Votre question

virus qui efface les données du disque dur

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
8 Décembre 2011 15:24:15

Salut tout le monde,

Histoire d'etre original, mon ordinateur vient manifestement de subir un attaque virale.
je suis sous windows xp, l'ordinateur n'etait pas tres en forme se matin, plusieur plantage, 2 redemarrages puis plantage de active desktop, je le redemarre une fois de plus et la replantage et je m'appercois que dans le menu demarré, plusieur icone on disparues, (poste de travail, panneau de config et pas mal de logiciel) je parcour la rubrique "tout les programmes" et la tout y est mais en deployant les menu de certains logiciels je m'appercois que certains sont vide...

je suis allé jetté un oeil au disque dur via l'invité de commande et manifestement il n'ya pas trop de degats enfin j'espere mais comment puis je faire pour tout remettre en ordre et surtout eliminer le virus sans tout formater ?

pour infos, j'utilise eset smart security 4 (super efficace on dirait....)

merci d'avance

Autres pages sur : virus efface donnees disque dur

8 Décembre 2011 16:30:09

j'ai scanné l'integralité de l'ordinateur avec eset smart security 4 et rien de particulier a signaler
j'ai egalement telechargé roguekiller pour tout analyser, et voici le rapport :

RogueKiller V6.1.12 [02/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: ludo77 [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 08/12/2011 16:11:19

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

Attributs de fichiers restaures:
Bureau: Success 2 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 13 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 225 / Fail 0
Mes documents: Success 2 / Fail 0
Mes favoris: Success 2 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 3167 / Fail 0
Sauvegarde: [FOUND] Success 131 / Fail 0

Lecteurs:
[A:] \Device\Floppy0 -- 0x2 --> Skipped
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[E:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[F:] \Device\Harddisk3\DP(1)0-0+b -- 0x2 --> Restored
[G:] \Device\Harddisk4\DP(1)0-0+c -- 0x2 --> Restored
[H:] \Device\Harddisk5\DP(1)0-0+d -- 0x2 --> Restored
[I:] \Device\Harddisk6\DP(1)0-0+e -- 0x2 --> Restored
[J:] \Device\CdRom0 -- 0x5 --> Skipped
[K:] \Device\CdRom1 -- 0x5 --> Skipped
[L:] \Device\CdRom2 -- 0x5 --> Skipped
[M:] \Device\Harddisk7\DP(1)0-0+10 -- 0x2 --> Restored
[S:] \Device\HarddiskVolume4 -- 0x3 --> Restored

¤¤¤ Infection : Rogue.FakeHDD ¤¤¤

Termine : << RKreport[1].txt >>
RKreport[1].txt



8 Décembre 2011 18:45:21

bon je pense m'etre debarassé de Rogue.FakeHDD mais malheureusemet je crois que d'autre vilain virus squat mon pc.
je viens de le redemarrer en criant victoire et l'antivirus me dit que j'ai 2 nouveaux virus
c:\windows\assembly\GAC_MSIL\desktop.ini
et
c:\windows\system32\wuauclt.exe
de plus quand je fais une recherche dans google, en cliquant sur le lien qui m’intéresse, je suis automatiquement redirigé sur des sites bizarre de toutes sorte...
et a chaque redémarrage mon antivirus me dit de redemarrer l'ordi pour prendre en compte le netoyage mais manifestement il ne nettoie rien...

quelqu'un a une idée ?

merci beaucoup.
Contenus similaires
8 Décembre 2011 22:00:16

ludo77777 a dit :
bon je pense m'etre debarassé de Rogue.FakeHDD mais malheureusemet je crois que d'autre vilain virus squat mon pc.
je viens de le redemarrer en criant victoire et l'antivirus me dit que j'ai 2 nouveaux virus
c:\windows\assembly\GAC_MSIL\desktop.ini
et
c:\windows\system32\wuauclt.exe
de plus quand je fais une recherche dans google, en cliquant sur le lien qui m’intéresse, je suis automatiquement redirigé sur des sites bizarre de toutes sorte...
et a chaque redémarrage mon antivirus me dit de redemarrer l'ordi pour prendre en compte le netoyage mais manifestement il ne nettoie rien...

quelqu'un a une idée ?

merci beaucoup.


Bonjour,
Esaye de scaner ton ordinateur avec antivr ces un antivirus gratuit et en debranchant ton pc de linternet pendant le scan et si vraiment il reste le formatage reste la solusion pour le supprimer jais deja eu plusieur virus de genre 1foix sur 2 ces formatage obliger
8 Décembre 2011 23:48:28

J ai scanné deja avec nod 32 j essaierai avec antivir mais il faut absolument que je trouve une solution autre que le formatage car j ai beaucoup de document de travail que je ne peux pas perdre...
a c 614 8 Sécurité
9 Décembre 2011 11:14:51

Bonjour,

/!\ Windows XP Sp2 n'est plus suivi par Microsoft, ton pc était donc extrêmement vulnérable au faille de sécurité !

Pourquoi n'est-il pas à jour ?

Ensuite, tu es infecté par un rogue, un faux logiciel de sécurité justement transmis via exploit web lorsque le pc ou les programmes ne sont pas à jour, mais en plus, tu as le rootkit zeroacces, très contraignant à suppirmer !

Merci de faire ceci :

Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

/!\ Ferme tous tes programmes et déconnecte toi d'internet.

/!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
    9 Décembre 2011 11:24:37

    Je viens de faire la manip decrite precedement mais j'ai le message suivant :
    La console de recuperation microsoft windows n'est pas installée sur ce pc sans elle, combofix n'essaiera pas de corriger certaines infection graves.
    cliquez sur "oui" pour que combofix la telecharge

    je me reconnecte ?
    a c 614 8 Sécurité
    9 Décembre 2011 11:39:06

    Re,

    Oui c'est une précaution en cas de problème.
    9 Décembre 2011 12:12:06

    Voici le rapport... c'est grave docteur ?!
    merci de ton aide



    ComboFix 11-12-08.01 - ludo77 09/12/2011 11:47:22.1.4 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.3071.2638 [GMT 1:00]
    Lancé depuis: c:\documents and settings\ludo77\Bureau\ComboFix.exe
    AV: ESET Smart Security 4.0 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
    FW: Pare-feu personnel d'ESET *Disabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
    * Un antivirus résident est actif
    .
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\documents and settings\All Users\Application Data\TEMP
    c:\documents and settings\ludo77\Application Data\Microsoft\Internet Explorer\Quick Launch\System Fix.lnk
    c:\documents and settings\ludo77\Local Settings\Application Data\setup.exe
    c:\documents and settings\ludo77\Mes documents\~WRL3158.tmp
    c:\documents and settings\ludo77\nsmail.tmp
    C:\Recycle
    c:\windows\$NtUninstallKB41383$
    c:\windows\$NtUninstallKB41383$\2888386462
    c:\windows\$NtUninstallKB41383$\979002370\@
    c:\windows\$NtUninstallKB41383$\979002370\L\mhhomnig
    c:\windows\$NtUninstallKB41383$\979002370\loader.tlb
    c:\windows\$NtUninstallKB41383$\979002370\U\@00000001
    c:\windows\$NtUninstallKB41383$\979002370\U\@000000c0
    c:\windows\$NtUninstallKB41383$\979002370\U\@000000cb
    c:\windows\$NtUninstallKB41383$\979002370\U\@000000cf
    c:\windows\$NtUninstallKB41383$\979002370\U\@80000000
    c:\windows\$NtUninstallKB41383$\979002370\U\@800000c0
    c:\windows\$NtUninstallKB41383$\979002370\U\@800000cb
    c:\windows\$NtUninstallKB41383$\979002370\U\@800000cf
    c:\windows\system32\
    c:\windows\system32\c_60615.nls
    c:\windows\system32\spool\prtprocs\w32x86\xrxg1pc.dll
    N:\autorun.inf
    .
    Une copie infectée de c:\windows\system32\drivers\serial.sys a été trouvée et désinfectée
    Copie restaurée à partir de - The cat found it :) 
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-11-09 au 2011-12-09 ))))))))))))))))))))))))))))))))))))
    .
    .
    2011-12-09 10:44 . 2006-03-02 12:00 66560 ----a-w- c:\windows\system32\drivers\serial.sys
    2011-12-09 08:36 . 2011-12-09 08:36 -------- d-----w- c:\documents and settings\ludo77\Application Data\Malwarebytes
    2011-12-09 08:36 . 2011-12-09 08:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2011-12-09 08:36 . 2011-08-31 16:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
    2011-12-09 08:36 . 2011-12-09 08:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2011-12-08 14:38 . 2011-12-08 16:27 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
    2011-12-08 08:51 . 2011-12-08 11:21 -------- d-s---w- c:\documents and settings\ludo77\Local Settings\Application Data\3a5a6402
    2011-11-20 15:19 . 2011-11-20 15:19 -------- d-----w- c:\documents and settings\ludo77\Application Data\dvdcss
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-10-24 13:29 . 2011-10-24 13:29 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
    2011-10-24 13:29 . 2011-10-24 13:29 69632 ----a-w- c:\windows\system32\QuickTime.qts
    2011-10-22 20:01 . 2011-10-22 20:01 2358 ----a-w- c:\documents and settings\ludo77\Local Settings\Application Data\promo.exe
    2011-11-12 07:57 . 2011-10-04 07:55 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{a65e491f-a436-4952-b49a-b24ed99a0f67}"= "c:\program files\Tom's_Guide_France\prxtbTom2.dll" [2011-05-09 176936]
    .
    [HKEY_CLASSES_ROOT\clsid\{a65e491f-a436-4952-b49a-b24ed99a0f67}]
    .
    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a65e491f-a436-4952-b49a-b24ed99a0f67}]
    2011-05-09 09:49 176936 ----a-w- c:\program files\Tom's_Guide_France\prxtbTom2.dll
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{a65e491f-a436-4952-b49a-b24ed99a0f67}"= "c:\program files\Tom's_Guide_France\prxtbTom2.dll" [2011-05-09 176936]
    .
    [HKEY_CLASSES_ROOT\clsid\{a65e491f-a436-4952-b49a-b24ed99a0f67}]
    .
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
    "{A65E491F-A436-4952-B49A-B24ED99A0F67}"= "c:\program files\Tom's_Guide_France\prxtbTom2.dll" [2011-05-09 176936]
    .
    [HKEY_CLASSES_ROOT\clsid\{a65e491f-a436-4952-b49a-b24ed99a0f67}]
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-05-13 26192168]
    "Steam"="c:\program files\Steam\Steam.exe" [2011-08-02 1242448]
    "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RTHDCPL"="RTHDCPL.EXE" [2006-04-17 16143872]
    "JMB36X IDE Setup"="c:\windows\JM\JMInsIDE.exe" [2006-10-30 36864]
    "36X Raid Configurer"="c:\windows\system32\JMRaidSetup.exe" [2006-11-16 1953792]
    "Ai Quicker Help"="c:\program files\ASUS\ASUS DH Remote\AsRc.exe" [2006-11-09 3165696]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
    "nwiz"="nwiz.exe" [2008-10-07 1630208]
    "WinampAgent"="c:\program files\Winamp\winampa.exe" [2007-10-10 36352]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-10-29 249064]
    "WinSys2"="c:\windows\system32\winsys2.exe" [2008-10-21 208896]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
    "Xerox PanelMgr"="c:\windows\Xerox\PanelMgr\ssmmgr.exe" [2006-12-01 520192]
    "SetIcon"="\Program Files\SMSC\Seticon.exe" [2004-04-02 46080]
    "AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
    "Adobe Acrobat Speed Launcher"="d:\adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2008-06-12 37232]
    "Acrobat Assistant 8.0"="d:\adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2008-06-11 640376]
    "egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2009-11-16 2054360]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-06-07 421160]
    "APSDaemon"="c:\program files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2011-10-24 421888]
    "Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-08-31 449608]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]
    .
    c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
    ASUS WiFi-AP Solo.lnk - c:\program files\ASUS WiFi-AP Solo\RtWLan.exe [2007-12-3 995328]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-18 65588]
    TabUserW.exe.lnk - c:\windows\system32\WTablet\TabUserW.exe [2008-5-20 114688]
    .
    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Spyder3Utility.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Spyder3Utility.lnk
    backup=c:\windows\pss\Spyder3Utility.lnkCommon Startup
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\Macromedia\\Dreamweaver MX 2004\\Dreamweaver.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Pando Networks\\Media Booster\\PMB.exe"=
    "c:\\Documents and Settings\\All Users\\Application Data\\NexonUS\\NGM\\NGM.exe"=
    "c:\\Nexon\\NEXON_EU_Downloader\\NEXON_EU_Downloader_Engine.exe"=
    "c:\\Documents and Settings\\All Users\\Application Data\\NexonEU\\NGM\\NGM.exe"=
    "c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
    "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
    "c:\\Program Files\\Steam\\Steam.exe"=
    "c:\\Program Files\\Spotify\\spotify.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\Google\\Google Earth\\client\\googleearth.exe"=
    "c:\\Program Files\\Steam\\steamapps\\common\\zombie driver\\Release\\ZombieDriver.exe"=
    "c:\\Program Files\\Steam\\steamapps\\common\\worms reloaded\\WormsReloaded.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "c:\\Program Files\\Fichiers communs\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
    "c:\\Program Files\\Google\\Update\\GoogleUpdate.exe"=
    "c:\\Program Files\\Mozilla Thunderbird\\thunderbird.exe"=
    "d:\\adobe\\Adobe InDesign CS4\\InDesign.exe"=
    "c:\\Program Files\\Fichiers communs\\Apple\\Mobile Device Support\\com.google.ContactSync.client.exe"=
    "c:\\Program Files\\Fichiers communs\\Java\\Java Update\\jucheck.exe"=
    "d:\\adobe\\Adobe Illustrator CS4\\Support Files\\Contents\\Windows\\Illustrator.exe"=
    "c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
    "c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
    "c:\\Program Files\\Malwarebytes' Anti-Malware\\mbam.exe"=
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "58684:TCP"= 58684:TCP:p ando Media Booster
    "58684:UDP"= 58684:UDP:p ando Media Booster
    "5353:TCP"= 5353:TCP:Adobe CSI CS4
    "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
    .
    R0 pe3atrql;Apprendre XHTML and CSS Environment Driver (pe3atrql);c:\windows\system32\drivers\pe3atrql.sys [06/11/2008 12:25 69264]
    R0 pf2atrql;Apprendre XHTML and CSS File System Driver (pf2atrql);c:\windows\system32\drivers\pf2atrql.sys [06/11/2008 12:24 83600]
    R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [04/12/2007 10:35 691696]
    R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [16/11/2009 09:03 108792]
    R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [16/11/2009 09:04 735960]
    R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [09/12/2011 09:36 359424]
    R2 smp_lpt;smp_lpt;c:\windows\system32\drivers\smp_LPT.sys [22/10/2011 14:44 37928]
    R2 TabletServiceWacom;TabletServiceWacom;c:\windows\system32\Wacom_Tablet.exe [20/05/2008 10:55 1368064]
    R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [09/12/2011 09:36 22216]
    S0 txyyeo;txyyeo;c:\windows\system32\drivers\wkqbot.sys --> c:\windows\system32\drivers\wkqbot.sys [?]
    S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [20/09/2010 10:39 136176]
    S2 pr2atrql;Apprendre XHTML and CSS Drivers Auto Removal (pr2atrql);c:\windows\system32\pr2atrql.exe svc --> c:\windows\system32\pr2atrql.exe svc [?]
    S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
    S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [20/09/2010 10:39 136176]
    S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187.sys [03/12/2007 21:52 176128]
    S3 SjyPkt;SjyPkt;c:\windows\system32\drivers\SjyPkt.sys [03/12/2007 21:52 13532]
    S3 Spyder3;Datacolor Spyder3;c:\windows\system32\drivers\Spyder3.sys [19/03/2008 15:26 12288]
    S3 Sre_hiiedst;Sre_hiiedst; [x]
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2011-12-02 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
    .
    2011-12-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-09-20 09:39]
    .
    2011-12-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-09-20 09:39]
    .
    2011-12-09 c:\windows\Tasks\WGASetup.job
    - c:\windows\system32\KB905474\wgasetup.exe [2009-04-08 20:18]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.talti.com
    IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    IE: Ajouter à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convertir au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    FF - ProfilePath - c:\documents and settings\ludo77\Application Data\Mozilla\Firefox\Profiles\n5olba0d.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.evasion.cc/blog/|http://www.marketing-alternatif.com/|http://www.emob.fr/dotclear/
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    HKCU-Run-EA Core - c:\program files\Electronic Arts\EADM\Core.exe
    HKCU-Run-RegistryBooster 2 d’Uniblue - c:\program files\Uniblue\RegistryBooster 2\RegistryBooster.exe
    HKCU-Run-Rainlendar2 - c:\program files\Rainlendar2\Rainlendar2.exe
    HKCU-Run-AdobeBridge - (no file)
    MSConfigStartUp-DAEMON Tools - c:\program files\DAEMON Tools\daemon.exe
    AddRemove-DAEMON Tools Toolbar - c:\program files\DAEMON Tools Toolbar\uninst.exe
    .
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-12-09 12:00
    Windows 5.1.2600 Service Pack 2 NTFS
    .
    Recherche de processus cachés ...
    .
    Recherche d'éléments en démarrage automatique cachés ...
    .
    Recherche de fichiers cachés ...
    .
    Scan terminé avec succès
    Fichiers cachés: 0
    .
    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_USERS\S-1-5-21-1715567821-1580818891-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C922A592-17AC-F511-C43B-6AFB98691918}*]
    @Allowed: (Read) (RestrictedCode)
    @Allowed: (Read) (RestrictedCode)
    "napgafbjclddapagjnmjphcpmdac"=hex:63,61,6d,69,63,6b,00,7c
    .
    [HKEY_USERS\S-1-5-21-1715567821-1580818891-725345543-1003\Software\SecuROM\License information*]
    "datasecu"=hex:a5,44,21,c4,a4,1e,37,7b,6b,2d,13,aa,de,64,6f,ac,bb,d2,e0,3d,93,
    3e,31,5d,9b,49,47,a7,eb,16,2e,98,77,74,36,c4,8f,53,4b,8e,fe,17,9c,3c,f5,50,\
    "rkeysecu"=hex:e2,26,6d,94,9c,ba,ad,1d,64,79,70,1b,d8,19,de,23
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------
    .
    - - - - - - - > 'explorer.exe'(668)
    c:\windows\system32\nview.dll
    c:\windows\system32\NVWRSFR.DLL
    c:\windows\system32\browselc.dll
    c:\windows\system32\nvwddi.dll
    c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\CDBurnerXP\NMSAccessU.exe
    c:\windows\system32\nvsvc32.exe
    c:\program files\Fichiers communs\Protexis\License Service\PsiService_2.exe
    c:\windows\system32\wdfmgr.exe
    c:\windows\system32\WTablet\Wacom_TabletUser.exe
    c:\windows\RTHDCPL.EXE
    c:\windows\system32\rundll32.exe
    c:\program files\ASUS\ASUS DH Remote\AsDhRemote.exe
    c:\windows\system32\RUNDLL32.EXE
    c:\program files\SMSC\Seticon.exe
    c:\program files\iPod\bin\iPodService.exe
    .
    **************************************************************************
    .
    Heure de fin: 2011-12-09 12:10:37 - La machine a redémarré
    ComboFix-quarantined-files.txt 2011-12-09 11:10
    .
    Avant-CF: 15 123 857 408 octets libres
    Après-CF: 15 480 807 424 octets libres
    .
    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    UnsupportedDebug="do not select this" /debug
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
    .
    - - End Of File - - 3F9D35A40237A06D82CF418A783CA787
    a c 614 8 Sécurité
    9 Décembre 2011 13:41:36

    Re,

    On va voir, ComboFix a fait une partie du boulot.

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

    Note : Les rapports sont aussi enregistrés sur le bureau
    9 Décembre 2011 14:29:13

    hop voici le lien pour le rapport OTL j'ai pas eu de fichiers extra.txt c'est normal ?
    http://

    merci !
    a c 614 8 Sécurité
    9 Décembre 2011 21:36:56

    Re,

    Oui j'ai oublié de modifier, y'a que le OTL.txt à partir du second passage ;) 

    On fini le ménage :

    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE - HKU\S-1-5-21-1715567821-1580818891-725345543-1003\..\URLSearchHook: {a65e491f-a436-4952-b49a-b24ed99a0f67} - C:\Program Files\Tom's_Guide_France\prxtbTom2.dll (Conduit Ltd.)
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
    FF - HKLM\Software\MozillaPlugins\@thrixxx.com/WebLaunch: C:\Program Files\thriXXX\WebLaunch\Binaries\npWebLaunch.dll File not found
    FF - HKCU\Software\MozillaPlugins\@thrixxx.com/WebLaunch: C:\Program Files\thriXXX\WebLaunch\Binaries\npWebLaunch.dll File not found
    O2 - BHO: (Toms Guide France Toolbar) - {a65e491f-a436-4952-b49a-b24ed99a0f67} - C:\Program Files\Tom's_Guide_France\prxtbTom2.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (Toms Guide France Toolbar) - {a65e491f-a436-4952-b49a-b24ed99a0f67} - C:\Program Files\Tom's_Guide_France\prxtbTom2.dll (Conduit Ltd.)
    O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (Toms Guide France Toolbar) - {A65E491F-A436-4952-B49A-B24ED99A0F67} - C:\Program Files\Tom's_Guide_France\prxtbTom2.dll (Conduit Ltd.)
    O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (Toms Guide France Toolbar) - {A65E491F-A436-4952-B49A-B24ED99A0F67} - C:\Program Files\Tom's_Guide_France\prxtbTom2.dll (Conduit Ltd.)
    O3 - HKU\S-1-5-21-1715567821-1580818891-725345543-1003\..\Toolbar\WebBrowser: (Toms Guide France Toolbar) - {A65E491F-A436-4952-B49A-B24ED99A0F67} - C:\Program Files\Tom's_Guide_France\prxtbTom2.dll (Conduit Ltd.)
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O7 - HKU\S-1-5-21-1715567821-1580818891-725345543-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab (Java Plug-in 1.6.0_04)
    O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
    O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
    O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
    [2011/12/08 13:54:36 | 000,000,000 | ---D | C] -- C:\Documents and Settings\ludo77\Menu Démarrer\Programmes\System Fix
    [2011/12/08 09:51:45 | 000,000,000 | --SD | C] -- C:\Documents and Settings\ludo77\Local Settings\Application Data\3a5a6402
    [2011/12/08 13:55:03 | 000,000,408 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\GEAkHdQ2BkrV7s
    [2011/12/08 13:54:38 | 000,000,296 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\~GEAkHdQ2BkrV7s
    [2011/12/08 13:54:38 | 000,000,184 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\~GEAkHdQ2BkrV7sr

    :Files
    C:\Program Files\Tom's_Guide_France

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer.
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
    10 Décembre 2011 10:23:06

    RE,
    voici le rapport
    qu'en pense tu ? on en est ou ?


    All processes killed
    ========== OTL ==========
    Registry value HKEY_USERS\S-1-5-21-1715567821-1580818891-725345543-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\\{a65e491f-a436-4952-b49a-b24ed99a0f67} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a65e491f-a436-4952-b49a-b24ed99a0f67}\ deleted successfully.
    C:\Program Files\Tom's_Guide_France\prxtbTom2.dll moved successfully.
    Prefs.js: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 removed from extensions.enabledItems
    Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@thrixxx.com/WebLaunch\ deleted successfully.
    Registry key HKEY_CURRENT_USER\Software\MozillaPlugins\@thrixxx.com/WebLaunch\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a65e491f-a436-4952-b49a-b24ed99a0f67}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a65e491f-a436-4952-b49a-b24ed99a0f67}\ not found.
    File C:\Program Files\Tom's_Guide_France\prxtbTom2.dll not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{a65e491f-a436-4952-b49a-b24ed99a0f67} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a65e491f-a436-4952-b49a-b24ed99a0f67}\ not found.
    File C:\Program Files\Tom's_Guide_France\prxtbTom2.dll not found.
    Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{A65E491F-A436-4952-B49A-B24ED99A0F67} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A65E491F-A436-4952-B49A-B24ED99A0F67}\ not found.
    File C:\Program Files\Tom's_Guide_France\prxtbTom2.dll not found.
    Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{A65E491F-A436-4952-B49A-B24ED99A0F67} not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A65E491F-A436-4952-B49A-B24ED99A0F67}\ not found.
    File C:\Program Files\Tom's_Guide_France\prxtbTom2.dll not found.
    Registry value HKEY_USERS\S-1-5-21-1715567821-1580818891-725345543-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{A65E491F-A436-4952-B49A-B24ED99A0F67} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A65E491F-A436-4952-B49A-B24ED99A0F67}\ not found.
    File C:\Program Files\Tom's_Guide_France\prxtbTom2.dll not found.
    Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
    Registry key HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
    Registry key HKEY_USERS\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
    Registry key HKEY_USERS\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
    Registry key HKEY_USERS\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
    Registry key HKEY_USERS\S-1-5-21-1715567821-1580818891-725345543-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully.
    Starting removal of ActiveX control {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ not found.
    C:\Documents and Settings\ludo77\Menu Démarrer\Programmes\System Fix folder moved successfully.
    C:\Documents and Settings\ludo77\Local Settings\Application Data\3a5a6402\U folder moved successfully.
    C:\Documents and Settings\ludo77\Local Settings\Application Data\3a5a6402 folder moved successfully.
    C:\Documents and Settings\All Users\Application Data\GEAkHdQ2BkrV7s moved successfully.
    C:\Documents and Settings\All Users\Application Data\~GEAkHdQ2BkrV7s moved successfully.
    C:\Documents and Settings\All Users\Application Data\~GEAkHdQ2BkrV7sr moved successfully.
    ========== FILES ==========
    C:\Program Files\Tom's_Guide_France folder moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: LocalService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 1540230 bytes
    ->Java cache emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: ludo77
    ->Temp folder emptied: 9833499 bytes
    ->Temporary Internet Files folder emptied: 32902 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 32462023 bytes
    ->Flash cache emptied: 781 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 19569 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 17185 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 144782 bytes

    Total Files Cleaned = 42,00 mb


    OTL by OldTimer - Version 3.2.31.0 log created on 12102011_095718

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...
    a c 614 8 Sécurité
    10 Décembre 2011 10:49:14

    Re,

    Un dernier examen pour m'assurer que tout est ok, puis on finis le ménage en supprimant les outils utilisés :

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    10 Décembre 2011 11:06:02

    ok c'est lancé, je te tiens au courant...
    mais du coup apres toute ces aventures, je me pose une question, est il utile de payer un antivirus comme eset smart security pour au final être infecté quand même ?
    par ailleur, connais tu un logiciel de backup efficace et gratuit dans l'ideal, qui permettrai d'enregisrer et de restaurer dans l'ideal a partir d'un DD exerne?

    désolé d'abusé de ta gentillesse et tes competence... et encore merci pour cet enorme coup de main.
    a c 614 8 Sécurité
    10 Décembre 2011 11:32:04

    Re,

    Le souci n'est pas Eset, qui en soit est un antivirus tout à fait correct.

    Le souci c'est de ne pas tenir certains de ton système et tes logiciels à jour, c'est par eux (Java à priori ici) que l'infection s'est introduite, et cela, Eset n'y peut rien, car les "dropper" (fichier initial de l'infection) sont très difficile à détecter car il change en permanence.

    De même XP sp2 n’est plus suivi par Microsoft depuis plusieurs années, tu es donc extrêmement vulnérable à toutes sortes de faille de sécurité !!!

    Bref, sans accusation ... le fautif ... c'est toi en quelque sorte ;) 

    Citation :
    par ailleur, connais tu un logiciel de backup efficace et gratuit dans l'ideal, qui permettrai d'enregisrer et de restaurer dans l'ideal a partir d'un DD exerne?


    Juste les données ou tout le système ?
    10 Décembre 2011 13:02:50

    oui j'avais plus ou moins compris que j’étais fautif et justement j'ai fais la mise a jour de xp je suis donc passé sur sp3.

    en ce qui concerne le backup ca serait seulement le données pour le système je me contenterai d'un cd de restauration

    11 Décembre 2011 06:21:51

    hop voici le rapport!
    c'est bon je suis gueri ???

    en tout cas merci de ton aide

    Malwarebytes' Anti-Malware 1.51.2.1300
    www.malwarebytes.org

    Version de la base de données: 8340

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 7.0.5730.13

    11/12/2011 06:20:24
    mbam-log-2011-12-11 (06-20-06).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|M:\|N:\|S:\|)
    Elément(s) analysé(s): 677460
    Temps écoulé: 6 heure(s), 14 minute(s), 43 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 3

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\ludo77\mes documents\téléchargements\stop_motion_pro_v6_5_rar_downloader.exe (Adware.EasyDownloads) -> No action taken.
    c:\Qoobox\quarantine\C\WINDOWS\assembly\GAC_MSIL\desktop.ini.vir (Rootkit.0Access) -> No action taken.
    s:\adobe cs4\adobe cs4 master collection\Crack\keygen_xforce_adobe_master_cs4.exe (Trojan.Downloader) -> No action taken.
    a c 614 8 Sécurité
    11 Décembre 2011 11:32:34

    Re,

    Et maintenant, tu vois d'où sont venu tes problèmes !!!
    Citation :
    s:\adobe cs4\adobe cs4 master collection\Crack\keygen_xforce_adobe_master_cs4.exe (Trojan.Downloader) -> No action taken.


    Soyez plus responsable ...
    à lire :
    http://forum.malekal.com/danger-des-cracks-t893.html

    Tu n'as pas supprimé ces menaces détectées par Malwarebyte's ! fais-le !


    On fait le ménage :

    Re,

    Bon, c'est parfait, Antivir n'a que détecté les fichiers qu'on avait mis en quarantaine dans les différents outils.
    Tu peut vider sa quarantaine si tu veux oui.

    On fait donc le ménage des outils :

    1) Relance OTL.exe

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    2) Supprime RogueKiller :

    Supprime l’exécutable et le dossier : "RK_quarantine" sur ton bureau.

    Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, à ce moment là, pense à le mettre à jour avant.


    3) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    XP :
    http://www.inforumatique.fr/forum/la-restauration-du-sy...
    (Fin du tuto)

    Mise à jour des logiciels :

    Met à jour les programmes suivants :
    - Java vers la version 6 update 29 (pense à supprimer les anciennes version dans ajout/suppression des programmes )
    - Adobe reader vers X (10.1.x) (vérifie que les anciennes versions sont supprimée)



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Installer un parefeu en remplacement de celui de Windows XP :
    Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm ou Kerio par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

  • Utiliser un navigateur alternatif pour surfer de manière plus sécurisée :
    Firefox offre une meilleure sécurité par rapport à Internet Explorer, surtout si on le complète de quelques plugins très intéressant : Noscript et WOT par exemple.

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !



    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    12 Décembre 2011 08:50:06

    Cool !
    je viens de faire tout ce que tu proposais la seule chose que je n'ai pas reussi a faire pour le moment c'est mettre a jour java, il me dit que ca ne fonctionne pas a cause du pack windows (sp3) pas vraiment de solution dans la FAQ de java... je verrai

    en tout cas merci beaucoup pour ces conseils précieux
    a bientot
    12 Décembre 2011 11:25:05

    je viens de toruver une liste http://
    de sites"indésirables" a entrer dans le fichier "host" de windows pour empêcher l'ordinateur d’accéder a ces sites... est ce une methode sur de se proteger contre une parties des menaces?
    a c 614 8 Sécurité
    12 Décembre 2011 11:25:10

    Re,

    Tu as fait l'ensemble des mises à jour proposées par Windows Update ?
    http://update.microsoft.com/microsoftupdate/v6/default....

    Réessaye ensuite.

    Où donne moi l'erreur exact de Java si elle y est de nouveau.

    edit : la protection par le fichier Host n'ets plus assez efficace de nos jours, les sites changeant trop souvent, cela ne fait qu'alourdir la navigation, un addon comme WOT que je te propose ou dans protection en web réputation comme celle de certains antivirus sont plus efficace.
    12 Décembre 2011 11:47:44

    toujours pareil....
    12 Décembre 2011 15:37:36

    yes nikel decidement t'as la solution a tt !

    merci !
    12 Décembre 2011 15:47:51

    bon je cumul !!
    je viens de tenter reinstaller la suite adobe depuis le site adobe sur mon ordi.
    tout d'abords un petit logiciel de elechargement s'insalle "adobe download assistant"
    je vois qu'il enleve d'office plusieurs Go d'espace sur le disque alors rien n'est encore installé, je suppose qu'il se reserve une tite place au chaud si je puis dire...
    et la paf coupure de courant.
    et quand je redemarre l'ordi les Go ne sont pas revenu sur le DD et quand je tente d'installer la suite adobe quand meme il me dit que l'espace n'est pas suffisant...

    une idee ?

    merci

    Edit : finalement j'ai reglé le probs avec cc cleaner y'avai bien 16Go dans le dossier temporaire et ca se vide pas en redemarrant ? j' croyais bref...
    merci pour tout
    a bientot (enfin pas pour un virus j'espere !)
    a c 614 8 Sécurité
    12 Décembre 2011 19:15:05

    Re,

    Malheureusement non le temporaires sont parfois pas si temporaires ;) 


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS