aide sur PC infecté Résolu/Fermé

Question

Bonjour,
j'ai adepuis une semaine des trojan qui se baladent sur mon PC et je sollicite votre aide bienveillante afin d'eradiquer ces vilaines bestioles

config: Windows XP sp2, iE6, antivir Free, AVG anti spyware 7.5 (delai de protection residente dépassé) et connection bas débit (campagne profonde!)
J'ai fait un rapport Hijackthis juste après ouverture du PC, ensuite je me suis connecté et ouvert IE afin de rejoindre votre site, s'en suit 2 alertes Antivir consécutives sur le même trojan : TR/Crypt.Xpack.GEN (mis en quarantaine)... alors que jusqu'à présent je nai été alerté régulièrement que sur 2 autre trojans TR/Dropper.GEN et TR/Rootkit.GEN

(je ne sais jamais vraiment quoi faire dans les propositions d'antiviir deny, quarantaine ou eliminer? peut être quelques explications sur deny?)

Merci d'avance pour votre aide.

le rapport:

========================================================================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:43:03, on 05/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\sm56hlpr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HTJ.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /M "Stylus Photo R200" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

Le sioux · Answer

Bonsoir Richard

On va s'occuper de cela ;)

Afin de suivre la procédure correctement, je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
(Note: tu n'auras pas accès à Internet à partir du moment ou te redémarreras en mode sans échec)
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection

1) Télécharge SDFix d' AndyManchesta 

  http://downloads.andymanchesta.com/RemovalTools/SDFix.exe   sur ton Bureau.

Double clique sur SDFix.exe et choisis Install. L'outil sera extrait à la racine du lecteur système (généralement le C:\)
N y touche pas pour l instant.

2) Redémarre en mode sans échec

Regarde ici si besoin avant ici  : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8]  (ou [F5]  sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuie sur  [Entrée] 
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre. 

Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut.

3) SDFix
    * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
    * Appuie sur Y pour commencer le processus de nettoyage.
    * Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    * Appuie sur une touche pour redémarrer le PC.
    * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
·	Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

4) Rapports :

Poste un nouveau rapport HijackThis et le rapport de SDFix en réponse.

@ suivre

PS pour Antivir, utilises essentiellement Delete ou Quarantine, en pensant à la vider par la suite

Le sioux · Answer

Re

J'en pense que l on va tenter de réparer le mode sans échec tout d'abord ;)

Télécharge ce fichier (clic droit et Enregistrer sous) : Safeboot.reg de Malekal_Morte 

http://www.zshare.net/

Sur ton Bureau et déconnecte toi d'Internet 

Puis double clique dessus et accepte l'inscription des données.

Normalement tu devrais pouvoir accéder au mode sans échec.

Dis moi ce qu'il en est 

@+

Le sioux · Answer

Rebonsoir Richard

Merci pour ces infos, on va voir ce que l'on peut faire.

Pour la restauration, on va la réparer, mais ne t'en sert pas.

Télécharge Zebrestore http://telechargement.zebulon.fr/233-zeb-restore.html

Met le dans un dossier sur ton Bureau par exemple.

* Lance Zebrestore et coche les cases suivante :

Restauration du systeme

et clique sur le bouton "Restaurer".

Quitte le programme et dis moi si cette fonctions est réactivée, mais ne t'en sert pas, je me répète ;)

@ suivre

Le sioux · Answer

re

Ok, deccoche , attends que cela soit noté "surveillance" et clique sur appliquer, qu elle soit fonctionnelle en cas de soucis

@ +

Le sioux · Answer

Re

Je vais voir ce que l'on peut faire pour ton soucis avec le mode sans échec.

Je te tiens au courant des que possible.

@ bientôt.

Le sioux · Answer

re

OK, bon week end alors

@ dimanche soir, j'espère avoir trouver une parade d'ici la ;)

Le sioux · Answer

Re

Télécharge SREng de Smallfrogs :

http://www.kztechs.com/eng/download.html

Extraits tout son contenu sur ton Bureau.

Du dossier sreng2 qui se trouve maintenant sur ton Bureau, double-clique sur SREngPS.exe afin de lancer l'outil

Clique sur"System Repair" à gauche, puis sur l'onglet le plus à droite  "Advanced repair"

Ensuite, clique sur le boutonRepair SafeMode puis valide par OK.

Puis ferme Sreng et dis moi ce que cela donne ;)

@ suivre
Merci à FillPCA

Le sioux · Answer

Bonsoir Richard

OK, on va faire autrement.

Je repasse plus tard ;)

Le sioux · Answer

Re

1) Télécharge  Combofix.exe de sUBs sur ton Bureau,

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 N'y touche pas pour le moment.

2) Sélectionne le texte suivant (en gras)  dans son intégralité :

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinNt32]

File::
C:\WINDOWS\SYSTEM32\WinNt32.dll  

* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (Démarrer / Tous les Programmes>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde sur ton Bureau ce fichier sous le nom de CFScript  

/!\ Déconnecte toi du net et désactive ton antivirus  pour que Combofix puisse s'exécuter normalement. /!\

3) Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton Bureau)

Comme ici  http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif

* Une fenêtre bleue va apparaître: au message qui apparaît  Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

/!\Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\.

(Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt )

@ suivre

Le sioux · Answer

Re

Je regarde ton rapport et te dis quoi faire sous peu ;)

@ toute.

Le sioux · Answer

Re

Comme promis, au boulot ;)

ComboFix avec CFScript : 

*  Sélectionne le texte suivant (en gras)  dans son intégralité :

RENV::
C:\Documents and Settings\maison2\Mes documents\Dossier Musique & Web\Zick-Pack 72\Dossier VSTi\Cakewalk.Studio.Instruments.VSTi.v1.0-BEAT\StudioInstrumentsSetup .exe

Driver:: 
Bin73
Ekp38  
Elq73  
Flq16   
Gns84  
Hns28   
Ipu16   
Lrw40  
Msx16
Oua51   
Oua62  
Qwc17 
Qwc27  
Rbi16  
Rxd51  
Sbh16  
Vch27  
Wdi27  
Wej16
Windj84
Yfl84  
Ygl38

File::
C:\WINDOWS\system32\Drivers\Bin73.sys 
C:\WINDOWS\system32\Drivers\Ekp38.sys
C:\WINDOWS\system32\Drivers\Elq73.sys
C:\WINDOWS\system32\Drivers\Flq16.sys
C:\WINDOWS\system32\Drivers\Gns84.sys 
C:\WINDOWS\system32\Drivers\Hns28.sys
C:\WINDOWS\system32\Drivers\Ipu16.sys
C:\WINDOWS\system32\Drivers\Lrw40.sys 
C:\WINDOWS\system32\Drivers\Msx16.sys
C:\WINDOWS\system32\Drivers\Oua51.sys
C:\WINDOWS\system32\Drivers\Oua62.sys 
C:\WINDOWS\system32\Drivers\Qwc17.sys 
C:\WINDOWS\system32\Drivers\Qwc27.sys 
C:\WINDOWS\system32\Drivers\Rbi16.sys
C:\WINDOWS\system32\Drivers\Rxd51.sys 
C:\WINDOWS\system32\Drivers\Sbh16.sys
C:\WINDOWS\system32\Drivers\Vch27.sys
C:\WINDOWS\system32\Drivers\Wdi27.sys 
C:\WINDOWS\system32\Drivers\Wej16.sys 
C:\WINDOWS\system32\Drivers\Windj84.sys
C:\WINDOWS\system32\Drivers\Yfl84.sys
C:\WINDOWS\system32\Drivers\Ygl38.sys
C:\Documents and Settings\maison2\Mes documents\Dossier Musique & Web\Zick-Pack 72\Dossier VSTi\Cakewalk.Studio.Instruments.VSTi.v1.0-BEAT\StudioInstrumentsSetup .exe  

* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (Démarrer / Tous les Programmes>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde sur ton Bureau ce fichier sous le nom de CFScript  

/!\ Déconnecte toi du net et désactive ton antivirus  pour que Combofix puisse s'exécuter normalement. /!\

Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton Bureau)

Comme ici  http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif

* Une fenêtre bleue va apparaître: au message qui apparaît  Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

/!\Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\.

(Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt )

@ suivre

Remarque importante : tes mises à jours de Windows sont désactivées, on reparlera de cela par la suite.

Le sioux · Answer

Bonsoir Richard

Bien joué.

* Puis peux tu te rendre à C:\Qoobox et faire un clic droit et zipper et envoyer par mails a cette adresse stp :

https://www.bleepingcomputer.com/submit-malware.php?channel=4

Puis :

Afin de suivre la procédure correctement, je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscure, demande des explications avant de commencer la désinfection. 

1) Télécharge et installe

--  CCleaner
https://www.ccleaner.com/ccleaner/download
Choisis de préférence la version SLIM-No Toolbar.
Installe-le en prenant soin de décocher les diverses options dont la barre Yahoo et la mise à jour.
Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
 Pour les autres paramètres, laisse-le avec ses réglages par défaut.
Ferme le programme pour l’instant.

--  Malwarebyte's Anti-Malware
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware »  soit cochée. >>> clique sur OK
Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur ton Bureau.
Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK
Laisse les Mises à jour se télécharger

Tuto Malwarebyte's Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm

2) Scan avec Malwarebyte's Anti-Malware

Onglet "Recherche" >>> coche Executer un exame complet >>> Rechercher sélectionne tes disques durs puis clique sur   Lancer l’examen 
A la fin du scan >>> clique sur Afficher les résultats 
Suppression des éléments détectés >>>> clique sur  Supprimer la sélection ou supprimer tout 
S'il t'es demandé de redémarrer >>> clique sur "Yes"
--> Un rapport de scan s'ouvre, enregistre sur ton Bureau.
Puis ferme Malwarebyte's Anti-Malware

3) Suppression de fichiers inutiles avec CCleaner

Lance CCleaner en double-cliquant sur son raccourci sur le bureau.
Puis dans le menu Nettoyeur
Clique sur Analyse (laisse travailler cela peut durer longtemps la 1ere fois)
Clique sur le bouton Lancer le nettoyage.
Clique une seconde fois sur le bouton Lancer le nettoyage puis ferme CCleaner.

4) Rapports

Poste en réponse :
* Un nouveau rapport HijackThis 
* Le rapport de Malwarebyte's Anti-Malware  que tu as sauvegardé sur ton Bureau.

Bon courage

 @+

richard III · Answer

re

quand tu dis :
* Puis peux tu te rendre à C:\Qoobox et faire un clic droit et zipper et envoyer par mails a cette adresse stp : 

https://www.bleepingcomputer.com/submit-malware.php?channel=4 


je zippe tout le dossier Qoobox (environ 1,50 Mo) ?

Je suis rentré trop tard ce soir et je suis en déplacement pour 2 jours donc je m'atèlerai à la tâche dès jeudi...

@+ ;)

Le sioux · Answer

Re

Yes, fais cela si c'est possible, merci.

@ +

Le sioux · Answer

Bonsoir Richard

Je regarde cela des que possible et te dis quoi faire .
@ plus

Le sioux · Answer

Hello Richard

Excuse, j'ai du t'oublier un peu ;)

-Pour Malwarebytes' Anti-Malware 
C'est un bon scan passif que tu peux garder avec lequel tu pourras effectuer un nettoyage hebdomadaire, sans oublier de faire une mise à jour manuelle avant d'exécuter l’analyse .
Tuto Malwarebyte's Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm

Vide sa quarantaine :
Clique sur le raccourci de Malwarebytes' Anti-Malware , puis sur Quarantaine, clique sur  "Tout supprimer" 

Puis, derniers efforts  :

1) ToolsCleaner  de A.Rothstein 

On va supprimer toutes les traces des logiciels que nous avons utilisés qui traitent des infections spécifiques et ceci grâce a  ToolsCleaner  de A.Rothstein 

Télécharge le  http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe sur ton Bureau. 
* Double-clique sur ToolsCleaner2.bat et laisse le travailler
* Clique sur Recherche et laisse le scan se terminer. 
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options facultatives. 
* Clique sur Quitter, pour que le rapport puisse se créer.

-->  Poste moi Le rapport de ToolsCleaner  ( qui se trouve à la racine de ton disque dur (C:\TCleaner.txt)

2) Scan en ligne chez Bitdefender

Aide toi de ce Tuto (merci Morgane)  http://pageperso.aol.fr/loraline60/bitdefender_scan.htm

* Fais un scan antivirus en ligne https://www.bitdefender.fr/ avec IE et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.

Poste en réponse le rapport de scan qui  se trouve ici C:\windows\bdoscan8\scanres.txt ou scanres.html 

@ suivre car il restera des conseils de sécurité à appliquer.

Le sioux · Answer

Bonsoir richard

par contre je n'est qu'une connexion bas débit est ce que le scan en ligne ne risque pas de prendre des heures voir des jours? :)) 

Le scan BitDefeneder est asse rapide normalement, essaye voir ce que cela donne avec ta connexion bas débit, lance le seul pendant que tu as d'autres choses à faire ailleurs que sur ton PC et sois patient.

Si vraiment c'est interminable , alors on s'en abstiendra ;)

@ suivre car il reste des conseils de sécurité.

Le sioux · Answer

Re

Le scan BitDefeneder = Scan en ligne BitDefender  ... lol faute de frappe ...

richard III · Answer

par contre je n'est qu'une connexion bas débit....
=par contre je n'ai qu'une connexion...  fôte d'ortograffe! :)) 

Ok j'essaye le scan et je te rencarde!

@+
Richard

Le sioux · Answer

Re

OK Richard, tiens au courant ;)

@ +

Le sioux · Answer

Re

Ok, on s'en passera donc, exécute un scan en mode sans échec avec Antivir à jour et bien réglé :

1) Effectuer la mise a jour et paramètre Antivir.

Clique droit sur Antivir dans ta barre des tâches puis" Start Update", attends la fin des mises à jour puis paramètre le comme indiqué ici :
http://speedweb1.free.fr/frames2.php?page=tuto5
ou la : https://www.malekal.com/avira-free-security-antivirus-gratuit/

2) Redémarre en mode sans échec

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains PC) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionne "Mode sans échec" et appuyer sur [Entrée]
Il te faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

Voir si besoin C) https://forum.pcastuces.com/sujet.asp?f=25&s=3902

3) Scan Antivirus et nettoyage avec Avira Antivir

Lance Avira antivir en faisant un double-clic sur le raccourci d’Antivir sur ton Bureau (ou via Démarrer /tous les programmes /Antivir)  puis « start Antivir »
Clique sur Local protection (colonne à gauche) puis sur  « Scanner » puis vérifie à RootKit search et Manuelle détection (en développant avec la petite croix devant chacun d'eux) que tous tes disques durs soient bien cochés, puis clique sur la loupe (en dessous de statut)
Une fenêtre va s’ouvrir « Luke Filewalker » .. le scan va démarrer.
Mets tout ce qu il trouve en "quarantine"
Une fois le scan achevé, ferme les deux fenêtres d'Antivir et sauvegarde le rapport qui vient d'apparaître sur ton Bureau..

4) Rapport

Redémarre en mode normal puis poste le rapport d'Antivir (que tu as sauvegardé sur ton Bureau).

Tuto http://www.malekal.com/tutorial_antivir.html  et/ou  http://www.libellules.ch/tuto_antivir.php

@ suivre

richard III · Answer

Allo Le Sioux?

...je pense qie tu m'as oublié :))

Le sioux · Answer

hello richard

Regarde la --> juste au dessus, tu as du boulot :

http://www.commentcamarche.net/forum/affich 6740212 aide sur pc infecte?page=2#36

Et j'attends un rapport ;) et que tu me dises comment cela s'est passé ...

@ +

Le sioux · Answer

Resalut Richard

J'avais zappé pour le mode sans échec ... fais cela en mode normal ;)

@ +

Le sioux · Answer

Hello Richard C'est tout bon, on conclue : Tu peux te séparer d'AVG Antispyware 7.5 maintenant que tu as MalwareByte'sAnti-Malware , il est plus efficace et les mises à jours d'AVG AS sont vouées à s'arrêter ... => Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la, ce qui éliminera les malwares mémorisés dans les anciens Points de contrôle et créera un point de restauration sain": * Désactivation : Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs" > Appliquer patiente jusqu’à ce que cela soit marqué "désactivé" puis Ok. * Activation : Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs" > Appliquer attends que cela soit à nouveau sur "surveillance" puis Ok. ========================================================================= => Comportement à adopter http://assiste.com.free.fr/p/abc/a/safe_cex.html => Surveillance : Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à les vider ultérieurement). ========================================================================= Je vais te donner plusieurs conseils par ordre de priorité, prends le temps de lire et d’exécuter cela à ton rythme, ne "t’abrutis" pas à tout faire d'un coup, quitte à y revenir par à coups et suivre ainsi petit à petit les différentes instructions. ========================================================================= => Il te faut impérativement tenir à jour régulièrement Windows: Via Internet Explorer, rends toi sur Microsoft Update http://www.update.microsoft.com/windowsupdate/v6/default.aspx Effectue toutes les mise à jour critiques proposées. Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé. Ou tu peux aussi installer le SP3 qui reprends toutes les mises à jours de sécurité depuis la sortie du SP2 . Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela : Démarrer / Paramètres / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement puis clique sur Appliquer puis OK. => Ainsi qu’ Internet Explorer Mets à jour Internet Explorer s'il est en version 6, même si tu ne l'utilises pas. Gratuit et même pour les systèmes Windows non authentiques, ça se passe ici : https://support.microsoft.com/en-us/office/internet-explorer-help-23360e49-9cd3-4dda-ba52-705336cc0de2?ui=en-US&rs=en-001&ad=US ======================================================================= => Il faut mettre a jour la console Java régulièrement aussi : Rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions. via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. ========================================================================= => Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC : Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html -Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ -Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. ========================================================================= => Installe un pare-feu pour remplacer celui de Windows qui est insuffisant : Regarde celui-ci en gratuit : * ComodoFirewallPro Free http://www.personalfirewall.comodo.com/download_firewall.html Tuto : http://www.nordicnature.net/tutorials/comodo/cf24wiz.htm et https://infomars.fr/forum/index.php?showtopic=1225 https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389 Tu peux constater son efficacité en regardant son résultat aux tests firewall: http://www.matousec.com/index.html => Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) : ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html -Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html ========================================================================= => Pour sécuriser ta navigation -- Un programme incontournable : SpyBot-Search & Destroy 1.5 (scan passif + protection préventive avec ses 2 résidents, ses vaccinations et sa liste Hosts ) https://www.safer-networking.org/ -Démo d’utilisation http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm -Tuto : https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/ http://perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm --Essaye et adopte le navigateur Firefox plus sûr /sécurisé qu’IE -Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/ -Tutorial pour le sécuriser: https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ Firefox n’utilise pas le dangereux protocole ActiveX Ce que sont les activeX : http://assiste.com.free.fr/p/abc/a/activex_dangers.html S'en protéger : http://assiste.com.free.fr/p/abc/c/anti_activex.html => Pour améliorer la sécurité de ton PC prends quelques instants pour lire Sécuriser son PC +WIFI (versions "hot" & "light") de Philae https://forum.pcastuces.com/default.asp ======================================================================= => Rappel sur les principales causes d'infection : * L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : Les dangers des cracks : http://forum.malekal.com/ftopic893.php Le crack dans toute sa splendeur, journal d'une infection attendue : https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ * Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ Pourquoi éviter le P2P : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 https://lexpansion.lexpress.fr/actualite-economique/ * Prévention sur deux autres types d'infection d'actualité : MSN prévention : https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/ Infection par supports amovibles (clefs usb, flash, DD externes ..) https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ https://forum.malekal.com/viewtopic.php?f=45&t=5544 ========================================================================= => Pour optimiser un peu ton PC * Pense à lancer une défragmentation. Tuto : http://www.linternaute.com/hightech/nettoyagepc/nettoyagepc1.shtml * Gère tes services grâce à ces 2 liens http://speedweb1.free.fr/frames2.php?page=service3 et http://speedweb1.free.fr/frames2.php?page=service4 * Utilise Zeb Utility de Sebdraluorg une application ne nécessitant pas d’installation, pour optimiser un poil ton pc. (merci a l ami Zebulon) Téléchargement : https://www.zebulon.fr/telechargements/utilitaires/optimisation/zeb-utility.html Tuto : https://www.zebulon.fr/dossiers/autres/58-zebutility.html * Utilise CCleaner fonction nettoyeur de manière journalière. ========================================================================= Voila bon courage et bonnes lectures. Content d'avoir pu t'aider. Salut.

richard III · Answer

re:

Salut, whaou!!! ya du boulot!
3 questions :

est ce que je peux gérer les updates windows avec une connexion à 56k?

est que l'utilisation d'un firewall ne va pas ralentir ma machine ( toujours rapport au 56K)

y a t'il un moyen de rétablir le mode sans echec? pourquoi est il mort?

...en tout cas, Big MERCI pour ton aide précieuse et la pertinence des propos!

...et maintenant, au boulot! ;)

Cordialement,

Richard 3 (x rien!)

Le sioux · Answer

Hello Richard

est ce que je peux gérer les updates windows avec une connexion à 56k?  A essayer ...

Sinon, télécharge et installe le SP3, il reprends toutes les mises à jours depuis la création du SP2.

est que l'utilisation d'un firewall ne va pas ralentir ma machine ( toujours rapport au 56K)  A essayer aussi, Comodo n'est pas gourmandi, tout dépend de la puissance de ta bécane

y a t'il un moyen de rétablir le mode sans echec? pourquoi est il mort?  -->  mp ;)

@ suivre

Le sioux · Answer

Re

Pour le MSE :

Essaye  SafeBoot Key repair d'sUBs

L'outil se trouve là :http://download.bleepingcomputer.com/sUBs/...otKeyRepair.exe

Lance le .exe puis sauvegarde le rapport généré, poste moi le et ensuite essayer le MSE.

Dis moi ce qu’il en est ;)

@ suivre

Aide sur PC infecté

28 réponses