Se connecter / S'enregistrer
Votre question

Ordinateur nettoyé mais infecté

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
3 Septembre 2011 22:33:45

Bonjour à toutes et tous, je viens de récupérer l'ordi portable de ma fille qui en a un nouveau, j'ai supprimé pas mal de fichiers afin de le restaurer un peu et surtout pour qu'il ne rame plus comme avant et apparemment, antivir m'a détecté différents problèmes, pouvez vous m'aider svp.

Autres pages sur : ordinateur nettoye infecte

a c 940 8 Sécurité
4 Septembre 2011 09:28:08

Bonjour,

Nous allons établir un 1er diagnostic avec cet outil, suis bien les instructions indiquées :

OTL :

  • Télécharge OTL de Old_Timer et enregistre le sur le Bureau
  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
  • Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    nslookup http://www.google.fr /c
    SAVEMBR:0
    CREATERESTOREPOINT

  • Clique ensuite sur Analyse et patiente le temps du scan

  • A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent
  • Les rapports étant trop longs pour le forum, héberge-les sur un de ces sites cijoint.fr ou pjjoint.fr et indique les liens fournis dans ta réponse.
    Les rapports sont sauvegardés sur le Bureau.


    @+
    Contenus similaires
    a c 940 8 Sécurité
    4 Septembre 2011 13:08:40

    Bonjour,

    Tu n'as pas indiqué le lien pour le rapport Extras.txt.
    Ce rapport se trouve sur ton Bureau.

    ---------------------------------------------------------------------------------------------

    Désinstalle via Programmes et fonctionnalités (si tu n'en as pas l'utilité) :

  • Messenger Plus Live (sponsor indésirable)

    ---------------------------------------------------------------------------------------------

    Installe la dernière version Java :

    Télécharge et installe cette dernière version Java

    ---------------------------------------------------------------------------------------------

    USBFix - Recherche :

  • Télécharge UsbFix de El Desaparecido et enregistre-le sur ton Bureau
  • /!\ Important -> Branche tous les périphériques externes (clés, disques durs ....)
  • Double-clique sur UsbFix sur ton Bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Clique sur l'option Recherche et laisse l'outil analyser ton système
  • La recherche se lance
  • Copie-colle le contenu du rapport UsbFix.txt qui s'affiche dans ta prochaine réponse.
  • Le rapport se trouve sous C:\UsbFix.txt

    Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide

    ---------------------------------------------------------------------------------------------

    Sont attendus les rapports :
  • Extras.txt
  • UsbFix.txt

    @+
    a c 940 8 Sécurité
    4 Septembre 2011 18:41:45

    Bonjour,

    Merci pour les rapports.

    Ce n'est pas grave pour Messenger Plus, je l'ai inclus dans un script que l'on appliquera plus tard.

    Par contre désinstalle Navilog, cela ne sert à rien de garder un outil de désinfection sur un système.

    On continue :) 

    ---------------------------------------------------------------------------------------------

    USBFix - Nettoyage :

  • /!\ Important -> Branche tous les périphériques externes (clés, disques durs ....)
  • Double-clique sur UsbFix sur ton Bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Clique sur l'option Suppression et laisse l'outil analyser ton système
  • La recherche se lance
  • Copie-colle le contenu du rapport UsbFix.txt qui s'affiche dans ta prochaine réponse.
  • Le rapport se trouve sous C:\UsbFix.txt

    Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide

    ---------------------------------------------------------------------------------------------

    Malwarebyte's Anti-Malware :

  • Télécharge et installe Malwarebyte's Anti-Malware (clique sur Download Free version)
  • A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
  • Clique sur Terminer
  • Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
  • Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
  • Sélectionne ton disque dur, puis clique sur Lancer l'examen
  • A la fin du scan, clique sur Afficher les résultats
  • Pour supprimer les éléments détectés, clique sur Supprimer la sélection
  • Si un redémarrage est demandé, clique sur Yes
  • Le rapport mbam-log[date-heure].txt s'ouvre, copie-colle le contenu de ce rapport dans ta réponse sur le forum

    ---------------------------------------------------------------------------------------------

    OTL :

    Relance OTL comme indiqué précédemment afin de générer un nouveau rapport OTL.txt que tu héberges sur cijoint.fr ou pjjoint.fr

    ---------------------------------------------------------------------------------------------

    Sont attendus les rapports :
  • UsbFix.txt
  • mbam-log[date-heure].txt
  • OTL.txt

