Votre question

PC Performance & Stability analysis report - HELP!!! - Résolu -

Tags :
  • Système d'exploitation
  • Sécurité
Dernière réponse : dans Sécurité et virus
22 Août 2011 19:05:37

Bonjour,
mon ordianteur portable est inutilisable depuis quelques temps par un logiciel que je pense être un virus, "PC PErformance & Stability analysis report"...
Ecran noir sur le bureau etc...
Quelqu'un pourrait-il me guider pour sortir de cette mauvaise passe?
Merci!

Autres pages sur : performance amp stability analysis report help resolu

a c 614 8 Sécurité
22 Août 2011 19:38:47

Bonjour,


C'est un rogue, un faux logiciel de performance/sécurité.
Généralement attrapé par les cracks ou via des exploit web car système non à jour !


Télécharge RogueKiller (de Tigzy) sur ton bureau.
  • Ferme toutes tes fenêtres
  • Renomme roguekiller.exe en explorer.exe (le .exe peut ne pas apparaitre chez toi)
  • Double clique sur explorer.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis l'option 1 et valide.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré sur le bureau : RKreport.txt)
    22 Août 2011 20:31:52

    Merci pour ton aide!

    Ci-dessous le rapport de RogueKiller :

    RogueKiller V5.3.3 [18/08/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...

    Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Mélanie [Droits d'admin]
    Mode: Recherche -- Date : 22/08/2011 20:29:46

    Processus malicieux: 2
    [SUSP PATH] nesrecx.dll -- C:\Users\Mélanie\AppData\Local\nesrecx.dll -> UNLOADED
    [SUSP PATH] GoogleToolbarInstaller_updater_signed.exe -- c:\programdata\google\google toolbar\update\googletoolbarinstaller_updater_signed.exe -> KILLED [TermProc]

    Entrees de registre: 12
    [BLACKLIST DLL] HKCU\[...]\Run : Bbirubemob (rundll32.exe "C:\Users\Mélanie\AppData\Local\nesrecx.dll",Startup) -> FOUND
    [SUSP PATH] HKCU\[...]\Run : fOEqVGtijLGLKa (C:\ProgramData\fOEqVGtijLGLKa.exe) -> FOUND
    [BLACKLIST DLL] HKUS\S-1-5-21-1455489081-369436306-1995281248-1000[...]\Run : Bbirubemob (rundll32.exe "C:\Users\Mélanie\AppData\Local\nesrecx.dll",Startup) -> FOUND
    [SUSP PATH] HKUS\S-1-5-21-1455489081-369436306-1995281248-1000[...]\Run : fOEqVGtijLGLKa (C:\ProgramData\fOEqVGtijLGLKa.exe) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
    [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
    [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
    [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
    [HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

    Fichiers / Dossiers particuliers:
    [FOLDER] plugs : c:\users\mélanie\appdata\roaming\adobe\plugs --> FOUND
    [FOLDER] shed : c:\users\mélanie\appdata\roaming\adobe\shed --> FOUND

    Fichier HOSTS:
    127.0.0.1 localhost
    ::1 localhost


    Termine : << RKreport[1].txt >>
    RKreport[1].txt




    J'attends tes instructions, merci!
    Contenus similaires
    a c 614 8 Sécurité
    23 Août 2011 10:13:48

    Re,

    Ok c'est parti :

    Préambule à toute désinfection :

    La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
    Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, pense à sauvegarder le maximum possible tes documents auparavant !


    1) Relance RogueKiller :
  • Ferme toutes tes fenêtres, puis double clique sur explorer.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis l'option 2 et valide.
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré sur le bureau : RKreport.txt)


    2) Relance une nouvelle fois RogueKiller :
  • Ferme toutes tes fenêtres, puis double clique sur explorer.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis l'option 6 et valide.
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré sur le bureau : RKreport.txt)


    3) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"


    4) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

    Note : Les rapports sont aussi enregistrés sur le bureau
    24 Août 2011 22:04:35

    Ok alors voici les resultats :

    étape1 :

    RogueKiller V5.3.3 [18/08/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...

    Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Mélanie [Droits d'admin]
    Mode: Suppression -- Date : 24/08/2011 10:53:59

    Processus malicieux: 1
    [SUSP PATH] nesrecx.dll -- C:\Users\Mélanie\AppData\Local\nesrecx.dll -> UNLOADED

    Entrees de registre: 22
    [BLACKLIST DLL] HKCU\[...]\Run : Bbirubemob (rundll32.exe "C:\Users\Mélanie\AppData\Local\nesrecx.dll",Startup) -> DELETED
    [SUSP PATH] HKCU\[...]\Run : fOEqVGtijLGLKa (C:\ProgramData\fOEqVGtijLGLKa.exe) -> DELETED
    [BLACKLIST DLL] HKCU\[...]\Run : Bbirubemob (rundll32.exe "C:\Users\Mélanie\AppData\Local\nesrecx.dll",Startup) -> DELETED
    [BLACKLIST DLL] HKCU\[...]\Run : Bbirubemob (rundll32.exe "C:\Users\Mélanie\AppData\Local\nesrecx.dll",Startup) -> DELETED
    [BLACKLIST DLL] HKCU\[...]\Run : Bbirubemob (rundll32.exe "C:\Users\Mélanie\AppData\Local\nesrecx.dll",Startup) -> DELETED
    [BLACKLIST DLL] HKUS\S-1-5-21-1455489081-369436306-1995281248-1000[...]\Run : Bbirubemob (rundll32.exe "C:\Users\Mélanie\AppData\Local\nesrecx.dll",Startup) -> DELETED
    [BLACKLIST DLL] HKUS\S-1-5-21-1455489081-369436306-1995281248-1000[...]\Run : Bbirubemob (rundll32.exe "C:\Users\Mélanie\AppData\Local\nesrecx.dll",Startup) -> DELETED
    [BLACKLIST DLL] HKUS\S-1-5-21-1455489081-369436306-1995281248-1000[...]\Run : Bbirubemob (rundll32.exe "C:\Users\Mélanie\AppData\Local\nesrecx.dll",Startup) -> DELETED
    [BLACKLIST DLL] HKUS\S-1-5-21-1455489081-369436306-1995281248-1000[...]\Run : Bbirubemob (rundll32.exe "C:\Users\Mélanie\AppData\Local\nesrecx.dll",Startup) -> DELETED
    [BLACKLIST DLL] HKUS\S-1-5-21-1455489081-369436306-1995281248-1000[...]\Run : Bbirubemob (rundll32.exe "C:\Users\Mélanie\AppData\Local\nesrecx.dll",Startup) -> DELETED
    [BLACKLIST DLL] HKUS\S-1-5-21-1455489081-369436306-1995281248-1000[...]\Run : Bbirubemob (rundll32.exe "C:\Users\Mélanie\AppData\Local\nesrecx.dll",Startup) -> DELETED
    [BLACKLIST DLL] HKUS\S-1-5-21-1455489081-369436306-1995281248-1000[...]\Run : Bbirubemob (rundll32.exe "C:\Users\Mélanie\AppData\Local\nesrecx.dll",Startup) -> DELETED
    [BLACKLIST DLL] HKUS\S-1-5-21-1455489081-369436306-1995281248-1000[...]\Run : Bbirubemob (rundll32.exe "C:\Users\Mélanie\AppData\Local\nesrecx.dll",Startup) -> DELETED
    [BLACKLIST DLL] HKUS\S-1-5-21-1455489081-369436306-1995281248-1000[...]\Run : Bbirubemob (rundll32.exe "C:\Users\Mélanie\AppData\Local\nesrecx.dll",Startup) -> DELETED
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

    Fichiers / Dossiers particuliers:
    [FILE] KB84945524.exe : c:\users\mélanie\appdata\roaming\adobe\plugs\KB84945524.exe --> REMOVED
    [FOLDER] plugs : c:\users\mélanie\appdata\roaming\adobe\plugs --> REMOVED
    [FOLDER] shed : c:\users\mélanie\appdata\roaming\adobe\shed --> REMOVED

    Fichier HOSTS:
    127.0.0.1 localhost
    ::1 localhost


    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt





    étape 2 :

    RogueKiller V5.3.3 [18/08/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...

    Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Mélanie [Droits d'admin]
    Mode: Raccourcis RAZ -- Date : 24/08/2011 11:10:22

    Processus malicieux: 1
    [SUSP PATH] nesrecx.dll -- C:\Users\Mélanie\AppData\Local\nesrecx.dll -> UNLOADED

    Attributs de fichiers restaures:
    Bureau: Success 1100 / Fail 0
    Lancement rapide: Success 7 / Fail 0
    Programmes: Success 580 / Fail 0
    Menu demarrer: Success 42 / Fail 0
    Dossier utilisateur: Success 9862 / Fail 0
    Mes documents: Success 49 / Fail 0
    Mes favoris: Success 53 / Fail 0
    Mes images: Success 3572 / Fail 0
    Ma musique: Success 1117 / Fail 0
    Mes videos: Success 7 / Fail 0
    Disques locaux: Success 16018 / Fail 0
    Sauvegarde: [FOUND] Success 24 / Fail 0

    Lecteurs:
    [C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
    [D:] \Device\HarddiskVolume2 -- 0x3 --> Restored
    [E:] \Device\CdRom0 -- 0x5 --> Skipped

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt



    étape 3 :

    Aucune info dans la fenêtre de résultats





    étape 4 :

    http://www.cijoint.fr/cjlink.php?file=cj201108/cijYhWpk...

    http://www.cijoint.fr/cjlink.php?file=cj201108/cijCF2ox...


    J'attends tes prochaines instructions!
    merci
    a c 614 8 Sécurité
    24 Août 2011 22:57:44

    Re,

    Ton pc n'est pas à jour que ce soit système ou logiciel ... par exemple Microsoft ne suis plus Vista si tu n'es pas sous le SP2 tu es donc très vulnérable aux failles systèmes.
    On mettra à jour en fin de désinfection.

    Ce rogue vient sois par exploit (donc faille système/logiciel), sois par crack et p2p (ce que tu utilises semble-t-il), ou via de faux codec.

    C'est toi qui a installé ce client de messagerie ?
    - Gadu-Gadu


    1) Désinstalle ces programmes de ta liste des programmes (si encore présent) :

    - Java(TM) 6 Update 2 (version obsolète, tu possèdes une plus récente)
    - Java(TM) 6 Update 3 (idem)
    - AIM 6 (sauf réelle utilité)
    - AOL Toolbar 5.0 (idem)
    - McAfee Security Scan (inutile)
    - Viewpoint Media Player (lié à des adwares, connu pour des conditions d'utilisation des données personnelles obscures ...)


    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.duxet.com/
    O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
    O4 - HKU\S-1-5-21-1455489081-369436306-1995281248-1000..\Run: [Bbirubemob] C:\Users\Mélanie\AppData\Local\nesrecx.dll (Greatis Software)
    O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
    O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
    O33 - MountPoints2\{90fc06d1-2e4e-11de-87bc-0016d3a011ca}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL systems.com
    O33 - MountPoints2\{90fc06d1-2e4e-11de-87bc-0016d3a011ca}\Shell\read\command - "" = explorer.exe -- [2011/08/22 20:28:38 | 000,569,856 | -H-- | M] ()
    O33 - MountPoints2\{90fc06d1-2e4e-11de-87bc-0016d3a011ca}\Shell\start\command - "" = systems.com
    [2011/05/21 20:30:20 | 000,344,576 | -H-- | C] (Microsoft Corporation) -- C:\ProgramData\45801208.exe
    [2011/05/21 20:21:17 | 000,422,400 | -H-- | C] (Microsoft Corporation) -- C:\ProgramData\fOEqVGtijLGLKa.exe
    [2008/06/18 14:01:11 | 000,098,304 | -H-- | C] (Greatis Software) -- C:\Users\Mélanie\AppData\Local\nesrecx.dll
    [2011/05/21 20:30:28 | 000,000,144 | -H-- | C] () -- C:\ProgramData\~45801208r
    [2011/05/21 20:30:28 | 000,000,120 | -H-- | C] () -- C:\ProgramData\~45801208
    [2011/05/21 20:30:22 | 000,000,336 | -H-- | C] () -- C:\ProgramData\45801208
    [2010/06/14 16:36:18 | 000,000,012 | -H-- | C] () -- C:\Users\Mélanie\AppData\Roaming\qcopjv.dat
    [2010/06/14 16:36:11 | 000,000,004 | -H-- | C] () -- C:\Users\Mélanie\AppData\Roaming\avdrn.dat
    [2008/12/30 23:55:27 | 000,000,000 | -H-D | M] -- C:\Users\Mélanie\AppData\Roaming\F-Secure
    [2008/02/13 21:15:21 | 000,000,000 | -H-D | M] -- C:\Users\Mélanie\AppData\Roaming\Symantec

    :Commands
    [emptytemp]
    [emptyflash]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.


    3) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    25 Août 2011 23:38:31

    Re

    Alors j'ai désinstaller tous les programmes demandés.
    Pour Gadu gadu, non je ne sais pas d'où ça vient...

    Ci-dessous le rapport OTL :

    All processes killed
    ========== OTL ==========
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\ not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}\ not found.
    Registry value HKEY_USERS\S-1-5-21-1455489081-369436306-1995281248-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Bbirubemob not found.
    File C:\Users\Mélanie\AppData\Local\nesrecx.dll not found.
    Starting removal of ActiveX control {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{90fc06d1-2e4e-11de-87bc-0016d3a011ca}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{90fc06d1-2e4e-11de-87bc-0016d3a011ca}\ not found.
    File C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL systems.com not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{90fc06d1-2e4e-11de-87bc-0016d3a011ca}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{90fc06d1-2e4e-11de-87bc-0016d3a011ca}\ not found.
    explorer.exe moved successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{90fc06d1-2e4e-11de-87bc-0016d3a011ca}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{90fc06d1-2e4e-11de-87bc-0016d3a011ca}\ not found.
    File systems.com not found.
    C:\ProgramData\45801208.exe moved successfully.
    C:\ProgramData\fOEqVGtijLGLKa.exe moved successfully.
    File C:\Users\Mélanie\AppData\Local\nesrecx.dll not found.
    C:\ProgramData\~45801208r moved successfully.
    C:\ProgramData\~45801208 moved successfully.
    C:\ProgramData\45801208 moved successfully.
    C:\Users\Mélanie\AppData\Roaming\qcopjv.dat moved successfully.
    C:\Users\Mélanie\AppData\Roaming\avdrn.dat moved successfully.
    C:\Users\Mélanie\AppData\Roaming\F-Secure\Spam Control folder moved successfully.
    C:\Users\Mélanie\AppData\Roaming\F-Secure folder moved successfully.
    C:\Users\Mélanie\AppData\Roaming\Symantec\NPMDataStore folder moved successfully.
    C:\Users\Mélanie\AppData\Roaming\Symantec folder moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Mélanie
    ->Temp folder emptied: 191493628 bytes
    ->Temporary Internet Files folder emptied: 1041632588 bytes
    ->Java cache emptied: 10166 bytes
    ->Flash cache emptied: 42673 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 20375508 bytes
    RecycleBin emptied: 1760457066 bytes

    Total Files Cleaned = 2 874,00 mb


    [EMPTYFLASH]

    User: All Users

    User: Default

    User: Default User

    User: Mélanie
    ->Flash cache emptied: 0 bytes

    User: Public

    Total Flash Files Cleaned = 0,00 mb


    OTL by OldTimer - Version 3.2.26.5 log created on 08252011_232556

    Files\Folders moved on Reboot...
    C:\Users\Mélanie\AppData\Local\Temp\ehmsas.txt moved successfully.
    C:\Users\Mélanie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\VL8FV2B5\300055-11-performance-stability-analysis-report-help[1].htm moved successfully.
    C:\Users\Mélanie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\SWAJUU0Y\like[1].htm moved successfully.
    C:\Users\Mélanie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat moved successfully.
    File\Folder C:\Users\Mélanie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\flaB57D.tmp not found!

    Registry entries deleted on Reboot...



    Je lance MalwareByte's anti malware et je poste le raport dès que c'est ok!

    26 Août 2011 10:07:58

    ... et voici le dernier rapport antimalware!


    Malwarebytes' Anti-Malware 1.51.1.1800
    www.malwarebytes.org

    Version de la base de données: 7569

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    26/08/2011 10:06:39
    mbam-log-2011-08-26 (10-06-38).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 361129
    Temps écoulé: 1 heure(s), 52 minute(s), 48 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 5

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Users\Mélanie\Desktop\rk_quarantine\foeqvgtijlglka.exe.vir (Rogue.FakeHDD) -> Quarantined and deleted successfully.
    c:\Users\Mélanie\Desktop\rk_quarantine\kb84945524.exe.vir (Rogue.FakeHDD) -> Quarantined and deleted successfully.
    c:\Users\Mélanie\Desktop\rk_quarantine\nesrecx.dll.vir (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
    c:\_OTL\movedfiles\08252011_232556\c_programdata\45801208.exe (Rogue.FakeHDD) -> Quarantined and deleted successfully.
    c:\_OTL\movedfiles\08252011_232556\c_programdata\foeqvgtijlglka.exe (Rogue.FakeHDD) -> Quarantined and deleted successfully.



    a c 614 8 Sécurité
    26 Août 2011 10:21:12

    Re,

    Ok c'est bon, on y va pour le ménage final :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Si cela n'a pas été fait, supprime TDSSKiller.exe

    2) Supprime RogueKiller :

    - Supprime le fichier "explorer.exe" qu'on avait renommé (et seulement celui-là, pas celui dans le dossier Windows)
    - supprime ce dossier qui doit être sur ton bureau : rk_quarantine


    3) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger :

    Vista/7 :
    http://www.inforumatique.fr/forum/post82670.html#p82670


    4) Mise à jour du système et des logiciels :

    /!\ Windows Vista Sp1 n'est plus suivi par Microsoft, il faut absolument passé au service pack 2, sinon tu seras extrêmement vulnérable au faille de sécurité !

    Met à jour ton système vers le service pack 2 et fais l'ensemble des mises à jours proposées, notamment Internet Explorer 9 :
    Démarrer -> Tous les programmes -> Windows Update

    Met à jour les programmes suivants :
    - Java vers la version 6 update 26 (pense à supprimer les anciennes version dans ajout/suppression des programmes )
    - Adobe reader vers X (10.x) (vérifie que les anciennes versions sont supprimée)
    - VLC media player vers la version 1.1.11

    A supprimer via ajout/suppression des programmes (si encore présent)

    - Gadu-Gadu 7.7 (client messagerie polonais)



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

  • Utiliser un navigateur alternatif pour surfer de manière plus sécurisée :
    Firefox offre une meilleure sécurité par rapport à Internet Explorer, surtout si on le complète de quelques plugins très intéressant : Noscript et WOT par exemple.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "éditer" dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi, si tu le souhaites, valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    [:_tom_:7]
    27 Août 2011 00:22:58

    Re,

    merci pour tout c'est cool de ta part!

    A noter que les fichier de RogueKiller et TDSSKiller étaient apparemment déjà effacés...

    Encore merci a+
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS