Votre question

[Resolu] Rogue System Check system error harware problem

Tags :
  • Virus
  • Windows 7
  • Sécurité
Dernière réponse : dans Sécurité et virus
19 Février 2012 20:17:39

Bonjour ,
J'ai un ordi portable dell qui a 1 an qui fonctionne avec windows 7
J ai un problème sur mon ordinateur, des croix rouges apparaissent en onglet en bas de mon ordi indiquant :
failed to save all the components for the files \system32\change selon l'onglet .The files is corrupted or unreadable.This error may be caused by PC harware problem.
Il n'y a plus rien sur mon bureau à par le poste de travail et la corbeille et des données très précieuse ont disparu.
J'ai fait fonctionné malwarebyte et voici les rapports rapide et complet.
Merci d'avance pour ceux qui m aideront .

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.02.16.06

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
colvis :: COLVIS-PC [administrateur]

Protection: Activé

19/02/2012 19:45:13
mbam-log-2012-02-19 (19-45-13).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 183867
Temps écoulé: 9 minute(s), 16 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)


Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.02.16.06

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
colvis :: COLVIS-PC [administrateur]

Protection: Activé

19/02/12 17:46
mbam-log-2012-02-19 (17-46-20).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 518600
Temps écoulé: 1 heure(s), 46 minute(s), 43 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)


Autres pages sur : resolu rogue system check system error harware problem

a c 614 8 Sécurité
a c 79 $ Windows 7
19 Février 2012 22:09:35

Bonsoir,

Oui, c'est un rogue, un faux utilitaire d'optimisation :
http://forum.security-x.fr/malwares-315/(fiches-malware)-roguescareware-et-ransomware

Cela arrive car ton pc et ses composants ne sont pas à jour et que tu as naviguer sur des sites contenant des "exploit" de faille.

On mettra à jour en fin de procédure, aucune donnée n'est perdue, elles sont cachées pour le moment.

Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, il est donc conseillé dans la mesure du possible de sauvegarder le maximum de documents auparavant !


    1) Télécharge Rkill (de Grinler) sur ton bureau.

  • Ferme toutes tes fenêtres, et les programmes en cours

  • Double clique sur eXplorer.exe pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fenêtre noire va s'ouvrir brièvement, puis se refermer
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré ici : C:\Windows\rkill.log)

    /!\ Ne redémarre pas le PC maintenant, passe à l'outil suivant immédiatement /!\

    2) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    19 Février 2012 23:59:01

    Merci, je lance le processus et vous envoie les rapports dés que possible.
    Contenus similaires
    20 Février 2012 01:08:02

    Bonsoir,
    je n'ai plus du tout accès à aucun dossier et de ce fait je ne peut pas trouver les rapports en cliquant sur "parcourir" avec le service de rapport en ligne.
    Je vous copie donc directement les rapports. rkill,otl,extra.

    J ai essayé aussi de sauvegarder tout mon travail de mes 3 dernières années sur disque dure externe ,mais impossible de trouver aucun fichier.
    Les seul fichiers qu'ils me restent à contempler se sont les programmes d'installation et le système d'exploitation.
    Merci donc de prêter attention à mon appelle à l'aide .


    20 Février 2012 01:08:24

    This log file is located at C:\rkill.log.
    Please post this only if requested to by the person helping you.
    Otherwise you can close this log when you wish.

    Rkill was run on 20/02/2012 at 0:13:13.
    Operating System: Windows 7 Professional


    Processes terminated by Rkill or while it was running:

    C:\Users\colvis\Downloads\eXplorer.exe


    Rkill completed on 20/02/2012 at 0:13:18.
    20 Février 2012 01:14:58

    voici les liens extras,et otl
    a c 614 8 Sécurité
    a c 79 $ Windows 7
    20 Février 2012 10:33:35

    Bonjour,

    Java et flash player pas à jour, voilà d'où vient l'infection.
    Tu as des adwares aussi (logiciel publicitaire), on va tout nettoyer en plusieurs étapes.

    On commence par le gros de l'infection :

    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.


    :processes
    killallprocesses

    :OTL
    O4 - HKU\S-1-5-21-619802259-2160080033-3665707612-1001..\Run: [BHMmHjYKMAcfJ.exe] C:\ProgramData\BHMmHjYKMAcfJ.exe (Lioft)
    O4 - HKU\S-1-5-21-619802259-2160080033-3665707612-1001..\Run: [lost] C:\Program Files\bhttp.vbs ()
    [2012/02/19 17:37:54 | 000,000,000 | -H-D | C] -- C:\Users\colvis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Check
    [2012/02/19 17:37:40 | 000,356,352 | -H-- | C] (Lioft) -- C:\ProgramData\VL2vND2nojrAXW.exe
    [2012/02/19 17:34:48 | 000,449,024 | -H-- | C] (Lioft) -- C:\ProgramData\BHMmHjYKMAcfJ.exe
    [2012/02/19 17:39:37 | 000,000,456 | -H-- | M] () -- C:\ProgramData\VL2vND2nojrAXW
    [2012/02/19 17:38:12 | 000,000,312 | -H-- | M] () -- C:\ProgramData\~VL2vND2nojrAXW
    [2012/02/19 17:38:11 | 000,000,192 | -H-- | M] () -- C:\ProgramData\~VL2vND2nojrAXWr
    [2012/02/19 17:37:54 | 000,000,679 | -H-- | M] () -- C:\Users\colvis\Application Data\Microsoft\Internet Explorer\Quick Launch\System Check.lnk
    [2012/02/19 17:37:54 | 000,000,655 | -H-- | M] () -- C:\Users\colvis\Desktop\System Check.lnk
    [2012/01/15 23:08:22 | 000,005,792 | RH-- | C] () -- C:\Program Files\bhttp.vbs
    [2011/12/23 11:16:16 | 000,000,008 | -H-- | C] () -- C:\Users\colvis\AppData\Roaming\ln8hi9aofi02fc4b.dat

    :Commands
    [Reboot]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    2) Télécharge Unhide (de Grinler) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur Unhide.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fenêtre noire va s'ouvrir, et le travail va commencer.
  • A la fin ce message va apparaitre, signifiant qu'il a terminé :


  • Ferme l'outil en cliquant sur "OK"


    3) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.


    Confirme-moi ne même temps que tu me donne les rapports, que tu as de nouveau accès à tes documents, on continuera le ménage ensuite.

    :jap: 
    20 Février 2012 16:21:20

    Bonjour,
    J'ai lancé unhide comme vous me l'avez demandé mais fichiers ont réapparu par contre pour tdsskiler.
    J'ai lancé le scan, une fenetre s'ouvre "threats detected, avec un espace vide avec en face skip .
    rien d'autre ?le scan results est vide? est ce normal?
    J'attends votre réponse avant de continuer
    20 Février 2012 16:39:15

    Voici le lien pour le rapport tdsskiler
    http://pjjoint.malekal.com/files.php?id=20120220_j7n11i...

    Du coup tdsskiler trouve quelques choses mais ne dis pas quoi?
    Toutes les manips demandé ne me sont pas proposé .
    il y a juste "skip" et le nom du dossier n’étant pas notifié j 'ai donc cliqué sur "skip".
    logiquement ,j'ai tout bien fait.
    En tout cas ,je vous remercie pour le temps que vous consacré à me répondre.
    Les fichiers réapparaissent se qui rassure.
    J' attends la suite des instructions.
    a c 614 8 Sécurité
    a c 79 $ Windows 7
    20 Février 2012 17:25:52

    Re,

    C'est ok pour TDSSkiller, la détection est normale, ce n'est pas infectieux, c'est lié à un lecteur virtuel.

    On passe à la suite :

    1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :

    - Java(TM) 6 Update 20 (version obsolète, tu possèdes un plus récente)
    - IObit Toolbar v4.6 (barre d'outil inutile installée sans consentement)
    - Advanced SystemCare 5 (inutile, et marketing, installe des sponsors publicitaire)
    - Conduit Engine (adware : logiciel publicitaire)
    - DAEMON Tools Toolbar (barre d'outil lié à un sponsors publicitaire)
    - Game Booster (même topo que Advance system care, même éditeur)
    - Smart Defrag 2 (idem)
    - Softonic_France Toolbar (barre d'outil lié à un sponsor publicitaire)
    - Vuze Remote Toolbar (idem)


    2) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner0.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.


    3) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    MOD - [2011/06/16 17:54:28 | 000,047,960 | ---- | M] () -- C:\Program Files\IObit\Smart Defrag 2\NtfsData.dll
    MOD - [2011/04/21 16:54:40 | 000,347,024 | ---- | M] () -- C:\Program Files\IObit\Advanced SystemCare 5\madExcept_.bpl
    MOD - [2011/04/21 16:54:40 | 000,179,088 | ---- | M] () -- C:\Program Files\IObit\Advanced SystemCare 5\madBasic_.bpl
    MOD - [2011/04/21 16:54:40 | 000,046,480 | ---- | M] () -- C:\Program Files\IObit\Advanced SystemCare 5\madDisAsm_.bpl
    SRV - [2011/12/29 22:29:04 | 000,497,496 | ---- | M] (IObit) [Auto | Running] -- C:\Program Files\IObit\Advanced SystemCare 5\ASCService.exe -- (AdvancedSystemCareService5)
    DRV - [2011/02/23 15:50:44 | 000,016,184 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\SmartDefragDriver.sys -- (SmartDefragDriver)
    IE - HKLM\..\URLSearchHook: {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\tbSoft.dll (Conduit Ltd.)
    IE - HKLM\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)
    IE - HKU\S-1-5-21-619802259-2160080033-3665707612-1001\..\URLSearchHook: {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - C:\Program Files\IObit Toolbar\IE\4.6\iobitToolbarIE.dll (Spigot, Inc.)
    IE - HKU\S-1-5-21-619802259-2160080033-3665707612-1001\..\URLSearchHook: {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\tbSoft.dll (Conduit Ltd.)
    IE - HKU\S-1-5-21-619802259-2160080033-3665707612-1001\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)
    FF - prefs.js..browser.search.defaultthis.engineName: "Softonic_France Customized Web Search"
    FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&SearchSource=3&q={searchTerms}"
    FF - prefs.js..extensions.enabledItems: {ba14329e-9550-4989-b3f2-9732e92d17cc}:2.7.2.0
    FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
    FF - prefs.js..extensions.enabledItems: {4daac69c-cba7-45e2-9bc8-1044483d3352}:3.2.5.2
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
    FF - prefs.js..extensions.enabledItems: iobit@mybrowserbar.com:4.5
    FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.5
    [2012/01/09 12:57:35 | 000,000,000 | -H-D | M] (Softonic_France Community Toolbar) -- C:\Users\colvis\AppData\Roaming\mozilla\Firefox\Profiles\fj5u5euv.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}
    [2012/01/18 02:57:02 | 000,000,000 | -H-D | M] (Vuze Remote Community Toolbar) -- C:\Users\colvis\AppData\Roaming\mozilla\Firefox\Profiles\fj5u5euv.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
    [2012/02/08 17:14:01 | 000,000,000 | -H-D | M] ("DAEMON Tools Toolbar") -- C:\Users\colvis\AppData\Roaming\mozilla\Firefox\Profiles\fj5u5euv.default\extensions\DTToolbar@toolbarnet.com
    [2010/12/08 15:52:46 | 000,000,933 | -H-- | M] () -- C:\Users\colvis\AppData\Roaming\Mozilla\Firefox\Profiles\fj5u5euv.default\searchplugins\conduit.xml
    [2010/12/26 15:13:38 | 000,002,059 | -H-- | M] () -- C:\Users\colvis\AppData\Roaming\Mozilla\Firefox\Profiles\fj5u5euv.default\searchplugins\daemon-search.xml
    O2 - BHO: (IObit Toolbar) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - C:\Program Files\IObit Toolbar\IE\4.6\iobitToolbarIE.dll (Spigot, Inc.)
    O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
    O2 - BHO: (Softonic_France Toolbar) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\tbSoft.dll (Conduit Ltd.)
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O2 - BHO: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (IObit Toolbar) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - C:\Program Files\IObit Toolbar\IE\4.6\iobitToolbarIE.dll (Spigot, Inc.)
    O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
    O3 - HKLM\..\Toolbar: (Softonic_France Toolbar) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\tbSoft.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)
    O3 - HKU\S-1-5-21-619802259-2160080033-3665707612-1001\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
    O3 - HKU\S-1-5-21-619802259-2160080033-3665707612-1001\..\Toolbar\WebBrowser: (Softonic_France Toolbar) - {4DAAC69C-CBA7-45E2-9BC8-1044483D3352} - C:\Program Files\Softonic_France\tbSoft.dll (Conduit Ltd.)
    O3 - HKU\S-1-5-21-619802259-2160080033-3665707612-1001\..\Toolbar\WebBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Program Files\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)
    O4 - HKU\S-1-5-21-619802259-2160080033-3665707612-1001..\Run: [Advanced SystemCare 5] C:\Program Files\IObit\Advanced SystemCare 5\ASCTray.exe (IObit)
    O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
    O34 - HKLM BootExecute: (SmartDefragBootTime.exe)
    [2011/07/17 17:03:59 | 000,029,008 | ---- | C] () -- C:\Windows\System32\SmartDefragBootTime.exe
    [2011/07/17 17:03:59 | 000,016,184 | ---- | C] () -- C:\Windows\System32\drivers\SmartDefragDriver.sys
    [2011/01/05 13:41:46 | 000,000,000 | -H-D | M] -- C:\Users\colvis\AppData\Roaming\Babylon
    [2012/01/11 18:22:41 | 000,000,000 | -H-D | M] -- C:\Users\colvis\AppData\Roaming\IObit

    :Files
    C:\Program Files\IObit
    C:\Program Files\ConduitEngine

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    4) Lance MalwareByte's Anti-Malware :

  • Met à jour la base de définition. (onglet "mise à jour")

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    20 Février 2012 18:45:10

    Voici déjà les deux rapports adwcleaner .
    Sinon quand l'ordi a redémarré et que je suis allé sur mozilla toolbar france softonic c'est réinstallé,sauf qu'il n'apparait plus dans mes programmes.J'ai donc toujours cette barre d'application inutile.Faut- il que je redémarre pour le faire apparaitre dans mes programme afin de le désinstaller?


    http://pjjoint.malekal.com/files.php?id=20120220_x13k9p...



    http://pjjoint.malekal.com/files.php?id=20120220_v14e7v...
    20 Février 2012 18:59:09

    J ai lancé OTL comme indiqué et le logiciel a commencé à éteindre l'ordi et sa fait plus de 10 min qu'il est bloqué le bureau est vide il ne reste plus que la page otl (ne repond pas) .Que dois je faire?J’écris d'un autre ordi.
    20 Février 2012 19:15:14

    Et oui encore moi,
    L’écran est toujours bloqué .Il y a t-il un risque de relancé OTL?Car il ne répond toujours pas.
    Désolé mes questions doivent paraitre stupide mais mes connaissances en informatique ne sont pas très glorieuse.
    Merci encore pour tes futurs réponses.
    20 Février 2012 19:53:22

    j 'ai réessayé de relancé otl mais il doit avoir un problème.Je n'ai pas de rapport correspondant sous c: .
    quand OTL se lance la barre défile et se bloque et puis OTL ne répond plus.La premiere fois j'ai attendu 25 min sans que rien ne se passe.
    Je lance du coup malwarebyte en oubliant pas de le mettre à jour et je t'envoie le rapport.
    a c 614 8 Sécurité
    a c 79 $ Windows 7
    20 Février 2012 20:07:36

    Re,

    J'ai bien spécifié dans les conseils du début qu'en cas de problème, tu m'avertis, mais bien sûr tu attends que je réponde, sinon c’est dangereux !!!

    Il faut savoir patienter nous ne sommes pas en permanence devant le pc.

    Fini maintenant avec Malwarebyte's, on regardera pour OTL ensuite.
    a c 614 8 Sécurité
    a c 79 $ Windows 7
    20 Février 2012 22:26:58

    Re,

    Ok pour malwarebyte's.

    On va refaire une passe d'OTL pour voir s'il est besoin de refaire le script :

    Relance OTL :

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    msconfig
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, seul le rapport OTL.Txt s'ouvrira cette fois.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    a c 614 8 Sécurité
    a c 79 $ Windows 7
    21 Février 2012 11:07:55

    Bonjour,

    Apparement OTL avait quand même effectué son travail la première fois.

    On va juste ajouter un nouveau script pour virer l'adware qui est réapparu :

    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE - HKU\S-1-5-21-619802259-2160080033-3665707612-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://napsterlink.com/7282
    FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&SearchSource=3&q={searchTerms}"
    FF - prefs.js..browser.search.selectedEngine: "Softonic_France Customized Web Search"
    O3 - HKU\S-1-5-21-619802259-2160080033-3665707612-1001\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
    [2012/01/11 18:22:41 | 000,000,000 | ---D | M] -- C:\Users\colvis\AppData\Roaming\IObit

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Dis-moi si tout est ok sur le pc après cela, et on conclura.
    :jap: 
    a c 614 8 Sécurité
    a c 79 $ Windows 7
    21 Février 2012 14:14:17

    Re,

    C'est ok alors on nettoie :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    2) Désinstalle AdwCleaner :

  • Relance-le le programme adwcleaner0.exe situé sur ton Bureau.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
  • Dans la fenêtre principal, choisis l'option Désinstallation, et valide avec "Oui"

  • Supprime ensuite le fichier adwcleaner0.exe sur ton bureau.

    3) Supprime manuellement les outils suivants :

    - Unhide.exe

    Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour auparavant.


    4) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :
    Vista/7 :
    http://www.inforumatique.fr/forum/post82670.html#p82670


    5) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions.

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions.

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

    Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    21 Février 2012 16:06:16

    Merci infiniment ,pour tout ,
    Par contre il n'y a pas de petit stylo sur mon tout premier message et n'est pas non plus l'option "meilleur réponse".
    Mais en effet le problème est résolu.
    Si tu peux m'indiquer comment faire autrement je serai ravi d'indiquer que ton aide à résolu le problème en espérant que ça puisse aider d'autre personne.


    Merci Hyunkel30
    a c 614 8 Sécurité
    a c 79 $ Windows 7
    21 Février 2012 16:51:23

    Re,

    Je te l'avais dis en début, mais je le redis, tu as été infecté car ton pc et les logiciels (Java et adobe flash player/reader) n'étaient pas à jour.
    C’est très important de bien les maintenir à jour.

    Ton message initial à été crée en tant que "guest", c'est pour cela que tu n'as pas l'option, ce n'est pas grave, je vais le faire moi-même ;) 

    Bonne fin de journée.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS