Se connecter / S'enregistrer
Votre question

[Resolu] ordi qui reste sur fond d'écran

Tags :
  • site de téléchargement
  • Sécurité
Dernière réponse : dans Sécurité et virus
4 Mars 2012 12:59:51

Bonjour,
je travaillais sur mon ordi quand celui ci c'est arreté tout seul.
Quand je l'ai redémarré il affiche mon fond décran et c'est tout je n'ai acces à rien.
J'ai fait Ctrl+Alt+Suppr mais rien ne ce passe !!!!!
j'ai essayé en mode sans échec, en mode déboge.... rien ne change que faire ?
Un Virus ???
D'avance merci

Autres pages sur : resolu ordi reste fond ecran

a c 548 8 Sécurité
4 Mars 2012 16:26:50

Bonjour,

Tu faisais quelque chose de particulier quand c'est arrivé ? Navigation, visionnage de film, etc ?

Sous quel Windows es-tu ?
4 Mars 2012 20:34:15

bonjour
J'étais sur un site de telechargement !! J'ai windows XP
Contenus similaires
a c 548 8 Sécurité
4 Mars 2012 22:01:18

Re,

ça sent le rogue qui a foiré son installation mais à bloqué la machine quand même.

Vu qu'aucun mode ne fonctionne, nous allons passer par un liveCD :

Télécharge OTLPEnet sur le bureau d'un pc fonctionnel (Taille > 120 Mo)

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'être créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    SAVEMBR:0
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    5 Mars 2012 08:33:52

    Merci ++++
    Je vais essayer de faire cela et je te l'envoie demain. bonne journ.
    a c 548 8 Sécurité
    7 Mars 2012 18:57:58

    Re,

    Détournement d'explorer.exe effectivement ...

    Tu as aussi des adwares sur ce pc, mais c'est moins grave, on traitera après avoir remis le démarrage en route.

    On va s'occuper prioritairement de l'accès au pc en mode normal, ce qui devrait être bon dès la fin de cette procédure, vient me le dire, et on continuera pour le reste des infections.

    Redémarre ton PC en utilisant le LiveCD venant d'etre créé

  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"


    :OTL
    O4 - HKU\session_ON_C..\RunOnce: [Iminent.Notifier Install] File not found
    O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Paragon Software Group)
    O30 - LSA: Authentication Packages - (C:\WINDOWS\system32\pmkhi.dll) - File not found
    [2012/03/07 11:19:01 | 000,000,382 | ---- | M] () -- C:\WINDOWS\Tasks\Registry Reviver-session-Startup.job
    @Alternate Data Stream - 102 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:CB0AACC9

    :Files
    C:\WINDOWS\explorer.exe|C:\WINDOWS\ServicePackFiles\i386\explorer.exe /replace
    C:\WINDOWS\system32\dllcache\explorer.exe|C:\WINDOWS\ServicePackFiles\i386\explorer.exe /replace
    C:\WINDOWS\system32\pmkhi.dll

    :Commands
    [Reboot]


  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Normalement tu devrais pouvoir redémarrer normalement, viens me le confirmer, et on continu.
    :jap: 
    a c 548 8 Sécurité
    8 Mars 2012 14:11:32

    Re,

    Ce n'est pas fini comme je disais, il reste des infections !

    à faire maintenant :


    1) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau


    2) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.
    a c 548 8 Sécurité
    8 Mars 2012 18:30:21

    Re,

    TU as téléchargé la version d'OTL que je te demandais ?
    On dirait que tu as lancé la version qui était sur le CD OTLPE qu'on avait gravé ...

    Faut enlever le cd du lecteur, puis télécharger la version donné dans mon lien :
    http://oldtimer.geekstogo.com/OTL.exe

    Et suivre la procédure avec celui-ci.

    Est-ce ce que tu as fait ?
    a c 548 8 Sécurité
    8 Mars 2012 21:28:13

    ;)  C'est mieux comme ça.

    1) Désinstalle les programmes suivant via "ajout/suppression des programmes" (si présents) :

    - Java 2 Runtime Environment, SE v1.4.2_15 (version obsolète, tu possèdes une plus récente)
    - Spybot - Search & Destroy (obsolète et peu utile, la preuve, tu es là ...)
    - Kiwee Toolbar for Internet Explorer (barre d'outil lié à un sponsors publicitaire)
    - Conduit Engine (adware : logiciel publicitaire)
    - OfferBox Browser (idem)
    - Favorit (idem)
    - Notification de cadeaux MSN (sponsor publicitaire)


    2) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner0.exe pour lancer le programme.

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.


    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

    /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
    SRV - [2010/06/29 07:04:18 | 000,020,480 | ---- | M] (AG Interactive) [Auto | Running] -- C:\Program Files\AGI\core\4.2.0.10754\AGCoreService.exe -- (AGCoreService)
    IE - HKLM\..\SearchScopes,DefaultScope = {0BC6E3FA-78EF-4886-842C-5A1258C4455A}
    IE - HKLM\..\SearchScopes\{0BC6E3FA-78EF-4886-842C-5A1258C4455A}: "URL" = http://search.imgag.com/?appid=kwtb&component=&c=GNKWO50020&sbs=2&sc=2&f=web&vernum=3.3&uid=&did=%7b308fd4f0-396b-11de-92f4-001109b17d5e%7d&q={searchTerms}
    IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = http://search.imesh.com/web?src=ieb&q={searchTerms}
    IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
    IE - HKU\S-1-5-21-1275210071-515967899-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2851639
    IE - HKU\S-1-5-21-1275210071-515967899-839522115-1004\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
    IE - HKU\S-1-5-21-1275210071-515967899-839522115-1004\..\SearchScopes\{0BC6E3FA-78EF-4886-842C-5A1258C4455A}: "URL" = http://search.imgag.com/?appid=kwtb&component=&c=GNKWO50020&sbs=2&sc=2&f=web&vernum=3.3&uid=&did=%7b308fd4f0-396b-11de-92f4-001109b17d5e%7d&q={searchTerms}
    IE - HKU\S-1-5-21-1275210071-515967899-839522115-1004\..\SearchScopes\{5AA2BA46-9913-4DC7-9620-69AB0FA17AE7}: "URL" = http://search.alot.com/web?q={searchTerms}&pr=prov&client_id=94F26DD001CB7E8F00F2BCBF&install_time=2010-11-07T15:22:18Z&src_id=11499&camp_id=1493&tb_version=2.5.15000.521
    IE - HKU\S-1-5-21-1275210071-515967899-839522115-1004\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = http://127.0.0.1:4664/search&s=i1pMaL1wkb_iImWjBJmOm9s0tQM?q={searchTerms}
    IE - HKU\S-1-5-21-1275210071-515967899-839522115-1004\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = http://search.imesh.com/web?src=ieb&q={searchTerms}
    IE - HKU\S-1-5-21-1275210071-515967899-839522115-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639
    IE - HKU\S-1-5-21-1275210071-515967899-839522115-1004\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
    FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
    FF - prefs.js..browser.search.defaultthis.engineName: "Conduit Engine Customized Web Search"
    FF - prefs.js..browser.search.order.1: "iMesh Web Search"
    FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
    FF - prefs.js..extensions.enabledItems: {346de098-61f9-4b42-89da-6dfba7091bb6}:2.3.0.4
    FF - prefs.js..extensions.enabledItems: widestream6@spointer.com:4.0.1938.5
    FF - prefs.js..extensions.enabledItems: {28D35620-51D9-11DE-9D13-2DB156D89593}:3.1
    FF - prefs.js..extensions.enabledItems: offerboxffx@offerbox.com:2.3.3262.95
    FF - prefs.js..extensions.enabledItems: {EEE6C361-6118-11DC-9C72-001320C79847}:1.1.0.2
    FF - prefs.js..extensions.enabledItems: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}:3.2.5.2
    FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=ConduitEngine&SearchSource=3&q={searchTerms}"
    FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "SweetIM Search"
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\toolbar@kiwee.com: C:\Program Files\Kiwee Toolbar\2.8.167\firefox
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\offerboxffx@offerbox.com: C:\Program Files\OfferBox\offerboxffx@offerbox.com [2010/11/17 21:24:14 | 000,000,000 | ---D | M]
    [2012/01/13 10:54:26 | 000,000,000 | ---D | M] (uTorrentBar_FR Community Toolbar) -- C:\Documents and Settings\session\Application Data\Mozilla\Firefox\Profiles\l8zawzrw.default\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
    [2011/02/27 22:09:03 | 000,000,913 | ---- | M] () -- C:\Documents and Settings\session\Application Data\Mozilla\Firefox\Profiles\l8zawzrw.default\searchplugins\conduit.xml
    [2010/03/24 10:34:04 | 000,002,456 | ---- | M] () -- C:\Documents and Settings\session\Application Data\Mozilla\Firefox\Profiles\l8zawzrw.default\searchplugins\iMeshWebSearch.xml
    [2009/10/17 21:38:50 | 000,002,354 | ---- | M] () -- C:\Documents and Settings\session\Application Data\Mozilla\Firefox\Profiles\l8zawzrw.default\searchplugins\kiwee-live-search.xml
    [2010/07/15 18:08:16 | 000,002,037 | ---- | M] () -- C:\Documents and Settings\session\Application Data\Mozilla\Firefox\Profiles\l8zawzrw.default\searchplugins\kiwee-toolbar.xml
    [2011/06/28 09:32:22 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\session\Application Data\Mozilla\Firefox\Profiles\l8zawzrw.default\searchplugins\SweetIM Search.xml
    [2011/06/28 09:32:49 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\session\Application Data\Mozilla\Firefox\Profiles\l8zawzrw.default\searchplugins\sweetim.xml
    [2010/03/24 10:34:04 | 000,002,456 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\iMeshWebSearch.xml
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
    O2 - BHO: (no name) - {14CEEAFF-96DD-4101-AE37-D5ECDC23C3F6} - No CLSID value found.
    O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - Reg Error: Value error. File not found
    O2 - BHO: (MediaBar) - {ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F} - C:\Program Files\iMesh Applications\MediaBar\ToolBar\iMeshMediaBarDx.dll ()
    O2 - BHO: (OfferBox) - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - C:\Program Files\OfferBox\OfferBoxBHO.dll (Secure Digital Services Limited)
    O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - Reg Error: Value error. File not found
    O3 - HKLM\..\Toolbar: (no name) - {5AA2BA46-9913-4dc7-9620-69AB0FA17AE7} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (MediaBar) - {ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F} - C:\Program Files\iMesh Applications\MediaBar\ToolBar\iMeshMediaBarDx.dll ()
    O4 - HKLM..\Run: [SoftwareHelper] C:\Documents and Settings\session\Application Data\EoRezo\EoRezo\SoftwareUpdateHP.exe (EoRezo)
    O15 - HKU\S-1-5-21-1275210071-515967899-839522115-1004\..Trusted Domains: localhost ([]http in Local intranet)
    O15 - HKU\S-1-5-21-1275210071-515967899-839522115-1004\..Trusted Ranges: GD ([http] in Local intranet)
    O20 - AppInit_DLLs: (C:\PROGRA~1\IMESHA~1\MediaBar\DataMngr\datamngr.dll) - C:\Program Files\iMesh Applications\MediaBar\DataMngr\datamngr.dll (iMesh, Inc)
    MsConfig - StartUpFolder: C:^Documents and Settings^session^Menu Démarrer^Programmes^Démarrage^ENJOY Plus!.lnk - - File not found
    MsConfig - StartUpFolder: C:^Documents and Settings^session^Menu Démarrer^Programmes^Démarrage^LimeWire On Startup.lnk - - File not found
    MsConfig - StartUpFolder: C:^Documents and Settings^session^Menu Démarrer^Programmes^Démarrage^Notification de cadeaux MSN.lnk - C:\Documents and Settings\session\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe - (Microsoft Corporation)
    MsConfig - StartUpReg: DataMngr - hkey= - key= - C:\Program Files\iMesh Applications\MediaBar\DataMngr\DataMngrUI.exe (iMesh, Inc)
    MsConfig - StartUpReg: EoEngine - hkey= - key= - File not found
    MsConfig - StartUpReg: Free Download Manager - hkey= - key= - File not found
    MsConfig - StartUpReg: IMBooster - hkey= - key= - File not found
    MsConfig - StartUpReg: KiweeHook - hkey= - key= - File not found
    MsConfig - StartUpReg: Miro - hkey= - key= - File not found
    MsConfig - StartUpReg: Picasa Media Detector - hkey= - key= - File not found
    MsConfig - StartUpReg: RegistryBooster - hkey= - key= - File not found
    MsConfig - StartUpReg: RegistryMechanic - hkey= - key= - File not found
    MsConfig - StartUpReg: SeekmoOE - hkey= - key= - File not found
    MsConfig - StartUpReg: SeekmoSA - hkey= - key= - File not found
    MsConfig - StartUpReg: Software Informer - hkey= - key= - File not found
    MsConfig - StartUpReg: SoftwareHelper - hkey= - key= - C:\Documents and Settings\session\Application Data\EoRezo\EoRezo\SoftwareUpdateHP.exe (EoRezo)
    MsConfig - StartUpReg: SweetIM - hkey= - key= - File not found
    MsConfig - StartUpReg: WooCnxMon - hkey= - key= - File not found
    MsConfig - StartUpReg: WOOTASKBARICON - hkey= - key= - File not found
    MsConfig - StartUpReg: WOOWATCH - hkey= - key= - File not found
    [2011/02/09 21:52:04 | 001,048,096 | ---- | M] (Secure Digital Services ) -- C:\megaupload.exe
    [2010/04/16 13:09:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\2B1C5
    [2011/10/06 10:23:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\agi
    [2011/10/06 10:23:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\session\Application Data\agi
    [2010/11/07 16:00:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\session\Application Data\EoRezo
    [2010/04/16 13:10:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\session\Application Data\imeshmediabartb
    [2011/10/03 19:23:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\session\Application Data\OfferBox
    [2011/10/06 09:45:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\session\Application Data\PriceGong

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "C:\Documents and Settings\session\Local Settings\Temp\SweetIMReinstall\sweetimsetup.exe"=-
    "C:\Documents and Settings\All Users\Application Data\SweetIM\Messenger\update\sweetimsetup.exe"=-

    :Files
    C:\Documents and Settings\session\Application Data\EoRezo
    C:\Program Files\iMesh Applications\MediaBar
    C:\Program Files\OfferBox

    :Commands
    [emptytemp]
    [CLEARALLRESTOREPOINTS]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    a c 548 8 Sécurité
    8 Mars 2012 22:34:28

    Re,

    Ok, comment se comporte le pc ? Encore des problèmes ?

    Sinon on conclura.
    8 Mars 2012 22:46:40


    il se porte comme un charme !!!! Merci +++++++++++
    Par contre le collègue chez qui j'étais quand l'ordi était hs aimerais savoir si tu pourrais regarder le sien. beaucoup de bizarreries !!
    l'ordi s'éteinds tout seul, firefox aussi beaucoup de pub bref il compte sur moi pour du nettoyage peux tu encore m'aider .
    Quelque soit la réponse un grand merci A+
    a c 548 8 Sécurité
    9 Mars 2012 09:54:18

    Re,

    On termine le nettoyage maintenant :


    1) Désinstalle AdwCleaner :

  • Relance-le le programme adwcleaner0.exe situé sur ton Bureau.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
  • Dans la fenêtre principal, choisis l'option Désinstallation, et valide avec "Oui"

  • Supprime ensuite le fichier adwcleaner0.exe sur ton bureau.


    2) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    3) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions.
    Vérifie ensuite que Java(TM) 6 Update 13 à bien été supprimé dans ta liste des programmes, sinon, fais-le

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions.
    Vérifie ensuite que Adobe Acrobat 5.0 à bien été supprimé dans ta liste des programmes, sinon, fais-le

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Installer un parefeu en remplacement de celui de Windows XP :
    Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm ou Kerio par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

    Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !


    Concernant l'autre pc, il faudra ouvrir un sujet différent, un autre helper ou moi-même regarderons, mais un seul cas par sujet.


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    9 Mars 2012 12:04:14

    bonjour
    Désolée mais dans mon tout premier message il n'y a ni crayon ni modifier je ne sais pas comment mettre résolu!!
    a c 548 8 Sécurité
    9 Mars 2012 14:32:02

    Re,

    Citation :
    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.


    Tu es en guest, donc non-inscrit, donc tu peux pas. Je vais le faire moi-même.

    Pensez à vous inscrire la prochaine fois avant, c'est plus sympa.

    Bonne journée ;) 
    9 Mars 2012 15:57:23

    ok promis je le ferais et encore merci
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS