aider moi à supprimer Adware.Gator et Trojan.Fermé

Question

Bonjour,

mon antivirus me signale la présence de 2 virus : Adware.Gator.C et Trojan.Generic.382982 qu'il n'arrive pas à les supprimer.j'avoue que je suis vraiment nulle en info , tout de même j'ai lu ce qui a été ecri dans le forum sur adware gator et jé utiliser spybot, a-squared antimalware, ccleaner, et AVG antispyware, mais en vain.

Que faut-il que je fasse, s'il vous plait aidez moi.

Je vous met ici le résultat de mon dernier scan :

__________________________________________________________________________________________
BitDefender Log File

Product : BitDefender Internet Security 2009
Version : BitDefender UIScanner v.12
Scanning task : Deep System Scan
Log date : 12:52:51 05/10/2008
Log path : C:\Documents and Settings\All Users.WINDOWS\Application Data\Bitdefender\Desktop\Profiles\Logs\deep_scan\1223203971_1_02.xml

Scan Paths:Path 0000: C:\Program Files\BitDefender\BitDefender 2009\uiscan.exe
Path 0001: C:\Program Files\a-squared Anti-Malware\a2guard.exe
Path 0002: C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
Path 0003: C:\Program Files\WinZip\WZQKPICK.EXE
Path 0004: C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
Path 0005: C:\WINDOWS\system32\ctfmon.exe
Path 0006: C:\Program Files\DAEMON Tools Lite\daemon.exe
Path 0007: C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE
Path 0008: C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
Path 0009: C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
Path 0010: C:\Program Files\Winamp\winampa.exe
Path 0011: C:\WINDOWS\ALCWZRD.EXE
Path 0012: C:\WINDOWS\SOUNDMAN.EXE
Path 0013: C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
Path 0014: C:\WINDOWS\Explorer.EXE
Path 0015: C:\WINDOWS\System32\svchost.exe
Path 0016: C:\WINDOWS\System32\alg.exe
Path 0017: C:\WINDOWS\system32\wdfmgr.exe
Path 0018: C:\WINDOWS\system32\svchost.exe
Path 0019: C:\Program Files\SiteAdvisor\6253\SAService.exe
Path 0020: C:\WINDOWS\system32\HPZipm12.exe
Path 0021: C:\Program Files\a-squared Anti-Malware\a2service.exe
Path 0022: C:\WINDOWS\system32\spoolsv.exe
Path 0023: C:\WINDOWS\system32\svchost.exe
Path 0024: C:\WINDOWS\system32\svchost.exe
Path 0025: C:\WINDOWS\System32\svchost.exe
Path 0026: C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
Path 0027: C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
Path 0028: C:\WINDOWS\system32\svchost.exe
Path 0029: C:\WINDOWS\system32\svchost.exe
Path 0030: C:\WINDOWS\system32\lsass.exe
Path 0031: C:\WINDOWS\system32\services.exe
Path 0032: C:\WINDOWS\system32\winlogon.exe
Path 0033: C:\WINDOWS\system32\csrss.exe
Path 0034: \SystemRoot\System32\smss.exe
Path 0035: C:\
Path 0036: D:\

Scan Options:Scan for viruses : Yes
Scan for adware : Yes
Scan for spyware : Yes
Scan for applications : Yes
Scan for dialers : Yes
Scan for rootkits : Yes

Target Selection Options:Scan registry keys : Yes
Scan cookies : Yes
Scan boot sectors : Yes
Scan memory processes : Yes
Scan archives : Yes
Scan runtime packers : Yes
Scan emails : No
Scan all files : Yes
Heuristic Scan : Yes
Scanned extensions : 
Excluded extensions : 

Target Processing:Default action for infected objects : Disinfect
Default action for suspicious objects : None
Default action for hidden objects : None
Default action for encrypted infected objects : None
Default action for encrypted suspicious objects : None
Default action for password-protected objects : None

Scan engines summaryNumber of virus signatures : 1836235
Archive plugins : 43
Email plugins : 6
Scan plugins : 12
System plugins : 5
Unpack plugins : 7

Overall scan summaryScanned items : 203591
Infected items : 2
Suspicious items : 0
Resolved items : 0
Unresolved items : 24
Password-protected items : 22
Individual viruses found : 2
Scanned directories : 10140
Scanned boot sectors : 6
Scanned archives : 3241
Input-output errors : 32
Scan time : 01:15:08
Files per second : 45

Scanned processes summaryScanned : 35
Infected : 0

Scanned registry keys summaryScanned : 321
Infected : 0

Scanned cookies summaryScanned : 321
Infected : 0

Remaining issues:Object Name Threat Name Final Status 
 C:\Documents and Settings\hhh\Local Settings\Temp\DivXPro505GAINBundle.exe=](VISE Installer s)=]Gain_Trickler.exe Adware.Gator.C Infected (no action was possible, file was in an archive) 
  D:\logiciel\DOUNLOAD MANAGER\Internet Donload Manager.exe=](7z o)=]Portable IDM\Downloads Trojan.Generic.382982 Infected (no action was possible, file was in an archive) 


Objects that were not scanned:Object Name Reason Final Status 
D:\SMRTNTKY\PROGRAMS IMPORTANTS\office 2007\access.en-us\acclr.cab=]ACCESS_TEMPLATE_CUSTOMERSERVICE.ACCDT_1033=]template/database/objects/Form_Initialized.txt Overcompressed No action was possible 
C:\Documents and Settings\hhh\Bureau\veto\DICTIONNAIRE DES MEDICAMENTS VETERINAIRES ET DES PRODUITS DE SANTE ANIMALE 2007.rar=]DICTIONNAIRE DES MEDICAMENTS VETERINAIRES ET DES PRODUITS DE SANTE ANIMALE 2007\Base compilée\DMV2007.4DC Password-protected No action was possible 
C:\Documents and Settings\hhh\Bureau\veto\DICTIONNAIRE DES MEDICAMENTS VETERINAIRES ET DES PRODUITS DE SANTE ANIMALE 2007.rar=]DICTIONNAIRE DES MEDICAMENTS VETERINAIRES ET DES PRODUITS DE SANTE ANIMALE 2007\Base compilée\DMV2007.RSR Password-protected No action was possible 
C:\Documents and Settings\hhh\Bureau\veto\DICTIONNAIRE DES MEDICAMENTS VETERINAIRES ET DES PRODUITS DE SANTE ANIMALE 2007.rar=]DICTIONNAIRE DES MEDICAMENTS VETERINAIRES ET DES PRODUITS DE SANTE ANIMALE 2007\Documentation\fichepharmacoanimal.pdf Password-protected No action was possible 
C:\Documents and Settings\hhh\Bureau\veto\DICTIONNAIRE DES MEDICAMENTS VETERINAIRES ET DES PRODUITS DE SANTE ANIMALE 2007.rar=]DICTIONNAIRE DES MEDICAMENTS VETERINAIRES ET DES PRODUITS DE SANTE ANIMALE 2007\Documentation\fichepharmacohumaine.pdf Password-protected No action was possible 
C:\Documents and Settings\hhh\Bureau\veto\DICTIONNAIRE DES MEDICAMENTS VETERINAIRES ET DES PRODUITS DE SANTE ANIMALE 2007.rar=]DICTIONNAIRE DES MEDICAMENTS VETERINAIRES ET DES PRODUITS DE SANTE ANIMALE 2007\Documentation\Guide de l'utilisateur.pdf Password-protected No action was possible 
C:\Documents and Settings\hhh\Bureau\veto\DICTIONNAIRE DES MEDICAMENTS VETERINAIRES ET DES PRODUITS DE SANTE ANIMALE 2007.rar=]DICTIONNAIRE DES MEDICAMENTS VETERINAIRES ET DES PRODUITS DE SANTE ANIMALE 2007\Export2\MAJDMV.TXT Password-protected No action was possible 
C:\Documents and Settings\hhh\Bureau\veto\DICTIONNAIRE DES MEDICAMENTS VETERINAIRES ET DES PRODUITS DE SANTE ANIMALE 2007.rar=]DICTIONNAIRE DES MEDICAMENTS VETERINAIRES ET DES PRODUITS DE SANTE ANIMALE 2007\Install.exe Password-protected No action was possible 
C:\Documents and Settings\hhh\Bureau\veto\DICTIONNAIRE DES MEDICAMENTS VETERINAIRES ET DES PRODUITS DE SANTE ANIMALE 2007.rar=]DICTIONNAIRE DES MEDICAMENTS VETERINAIRES ET DES PRODUITS DE SANTE ANIMALE 2007\LISEZMOI.txt Password-protected No action was possible 
C:\Documents and Settings\hhh\Local Settings\Temp\ir_ext_temp_1\AutoPlay\autorun.cdd=]_detect.dat Password-protected No action was possible 
C:\Documents and Settings\hhh\Local Settings\Temp\ir_ext_temp_1\AutoPlay\autorun.cdd=]_proj.dat Password-protected No action was possible 
C:\Documents and Settings\hhh\Local Settings\Temp\ir_ext_temp_1\AutoPlay\autorun.cdd=]_fonts.dat Password-protected No action was possible 
C:\Documents and Settings\hhh\Mes documents\divers\Pédiatrie (E)\AUTORUN.APM=]ams_xml_pl.xml Password-protected No action was possible 
C:\Documents and Settings\hhh\Mes documents\divers\Pédiatrie (E)\AUTORUN.APM=]ams_xml_temp.xml Password-protected No action was possible 
C:\Documents and Settings\hhh\Mes documents\divers\Pédiatrie (E)\EMC.APM=]ams_xml_pl.xml Password-protected No action was possible 
C:\Documents and Settings\hhh\Mes documents\divers\Pédiatrie (E)\EMC.APM=]ams_xml_temp.xml Password-protected No action was possible 
C:\Program Files\Adobe\Acrobat 7.0\Setup Files\RdrBig\FRA__\Data1.cab=]WebSearchENU.pdf Password-protected No action was possible 
C:\Program Files\Adobe\Acrobat 7.0\Setup Files\RdrBig\FRA__\Data1.cab=]RdrMsgSplash.pdf Password-protected No action was possible 
C:\Program Files\Adobe\Acrobat 7.0\Setup Files\RdrBig\FRA___\Data1.cab=]WebSearchENU.pdf Password-protected No action was possible 
C:\Program Files\Adobe\Acrobat 7.0\Setup Files\RdrBig\FRA___\Data1.cab=]RdrMsgSplash.pdf Password-protected No action was possible 
D:\logiciel\winzip90.exe=](ZIP Sfx s)=]SETUP.WZ=]WINZIP32.EX_ Password-protected No action was possible 
D:\SMRTNTKY\PROGRAMS IMPORTANTS\office 2003\Logiciels\Winzip 9.0\winzip90.exe=](ZIP Sfx s)=]SETUP.WZ=]WINZIP32.EX_ Password-protected No action was possible

anthony5151 · Answer

Bonjour,


Merci de suivre la procédure suivante pour générer un rapport hijackthis qui me permettra de diagnostiquer le problème de ton ordinateur :

Télécharge hijackthis sur ton bureau :  https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/ 

Une fois que tu l'auras installé, il va se lancer automatiquement : ferme le, puis va dans le menu démarrer --> Poste de travail --> disque local C --> Program Files --> Trend Micro --> Hijackthis --> cherche hijackthis.exe et fais un clic droit dessus --> renomme le en Jack.exe

Ensuite lance le et clique sur "Do a system scan and save a logfile". 
Fais un copier-coller du rapport entier sur le forum

anthony5151 · Answer

OK, on va commencer à désinfecter :


Télécharge et installe Malwarebytes' Anti-Malware
- A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée 
- Lance MBAM, laisse les Mises à jour se télécharger et referme le programme

Redémarre en "Mode sans échec" : redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec". Choisis ta session habituelle

Lance MBAM 
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
- Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
- A la fin du scan, clique sur Afficher les résultats
- Coche tous les éléments  détectés puis clique sur Supprimer la sélection
- Enregistre le rapport
- S'il t'est demandé de redémarrer, clique sur Yes


Poste le rapport de scan après la suppression ici

anthony5151 · Answer

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. 
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 

* Lance l'installation du programme en exécutant le fichier téléchargé. 
* Double-clique maintenant sur le raccourci de Toolbar-S&D. 
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. 
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche. 
* Poste le rapport généré. (C:\TB.txt)

anthony5151 · Answer

Très bien  :)


1) Relance Toolbar-S&D en double-cliquant sur le raccourci.
Tape sur "2" puis valide en appuyant sur "Entrée". 

! Ne ferme pas la fenêtre lors de la suppression ! 

Un rapport sera généré, poste son contenu ici. 



2) Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. 
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : 
• Redémarre ton ordinateur 
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). 
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. 
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". 
• Choisis ton compte. 

• Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. 
• Appuie sur une touche pour commencer le processus de nettoyage. 
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
• Appuie sur une touche pour redémarrer le PC. 
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 

• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !



3) Ne télécharge plus de cracks ou de keygens, c'est surement ça qui a infecté ton ordinateur :
"D:\SMRTNTKY\PROGRAMS IMPORTANTS\office 2003\Logiciels\Nero 6.6.0.3 Fr\Keygen Nero 6.6.0.3.exe (Trojan.Agent) -> Quarantined and deleted successfully"

En plus c'est dommage de prendre des risques alors qu'il existe des logiciels de gravure gratuits qui remplaceront Nero sans problème ;)

anthony5151 · Answer

OK dans ce cas supprime SDFix et passe à la suite :


- Poste un nouveau rapport hijackthis


- Ensuite, on va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts... 

Fais exactement ce qui suit : 

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide :  http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ---------------------------------------------------------- 
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !! 

Dans ton cas, il s'agit de BitDefender et du TeaTimer de Spybot (Lance Spybot --> clique sur Mode => coche Mode avancé => Outils => Résident => décoche la case Résident Tea Timer)

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre... 

Tuto ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
--------------------------------------------------------------------------------------------------------------------------------- 

Ensuite : 

Double-clique sur C-Fix.exe (= combofix.exe ) . 

Appuie sur une touche pour démarrer le scan . 

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

novice-info · Answer

Salu,

Enfin, j'ai pu télécharger ComboFix mais firefox me l'a téléchargé sur Mes documents malgré que j'ai bien suivi tes instructions.Est ce que je peux faire couper coller sur Bureau tout simplement ?

Petit problème : je ne sais pas comment désactiver mon antivirus BitDefender ( dans le tuto il n'y a pas cet antivirus), d'autres part j'ai aussi ccleaner,  Malwarebytes et Hijackthis est ce que je dois les désactiver aussi et comment? je dois faire attention avant de cliquer sur ce programme n'est ce pas : à vrai dire je ne veux pas péter mon chère ordinateur ma vie dépend en lui, ca c'est sûre  !!

J'ai encore le problème du téléchargement lent de la page ! Plus encore j'ai oublié de vous dire que le bouton de Mise en veille a disparu depuis une semaine au moins, je ne peux que arrêter ou redémarrer l'ordinateur.

Merci encore ET ENCORE.

anthony5151 · Answer

"Est ce que je peux faire couper coller sur Bureau tout simplement ? "

==> Oui déplace le vers le bureau avant de l'exécuter


"d'autres part j'ai aussi ccleaner, Malwarebytes et Hijackthis est ce que je dois les désactiver aussi"

==> Non, ce sont des logiciels qui ne s'exécute que quand ils sont ouverts, ils ne fonctionnent pas en arrière plan, pas de problème donc.



Pour BitDefender :
Double-clique sur l'icône BitDefender près de l'horloge puis va dans la partie 'Antivirus', dans l'onglet 'Résident' et clique sur le bouton 'Désactiver'
Si ta version de BitDefender intègre un pare-feu, il faut le désactiver aussi.

anthony5151 · Answer

Télécharge OAD (Outil d'Aide au Diagnostic) sur ton bureau : OAD
&#8594; Lance 'OAD.exe' en faisant un double clic sur le fichier 
&#8594; Saisis la valeur recherchée -> ' vbe ' ( fais un copier/coller) 
&#8594; Type de recherche : sélectionne l'option 6 puis appuie sur la touche entrée 
&#8594; OAD va maintenant rechercher le fichier, laisse le travailler

&#8594; Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé, fais en un copier/coller ici stp

Note : Certains Antivirus peuvent émettre une alerte lors de l'utilisation de ce programme, ignore la


==> Si rien n'est trouvé, refais la recherche avec un point devant vbe :
.vbe

anthony5151 · Answer

D'accord.

Relance hijackthis, clique sur "Do a system scan only", coche la ligne suivante et clique sur "FixChecked" :
O4 - HKLM\..\Policies\Explorer\Run: [GG-3F86720930FC] .vbe

Puis poste un nouveau rapport stp

anthony5151 · Answer

OK, ton rapport est propre

Fais un scan complet de ton ordinateur avec ton antivirus pour vérifier stp.

anthony5151 · Answer

Tu es vétérinaire ?


# Télécharge OTMoveIt (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

# Double-clique sur OTMoveIt.exe pour le lancer. 
Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!! 
Copie le texte ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved. 
c:\program files\platrium
c:\program files\save
Clique sur MoveIt! pour lancer la suppression. 
Lorsque un résultat apparaît dans le cadre Results, clique sur Exit et redémarre ton PC. 
Copie-colle le rapport dans ta réponse : il est situé sur --> C:\_OTMoveIt\MovedFiles.

# Lance CCleaner : 
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, 
puis sur OK dans la fenêtre qui s' affiche.
Relance le nettoyage une deuxième fois.

Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

anthony5151 · Answer

Peux-tu poster un nouveau rapport hijackthis stp (le dernier)

anthony5151 · Answer

Très bien, ton ordinateur n'est plus infecté !

Avant de retourner surfer sur internet, il y a quelques petites choses que tu dois faire pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;)  Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).



1) Sécurise ton ordinateur 

- Pare-feu :
Tu n’as apparemment aucun pare-feu (sauf peut-être celui de Windows, qui est inefficace et ne filtre pas les connections sortantes utilisées par beaucoup d'infections...) : Télécharges-en un vrai. En gratuit, les plus simples sont PC Tools et Kerio. Tu peux t'aider des tuto suivants pour utiliser celui que tu choisiras : 
- Tutoriel PcTools
- Tutoriel Kerio

- Anti-spyware :
* Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement, tous les 10 jours environ, et activer toutes les protections (« Enable all protection ») 
* En complément, garde MalwareBytes pour son scan de nettoyage performant, et Spybot pour ses vaccinations à faire régulièrement.

- Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille d’installer et d'utiliser le navigateur Firefox 3 avec l’extension « AdBlockPlus ». Tu peux trouver des explications ici

- Internet Explorer n'est pas à jour, c'est une faille de sécurité.
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes.
Si Internet Explorer n'y est pas (ou si ta version de Windows n'est pas officielle...), télécharge et installe IE 7 depuis ce lien : IE 7

- Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version.



2) Relance Hijackthis (pour la dernière fois), fais "scan system only" et coche ces lignes (pas dangereuses mains inutiles) : 

O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
O2 - BHO: (no name) - {598F4775-6FB6-477B-9842-E0426824E077} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE    
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe    
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe    
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime    
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot    
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe    
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')    
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')    
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')    
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')    
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)

Si tu as bien mis à jour Adobe Reader comme je te l'ai recommandé, cette ligne devrait apparaitre, tu peux la cocher : O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 

Coche également toutes les lignes commençant par 016

Ensuite, clique sur "Fix checked" 



3) Télécharge ToolsCleaner sur ton bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer. 
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.



4) Télécharge et installe CCleaner (attention à l'installation, pense à DECOCHER l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner).

Lance CCleaner
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Relance le nettoyage une deuxième fois.

Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection). 

* Fais un clic droit sur poste de travail (qui est sur ton bureau ou dans le menu démarrer), puis propriétés. 
* Sélectionne l'onglet restauration du système 
* Coche l'option Désactiver la restauration du système sur tous les lecteurs 
* Clique sur OK. 

Puis refais la manipulation inverse pour réactiver la restauration système. 



6) Je t'invite enfin à visiter cette page qui t'apportera des information de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
Prévention et sécurité sur internet



7) Enfin, si tu n as pas d'autres problèmes, tu peux changer le statut du sujet en résolu : Aide





Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

anthony5151 · Answer

Je suis très heureux d'avoir pu t'aider, et je te remercie pour ta sympathie :)


1) Où était situé le fichier détecté par BitDefender ?
Peux-tu refaire une analyse complète avec une fois que tu auras fait les parties 4 et 5 de mon précédent message ? (si ce n'est pas déja fait)


2) Pour le pare-feu, je ne savais pas que tu avais la suite de sécurité BitDefender qui en intègre déja un : n'en installe pas d'autre


3) Spyware Blaster agit comme un vaccin,il protège en permanence sans intervention ;)
Tu auras juste à le lancer tous les 10-15 jours pour le mettre à jour et réactiver toutes les protections.


4) Pour Firefox, je t'avoue que je ne sais pas. Il faudrait que tu vérifie si la version 2 est encore installée (dans ajout/suppression de programmes), et si oui, la supprimer manuellement.


5) Pour Internet Explorer, il faut le mettre à jour même si tu ne l'utilises pas : une infection peut utiliser une faille de sécurité de ce logiciel.


6) Dans ce cas, si tu n'utilises plus Adobe Reader, tu peux le désinstaller ;)  Ce sera une porte d'entrée potentielle en moins pour les infections, et ça libérera de l'espace sur ton disque dur.



N'hésite pas à poser d'autres questions ou à demander des précisions si besoin.

anthony5151 · Answer

1) Télécharge OAD (Outil d'Aide au Diagnostic) sur ton bureau : OAD
&#8594; Lance 'OAD.exe' en faisant un double clic sur le fichier 
&#8594; Saisis la valeur recherchée -> ' Internet Donload Manager.exe ' ( fais un copier/coller exact : il ne faut aucun espace après le exe) 
&#8594; Type de recherche : sélectionne l'option 6 puis appuie sur la touche entrée 
&#8594; OAD va maintenant rechercher le fichier, laisse le travailler

&#8594; Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé, fais en un copier/coller ici stp

Note : Certains Antivirus peuvent émettre une alerte lors de l'utilisation de ce programme, ignore la



2) Pour la clé USB :

- Télécharge UsbFix sur ton Bureau : http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe
- Lance l'installation avec les paramètres par défaut
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton bureau
- Le pc va redémarrer
- Après redémarrage, poste le rapport UsbFix.txt (il est sauvegardé a la racine du disque dur)


Télécharge VaccinUSB.exe depuis cette adresse : http://perso.orange.fr/-Gof/DL/VaccinUSB.exe   (si ton antivirus le détecte comme virus, ignore le, c'est une fausse alerte). 

Copie/colle ce ficher sur ta clé USB (à la racine du disque, pas dans un dossier), puis ouvre le à partir de là. 
Il créera ainsi les répertoires aux noms suivants : ravmon.exe, ravmon.log, winfile.exe, copy.exe, host.exe, autorun.inf, msvcr71.dll, adober.exe, found.000, comment.htt, desktop.ini à la racine du volume (c'est à dire les fichiers de propagation des infections les plus rencontrées). Une fois ces répertoires créés, tu peux supprimer VaccinUSB.exe. 



3)  Pour Internet Explorer, si tu installes la nouvelle version, cela supprimera l'ancienne.



4) Adobe Flash Player sert à visualiser certaines animations sur des pages web. Pour le mettre à jour, tu peux désinstaller ta version et télécharger la nouvelle ici : https://get.adobe.com/flashplayer/



A bientôt ;)

anthony5151 · Answer

" DOUNLOAD MANAGER "
Est-ce que tu utilises ce logiciel ?

anthony5151 · Answer

Ok, après quelques recherches, je viens de voir que ça avait sans doute été installé par l'infection (ça explique pourquoi BitDefender le détecte)


Fais ce qui suit dans l'ordre :


1) Préparation

# Télécharge OTMoveIt (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe



2) Redémarre le PC en mode sans échec : 

Tu n' auras pas accès à Internet pendant le "mode sans échec". Aussi, copie/colle toute cette procédure dans un fichier texte et mets-la sur le "bureau" pour l'avoir à ta disposition. 
Ferme toutes les fenêtres et applications. 
Redémarre ton ordinateur, puis tapote sur la touche F8 (F5 sur certains PC) avant l’apparition du logo Windows, un menu va apparaître, tu devra choisir de démarrer en mode sans échec. 



3) Désinfection

# Hijackthis
Lance Hijackthis, choisis 'do a system scan only', coche les lignes suivantes et clique sur "Fix Checked" :
O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - D:\logiciel\DOUNLOAD MANAGER\Portable IDM\bin\IDMIECC.dll 
O8 - Extra context menu item: Download All Links with IDM - D:\logiciel\DOUNLOAD MANAGER\Portable IDM\bin\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - D:\logiciel\DOUNLOAD MANAGER\Portable IDM\bin\IEExt.htm

# Double-clique sur OTMoveIt.exe pour le lancer. 
Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!! 
Copie le texte ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved. 
D:\logiciel\DOUNLOAD MANAGER 
C:\Documents and Settings\hhh\Bureau\Screen Saver.exe 
Clique sur MoveIt! pour lancer la suppression. 
Lorsque un résultat apparaît dans le cadre Results, clique sur Exit et redémarre ton PC. 
Copie-colle le rapport dans ta réponse : il est situé sur --> C:\_OTMoveIt\MovedFiles.

# Lance CCleaner : 
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, 
puis sur OK dans la fenêtre qui s' affiche.

Enfin, registre --> Chercher des erreurs --> Répare toutes les erreurs (renouvelle cette manipulation jusqu'à ce qu'il ne trouve plus d'erreur)

anthony5151 · Answer

Pas de soucis, je n'ai pas beaucoup d'heures de cours ;)

OTMoveIt a bien supprimé le dossier infecté, cette fois je pense qu'il n'y a plus d'infection ;)
Peux-tu poster un nouveau rapport hijackthis stp ?  Dis moi aussi si BitDefender détecte autre chose ?

anthony5151 · Answer

# Relance OTMoveIt.exe (une dernière fois)

Copie le texte ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.

D:\logiciel\Screen Saver.zip

Clique sur MoveIt! pour lancer la suppression.
Lorsque un résultat apparaît dans le cadre Results, clique sur Exit et redémarre ton PC.
Copie-colle le rapport dans ta réponse : il est situé sur --> C:\_OTMoveIt\MovedFiles.


# Lance CCleaner :
Nettoyeur --> Analyse > Lancer le nettoyage,
puis sur OK dans la fenêtre qui s' affiche.

Puis, Registre --> Chercher des erreurs --> Répare toutes les erreurs (renouvelle cette manipulation jusqu'à ce qu'il ne trouve plus d'erreur)

novice-info · Answer

Bonjour;

le rapport:

_______________________

D:\logiciel\Screen Saver.zip moved successfully.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 10302008_082818
_______________________

anthony5151 · Answer

Très bien, ton ordinateur n'est plus infecté (cette fois c'est vrai)



1) Sécurise ton ordinateur 

Tu n'as pas encore mis Internet Explorer à jour, il faut le faire même si tu ne l'utilises pas et que tu l'as désactivé, car il peut être utilisé par une infection.
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes.
Si Internet Explorer n'y est pas (ou si ta version de Windows n'est pas officielle...), télécharge et installe IE 7 depuis ce lien : IE 7



2) Relance Hijackthis (pour la dernière fois), fais "scan system only" et coche ces lignes (pas dangereuses mains inutiles) : 

O2 - BHO: (no name) - {0055C089-8582-441B-A0BF-17B458C2A3A8} - (no file)
O2 - BHO: (no name) - {598F4775-6FB6-477B-9842-E0426824E077} - (no file)
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe   

Ensuite, clique sur "Fix checked" 



3) Télécharge ToolsCleaner sur ton bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer. 
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.



4) Lance CCleaner
Nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Relance le nettoyage une deuxième fois.

Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection). 

* Fais un clic droit sur poste de travail (qui est sur ton bureau ou dans le menu démarrer), puis propriétés. 
* Sélectionne l'onglet restauration du système 
* Coche l'option Désactiver la restauration du système sur tous les lecteurs 
* Clique sur OK. 

Puis refais la manipulation inverse pour réactiver la restauration système. 



6) Je t'invite à nouveau à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
Prévention et sécurité sur internet

anthony5151 · Answer

Aïe... On dirait que les problèmes ne sont pas terminés :(


Essaye de remettre les paramètres par défaut du BIOS : 

Lorsque le système est mis sous tension, le BIOS affiche un message de copyright à l'écran, puis il effectue les tests de diagnostics et d'initialisation. Lorsque tous les tests ont été effectués, le BIOS affiche un message qui t'invite à appuyer sur une touche pour accéder au setup du BIOS.

Selon la marque du BIOS il peut s'agir de la touche F2, de la touche F10, de la touche DEL ( "Suppr" sur les claviers français) ==> là, tu pourras remettre les paramètres par défaut de ton BIOS, et il devrait refonctionner à nouveau correctement.

anthony5151 · Answer

"Donc si je rencontre ce problème de Bios demain je dois appuyer sur l'une des touches indiquées ? "

==> Oui, sur la touche qui t'es indiquée lors du redémarrage pour accéder au setup du BIOS (qui est en principe l'une de celles que je t'ai indiquées)


Maintenant que tu as à nouveau accès à ton ordinateur, pourrais-tu faire un nouveau scan avec MalwareBytes stp ?  Avec les nouvelles mises à jour, il doit être capable de détecter tout ce qui peut éventuellement rester.


Lance MBAM 
- Va dans l'onglet mise à jour et clique sur "Recherche de mise à jour" : la version de la base de donnée doit être au moins 1360.
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
- Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
- A la fin du scan, clique sur Afficher les résultats
- Coche tous les éléments  détectés puis clique sur Supprimer la sélection
- Enregistre le rapport
- S'il t'est demandé de redémarrer, clique sur Yes


Poste le rapport de scan après la suppression ici

anthony5151 · Answer

Et ne t'inquiète pas, tu ne me fatigues pas du tout "avec toutes ces histoires", je suis là pour ça ;)

anthony5151 · Answer

Alors pour le BIOS :

Quand ton ordinateur démarre, avant le logo Windows, il y a plusieurs écrans avec un fond noir et du texte qui apparaissent.
Sur l'un de ces écrans, un message de ce type doit apparaitre "Press XXX to enter BIOS setup"
XXX = une touche du clavier, probablement une de celles que je t'ai indiqué la dernière fois.

Il faut alors que tu appuies plusieurs fois sur cette touche pour accéder aux réglages du BIOS.
Là il faut que tu cherches comment remettre les paramètres par défaut : si tu trouves cette option mais que tu as un doute, note ce qui est indiqué et dis le moi ici, ou plus simplement, fais toi aider par quelqu'un qui a accès physiquement à ton ordinateur (moi je ne peux pas faire grand chose d'ici).

anthony5151 · Answer

Il n'a pas été supprimé par BitDefender ?  Comme à chaque fois, utilise OTMoveIt

---> Télécharge OTMoveIt3 (de OldTimer) sur ton Bureau : http://oldtimer.geekstogo.com/OTMoveIt3.exe 
---> Double-clique sur OTMoveIt3.exe afin de le lancer. 
---> Copie/colle le texte suivant dans le cadre « Paste Instructions for Items to be Moved » et clique sur Moveit : 

:processes 
explorer.exe 

:files 
C:\WINDOWS\system32\Screen Saver.Scr

:commands 
[purity] 
[emptytemp] 
[start explorer] 
[reboot] 


Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES. 

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles 
Le nom du rapport correspond au moment de sa création : date_heure.log 



Tiens moi au courant pour ça et pour tes problèmes de redémarrage.



Merci pour les conseils médicaux, je ne m'attendais pas à une consultation gratuite ici ;)
J'ai toujours une carafe d'eau sur mon bureau :)  Par contre je n'ai jamais réussi à avoir un sommeil régulier, je vais souvent me coucher tard (à 4h cette nuit). Ne t'inquiète pas si je réponds dans la nuit sur le forum, ce n'est pas par obligation mais parce que c'est là où je suis toujours disponible.

anthony5151 · Answer

Merci pour ces conseils ;)

Le fichier n'a pas été trouvé par OTMoveIt, il a dû être supprimé par BitDefender...
Si BitDefender en découvre à nouveau, il faudra réutiliser un programme de désinfection, c'est probablement qu'il reste une partie de l'infection que BitDefender ne voit pas et que nous n'avons pas supprimé...

anthony5151 · Answer

C:\System Volume Information\_restore{DC5D7E42-2691-48B2-AEFA-BF80DF0EB4ED}\RP286\A0191402.Scr=](Embedded EXE o) Trojan.Generic.6360


==> Cette fois j'ai l'impression qu'on en est venu à bout :)

La seule menace détectée se trouve dans la restauration du système (system volume information \ restore)
Pour purger la restauration, tu peux refaire ceci :

* Fais un clic droit sur poste de travail (qui est sur ton bureau ou dans le menu démarrer), puis propriétés.
* Sélectionne l'onglet restauration du système
* Coche l'option Désactiver la restauration du système sur tous les lecteurs
* Clique sur OK.

Puis refais la manipulation inverse pour réactiver la restauration système.

anthony5151 · Answer

"S'il n'y a pas quelque chose d'autre que vous me conseillez de faire "

Non, je t'ai déja donné quelques conseils la première fois que je pensais l'infection éradiquée, maintenant tout est propre et sécurisé il me semble :)  Fais simplement attention aux sites que tu consultes et à ce que tu télécharges.


"je dois marquer ce sujet comme résolu, n'est ce pas ?"

Je crois qu'il faut être inscrit sur le site pour faire ça, tu ne pourras donc pas à mon avis (mais ce n'est pas très important).



Je te souhaite une bonne continuation avec un ordinateur sain, et je te remercie pour ta sympathie (et les conseils médicaux).

Aider moi à supprimer Adware.Gator et Trojan.

29 réponses

Discussions similaires

Newsletters