    @+
    4 Septembre 2011 21:02:33

    Alors, voici les rapports demandés, tu m'excuseras si je ne te réponds pas dans la semaine mais je suis en déplacement et rente que vendredi prochain.Je pense avoir un premier avis par mon autre fille qui a récupéré ce portable, je te tiendrais au courant. Merci beaucoup en attendant.


    http://www.cijoint.fr/cjlink.php?file=cj201109/cijuYhb0...
    http://www.cijoint.fr/cjlink.php?file=cj201109/cij9wgL5...
    http://www.cijoint.fr/cjlink.php?file=cj201109/cijMZidn...
    a c 940 8 Sécurité
    4 Septembre 2011 21:44:31

    Bonsoir,

    Il n'y a pas de souci, tu réponds quand tu peux :) 

    ---------------------------------------------------------------------------------------------

    Mise à jour d'Internet Explorer :

    Même si tu n'utilises pas Internet Explorer comme navigateur, il faut tout de même le mettre à jour et passer sous IE9.
    Téléchargez Internet Explorer 9

    ---------------------------------------------------------------------------------------------

    Correctif OTL :

  • /!\ Important -> Branche tous les périphériques externes (clés, disques durs ....)
  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Copie l'intégralité de ce code ci-dessous

    :OTL
    IE - HKU\S-1-5-21-679667194-3289928224-973859111-1000\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found
    FF - prefs.js..browser.search.defaultthis.engineName: "Messenger Plus Live France Customized Web Search"
    FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2567681&SearchSource=3&q={searchTerms}"
    FF - prefs.js..browser.search.selectedEngine: "Messenger Plus Live France Customized Web Search"
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
    [2010/04/21 12:06:58 | 000,000,955 | ---- | M] () -- C:\Users\Ophélie\AppData\Roaming\Mozilla\Firefox\Profiles\f3fxqm95.default\searchplugins\conduit.xml
    [2010/08/30 18:15:03 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
    [2011/09/03 21:59:36 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
    O1 - Hosts: ::1 localhost
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O3 - HKU\S-1-5-21-679667194-3289928224-973859111-1000\..\Toolbar\ShellBrowser: (no name) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - No CLSID value found.
    O4 - HKLM..\Run: [Acer Tour] File not found
    O4 - HKLM..\Run: [eRecoveryService] File not found
    O4 - HKLM..\Run: [PowerKey] File not found
    O4 - HKLM..\RunOnce: [] File not found
    O33 - MountPoints2\{3d1cb69b-7964-11dc-a5d6-0016d35b4c2c}\Shell\Auto\command - "" = AdobeR.exe e
    O33 - MountPoints2\{3d1cb69b-7964-11dc-a5d6-0016d35b4c2c}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
    [2010/08/30 15:46:24 | 000,002,560 | ---- | C] () -- C:\Windows\_MSRSTRT.EXE
    [2010/11/14 16:18:41 | 000,000,000 | ---D | M] -- C:\Users\Ophélie\AppData\Roaming\OpenCandy
    [2010/11/14 16:18:47 | 000,349,296 | ---- | M] () -- C:\Users\Ophélie\AppData\Roaming\OpenCandy\OpenCandy_2C634660D2E1430B8D9F6A389A52B71C\DLMgr_3_1.6.87.exe
    [2010/11/14 16:20:24 | 012,343,096 | ---- | M] () -- C:\Users\Ophélie\AppData\Roaming\OpenCandy\OpenCandy_2C634660D2E1430B8D9F6A389A52B71C\p1v1_PPIRegistryReviver_w.exe
    [2010/08/23 22:54:38 | 012,284,672 | ---- | M] (ReviverSoft LLC.) -- C:\Users\Ophélie\AppData\Roaming\OpenCandy\OpenCandy_2C634660D2E1430B8D9F6A389A52B71C\PPIRegistryReviverSetup.exe
    @Alternate Data Stream - 128 bytes -> C:\ProgramData\TEMP:8CE646EE

    :Commands
    [PURITY]
    [EMPTYTEMP]
    [EMPTYFLASH]
    [CREATERESTOREPOINT]

  • Colle l'intégralité du code dans le cadre Personnalisation
  • Clique ensuite sur le bouton Correction

  • L'outil lance la suppression, ne pas l'interrompre
  • Si l'outil te demande de redémarrer le PC, tu acceptes
  • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log
    les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure

    ---------------------------------------------------------------------------------------------

    Est attendu le rapport :
  • C:\_OTL\MovedFiles\********_******.log

    Comment se comporte le système ?

    @+
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS