Se connecter / S'enregistrer
Votre question

[RESOLU] 'TR/Gendal.KD.297783' [trojan]

Tags :
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
26 Juillet 2011 07:39:36

Bonjour,

Quelques jours de cela,j'ai vu ma page d'accueil détournée par search-web.net.
J'ai réussi à m'en débarrasser tant bien que mal mais aujourd'hui ça recommence...

Antivir me signale qu'un virus 'TR/Gendal.KD.297783' [trojan] a été détecté dans le fichier 'C:\Users\Dave\Protection.exe'. :cry: 

Si un helper pourrait me venir en aide,je lui serais très reconnaissant .Merci


:hello: 

Autres pages sur : resolu gendal 297783 trojan

a c 548 8 Sécurité
26 Juillet 2011 09:50:43

Bonjour,

Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, pense à sauvegarder le maximum possible tes documents auparavant !


    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    Contenus similaires
    a c 548 8 Sécurité
    26 Juillet 2011 14:29:56

    Re,

    Première question, j'ai un doute que tu vas me confirmer je pense ...
    C'est une version légale ton Windows 7 Ultimate ?


    Pour le ménage :

    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = http://search.msn.com/spbasic.htm
    IE - HKU\S-1-5-21-1242812133-562860024-1823094359-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.search-web.net
    FF - prefs.js..keyword.URL: "http://search-web.net/results.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&ie=iso-8859-1&oe=iso-8859-1&sa=Rechercher&lang=en&q="
    [2011/07/19 18:07:11 | 000,001,667 | ---- | M] () -- C:\Users\Dave\AppData\Roaming\Mozilla\Firefox\Profiles\jaab3uo7.default\searchplugins\search-web.xml
    O4 - HKU\S-1-5-21-1242812133-562860024-1823094359-1002..\Run: [Protection] C:\Users\Dave\Protection.exe (Copyright)
    [2011/07/19 18:07:24 | 000,700,928 | ---- | C] (Copyright) -- C:\Users\Dave\Protection.exe

    :Commands
    [emptytemp]
    [emptyflash]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.



    Ensuite,

    Est-ce que tu connais ces fichiers/dossiers ?
    Citation :
    [2011/07/26 08:30:53 | 000,000,512 | ---- | C] () -- C:\Users\Dave\Documents\18-11-2012.KEY
    [2011/07/26 06:47:19 | 000,000,006 | ---- | C] () -- C:\Users\Dave\binternetNET26.7_6.47
    [2011/07/23 06:54:02 | 000,000,119 | ---- | C] () -- C:\Users\Dave\parm.fr
    [2011/07/19 18:23:55 | 000,003,926 | ---- | C] () -- C:\Users\Dave\F_ajour.jar
    [2011/07/19 18:07:43 | 000,000,011 | ---- | C] () -- C:\Users\Dave\logie
    [2011/07/19 18:07:43 | 000,000,008 | ---- | C] () -- C:\Users\Dave\logff
    [2011/07/19 18:07:04 | 000,000,000 | ---- | C] () -- C:\Users\Dave\tmp1.17


    Si non pour chacun d'eux fais ceci :

    Affiche les fichiers et dossiers cachés :
    http://www.inforumatique.fr/forum/afficher-les-fichiers...

    Va sur ce site :
    http://www.virustotal.com/fr/

    Clique sur "Parcourir" puis recherche le fichier (si présent)

    Une fois sélectionné, clique sur "Send File", l'envoi va commencer.

    S'il te dit que ce fichier a déjà été analysé, redemande une analyse (bouton "Reanalysis"), et/ou laisse faire l'analyse jusqu'à avoir "terminée" en haut, après "current statut"

    Copie alors l'adresse dans la barre d'adresse de ton navigateur, puis donne-la moi dans ta prochaine réponse.
    26 Juillet 2011 19:03:02

    Re,

    Oui effectivement, ce n'est pas une version officielle de win7 :whistle: 

    Pour la désinfection,voici le rapport OTL après correction:

    All processes killed
    ========== OTL ==========
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Search bar| /E : value set successfully!
    HKU\S-1-5-21-1242812133-562860024-1823094359-1002\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
    Prefs.js: "http://search-web.net/results.php?cx=partner-pub-042064..." removed from keyword.URL
    C:\Users\Dave\AppData\Roaming\Mozilla\Firefox\Profiles\jaab3uo7.default\searchplugins\search-web.xml moved successfully.
    Registry value HKEY_USERS\S-1-5-21-1242812133-562860024-1823094359-1002\Software\Microsoft\Windows\CurrentVersion\Run\\Protection deleted successfully.
    C:\Users\Dave\Protection.exe moved successfully.
    File C:\Users\Dave\Protection.exe not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Dave
    ->Temp folder emptied: 6817 bytes
    ->Temporary Internet Files folder emptied: 51862 bytes
    ->Java cache emptied: 4441579 bytes
    ->FireFox cache emptied: 47978660 bytes
    ->Flash cache emptied: 470 bytes

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Mcx1-DAVE-PC
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 109688 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 50,00 mb


    [EMPTYFLASH]

    User: All Users

    User: Dave
    ->Flash cache emptied: 0 bytes

    User: Default

    User: Default User

    User: Mcx1-DAVE-PC

    User: Public

    Total Flash Files Cleaned = 0,00 mb


    OTL by OldTimer - Version 3.2.26.1 log created on 07262011_162931

    Files\Folders moved on Reboot...
    File move failed. C:\Windows\temp\logishrd\LVPrcInj01.dll scheduled to be moved on reboot.

    Registry entries deleted on Reboot...

    - ------------------------------------------------------------------------------------------------------------------------------------

    -Pour ce qui est des fichiers que tu as nommés(excepté le fichier KEY) ,les autres NON,je ne les connais pas :??: 

    C:\Users\Dave\binternetNET26.7_6.47 jamais analysé :0 result
    C:\Users\Dave\parm.fr jamais anlysé :0 results
    C:\Users\Dave\F_ajour.jar 6 results http://www.virustotal.com/file-scan/report.html?id=f9693d17f1194a19e9b436a15a0b3ad23ddc4b580e3c58ecfe84ee7e3b83eb01-1311698048
    C:\Users\Dave\logie déja analysé :0 result
    C:\Users\Dave\logff jamais 0 result
    Le fichier C:\Users\Dave\tmp1.17 ,j'arrive pas à l'upload :pfff:  ,ça revient à chaque fois sur la page d'accueil de virustotal...

    @+
    a c 548 8 Sécurité
    26 Juillet 2011 22:39:08

    Re,

    Ok alors je fini la désinfection, mais sache que normalement nous ne désinfectons pas les pc avec des OS non légaux, à lire :
    http://www.commentcamarche.net/faq/2981-j-utilise-une-v...

    De plus c'est dangereux d'effectuer certaines manipulation sur des versions piratées ...
    Tu es prévenu.


    Pour continuer :

    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    [2011/07/26 06:47:19 | 000,000,006 | ---- | C] () -- C:\Users\Dave\binternetNET26.7_6.47
    [2011/07/23 06:54:02 | 000,000,119 | ---- | C] () -- C:\Users\Dave\parm.fr
    [2011/07/19 18:23:55 | 000,003,926 | ---- | C] () -- C:\Users\Dave\F_ajour.jar
    [2011/07/19 18:07:43 | 000,000,011 | ---- | C] () -- C:\Users\Dave\logie
    [2011/07/19 18:07:43 | 000,000,008 | ---- | C] () -- C:\Users\Dave\logff
    [2011/07/19 18:07:04 | 000,000,000 | ---- | C] () -- C:\Users\Dave\tmp1.17

    :Commands
    [emptytemp]
    [emptyflash]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.


    Puis fais ceci :

    http://www.java.com/fr/download/help/plugin_cache.xml


    Et enfin branche les support de stockage externe qui auraient pu être contaminé (clés usb, disque dur externe) et fais ceci :

    Télécharge UsbFix (de El Desaparecido et C_XX) sur ton Bureau.

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Recherche" pour lancer le scan. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse

    Une aide à l'utilisation ici


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    26 Juillet 2011 23:43:23

    RE,

    Ok ,merci! C'est noté pour mon OS!

    Voici le rapport OTL:

    All processes killed
    ========== OTL ==========
    File C:\Users\Dave\binternetNET26.7_6.47 not found.
    C:\Users\Dave\parm.fr moved successfully.
    C:\Users\Dave\F_ajour.jar moved successfully.
    C:\Users\Dave\logie moved successfully.
    C:\Users\Dave\logff moved successfully.
    C:\Users\Dave\tmp1.17 moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Dave
    ->Temp folder emptied: 106803 bytes
    ->Temporary Internet Files folder emptied: 4694594 bytes
    ->Java cache emptied: 1522106 bytes
    ->FireFox cache emptied: 49010990 bytes
    ->Flash cache emptied: 470 bytes

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Mcx1-DAVE-PC
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 109080 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 53,00 mb


    [EMPTYFLASH]

    User: All Users

    User: Dave
    ->Flash cache emptied: 0 bytes

    User: Default

    User: Default User

    User: Mcx1-DAVE-PC

    User: Public

    Total Flash Files Cleaned = 0,00 mb


    OTL by OldTimer - Version 3.2.26.1 log created on 07262011_230038

    Files\Folders moved on Reboot...
    File move failed. C:\Windows\temp\logishrd\LVPrcInj01.dll scheduled to be moved on reboot.

    Registry entries deleted on Reboot...
    --------------------------------------------------------------------------------------------------------------------------------
    Il me reste toujours un fichier dans C/,il a changé de nom : C:\User\Dave\ binternetNET26.7_13.25 (Je peux peut-être le supprimer manuellement?) :??: 

    J'ai vidé le cache Java.
    Je te poste le rapport de UsbFix:

    ############################## | UsbFix 7.051 | [Recherche]

    Utilisateur: Dave (Administrateur) # DAVE-PC [ ]
    Mis à jour le 26/07/2011 par El Desaparecido
    Lancé à 23:23:38 | 26/07/2011
    Site Web: http://www.teamxscript.org
    Submit your sample: http://www.teamxscript.org/Upload.php
    Contact: TeamXscript.ElDesaparecido@gmail.com

    CPU: Intel(R) Pentium(R) M processor 1.73GHz
    Microsoft Windows 7 Édition Intégrale (6.1.7601 32-Bit) # Service Pack 1
    Internet Explorer 9.0.8112.16421

    Pare-feu Windows: Activé
    RAM -> 1526 Mo
    C:\ (%systemdrive%) -> Disque fixe # 75 Go (39 Go libre(s) - 52%) [] # NTFS
    D:\ -> CD-ROM
    E:\ -> Disque amovible # 30 Go (16 Go libre(s) - 54%) [SANDISK USB] # NTFS

    ################## | Éléments infectieux |


    ################## | Registre |


    ################## | Mountpoints2 |


    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |




    a c 548 8 Sécurité
    27 Juillet 2011 09:07:02

    Re,

    Ok voyons çà alors :

    Relance OTL :
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, seul le rapport OTL.Txt s'ouvrira. Copie/colle ici son contenu.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.


    Ensuite :

    Télécharge Gmer sur ton bureau. (Clique sur "Download EXE")

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur xxxxx.exe (nom aléatoire de Gmer) pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, tu dois être sur l'onglet Rootkit/Malware
  • Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All.
  • Clique sur le bouton Scan.
  • Laisse Gmer travailler et ne touche plus à ton ordinateur. Le scan peut être long.

  • A la fin du scan, un rapport s'ouvrira : enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu dans ta réponse.
  • Si ce n'est pas le cas, clique sur le bouton "Copy" en dessous de "scan", ouvre alors un fichier bloc-note et colle (Ctrl + v), puis copie ce rapport dans ta réponse.
  • Quitte Gmer et réactive tes logiciels de sécurité.

    Attention à ne rien tenter par toi même !!
    27 Juillet 2011 11:43:01

    Re,

    Le rapport d'OTL :

    http://www.cijoint.fr/cjlink.php?file=cj201107/cij8mAUQwn.txt

    Et celui de Gmer:



    GMER 1.0.15.15641 - http://www.gmer.net
    Rootkit scan 2011-07-27 11:33:50
    Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3 HTS541080G9SA00 rev.MB4OC60D
    Running: wntn8yp2.exe; Driver: C:\Users\Dave\AppData\Local\Temp\kxldapow.sys


    ---- System - GMER 1.0.15 ----

    SSDT 8AC03D63 ZwLoadDriver
    SSDT 8AC03D68 ZwSetSystemInformation
    SSDT 8AC03D27 ZwTerminateProcess
    SSDT 8AC03D22 ZwWriteVirtualMemory

    ---- Kernel code sections - GMER 1.0.15 ----

    .text ntoskrnl.exe!ZwSaveKey + 13CD 82874A09 1 Byte [06]
    .text ntoskrnl.exe!KiDispatchInterrupt + 5A2 82894512 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
    .text ntoskrnl.exe!KeRemoveQueueEx + 15DB 8289B9A8 4 Bytes [63, 3D, C0, 8A]
    .text ntoskrnl.exe!KeRemoveQueueEx + 18E7 8289BCB4 4 Bytes [68, 3D, C0, 8A]
    .text ntoskrnl.exe!KeRemoveQueueEx + 1937 8289BD04 4 Bytes [27, 3D, C0, 8A]
    .text ntoskrnl.exe!KeRemoveQueueEx + 19AB 8289BD78 4 Bytes [22, 3D, C0, 8A]

    ---- User IAT/EAT - GMER 1.0.15 ----

    IAT C:\Windows\Explorer.EXE[1576] @ C:\Windows\Explorer.EXE [KERNEL32.dll!GetProcAddress] [75ACFFF6] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1576] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [75ACFFF6] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1576] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [75ACFFF6] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1576] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [75ACFFF6] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1576] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [75ACFFF6] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1576] @ C:\Windows\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [75ACFFF6] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1576] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [75ACFFF6] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
    IAT C:\Windows\Explorer.EXE[1576] @ C:\Windows\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [75ACFFF6] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)

    ---- Devices - GMER 1.0.15 ----

    AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

    Device \Driver\ACPI_HAL \Device\0000004d halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

    ---- EOF - GMER 1.0.15 ----


    a c 548 8 Sécurité
    27 Juillet 2011 11:53:16

    Re,

    Met à jour Antivir et fais une analyse complète.

    Poste le rapport ou dis-moi s'il détecte encore un truc.

    [:_tom_:7]
    27 Juillet 2011 15:40:13

    Re,

    Analyse complète avec Antivir,celui-ci ne détecte plus rien!
    [:187]
    a c 548 8 Sécurité
    27 Juillet 2011 19:09:05

    Ok,

    On fait le ménage alors :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    2) Relance UsbFix
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Désinstaller"


    3) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger :

    Vista/7 :
    http://www.inforumatique.fr/forum/post82670.html#p82670


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

  • Utiliser un navigateur alternatif pour surfer de manière plus sécurisée :
    Firefox offre une meilleure sécurité par rapport à Internet Explorer, surtout si on le complète de quelques plugins très intéressant : Noscript et WOT par exemple.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "éditer" dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi, si tu le souhaites, valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    27 Juillet 2011 19:57:19

    Merci beaucoup à toi !

    @ bientôt :hello: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS