Votre question
Résolu

Virus rootkit - ordinateur très lent + écran bleu

Tags :
  • Rootkit
  • Virus
  • rogue
  • smart HDD
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Juillet 2012 14:06:40

Bonjour,

J'ai un problème informatique depuis quelques semaines et je ne m'en sors pas. Je vais tenter de vous l'expliquer sachant que je ne suis vraiment pas certaine d'utiliser les bons termes techniques....
Cela a commencé par un écran SMART HDD qui a fait 'disparaitre' tous mes fichiers (j'ai eu la mauvaise idée d'accepter que mon ordi exécute un programme inconnu...). Après lecture de plusieurs blogs, j'ai tenté plusieurs choses. J'ai téléchargé plusieurs programmes : AVG, Rogkill, Mallware... et d'autres choses mais je ne me souviens plus de tout. Depuis, mes fichiers sont de nouveau disponibles.
Par contre mon ordi est toujours atteint par un 'Rootkit'. Il est très très lent (à la fois pour internet et pour ouvrir un fichier quelconque) et il plante systématiquement (écran bleu puis hier en plus écran noir).

Bref si l'un d'entre vous veut bien m'aider, je suis preneuse.

Merci d'avance.

Caroline

Autres pages sur : virus rootkit ordinateur tres lent ecran bleu

a c 614 8 Sécurité
6 Juillet 2012 14:35:34

Bonjour,

C'est dommage d'être venu si tardivement après avoir fait autant de manipulations, on va essayer de voir un peu.

Deux choses à faire pour le moment :

1) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau


    2) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.
    m
    0
    l
    6 Juillet 2012 14:44:53

    Merci pour cette 1ère réponse . Je regarde ça ce soir et j'essaie de renvoyer un message dans la foulée si mon ordi le permet.

    Caroline
    m
    0
    l
    Contenus similaires
    7 Juillet 2012 12:46:28

    Me revoilà, bonjour...

    1. Voici les 2 rapports relatifs à l'exécution de otl.exe:

    pour otl.txt -> http://pjjoint.malekal.com/files.php?id=20120707_z10m6z...
    pour extras.txt-> http://pjjoint.malekal.com/files.php?id=20120707_r6t11d...

    Pour info, lors de l'exécution de ce programme, j'ai eu un avertissement "otl.exe - fichier endommagé. Le fichier ou le répertoire c:\$Mft est endommagé et illisible. Exécutez l'utilitaire CHKDSK.'

    2. J'ai ensuite executé tdsskiller . Le seul résulat que j'ai eu est "no threat found". Je n'ai pas vu toutes les options dont tu parles dans ton précédent mail...


    A plus tard,

    Caroline
    m
    0
    l
    a c 614 8 Sécurité
    7 Juillet 2012 14:35:24

    Re,

    On verra pour le message d'erreur après, là on va s'occuper des restes de l'infection, et d'autres logiciels publicitaires et inutiles.

    Tu as deux antivirus actif : AVG2012 et Bitdefender 2010, multiplier les protections n'améliore pas la sécurité, mais peut au contraire provoquer ralentissement et conflit.
    Supprime l'un de ces deux antivirus

    1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :

    - Java(TM) 6 Update 2 (version obsolète, risque de sécurité)
    - Java(TM) 6 Update 7 (idem)
    - AOL Toolbar 5.0 (barre d'outil, sauf réelle utilité)

    - BabylonObjectInstaller (adware : logiciel publicitaire)
    - Yontoo 1.10.02 (idem)
    - Babylon toolbar on IE (idem)
    - DealPly (idem)
    - Viewpoint Media Player (idem)


    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
    IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2769726
    IE - HKLM\..\SearchScopes\{BB6F3A0B-1975-4037-88C1-26523D3D6C20}: "URL" = http://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913932
    IE - HKU\S-1-5-21-3036318043-123126374-923895953-1000\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - SOFTWARE\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}\InprocServer32 File not found
    IE - HKU\S-1-5-21-3036318043-123126374-923895953-1000\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - No CLSID value found
    IE - HKU\S-1-5-21-3036318043-123126374-923895953-1000\..\URLSearchHook: {f4e6547e-325b-403c-a3bb-ad29ed37a92f} - No CLSID value found
    FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll ()O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found.
    O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)
    O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll (Yontoo LLC)
    O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
    O3 - HKU\S-1-5-21-3036318043-123126374-923895953-1000\..\Toolbar\WebBrowser: (no name) - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - No CLSID value found.
    O4 - HKU\S-1-5-21-3036318043-123126374-923895953-1000..\Run: [LFJGJxpDcfY.exe] C:\ProgramData\LFJGJxpDcfY.exe File not found
    O15 - HKU\.DEFAULT\..Trusted Ranges: Range1 ([http] in Local intranet)
    O15 - HKU\S-1-5-18\..Trusted Ranges: Range1 ([http] in Local intranet)
    O15 - HKU\S-1-5-21-3036318043-123126374-923895953-1000\..Trusted Ranges: Range1 ([http] in Intranet local)
    O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
    O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
    O33 - MountPoints2\{57ed3707-328d-11e0-887e-001e685f5464}\Shell\AutoRun\command - "" = iexplorer.exe -copy
    ActiveX: {03F998B2-0E00-11D3-A498-00104B6EB52E} - Viewpoint Media Player
    ActiveX: {1B00725B-C455-4DE6-BFB6-AD540AD427CD} - Viewpoint Media Player
    [2012/06/24 14:02:34 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly
    [2012/06/24 14:02:29 | 000,000,000 | ---D | C] -- C:\Program Files\DealPly
    [2012/06/24 14:01:12 | 000,000,000 | ---D | C] -- C:\Program Files\DownloadManager
    [2012/06/24 14:00:39 | 000,000,000 | ---D | C] -- C:\Users\EYBENS\AppData\Roaming\BabylonToolbar
    [2012/06/24 14:00:32 | 000,000,000 | ---D | C] -- C:\Program Files\BabylonToolbar
    [2012/06/24 14:00:15 | 000,000,000 | ---D | C] -- C:\Program Files\Yontoo
    [2012/06/24 14:00:13 | 000,000,000 | ---D | C] -- C:\ProgramData\Tarma Installer
    [2012/06/24 14:00:11 | 000,000,000 | ---D | C] -- C:\Users\EYBENS\AppData\Roaming\Babylon
    [2012/06/24 14:00:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon
    [2010/12/17 22:34:36 | 000,000,000 | ---D | M] -- C:\Users\EYBENS\AppData\Roaming\PriceGong
    [2008/06/21 18:15:52 | 000,000,000 | ---D | M] -- C:\Users\EYBENS\AppData\Roaming\Symantec

    :Files
    C:\Program Files\Viewpoint
    C:\Program Files\BabylonToolbar
    C:\Program Files\DealPly
    C:\Program Files\Yontoo

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    m
    0
    l
    7 Juillet 2012 16:53:45

    J'ai supprimé AVG2012 et désinstallé tous les programmes que tu mentionnais.

    Voici le message que j'ai eu dans le bloc note lorsque mon PC a redemarré après avoir relancé OTL.exe.

    All processes killed
    ========== OTL ==========
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{BB6F3A0B-1975-4037-88C1-26523D3D6C20}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BB6F3A0B-1975-4037-88C1-26523D3D6C20}\ not found.
    Registry value HKEY_USERS\S-1-5-21-3036318043-123126374-923895953-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{08C06D61-F1F3-4799-86F8-BE1A89362C85} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}\ deleted successfully.
    Registry value HKEY_USERS\S-1-5-21-3036318043-123126374-923895953-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}\ not found.
    Registry value HKEY_USERS\S-1-5-21-3036318043-123126374-923895953-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{f4e6547e-325b-403c-a3bb-ad29ed37a92f} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f4e6547e-325b-403c-a3bb-ad29ed37a92f}\ not found.
    Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@viewpoint.com/VMP\ not found.
    File C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll ()O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll not found.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\ not found.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}\ not found.
    File C:\Program Files\DealPly\DealPlyIE.dll not found.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ not found.
    File C:\Program Files\Yontoo\YontooIEClient.dll not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}\ not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{98889811-442D-49dd-99D7-DC866BE87DBC} not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}\ not found.
    File C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll not found.
    Registry value HKEY_USERS\S-1-5-21-3036318043-123126374-923895953-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0}\ not found.
    Registry value HKEY_USERS\S-1-5-21-3036318043-123126374-923895953-1000\Software\Microsoft\Windows\CurrentVersion\Run\\LFJGJxpDcfY.exe deleted successfully.
    Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1\\http deleted successfully.
    Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1\\http not found.
    Registry value HKEY_USERS\S-1-5-21-3036318043-123126374-923895953-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1\\http deleted successfully.
    Starting removal of ActiveX control {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{57ed3707-328d-11e0-887e-001e685f5464}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{57ed3707-328d-11e0-887e-001e685f5464}\ not found.
    File iexplorer.exe -copy not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}\ not found.
    Folder C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\ not found.
    C:\Program Files\DealPly folder moved successfully.
    C:\Program Files\DownloadManager\tools\Windows\unrarw32 folder moved successfully.
    C:\Program Files\DownloadManager\tools\Windows\kikin folder moved successfully.
    C:\Program Files\DownloadManager\tools\Windows folder moved successfully.
    C:\Program Files\DownloadManager\tools folder moved successfully.
    C:\Program Files\DownloadManager\tmp folder moved successfully.
    C:\Program Files\DownloadManager\plugins\webinterface\img folder moved successfully.
    C:\Program Files\DownloadManager\plugins\webinterface folder moved successfully.
    C:\Program Files\DownloadManager\plugins\jdshutdown\windows folder moved successfully.
    C:\Program Files\DownloadManager\plugins\jdshutdown folder moved successfully.
    C:\Program Files\DownloadManager\plugins\jdchat folder moved successfully.
    C:\Program Files\DownloadManager\plugins folder moved successfully.
    C:\Program Files\DownloadManager\licenses folder moved successfully.
    C:\Program Files\DownloadManager\libs\laf folder moved successfully.
    C:\Program Files\DownloadManager\libs folder moved successfully.
    C:\Program Files\DownloadManager\jd\themes folder moved successfully.
    C:\Program Files\DownloadManager\jd\router folder moved successfully.
    C:\Program Files\DownloadManager\jd\plugins\hoster folder moved successfully.
    C:\Program Files\DownloadManager\jd\plugins\decrypter folder moved successfully.
    C:\Program Files\DownloadManager\jd\plugins folder moved successfully.
    C:\Program Files\DownloadManager\jd\osx folder moved successfully.
    C:\Program Files\DownloadManager\jd\languages folder moved successfully.
    C:\Program Files\DownloadManager\jd\img\logo folder moved successfully.
    C:\Program Files\DownloadManager\jd\img\hosterlogos\megaporn.com folder moved successfully.
    C:\Program Files\DownloadManager\jd\img\hosterlogos folder moved successfully.
    C:\Program Files\DownloadManager\jd\img\default\mime folder moved successfully.
    C:\Program Files\DownloadManager\jd\img\default\cursor folder moved successfully.
    C:\Program Files\DownloadManager\jd\img\default folder moved successfully.
    C:\Program Files\DownloadManager\jd\img folder moved successfully.
    C:\Program Files\DownloadManager\jd\dynamics folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\zdd folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\wrldd folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\vdsz folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\ugtf folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\trbbt folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\sxvdt folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\strmprtct folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\sld folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\scrd folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\scmn folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\rslr folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\rpdshr folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\rpdlbrr folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\rpdgcm folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\rmfrksnt folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\rlshld folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\rlcrpt folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\rbkprrws folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\prtctt\images folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\prtctt folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\prtctr folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\prtctmylnkscm folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\ppscnrg folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\pldcm folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\pldbx folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\o4fc folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\nzllnkssrnjnksrg folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\ntldn folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\nrdr folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\mvwrldnt folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\mshr folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\mgshrs2 folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\mgshre folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\mgpld folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\mg1280 folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\lxn folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\lttbt folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\lphlnk folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\lnksvn folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\lnkfl folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\lnkcrptwsCircles folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\lnkcrpt folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\lnkbs2 folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\lnkbs folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\hstjnt folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\gtpp folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\gshre folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\ggsz folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\ggpt folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\ggp folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\flst folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\flsrf folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\flshren folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\flrck folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\fldrr folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\flbs folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\fl folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\eshr folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\easycaptcha folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\dskcz folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\dckld folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\czshr folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\cryptt folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\crptng folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\crptm2 folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\crptm folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\crptlnk folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\cnt folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\cnnt folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\cms folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\cllctrnt folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\cbrsharsk folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\bstmvss folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\bmbmp3cm folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\bgpld folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods\bdng folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha\methods folder moved successfully.
    C:\Program Files\DownloadManager\jd\captcha folder moved successfully.
    C:\Program Files\DownloadManager\jd folder moved successfully.
    C:\Program Files\DownloadManager\java folder moved successfully.
    C:\Program Files\DownloadManager\config folder moved successfully.
    C:\Program Files\DownloadManager\backup folder moved successfully.
    C:\Program Files\DownloadManager\.junique folder moved successfully.
    C:\Program Files\DownloadManager\.install4j\user folder moved successfully.
    C:\Program Files\DownloadManager\.install4j folder moved successfully.
    C:\Program Files\DownloadManager folder moved successfully.
    Folder C:\Users\EYBENS\AppData\Roaming\BabylonToolbar\ not found.
    Folder C:\Program Files\BabylonToolbar\ not found.
    Folder C:\Program Files\Yontoo\ not found.
    C:\ProgramData\Tarma Installer\{ED7702F7-093C-4968-8B84-3CF5D1A3F23D}\Cache folder moved successfully.
    C:\ProgramData\Tarma Installer\{ED7702F7-093C-4968-8B84-3CF5D1A3F23D} folder moved successfully.
    C:\ProgramData\Tarma Installer folder moved successfully.
    C:\Users\EYBENS\AppData\Roaming\Babylon folder moved successfully.
    C:\ProgramData\Babylon folder moved successfully.
    C:\Users\EYBENS\AppData\Roaming\PriceGong\Data folder moved successfully.
    C:\Users\EYBENS\AppData\Roaming\PriceGong folder moved successfully.
    C:\Users\EYBENS\AppData\Roaming\Symantec\NPMDataStore folder moved successfully.
    C:\Users\EYBENS\AppData\Roaming\Symantec folder moved successfully.
    ========== FILES ==========
    File\Folder C:\Program Files\Viewpoint not found.
    File\Folder C:\Program Files\BabylonToolbar not found.
    File\Folder C:\Program Files\DealPly not found.
    File\Folder C:\Program Files\Yontoo not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: EYBENS
    ->Temp folder emptied: 27472162 bytes
    ->Temporary Internet Files folder emptied: 640564560 bytes
    ->Java cache emptied: 24909079 bytes
    ->Flash cache emptied: 772 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 1114690 bytes
    RecycleBin emptied: 1161410085 bytes

