Votre question

Infecte - peut-on m aider svp - RESOLU

Tags :
  • Système d'exploitation
  • Sécurité
Dernière réponse : dans Sécurité et virus
8 Août 2011 19:26:54

Bonjour
Je suis fortement infecte.

En fait, je me suis fait infecte , certainement par xp internet security 2012, qui ne melaissait plus l acces a internet

J ai donc essayer une restauration et depuis plus rien ne va! quand je lance un programme, il me dit "introuvable" (style exel) par contre qd je lance un fichier exel existant, il me l' ouvre bien avec excel ! C'est la meme chose pou mes autres programmes ! J 'espere ne pas avoir fait pire en lancant cette restauration.

Quelqu un peut il m'aider ? Merci d'avance

Autres pages sur : infecte aider svp resolu

a c 614 8 Sécurité
8 Août 2011 23:25:17

Bonjour,


Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, pense à sauvegarder le maximum possible tes documents auparavant !


    Note : Pour les outils à télécharger, fais-le sur un pc connecté, puis transfère les outils via une clé usb, et fait l'inverse pour les rapports


    1) Télécharge RstAssociations (de Xplode ) sur ton bureau.

  • Double-clique sur le fichier pour le lancer.
  • Coche les cases "exe" et "com"
  • Clique sur "Restaurer"

  • Un fichier bloc-note va s'ouvrir, copie-colle son contenu dans ta prochaine réponse

    Note : s'il ne s'ouvre pas, il est ici "C:\RstAssociations.txt"

  • Ferme l'outil.


    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.com pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system64\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system64\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

    Note : Les rapports sont aussi enregistrés sur le bureau

    9 Août 2011 07:42:20

    Bonjour
    Ci-joint le rapport pour Rst Asso...

    RstAssociations v1.3 - Rapport créé le 09/08/2011 à 07:53
    Mis à jour le 26/05/11 à 16h par Xplode
    Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
    Nom d'utilisateur : PLI - PO-GDI-07 (Administrateur)
    Exécuté depuis : C:\Documents and Settings\PLI\Bureau\rstassociations.scr

    ¤¤¤¤¤ Restauration ¤¤¤¤¤

    -> com ... association de fichiers restaurée !
    -> exe ... association de fichiers restaurée !

    ¤¤¤¤¤ Résultats ¤¤¤¤¤¤

    -> [2 association(s) de fichiers restaurée(s) avec succès]
    -> [0 association(s) de fichiers non restaurée(s)]

    ########## EOF - "C:\RstAssociations.txt" - [699 octets] ##########
    Contenus similaires
    a c 614 8 Sécurité
    9 Août 2011 10:54:35

    Re,

    Bien, on continu :

    - Tu as deux antivirus :
    Symantec AntiVirus et Avira AntiVir Personal

    Multiplier les protections n'apporte aucun avantage, et risque seulement de planter le système ou le ralentir.
    Supprime l'un des deux.

    A désinstaller aussi :
    - IObit Malware Fighter


    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    O3 - HKU\S-1-5-21-2218362004-3678583522-3854419102-1006\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
    O3 - HKU\S-1-5-21-2218362004-3678583522-3854419102-1006\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
    O3 - HKU\S-1-5-21-2218362004-3678583522-3854419102-1006\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O4 - HKU\S-1-5-21-2218362004-3678583522-3854419102-1006..\Run: [1024563490] File not found
    [2011/08/08 16:41:19 | 000,012,796 | -HS- | C] () -- C:\Documents and Settings\PLI\Local Settings\Application Data\rh23mmx6xg4yyt4bk02756erduyhjugu8l1v3y10
    [2011/08/08 16:41:19 | 000,012,796 | -HS- | C] () -- C:\Documents and Settings\All Users\Application Data\rh23mmx6xg4yyt4bk02756erduyhjugu8l1v3y10
    [2004/08/26 16:34:26 | 001,659,648 | ---- | C] () -- C:\WINDOWS\System32\pupdpsal.dat
    [2004/08/26 16:34:26 | 000,633,600 | ---- | C] () -- C:\WINDOWS\System32\qpdddehr.dat
    [2004/08/26 16:34:26 | 000,152,320 | ---- | C] () -- C:\WINDOWS\System32\ngewzpnv.dat
    [2004/08/26 16:34:26 | 000,148,224 | ---- | C] () -- C:\WINDOWS\System32\cuvtbkfx.dat
    [2004/08/26 16:34:26 | 000,145,152 | ---- | C] () -- C:\WINDOWS\System32\ictjzvtl.dat
    [2004/08/26 16:34:26 | 000,050,432 | ---- | C] () -- C:\WINDOWS\System32\gfhtgvvi.dat
    [2004/08/26 16:34:26 | 000,047,360 | ---- | C] () -- C:\WINDOWS\System32\tafhnwgh.dat
    [2004/08/26 16:34:26 | 000,039,168 | ---- | C] () -- C:\WINDOWS\System32\dfxxzyji.dat
    [2010/05/28 08:28:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    [2011/03/31 16:13:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\PLI\Application Data\mediabarim
    [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
    [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

    :Reg
    [HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\IEXPLORE.EXE\shell\open\command]
    "@"=-
    [HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\IEXPLORE.EXE\shell\open\command]
    "@"="C:\Program Files\Internet Explorer\iexplore.exe"
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "C:\DOCUME~1\PLI\LOCALS~1\Temp\0.8222864106631056.exe"=-

    :Files
    C:\Documents and Settings\PLI\Local Settings\Application Data\gwx.exe

    :Commands
    [emptytemp]
    [emptyflash]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.


    2) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.


    3) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"


    Dans ta prochaine réponse, il me faut donc :
    - Le rapport de suppression d'OTL.
    - Le rapport TDSSKiller
    - Le rapport Malwarebyte's.
    9 Août 2011 13:01:36

    Ca y est Malware a terminé.

    Je l'avais lancé une premiére fois en examen rapide et voici le rapport

    http://www.cijoint.fr/cjlink.php?file=cj201108/cijCqkDH...

    Je l'ai lancé en examen complet et voici le rapport

    http://www.cijoint.fr/cjlink.php?file=cj201108/cij54D5g...

    De plus, effectivement il y a symantec mais il est inactif et je n'ai pas la main dessus car cela vient du réseau de ma boite et je ne suis pas autotisé è y toucher.

    Remarque : J'ai perdu Itunes sur mon bureau ( et apparement dans mes programmes). Pourtant il semble présent quelque part car qd je vais ds le panneau de config, ajout/suppression de prog, il est ds la liste ! J'ai essayé de le réinstaller en telechargeant Itunes et quand je lance itunesSetup.exe,j'ai le message suivant " le composant que vous essayer d'utiliser se trouve dans une ressource réseau non disponible, cliquez sur ok ou entrez un autre chemin d'accès ci-dessous...." Que faire car j'avais mes bibliothèques et sauvegardes d'Iphone.
    J'ai essaye de rechercher itunes.msi sur le poste de travail mais il n'a rien trouvé !

    Encore merci de l'aide prcieuse que vous mapportez.

    a c 614 8 Sécurité
    9 Août 2011 14:22:45

    Re,

    Ok, le pc est clean à présent, encore des soucis ?

    Lancement de programme, accès à internet ?
    9 Août 2011 14:30:53

    plus de soucis pour l' acces internet,les programmes mais il y a ce point noir évoqué dans le message precedent pour itunes.

    Y a t il qque chose à faire ?
    a c 614 8 Sécurité
    9 Août 2011 14:37:54

    Re,

    Et il se passe quoi si tu le désinstalles via la liste des programmes de ton pc ?

    (normalement tu ne perdras pas tes bibliothèques, mais au cas où, regarde leurs dossiers et sauvegarde-les dans un autre, normalement il se situe ici :
    Citation :
    Recherchez votre dossier iTunes :
    Ce dossier est situé par défaut à l’emplacement suivant :
    Mac OS X : /Utilisateurs/nom_utilisateur/Musique
    Windows XP : \Documents and Settings\nom_utilisateur\My Documents\My Music\
    Windows Vista ou Windows 7 : \Users\nom_utilisateur\My Music\
    9 Août 2011 16:00:39

    Je le desinstalle et te tiens au courant
    9 Août 2011 16:04:44

    Je ne peux pas le désinstaller, j'ai toujours le message de windows installer "le composant que vous essayer d'utiliser se trouve dans une ressource réseau non disponible, cliquez sur ok ou entrez un autre chemin d'accès ci-dessous...."
    a c 614 8 Sécurité
    9 Août 2011 22:50:56

    :sarcastic: 

    Le jour ou nos chers membres comprendront que multiplier les demandes sur différents forum, c'est dangereux et impoli on aura fait un grand pas ...
    10 Août 2011 00:27:40

    et oui....bah quand leurs machines planteront ils seront contents ....
    10 Août 2011 07:20:55

    Je vous prie de m'excuser d'avoir posté sur différents forums ma demande, mais n'étant pas un expert en informatique, j'avais besoin d ' etre rassuré. Cela n'arrivera plus, promis ! Cela dit je n'ai suivi les instructions que sur ce forum. Désolé si j'ai bléssé quelqu'un ou si je vous ai fait perdre du temps.
    Encore mille excuses
    10 Août 2011 07:33:17

    Bonjour
    J'ai essayé la désinstallation avec Revo mais j'ai toujours le message de windows installer, apparement entre la phase 3 et 4. Apres le message j'ai fait annuler. Dois je qd même continuer apres le message ?
    a c 614 8 Sécurité
    10 Août 2011 13:38:02

    Re,

    Oui continue, Revo va supprimer lui-même ensuite.
    10 Août 2011 15:23:15

    Je l'ai fait en méthode sur mais pas de changement qd j'essaye de reinstaller itunes ? Soit je suis bête sois je n'utilise pas bien revo ? Que faire
    10 Août 2011 17:26:10

    Ca y est ! Je l'ai supprimé et réinstallé et à priori pas de pb.

    Dernier "petit" pb, j'ai une croix rouge affichée en bas à gauche (alertes de sécurité windows) et quand je l'ouvre, je ne peux pas activer les mises à jour automatiques. De même, je ne peux pas installer les mises à jour en passant par windows update. Est-ce normal ?
    11 Août 2011 08:37:49

    Bonjour,
    J'ai téléchargé Dial a Fix, estrait, pas de pb
    Qd j'arrive sur la 1ere fenetre, j'ai cliqué sur le bouton vert pour tout cocher.
    J'ai ensuite cliqué sur Flush Soft......et une fenêtre est apparu appelée "confirm". Dois je faire Yes ou No ?
    a c 614 8 Sécurité
    11 Août 2011 10:03:31

    Re,

    Oui tu confirmes puis ensuite tu cliques sur "Go"

    Et tu fermera la fenêtre qui pourrait s'ouvrir à la fin, sans valider.

    Redémarres alors le pc, et regarde si tu peux à nouveau faire des mises à jour.
    11 Août 2011 14:45:37

    Ca Marche ! Tout à l'air de fonctinner normalement.

    Dernière chose, si je peux abuser, que dois je faire de RstAssociations, OTL, TDSSKiller, Revo et Dial a Fix. Dois je les supprimer ? Comment ? Cela va t-il supprimer les rapports aussi ?

    Quid : Dois je supprimer IOBIT Malware Fighter ? Pourquoi ?

    Suis je bien protégé avec Avira (vu ce qu'il m'est arrivé)? Dois je changer ? Pour quel autre produit gratuit ?

    Merci d'avance
    a c 614 8 Sécurité
    11 Août 2011 16:07:34

    Re,

    Holà, on a pas fini, justement on passe au ménage maintenant.

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Supprime manuellement les fichiers :

    - RstAssociations.scr
    - Dial-a-fix.exe


    Dans la liste des programmes :

    - ZHPDiag 1.27

    - Revo Uninstaller


    2) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger :

    XP :
    http://www.inforumatique.fr/forum/la-restauration-du-sy...

    (Fin du tuto)


    Citation :
    Quid : Dois je supprimer IOBIT Malware Fighter ? Pourquoi ?


    Parce qu'il est soupçonné de voler les bases de définition des autres outils, de faire du poisonning (technique pour se mettre en avant sur les moteur de recherche), ce qui n'est absolument pas compatible avec une politique antimalware ...


    Mise à jour des logiciels :

    Met à jour les programmes suivants :
    - Java vers la version 6 update 26 (pense à supprimer les anciennes version dans ajout/suppression des programmes )
    - Adobe reader vers X (vérifie que les anciennes versions sont supprimée)


    Citation :
    Suis je bien protégé avec Avira (vu ce qu'il m'est arrivé)? Dois je changer ? Pour quel autre produit gratuit ?


    Oui Antivir suffit, si tu fais plus attention dans ton comportement sur le pc et le web, et que tu maintiens mieux tes logiciels à jours, java, adobe reader, etc ...


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Installer un parefeu en remplacement de celui de Windows XP :
    Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm ou Kerio par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

  • Utiliser un navigateur alternatif pour surfer de manière plus sécurisée :
    Firefox offre une meilleure sécurité par rapport à Internet Explorer, surtout si on le complète de quelques plugins très intéressant : Noscript et WOT par exemple.

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "éditer" dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi, si tu le souhaites, valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    [:_tom_:7]
    11 Août 2011 17:45:58

    J'ai fait la purge par OTL

    J'ai supprimé Iobit par panneau de config/ajout-suppression de prog mais qd je vais ds l'explorer, j'ai tjrs un dossier iobit

    Je n'ai pas dans le panneau de config/ajout-sppression de prog de trace de ZHPdiag1.27 mais je le vois ds la liste des prog par le menu démarer ?

    11 Août 2011 18:34:48

    L'installation de Adobe Reader vers X a échoué et je ne sais pas pourquoi ?
    a c 614 8 Sécurité
    11 Août 2011 19:09:06

    Re,

    Tu peux supprimer tous les dossiers IObit.

    Pour ZHP ben supprime-le là d'où tu le vois si tu peux.

    Pour adobe c'est quoi l'erreur ?
    Vire l'ancienne version avant au besoin ...

    12 Août 2011 09:15:04

    Bonjour,
    A priori Adobe fonctionne qd même et secunia m'y a fait mettre 2 patchs.

    J'utilise maintenant Firefox qui me semble plus rapide que IE.

    En sommes nous au bout ? Auquel cas je mettrai mon sujet en résolu.

    Encore un énorme merci pour tout !
    a c 614 8 Sécurité
    12 Août 2011 10:45:52

    [:archi]
    12 Août 2011 12:29:16

    meilleure réponse
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS