFDEC24C1E99CE0A1DD1434B314] - (.Preventon Technologies Limited - Preventon AV Watch Service.) -- C:\Program Files\Fichiers communs\Common Toolkit Suite\AVEngine\AVWatchService.exe   [204760]
[MD5.38F4848F948C94F0ACB1DF47940C7862] - (.Preventon Technologies Limited - Preventon AV Scanning Service.) -- C:\Program Files\Fichiers communs\Common Toolkit Suite\AVEngine\AVScanningService.exe   [666200]
O23 - Service: AV Engine Scanning Service (AV Engine Scanning Service) . (.Preventon Technologies Limited - Preventon AV Scanning Service.) - C:\Program Files\Fichiers communs\Common Toolkit Suite\AVEngine\AVScanningService.exe    => Preventon®Antivirus
O23 - Service: AV Watch Service (AV Watch Service) . (.Preventon Technologies Limited - Preventon AV Watch Service.) - C:\Program Files\Fichiers communs\Common Toolkit Suite\AVEngine\AVWatchService.exe    => Preventon®Antivirus
[HKCU\Software\ESET]    => ESET Online Scanner
[HKLM\Software\Eset]    => ESET Online Scanner
[HKLM\Software\Panda Software]    => Panda Software
O43 - CFD:Common File Directory ----D- C:\Program Files\ESET    => ESET Online Scanner
O64 - Services: CurCS - C:\Program Files\Fichiers communs\Common Toolkit Suite\AVEngine\AVScanningService.exe - AV Engine Scanning Service (AV Engine Scanning Service)  .(.Preventon Technologies Limited - Preventon AV Scanning Service.) - LEGACY_AV_ENGINE
O64 - Services: CurCS - C:\Program Files\Fichiers communs\Common Toolkit Suite\AVEngine\AVWatchService.exe - AV Watch Service (AV Watch Service)  .(.Preventon Technologies Limited - Preventon AV Watch Service.) - LEGACY_AV_WATCH_SERVICE




Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.

@+

Fish66 · Answer

Bonjour, 1* Télécharge Avira antivir V12 à partir ce lien : http://www.commentcamarche.net/download/telecharger-55-antivir 2* Désinstalle ta version d'Avira via panneau de configuration 3* Télécharge avira-registrycleaner à partir ce lien : https://www.avira.com/fr/download/product/avira-registry-cleaner Exécute le en suivant les instructions * Exécute le fichier téléchargé en 1* pour installation ========================================= *Tu trouves le tutoriel de la configuration optimale :>>> ICI <<< ========================================== Fais une analyse de ton PC avec Avira et poste le rapport stp @+

Fish66 · Answer

Bonjour,

 * Télécharge sur le bureau RogueKiller (par tigzy)  
https://www.luanagames.com/index.fr.html  


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )  

* Quitte tous tes programmes en cours  
* Lance RogueKiller.exe.  
* Lance le  scan  
*Si le rogue empêche le lancement du programme, Renomme (RogueKiller) en "winlogon" ou "firefox". Sinon renomme le  en winlogon.exe ou firefox.exe (rajouter l'extension .exe) 
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse  
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. 

@+

Fish66 · Answer

Bonjour,

1/
Relance RogueKiller puis choisis "supprssion" et poste le rapport stp

2/ Ensuite
Relance Malwarebytes pour une analyse complète après avoir effectué la mise à jour puis poste le rapport  :-)

@+

Fish66 · Answer

Bonjour, 1/ Pour résoudre le problème d'Autorun.inf: * Ouvrir Antivir * Clique sur Configuration * Coche le Mode Expert * Sur le volet droit, clique sur Guard (à chaque fois, tu devras cliquer sur le petit +) >Recherche>action si résultat positif * Décoche Bloquer la fonction d''autodémarrage * Clique sur Accepter, puis sur OK * Tu peux fermer Antivir Aide en images : >>> ICI <<< Ou >>> ICI <<< 2/ Avant de lancer Malwarebytes relance RogueKiller puis poste le rapport (Malwarebytes doit être lancé juste après RogueKiller) @+

Fish66 · Answer

Re, 

Redémarre ton PC en mode sans échec avec prise en charge du réseau, dans ce mode tu fais suivant l'ordre comme suit : 
1/ 
Relance RogueKiller puis choisis "Suppression" 

2/ 
Ensuite tu lances Malwarebytes, tu supprimes ce qu'il trouve puis  
 tu postes le rapport 

Tiens moi au courant.. 

=========================================

Démarrage en Mode sans échec avec prise en charge réseau :


Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter 
Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer enMode sans échec avec prise en charge réseau 
puis tape entrée. 
Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal ! 
(Si F8 ne marche pas utilise la touche F5) 
==========================================
@+ 

_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Fish66 · Answer

Re, 
1/
desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

??? NE LE POSTE PAS SUR LE FORUM (il est trop long)

Le rapport à l'héberger (comme tu as fait pour le rapport ZHPDiag)

2/
Comment se comporte ton PC stp ? 

@+ 

_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Fish66 · Answer

Re,

Passant à autre chose :

* Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/ 

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau. 
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur) 

* Lance OTL 
 * Sous Personnalisation, copie-colle le texte en gras  ci-dessous : 

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c 


? Clique sur le bouton Analyse. 
? Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports. 
Donnes le lien pjjoint ici ensuite pour pouvoir être consultés.

@+

Fish66 · Answer

Re,

Relance OTL 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
* Dans la partie "Personnalisation", copie/colle les instructions suivantes : 

:OTL 
PRC - [2012/01/04 20:20:50 | 001,391,272 | ---- | M] (Ask) -- C:\Program Files\Ask.com\Updater\Updater.exe     
PRC - [2011/08/12 00:38:07 | 000,116,608 | ---- | M] (SUPERAntiSpyware.com) -- D:\Documents and Settings\fd\Mes documents\download\SASCore.exe 
FF - prefs.js..browser.search.defaultengine: "Ask.com" 
FF - prefs.js..browser.search.defaultenginename: "Ask.com" 
FF - prefs.js..browser.search.order.1: "Ask.com" 
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=867034" 
FF - prefs.js..browser.search.selectedEngine: "Ask.com" 
FF - prefs.js..browser.search.suggest.enabled: false 
FF - prefs.js..browser.search.useDBForOrder: true 
FF - prefs.js..extensions.enabledItems: {ba14329e-9550-4989-b3f2-9732e92d17cc}:2.7.1.3     
FF - prefs.js..extensions.enabledItems: {7b13ec3e-999a-4b70-b9cb-2617b8323822}:2.7.1.3     
FF - prefs.js..extensions.enabledItems: dealio@mybrowserbar.com:4.0.2 
FF - prefs.js..extensions.enabledItems: searchsettings@spigot.com:1.2.3 
FF - prefs.js..keyword.URL: "http://redirecterror.sfr.fr/?q=" 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - user.js..keyword.URL: "http://redirecterror.sfr.fr/?q=" 
[2012/01/12 23:11:56 | 000,000,000 | ---D | M] (Vuze Remote Community Toolbar) -- D:\Documents and Settings\fd\Application Data\Mozilla\Firefox\Profiles\wdpybaez.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}     
[2012/01/08 21:35:24 | 000,000,000 | ---D | M] (Protection ZoneAlarm Community Toolbar) -- D:\Documents and Settings\fd\Application Data\Mozilla\Firefox\Profiles\wdpybaez.default\extensions\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}     
[2012/02/23 01:01:52 | 000,000,000 | ---D | M] ("Avira SearchFree Toolbar plus Web Protection") -- D:\Documents and Settings\fd\Application Data\Mozilla\Firefox\Profiles\wdpybaez.default\extensions	oolbar@ask.com     
[2012/02/25 15:26:39 | 000,002,410 | ---- | M] () -- D:\Documents and Settings\fd\Application Data\Mozilla\Firefox\Profiles\wdpybaez.default\searchplugins\askcom.xml     
O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)     
O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)     
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D7F26D0E-9801-45C3-A091-8A65E4ED73B5} - No CLSID value found.




* Clique sur le bouton Correction. 
* Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC. 
* Accepte en cliquant sur OK. 
* Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément. 

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles

@+

Fish66 · Answer

Re,

Redémarre ton PC puis dis moi comment se comporte ton PC  !  :-)

@+

Fish66 · Answer

Re,

Désinstalle Firefox par le logiciel ci-dessous :

Télécharge Revo-uninstaller 

Exécute ce fichier pour installation

*******Aide Revo-uninstaller*******

=================================
*Télécharge Firefox <<<ici
*Enregistre le fichier téléchargé sur le bureau de ton PC
*Exécute ce fichier pour installation de la dernière version de Firefox

==================================

Lance la nouvelle version de Firefox en attendant tes nouvelles..

@+

Fish66 · Answer

Bonjour, Télécharge Dr Web CureIt sur ton Bureau : ? redemarre en mode sans échec ?- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ?- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ?- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ?- De retour à la fenêtre principale : clique pour activer selectionne tous les disques ?- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ?- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ?- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ?- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ?-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite héberge le rapport sur : http://pjjoint.malekal.com/ ?- Ferme Dr.Web Cureit ?- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). @+

Fish66 · Answer

Re,

Essais de relancer Pre_scan en mode normal ou sans échec

@+

Fish66 · Answer

Re,

Lance ZHPDiag depuis le bureau, clique sur l'onglet vert (flèche bas) pour faire la mise à jour et prépare stp un nouveau rapport ZHPDiag

Bonne soirée et à demain  :-)

Fish66 · Answer

Bonjour,

Mise à jour : Update du 05/02/2012

Onglet pour faire la mise à jour 

* Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

@+

Fish66 · Answer

Re,

ZhpDiag n'est pas à jour!

* Télécharge  Delfix   sur ton bureau.          
* Lance le, tape suppression puis valide          
* Patiente pendant le scan jusqu'à l'ouverture du rapport.          
* Copie/Colle le contenu du rapport dans ta prochaine réponse.          
Note : Le rapport se trouve également sous C:\DelFix.txt          

 puis refais : cette procédure à fin d'avoir un rapport ZHPDiag à jour

Merci

@+

Fish66 · Answer

Bonjour, 
1/ 
Désinstalle stp ces logiciels :  
Ask Toolbar  
Vuze Remote Toolbar  
 

2/ 
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )  



[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: Modified      
[MD5.C0393EB99A6C72C6BEF9BFC4A72B33A6] - (.SUPERAntiSpyware.com - Core Service.) -- D:\Documents and Settings\fd\Mes documents\download\SASCORE.EXE   [116608] 
O20 - Winlogon Notify: !SASWinLogon . (.SUPERAntiSpyware.com - SUPERAntiSpyware WinLogon Processor.) -- D:\Documents and Settings\fd\Mes documents\download\SASWINLO.dll  
O23 - Service: SAS Core Service (!SASCORE) . (.SUPERAntiSpyware.com - Core Service.) - D:\Documents and Settings\fd\Mes documents\download\SASCORE.exe      
O41 - Driver:  (SASDIFSV) . (.SUPERAdBlocker.com and SUPERAntiSpyware.com - SASDIFSV.SYS.) - D:\Documents and Settings\fd\Mes documents\download\SASDIFSV.sys  
O64 - Services: CurCS - 12/08/2011 - D:\Documents and Settings\fd\Mes documents\download\SASCORE.exe (!SASCORE)  .(.SUPERAntiSpyware.com - Core Service.) - LEGACY_!SASCORE  
O64 - Services: CurCS - 12/07/2011 - D:\Documents and Settings\fd\Mes documents\download\SASKUTIL.sys (SASKUTIL)  .(.SUPERAdBlocker.com and SUPERAntiSpyware.com - SASKUTIL.SYS.) - LEGACY_SASKUTIL  
[MD5.38F4848F948C94F0ACB1DF47940C7862] - (.Preventon Technologies Limited - Preventon AV Scanning Service.) -- C:\Program Files\Fichiers communs\Common Toolkit Suite\AVEngine\AVScanningService.exe   [666200] [PID.]  
[MD5.4FA9FFFDEC24C1E99CE0A1DD1434B314] - (.Preventon Technologies Limited - Preventon AV Watch Service.) -- C:\Program Files\Fichiers communs\Common Toolkit Suite\AVEngine\AVWatchService.exe   [204760] [PID.]  
O23 - Service: AV Engine Scanning Service (AV Engine Scanning Service) . (.Preventon Technologies Limited - Preventon AV Scanning Service.) - C:\Program Files\Fichiers communs\Common Toolkit Suite\AVEngine\AVScanningService.exe      
O23 - Service: AV Watch Service (AV Watch Service) . (.Preventon Technologies Limited - Preventon AV Watch Service.) - C:\Program Files\Fichiers communs\Common Toolkit Suite\AVEngine\AVWatchService.exe      
O64 - Services: CurCS - 02/02/2012 - C:\Program Files\Fichiers communs\Common Toolkit Suite\AVEngine\AVScanningService.exe (AV Engine Scanning Service)  .(.Preventon Technologies Limited - Preventon AV Scanning Service.) - LEGACY_AV_ENGINE_SCANNING_SERVI  
O64 - Services: CurCS - 02/02/2012 - C:\Program Files\Fichiers communs\Common Toolkit Suite\AVEngine\AVWatchService.exe (AV Watch Service)  .(.Preventon Technologies Limited - Preventon AV Watch Service.) - LEGACY_AV_WATCH_SERVICE  
O43 - CFD: 26/02/2012 - 17:08:50 - [2,545] ----D- C:\Program Files\Ask.com    => Toolbar.Ask 
O43 - CFD: 23/02/2012 - 00:45:20 - [0,157] ----D- D:\Documents and Settings\fd\Local Settings\Application Data\APN    => Toolbar.eBay 
O43 - CFD: 23/02/2012 - 00:45:52 - [0,408] ----D- D:\Documents and Settings\fd\Local Settings\Application Data\AskToolbar    => Toolbar.Ask 
O43 - CFD: 11/02/2012 - 16:03:12 - [11,605] ----D- D:\Documents and Settings\fd\Local Settings\Application Data\Protection_ZoneAlarm    => Toolbar.Conduit 

FirewallRAZ 
EmptyTemp 
EmptyFlash 
 


Puis Lance ZHPFix depuis le raccourci du bureau .  

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

Clique sur le bouton  GO 

Copie/Colle le rapport à l'écran dans ton prochain message. 

3/ 
* Télécharge OTM (OldTimer) sur ton Bureau  

ICI >> OTM (OldTimer)  
* Double clic "OTMoveIt3.exe"  
* Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer.  

- Copie (Ctrl+C) le texte suivant en gras ci-dessous :  


 
:files  
C:\Program Files\Ask.com      
C:\Program Files\Vuze_Remote      
D:\Documents and Settings\fd\Local Settings\Application Data\AskToolbar      
D:\Documents and Settings\fd\Local Settings\Application Data\Protection_ZoneAlarm      
D:\Documents and Settings\fd\Local Settings\Application Data\Vuze_Remote      

:Reg  
[-HKLM\Software\Classes\AppID\GenericAskToolbar.DLL]  
[-HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\OfferBox]  
[-HKLM\Software\Classes\escort.escrtBtn.1]  
[-HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd]  
[-HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1]  
[-HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]      
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4F37A8FE-00B3-430F-85AA-F97F12E8B651}]      
[-HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}]      
[-HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]      
[-HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}]      
[-HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}]      
[-HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}]      
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}]      
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]      
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]      
[-HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF]  
[-HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF]  
[-HKCU\Software\APN]      
[-HKCU\Software\Ask.com]      
[-HKCU\Software\AskToolbar]      
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}]      

:commands  
[emptytemp]  
  



- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.  
- Clique maintenant sur le bouton MoveIt!  
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.  
Accepte en cliquant sur YES.  
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\  
Le nom du rapport correspond au moment de sa création : date_heure.log 

@+ 

_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Fish66 · Answer

Bonjour,

Lance Malwarebytes pour une analyse complète après avoir effectué lamise à jour puis poste le rapport stp

@+

Fish66 · Answer

Re,

Relance le en mode sans échec avec prise en charge du réseau

@+

Fish66 · Answer

Re, Relance Combofix comme déjà expliqué : >>> ICI <<< en le renommant et en tenant comptes de toutes les précautions indiquées puis poste le rapport stp @+ _ _ _ Fish66_ _ _ I''"""""I_ _ membre contributeur sécurité_ _I''"""""I_ _ _ ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Fish66 · Answer

Salut,

Je vais me renseigner pour ton sujet  :-)

@+

Fish66 · Answer

Re,

1/
L'antivirus : AV Engine Scanning Service est til encore présent ?

si oui désinstalle le stp

2/
* télécharge ce programme : Ransomfix (merci à Xplode)
* lance le sur ta machine lorsque tu es en mode normal,
* Un rapport sera créé sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport )
* copie, colle le dans ta prochaine réponse. 

Tiens moi au courant  :-) 


@+

Fish66 · Answer

Bonjour,

Pour vérification, prépare stp un nouveau rapport ZHPDiag  :-)

@+

Fish66 · Answer

Re,

Il nous reste pas beaucoup  :-)

================================= 

1/ 
* Double clic "OTMoveIt3.exe" 
* Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer. 

- Copie (Ctrl+C) le texte suivant en gras ci-dessous : 



:Reg 
[-HKLM\Software\AntimalwareSolution]  
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4F37A8FE-00B3-430F-85AA-F97F12E8B651}]      
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}]      
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]      
[-HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine]  

:commands 
[emptytemp] 




- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved. 
- Clique maintenant sur le bouton MoveIt! 
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log  

2/ 
    Téléchargez l'outil Norton Removal Tool . 

     
    Enregistrez le fichier sur le bureau Windows. 

    Sur le bureau Windows, cliquez deux fois sur l'icône Norton Removal Tool. 

    Suivez les instructions affichées à l'écran. 

    Redémarrez l'ordinateur. 

3/ 
Désinstalle ta version d'adobe reader, on va installer la dernière version dans la prochaine étape 

@+ 


_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Fish66 · Answer

Re, Pour finir : Mise à jour Adobe reader * Télécharge Adobe reader à partir :>>>>Ce lien<<<< en décochant la case : installer McAfee Security Scan Plus (facultatif) * Désinstalle ta version d'adobe par : ajout/suppression de programme * Exécute le fichier téléchargé pour installation en suivant les instructions. Mise à jour de Java: * Tu peux vérifier ta Console Java en cliquant sur ce lien :https://www.java.com/fr/download/uninstalltool.jsp * Installe la nouvelle version si besoin (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller JavaRa: * Télécharge ce fichier à partir ce lien : http://raproducts.org/click/click.php?id=1 * Décompresse JavaRa sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. =========================================== Updatechecker : Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour =========================================== PurRa (éditeur de JavaRa) : Telecharge ici : PureRa (par l'editeur de JavaRa) Lance-le (clic droit "executer en tant qu'administrateur" pour Vista/7) => Configuration clique sur "Clean" L'outil va faire son scan puis son nettoyage à la fin du rapport tu auras une ligne comme ca : Total space cleaned: xxxxxxxx bytes transmets juste cette ligne . =========================================== **Nettoyage Suppression des outils de désinfections: * Télécharge Delfix sur ton bureau. * Lance le, tape suppression puis valide * Patiente pendant le scan jusqu'à l'ouverture du rapport. * Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt * Tu peux le desinstaller ===========================================

Défragmentation : :
Défragmente tes disques dur par defraggler      
===========================================    

Nettoyage des fichiers et des clés de registre :
* Télécharge et installe CCleaner version Slim               
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis         
* Avancé et décoche la case Effacer uniquement les fichiers etc....         
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.         
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse .         
** Aide ici : https://www.malekal.com/tutoriel-ccleaner/         
Tu peux utiliser Ccleaner une fois par semaine        

===========================================    
Purger les points de restauration système:   

* Désactive et réactive la restauration de système en suivant les procédures indiquées dans ces liens :   

Windows XP    

Windows Vista    

Windows 7    

* Après avoir vidé la restauration du système, il est nécessaire de créer un nouveau point de restauration ...   

===========================================    
Conseils :       
1/ Je te conseille d'utiliser le navigateur Firefox et d'installer les modules          
complémentaires WOT pour t'indiquer les fichiers douteux et Adblock plus pour bloquer les publicités...         

2/ Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.          

3/ Un peu de lecture :        
* Les dangers du Peer-To-Peer, Emule etc..         
* Comment Sécuriser son ordinateur...        
*Pourquoi et comment je me fais infecter  


@+

Phishing

40 réponses

Discussions similaires

Newsletters