    Total Files Cleaned = 1 770,00 mb


    OTL by OldTimer - Version 3.2.53.1 log created on 07072012_163919

    Files\Folders moved on Reboot...
    C:\Users\EYBENS\AppData\Local\Temp\ehmsas.txt moved successfully.
    C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TQ7Z2ECQ\net[1].htm moved successfully.
    C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\SVT75H5X\badges[1].ttf moved successfully.
    C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\SVT75H5X\virus-rootkit-ordinateur-tres-lent-ecran-bleu[2].htm moved successfully.
    C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KDHBXV1K\5774[1].htm moved successfully.
    C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KDHBXV1K\proxy[2].htm moved successfully.
    C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KDHBXV1K\sso[1].htm moved successfully.
    C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KDHBXV1K\xd_arbiter[1].htm moved successfully.
    C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KDHBXV1K\xd_arbiter[2].htm moved successfully.
    C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\JK8GYIOS\dis[1].htm moved successfully.
    C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\DDDPWA56\like[2].htm moved successfully.
    C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\DDDPWA56\oauth[2].htm moved successfully.
    C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\DDDPWA56\send[2].htm moved successfully.
    C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\5F7QDWSB\badges[1].eot moved successfully.
    C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.

    PendingFileRenameOperations files...
    File C:\Users\EYBENS\AppData\Local\Temp\ehmsas.txt not found!
    File C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TQ7Z2ECQ\net[1].htm not found!
    File C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\SVT75H5X\badges[1].ttf not found!
    File C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\SVT75H5X\virus-rootkit-ordinateur-tres-lent-ecran-bleu[2].htm not found!
    File C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KDHBXV1K\5774[1].htm not found!
    File C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KDHBXV1K\proxy[2].htm not found!
    File C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KDHBXV1K\sso[1].htm not found!
    File C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KDHBXV1K\xd_arbiter[1].htm not found!
    File C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KDHBXV1K\xd_arbiter[2].htm not found!
    File C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\JK8GYIOS\dis[1].htm not found!
    File C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\DDDPWA56\like[2].htm not found!
    File C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\DDDPWA56\oauth[2].htm not found!
    File C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\DDDPWA56\send[2].htm not found!
    File C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\5F7QDWSB\badges[1].eot not found!
    File C:\Users\EYBENS\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT not found!

    Registry entries deleted on Reboot...
    m
    0
    l
    a c 614 8 Sécurité
    7 Juillet 2012 22:43:07

    Re,

    Ok, comment se comporte le pc à présent ?

    As-tu encore des alertes/symptômes/plantages ?
    m
    0
    l
    8 Juillet 2012 11:23:11

    Ca va déjà beaucoup mieux. Pon pc est plus rapide et plante beaucoup moins. : il a quand même replanté une fois (écran bleu). Par contre, l'anti-virus detecte toujours le virus rootkit (lecteur c ou e de mémoire).

    Caroline
    m
    0
    l
    a c 614 8 Sécurité
    8 Juillet 2012 12:22:48

    Ok, on va voir :

    Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
    m
    0
    l
    9 Juillet 2012 22:01:02

    Ca y'est , j'ai lancé ComboFix . Voici le rapport :

    ComboFix 12-07-05.04 - EYBENS 09/07/2012 21:33:13.1.2 - x86
    Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3070.2067 [GMT 2:00]
    Lancé depuis: c:\users\EYBENS\Desktop\ComboFix.exe
    AV: BitDefender Antivirus *Disabled/Updated* {982ADE23-275B-0766-37C5-DE01A484098E}
    FW: BitDefender Pare-feu *Enabled* {A0115F06-6D34-063E-1C9A-77345A574EF5}
    SP: BitDefender Antispyware *Disabled/Updated* {234B3FC7-0161-08E8-0D75-E573DF034333}
    SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\users\EYBENS\AppData\Roaming\Microsoft\Windows\Recent\CARTE - YVELINES.url
    c:\users\EYBENS\AppData\Roaming\Microsoft\Windows\Recent\Exercices CP-CE1.url
    c:\windows\system32\KBL.LOG
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2012-06-09 au 2012-07-09 ))))))))))))))))))))))))))))))))))))
    .
    .
    2012-07-09 19:41 . 2012-07-09 19:41 -------- d-----w- c:\users\Default\AppData\Local\temp
    2012-07-08 08:32 . 2012-07-08 08:32 -------- d-----w- c:\windows\system32\Adobe
    2012-07-07 15:02 . 2012-06-18 01:14 6762896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{00784C26-1A85-40FC-ADB1-7B03003E7DA6}\mpengine.dll
    2012-07-07 15:02 . 2012-05-31 10:25 237072 ------w- c:\windows\system32\MpSigStub.exe
    2012-07-07 14:39 . 2012-07-07 14:39 -------- d-----w- C:\_OTL
    2012-07-04 17:33 . 2012-07-04 17:33 -------- d-----w- C:\found.000
    2012-06-29 19:03 . 2012-06-29 19:03 100864 ----a-w- C:\kxdyqpog.sys
    2012-06-27 05:34 . 2012-06-27 05:34 -------- d-----w- c:\program files\iPod
    2012-06-27 05:34 . 2012-06-27 05:36 -------- d-----w- c:\program files\iTunes
    2012-06-26 21:32 . 2012-06-26 21:32 -------- d-----w- c:\programdata\Common Files
    2012-06-26 21:29 . 2012-06-26 21:29 -------- d-----w- c:\program files\AVG
    2012-06-26 21:25 . 2012-07-07 14:11 -------- d-----w- c:\programdata\MFAData
    2012-06-26 19:06 . 2012-06-26 19:06 -------- d-----w- c:\users\EYBENS\AppData\Roaming\Malwarebytes
    2012-06-26 19:06 . 2012-06-26 19:06 -------- d-----w- c:\programdata\Malwarebytes
    2012-06-26 19:06 . 2012-06-26 19:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2012-06-26 19:06 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
    2012-06-25 18:19 . 2012-06-25 18:19 -------- d-----w- c:\programdata\WindowsSearch
    2012-06-24 12:00 . 2012-06-24 12:00 1530 ----a-w- C:\user.js
    2012-06-22 19:28 . 2012-06-02 22:19 53784 ----a-w- c:\windows\system32\wuauclt.exe
    2012-06-22 19:28 . 2012-06-02 22:19 45080 ----a-w- c:\windows\system32\wups2.dll
    2012-06-22 19:28 . 2012-06-02 22:19 1933848 ----a-w- c:\windows\system32\wuaueng.dll
    2012-06-22 19:28 . 2012-06-02 22:12 2422272 ----a-w- c:\windows\system32\wucltux.dll
    2012-06-22 19:27 . 2012-06-02 22:19 35864 ----a-w- c:\windows\system32\wups.dll
    2012-06-22 19:27 . 2012-06-02 22:19 577048 ----a-w- c:\windows\system32\wuapi.dll
    2012-06-22 19:27 . 2012-06-02 22:12 88576 ----a-w- c:\windows\system32\wudriver.dll
    2012-06-22 19:27 . 2012-06-02 13:19 171904 ----a-w- c:\windows\system32\wuwebv.dll
    2012-06-22 19:27 . 2012-06-02 13:12 33792 ----a-w- c:\windows\system32\wuapp.exe
    2012-06-13 22:00 . 2012-04-23 16:00 984064 ----a-w- c:\windows\system32\crypt32.dll
    2012-06-13 22:00 . 2012-04-23 16:00 98304 ----a-w- c:\windows\system32\cryptnet.dll
    2012-06-13 22:00 . 2012-04-23 16:00 133120 ----a-w- c:\windows\system32\cryptsvc.dll
    2012-06-13 22:00 . 2012-05-01 14:03 180736 ----a-w- c:\windows\system32\drivers\rdpwd.sys
    2012-06-13 22:00 . 2012-05-15 19:51 2045440 ----a-w- c:\windows\system32\win32k.sys
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
    2009-10-15 08:53 165184 ----a-w- c:\program files\SFR\Kit\SFRNavErrorHelper.dll
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
    "IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2011-07-09 366024]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
    "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
    "Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2009-10-15 959808]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-15 102400]
    "SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-05-05 1466368]
    "RtHDVCpl"="RtHDVCpl.exe" [2007-08-17 4702208]
    "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-07-25 174616]
    "QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-09-30 181544]
    "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-09-19 202032]
    "OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-09-04 554320]
    "UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-08-16 218408]
    "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-16 75008]
    "hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-09-13 480560]
    "WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-08 311296]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 1045800]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-10-03 13826664]
    "lxctmon.exe"="c:\program files\Lexmark 5400 Series\lxctmon.exe" [2007-03-19 291760]
    "Lexmark 5400 Series Fax Server"="c:\program files\Lexmark 5400 Series\fm3032.exe" [2007-03-19 304048]
    "EzPrint"="c:\program files\Lexmark 5400 Series\ezprint.exe" [2007-03-19 82864]
    "LXCTCATS"="c:\windows\system32\spool\DRIVERS\W32X86\3\LXCTtime.dll" [2006-11-21 106496]
    "BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2010\IEShow.exe" [2009-10-19 71152]
    "BDAgent"="c:\program files\BitDefender\BitDefender 2010\bdagent.exe" [2012-05-23 1200880]
    "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2011-01-12 49208]
    "AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-07-05 421888]
    "APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-06-07 421776]
    .
    c:\users\EYBENS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
    .
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2009-2-26 113664]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableUIADesktopToggle"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "AntiVirusOverride"=dword:00000001
    .
    --- Autres Services/Pilotes en mémoire ---
    .
    *NewlyCreated* - WS2IFSL
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
    bdx REG_MULTI_SZ scan sysagent
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
    2007-08-23 15:34 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2009-03-25 c:\windows\Tasks\HPCeeScheduleForEYBENS.job
    - c:\program files\Hewlett-Packard\SDP\Ceement\HPCEE.exe [2007-11-26 10:58]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.yahoo.fr/
    mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=81&bd=Pavilion&pf=laptop
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    TCP: DhcpNameServer = 192.168.1.1
    DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game01.zylom.com/activex/zylomgamesplayer.cab
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    WebBrowser-{F4E6547E-325B-403C-A3BB-AD29ED37A92F} - (no file)
    HKLM-Run-SunJavaUpdateSched - c:\program files\Java\jre6\bin\jusched.exe
    AddRemove-5513-1208-7298-9440 - c:\program files\DownloadManager\JDUninstall.exe
    .
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2012-07-09 21:41
    Windows 6.0.6002 Service Pack 2 NTFS
    .
    Recherche de processus cachés ...
    .
    Recherche d'éléments en démarrage automatique cachés ...
    .
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    LXCTCATS = rundll32 c:\windows\system32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
    .
    Recherche de fichiers cachés ...
    .
    Scan terminé avec succès
    Fichiers cachés: 0
    .
    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:000000b5
    .
    Heure de fin: 2012-07-09 21:42:53
    ComboFix-quarantined-files.txt 2012-07-09 19:42
    .
    Avant-CF: 58 197 168 128 octets libres
    Après-CF: 58 128 445 440 octets libres
    .
    - - End Of File - - 6FCD60271C3CD084877A5DB90CFAF0C0
    m
    0
    l
    a c 614 8 Sécurité
    9 Juillet 2012 22:37:37

    Re,

    OK, cela confirme ce que j'avais vu avant, pour moi il n'y a plus rien comme infection sur ce pc.

    Citation :
    Par contre, l'anti-virus detecte toujours le virus rootkit (lecteur c ou e de mémoire).


    Peux-tu me donner exactement le message d'avertissement / détection ?

    Un dernier test aussi :

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... /!\ (Antivir peut bloquer cet outil sans raison valable)

    Télécharge MbrScan (de Eric71) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur MbrScan.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "report", un rapport texte va s'ouvrir, copie-le moi dans ta prochaine réponse.
    m
    0
    l
    22 Juillet 2012 21:14:17

    bonsoir,

    me revoila apres bcp de temps...

    le message d'erreur dit que bitdefenfer a bloqué un virus "Rootkit.MBR.Sst.B (Boot image) " sur le lecteur e et c.

    voici le rapport de mbrscan :

    1. MBRScan v1.1.1
    2.  
    3. OS : Windows Vista Service Pack 2 (32 bit)
    4. PROCESSOR : x86 Family 6 Model 23 Stepping 6, GenuineIntel
    5. BOOT : Normal Boot
    6. DATE : 2012/07/22 (ISO 8601) at 20:45:22
    7. ________________________________________________________________________________
    8.  
    9. DISK : Device\Harddisk0\DR0 __FUJITSU MHZ2160BH G2 (8909)
    10. BUS_TYPE : (0x03) P-ATA
    11. USE_PIO : NO
    12. MAX_TRANSFER : 128 Kb
    13. ALIGNMENT_MASK : word aligned
    14. ________________________________________________________________________________
    15.  
    16. DISK : Device\Harddisk1\DR1 __FUJITSU MHZ2160BH G2 (8909)
    17. BUS_TYPE : (0x03) P-ATA
    18. USE_PIO : NO
    19. MAX_TRANSFER : 128 Kb
    20. ALIGNMENT_MASK : word aligned
    21. ________________________________________________________________________________
    22.  
    23. DISK : Device\Harddisk2\DR2 __Apple iPod (1.62)
    24. BUS_TYPE : (0x07) USB
    25. USE_PIO : NO
    26. MAX_TRANSFER : 64 Kb
    27. ALIGNMENT_MASK : byte aligned
    28. ________________________________________________________________________________
    29.  
    30. Device\Harddisk0\DR0 149.1 Go [Fixed] ==> Unknown MBR Code
    31.  
    32. MBR_MD5 : 2F1FC3236CA555BAA2FAA691FFFC4DB4
    33. MBR_SHA1 : 60EAA3304534815A79DF096B46A62ADDA29C6A04
    34.  
    35. Device\Harddisk0\Partition1 137.3 Go 0x07 NTFS / HPFS __ BOOTABLE __
    36. Device\Harddisk0\Partition2 11.79 Go 0x07 NTFS / HPFS
    37. Device\Harddisk0\Partition3 2.48 Mo 0x17 Hidden HPFS/NTFS
    38. ________________________________________________________________________________
    39.  
    40. Device\Harddisk1\DR1 149.1 Go [Fixed] ==> XP MBR Code
    41.  
    42. MBR_MD5 : EF8BE12CCDB166514964EC8CA35B3DCC
    43. MBR_SHA1 : 2B21FC2E6B3D5F91B9FFDF925F9EB01D89E761E6
    44.  
    45. Device\Harddisk1\Partition1 149.0 Go 0x07 NTFS / HPFS
    46. ________________________________________________________________________________
    47.  
    48. Device\Harddisk2\DR2 7.42 Go [Removable] ==> Hidden MBR Code !!
    49.  
    50. MBR_MD5 : BF619EAC0CDF3F68D496EA9344137E8B
    51. MBR_SHA1 : 5C3EB80066420002BC3DCC7CA4AB6EFAD7ED4AE5
    52.  
    53. Device\Harddisk2\Partition1 7.42 Go 0x0B FAT32 [CHS]
    54. ________________________________________________________________________________
    55.  
    56. ############################### Additional scan ################################
    57.  
    58. DRIVER : C:\Windows\System32\Drivers\dump_iaStor.sys => Invisible on the disk
    59. ADDRESS : 0x8AF11000
    60. SIZE : 796.0 Ko
    61.  
    62. BCD EmsSettings {0CE4991B-E6B3-4B16-B23C-5E0D9250E5D9} => BcdLibraryBoolean_EmsEnabled (16000020)
    63.  
    64. SystemStartOptions : /NOEXECUTE=OPTIN
    65.  
    66. ________________________________________________________________________________
    67.  
    68. _______MBR \Device\Harddisk0\DR0
    69.  
    70. 0x00000000 33 FF BE 00 02 8E D7 BC 00 7A BB A0 07 8B CE 8E 3.¾...×¼.z»...Î.
    71. 0x00000010 DB 8E C3 F3 A4 EA 72 00 A0 07 10 00 01 00 00 7A Û.Ãó¤êr........z
    72. 0x00000020 00 00 00 00 00 00 00 00 00 00 07 66 8B 55 08 B4 ...........f.U.´
    73. 0x00000030 42 C6 06 1F 00 7C 32 C0 66 89 16 22 00 BE 1A 00 BÆ...|2Àf..".¾..
    74. 0x00000040 B2 80 CD 13 0F 82 C2 00 81 3E FE 03 55 AA C3 AC ².Í...Â..>þ.UªÃ¬
    75. 0x00000050 0A C0 74 FA B4 0E BB 07 00 CD 10 EB F2 B8 12 5F .Àtú´.»..Í.ëò¸._
    76. 0x00000060 66 BA 51 50 48 5F CD 15 73 02 33 DB 80 E3 01 0A fºQPH_Í.s.3Û.ã..
    77. 0x00000070 DB C3 8B E9 8B D9 C6 06 2A 00 0C BF EE 01 B9 04 ÛÃ.é.ÙÆ.*..¿î.¹.
    78. 0x00000080 00 38 6D 04 74 39 E8 A2 FF 75 21 66 B8 52 45 43 .8m.t9è¢.u!f¸REC
    79. 0x00000090 4F 66 39 06 03 02 74 0C 66 39 06 F0 03 75 0D C6 Of9...t.f9.ð.u.Æ
    80. 0x000000A0 06 2A 00 07 8B DF C6 45 04 0C EB 13 8A 45 04 3C .*...ßÆE..ë..E.<
    81. 0x000000B0 07 74 0A 3C 0B 74 06 24 F5 3C 04 75 02 8B EF 88 .t.<.t.$õ<.u..ï.
    82. 0x000000C0 2D 83 EF 10 E2 BB 0B DB 74 1B 0B ED 74 17 8B FB -.ï.â».Ût..ít..û
    83. 0x000000D0 F6 06 4E 01 04 75 47 F6 06 4E 01 02 75 44 E8 7C ö.N..uGö.N..uDè|
    84. 0x000000E0 FF 75 3B EB 3D 66 33 D2 E8 44 FF BA 01 00 B1 04 .u;ë=f3ÒèD.º..±.
    85. 0x000000F0 BF BE 03 0B D2 75 06 80 7D 04 00 75 42 80 3D 80 ¿¾..Òu..}..uB.=.
    86. 0x00000100 74 3D 83 C7 10 E2 EC 4A 74 E4 8B 36 51 01 E8 3E t=.Ç.âìJtä.6Q.è>
    87. 0x00000110 FF 8B 36 53 01 E8 37 FF B4 00 CD 16 CD 18 8B EF ..6S.è7.´.Í.Í..ï
    88. 0x00000120 EB 00 A0 2A 00 88 45 04 8B FD C6 05 80 80 26 4E ë..*..E..ýÆ...&N
    89. 0x00000130 01 F9 66 33 D2 C6 06 1F 00 7A B4 43 E8 F7 FE E8 .ùf3ÒÆ...z´Cè÷þè
    90. 0x00000140 E9 FE 8B 36 4F 01 75 C6 EA 00 7C 00 00 01 50 57 éþ.6O.uÆê.|...PW
    91. 0x00000150 01 5C 01 63 01 68 01 45 72 72 32 00 0D 0A 45 72 .\.c.h.Err2...Er
    92. 0x00000160 72 31 00 45 72 72 33 00 0D 0A 50 72 65 73 73 20 r1.Err3...Press
    93. 0x00000170 46 31 31 20 66 6F 72 20 45 6D 65 72 67 65 6E 63 F11 for Emergenc
    94. 0x00000180 79 20 52 65 63 6F 76 65 72 79 20 00 73 20 61 20 y Recovery .s a
    95. 0x00000190 6B 65 79 0D 0A 00 00 00 00 00 00 00 00 00 00 00 key.............
    96. 0x000001A0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    97. 0x000001B0 00 00 00 00 00 00 4D 01 60 1A 60 1A 00 00 80 01 ......M.`.`.....
    98. 0x000001C0 01 00 07 FE FF FF 3F 00 00 00 3F 48 28 11 00 FE ...þ..?...?H(..þ
    99. 0x000001D0 FF FF 07 FE FF FF 7E 48 28 11 43 42 79 01 00 FE ...þ..~H(.CBy..þ
    100. 0x000001E0 FF FF 17 FE FF FF C1 8A A1 12 DF 13 00 00 00 00 ...þ..Á.¡.ß.....
    101. 0x000001F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA ..............Uª
    102.  
    103. _______MBR \Device\Harddisk1\DR1
    104.  
    105. 0x00000000 33 C0 8E D0 BC 00 7C FB 50 07 50 1F FC BE 1B 7C 3À.м.|ûP.P.ü¾.|
    106. 0x00000010 BF 1B 06 50 57 B9 E5 01 F3 A4 CB BD BE 07 B1 04 ¿..PW¹å.ó¤Ë½¾.±.
    107. 0x00000020 38 6E 00 7C 09 75 13 83 C5 10 E2 F4 CD 18 8B F5 8n.|.u..Å.âôÍ..õ
    108. 0x00000030 83 C6 10 49 74 19 38 2C 74 F6 A0 B5 07 B4 07 8B .Æ.It.8,tö.µ.´..
    109. 0x00000040 F0 AC 3C 00 74 FC BB 07 00 B4 0E CD 10 EB F2 88 ð¬<.tü»..´.Í.ëò.
    110. 0x00000050 4E 10 E8 46 00 73 2A FE 46 10 80 7E 04 0B 74 0B N.èF.s*þF..~..t.
    111. 0x00000060 80 7E 04 0C 74 05 A0 B6 07 75 D2 80 46 02 06 83 .~..t..¶.uÒ.F...
    112. 0x00000070 46 08 06 83 56 0A 00 E8 21 00 73 05 A0 B6 07 EB F...V..è!.s..¶.ë
    113. 0x00000080 BC 81 3E FE 7D 55 AA 74 0B 80 7E 10 00 74 C8 A0 ¼.>þ}Uªt..~..tÈ.
    114. 0x00000090 B7 07 EB A9 8B FC 1E 57 8B F5 CB BF 05 00 8A 56 ·.ë©.ü.W.õË¿...V
    115. 0x000000A0 00 B4 08 CD 13 72 23 8A C1 24 3F 98 8A DE 8A FC .´.Í.r#.Á$?..Þ.ü
    116. 0x000000B0 43 F7 E3 8B D1 86 D6 B1 06 D2 EE 42 F7 E2 39 56 C÷ã.Ñ.Ö±.ÒîB÷â9V
    117. 0x000000C0 0A 77 23 72 05 39 46 08 73 1C B8 01 02 BB 00 7C .w#r.9F.s.¸..».|
    118. 0x000000D0 8B 4E 02 8B 56 00 CD 13 73 51 4F 74 4E 32 E4 8A .N..V.Í.sQOtN2ä.
    119. 0x000000E0 56 00 CD 13 EB E4 8A 56 00 60 BB AA 55 B4 41 CD V.Í.ëä.V.`»ªU´AÍ
    120. 0x000000F0 13 72 36 81 FB 55 AA 75 30 F6 C1 01 74 2B 61 60 .r6.ûUªu0öÁ.t+a`
    121. 0x00000100 6A 00 6A 00 FF 76 0A FF 76 08 6A 00 68 00 7C 6A j.j..v..v.j.h.|j
    122. 0x00000110 01 6A 10 B4 42 8B F4 CD 13 61 61 73 0E 4F 74 0B .j.´B.ôÍ.aas.Ot.
    123. 0x00000120 32 E4 8A 56 00 CD 13 EB D6 61 F9 C3 49 6E 76 61 2ä.V.Í.ëÖaùÃInva
    124. 0x00000130 6C 69 64 20 70 61 72 74 69 74 69 6F 6E 20 74 61 lid partition ta
    125. 0x00000140 62 6C 65 00 45 72 72 6F 72 20 6C 6F 61 64 69 6E ble.Error loadin
    126. 0x00000150 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 g operating syst
    127. 0x00000160 65 6D 00 4D 69 73 73 69 6E 67 20 6F 70 65 72 61 em.Missing opera
    128. 0x00000170 74 69 6E 67 20 73 79 73 74 65 6D 00 00 00 00 00 ting system.....
    129. 0x00000180 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    130. 0x00000190 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    131. 0x000001A0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    132. 0x000001B0 00 00 00 00 00 2C 44 63 4C EA DC 58 00 00 00 01 .....,DcLêÜX....
    133. 0x000001C0 01 00 07 FE FF FF 3F 00 00 00 82 8A A1 12 00 00 ...þ..?.....¡...
    134. 0x000001D0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    135. 0x000001E0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    136. 0x000001F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA ..............Uª
    137.  
    138. _______MBR \Device\Harddisk2\DR2
    139.  
    140. 0x00000000 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    141. 0x00000010 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    142. 0x00000020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    143. 0x00000030 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    144. 0x00000040 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    145. 0x00000050 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    146. 0x00000060 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    147. 0x00000070 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    148. 0x00000080 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    149. 0x00000090 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    150. 0x000000A0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    151. 0x000000B0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    152. 0x000000C0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    153. 0x000000D0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    154. 0x000000E0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    155. 0x000000F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    156. 0x00000100 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    157. 0x00000110 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    158. 0x00000120 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    159. 0x00000130 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    160. 0x00000140 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    161. 0x00000150 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    162. 0x00000160 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    163. 0x00000170 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    164. 0x00000180 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    165. 0x00000190 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    166. 0x000001A0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    167. 0x000001B0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    168. 0x000001C0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    169. 0x000001D0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    170. 0x000001E0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    171. 0x000001F0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
    m
    0
    l
    a c 614 8 Sécurité
    22 Juillet 2012 23:32:40

    Re-bonjour ;) 

    Y'a effectivement possiblement un bootkit, mais il faut vérifier.

    Télécharge AswMBR sur ton bureau.

  • Double-clique sur aswMBR.exe situé sur ton Bureau pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Refuse la demande de mise à jour.
  • Clique sur le bouton Scan et laisse l'outil travailler.

  • Clique sur Save Log, enregistre le rapport sur le bureau et poste son contenu dans ta prochaine réponse.
    m
    0
    l
    23 Juillet 2012 20:51:32

    Bonsoir,

    Voici le contenu du rapport :
    aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
    Run date: 2012-07-23 20:45:29
    -----------------------------
    20:45:29.334 OS Version: Windows 6.0.6002 Service Pack 2
    20:45:29.334 Number of processors: 2 586 0x1706
    20:45:29.334 ComputerName: CAROLINE UserName: EYBENS
    20:45:32.205 Initialize success
    20:45:41.979 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
    20:45:41.979 Disk 0 Vendor: FUJITSU_ 8909 Size: 152627MB BusType: 3
    20:45:41.979 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IAAStorageDevice-1
    20:45:41.979 Disk 1 Vendor: FUJITSU_ 8909 Size: 152627MB BusType: 3
    20:45:41.995 Disk 0 MBR read successfully
    20:45:42.011 Disk 0 MBR scan
    20:45:42.011 Disk 0 unknown MBR code
    20:45:42.011 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 140553 MB offset 63
    20:45:42.042 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 12072 MB offset 287852670
    20:45:42.057 Disk 0 Partition 3 00 17 Hidd HPFS/NTFS NTFS 2 MB offset 312576705
    20:45:42.073 Disk 0 scanning sectors +312581792
    20:45:42.354 Disk 0 scanning C:\Windows\system32\drivers
    20:45:54.241 Service scanning
    20:46:13.647 Modules scanning
    20:46:29.544 Disk 0 trace - called modules:
    20:46:29.606 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iaStor.sys
    20:46:29.622 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86e6a518]
    20:46:29.622 3 CLASSPNP.SYS[8b1a88b3] -> nt!IofCallDriver -> [0x85d347b8]
    20:46:29.637 5 acpi.sys[82e9c6bc] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x85d3d030]
    20:46:29.653 Scan finished successfully
    20:48:16.685 Disk 0 MBR has been saved successfully to "C:\Users\EYBENS\Desktop\MBR.dat"
    20:48:16.700 The log file has been saved successfully to "C:\Users\EYBENS\Desktop\aswMBR.txt"


    m
    0
    l
    a c 614 8 Sécurité
    23 Juillet 2012 21:59:02

    Re,

    Tu pourrais me fournir le fichier qui s'est crée sur ton bureau, le MBR.dat.

    Héberge-le ici par exemple et fournis-moi le lien :
    http:\\dl.free.fr
    m
    0
    l
    a c 614 8 Sécurité
    24 Juillet 2012 22:10:44

    Re,

    Je dois vérifier certains protocole car les corrections de MBR sont délicat, je reviens vers toi dès que possible.

    En attendant, pourrais-tu me faire une copie d'écran de ceci :

    Clic-droit sur "Ordinateur" -> gérer
    Puis "Gestion des disques"

    Il me faut les graphiques qui apparaissent dans la fenêtre du milieu.
    Voilà un tuto pour faire et héberger la capture :
    http://forum.security-x.fr/cours-et-tutoriels-322/%28tu...

    :jap: 
    m
    0
    l
    a c 614 8 Sécurité
    25 Juillet 2012 10:55:33

    Re,

    OK apparemment le bootkit n'a pas réussit à terminer son installation, c'est tant mieux.

    Fais ceci :

    Reviens sur "gestion des disques"
    Dans la partie de droite, sur la lignes nommée 'Disque 0" sélectionne la dernière partie sans nom de 2 Mo (/!\ seulement celle-ci)
    Fais un clic-droit dessus -> supprimer le volume...
    Valide les avertissements.

    Redémarre ensuite le pc, et dis-moi si ton antivirus détecte encore quelque chose.

    Ps : est-ce que ce pc est un pc d'origine sous Xp et mis à niveau vers Vista ? Où il était d'origine sous Vista ?
    m
    0
    l
    17 Septembre 2012 12:11:58

    Bonjour,

    Me revoici après beaucoup de temps pour cause de congés et de gros problèmes réseaux avec SFR. Mon problème réseau est à peu près résolu... mais vendredi en voulant mettre à jour un logiciel (lorsque j’étais sur google map), j'ai eu un nouveau virus qui m'empêche de faire quoi que ce soit: une page s'ouvre me disant que mon ordinateur est bloqué, que je dois payer une amende (voucher ukash) pour violation de droits, etc... Je tombe directement sur cette page.

    Du coup j'ai pas pu faire la manip' précédente. Par contre, pour répondre à ta question, mon pc est d'origine sous vista.

    Merci,

    C
    m
    0
    l
    a c 614 8 Sécurité
    17 Septembre 2012 14:00:45

    Re-bonjour,

    Voilà ce qui arrive quand vous ne finissez pas une désinfection et que vous utilisez un pc pas à jour ...
    Même cause que le précédent, et rebelote.


    Alors maintenant soyons clair : soit on termine la désinfection et pendant ce temps le pc n'est pas utiliser autrement que pour le nettoyer, donc seulement pour venir ici, soit je ne continu pas ...

    Dis-moi si tu acceptes ceci ou non.
    m
    0
    l
    17 Septembre 2012 16:53:14

    Alors :
    1. je m'excuse,
    2. j'accepte ces conditions.

    C
    m
    0
    l
    19 Septembre 2012 11:04:47

    Alors, oui j'ai réussi à démarrer le pc en mode sans echec. Par contre, dans le tuto il est question de choisir entre son compte usuel et celui de l'administrateur: je n'ai pas eu ce choix, je suis tombé directement sur mon compte usuel, je pense.

    C
    m
    0
    l
    a c 614 8 Sécurité
    19 Septembre 2012 11:45:17

    Re,

    Pas grave pour le compte, à suivre :

    Note : si tu peux lancer le mode sans échec avec prise en charge réseau et que le pc est connecté via un cable ethernet, tu peux télécharger et suivre ce sujet sur le pc en question.
    Sinon, télécharge les outils sur un pc connecté, puis transfère via clé usb, je te conseille de copier le script pour l'outil dans un fichier texte et le transférer de la même manière. Tu feras inversement pour les rapports à me transmettre.


    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    a c 614 8 Sécurité
    20 Septembre 2012 11:43:34

    Re,

    Normal pour le extra.txt on avait déjà lancé OTL sur ce pc, il ne le crée que la première fois par défaut.

    On y va :

    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE - HKLM\..\URLSearchHook: {249d74a3-bd19-4657-b6ce-e62f480a20de} - C:\Program Files\IncrediMail_MediaBar_Francais_2\prxtbIncr.dll (Conduit Ltd.)
    IE - HKU\S-1-5-21-3036318043-123126374-923895953-1000\..\URLSearchHook: {249d74a3-bd19-4657-b6ce-e62f480a20de} - C:\Program Files\IncrediMail_MediaBar_Francais_2\prxtbIncr.dll (Conduit Ltd.)
    O2 - BHO: (IncrediMail MediaBar Francais 2 Toolbar) - {249d74a3-bd19-4657-b6ce-e62f480a20de} - C:\Program Files\IncrediMail_MediaBar_Francais_2\prxtbIncr.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (IncrediMail MediaBar Francais 2 Toolbar) - {249d74a3-bd19-4657-b6ce-e62f480a20de} - C:\Program Files\IncrediMail_MediaBar_Francais_2\prxtbIncr.dll (Conduit Ltd.)
    O3 - HKU\S-1-5-21-3036318043-123126374-923895953-1000\..\Toolbar\WebBrowser: (IncrediMail MediaBar Francais 2 Toolbar) - {249D74A3-BD19-4657-B6CE-E62F480A20DE} - C:\Program Files\IncrediMail_MediaBar_Francais_2\prxtbIncr.dll (Conduit Ltd.)
    O4 - HKU\S-1-5-21-3036318043-123126374-923895953-1000..\Run: [verclsid] C:\Users\EYBENS\AppData\Local\Microsoft\Windows\2643\verclsid.exe ()
    [2012/09/06 21:15:12 | 000,000,000 | ---D | C] -- C:\Program Files\Conduit
    [2012/09/06 21:15:07 | 000,000,000 | ---D | C] -- C:\Program Files\IncrediMail_MediaBar_Francais_2
    [2012/09/06 21:15:19 | 000,000,009 | ---- | M] () -- C:\END

    :Files
    C:\Users\EYBENS\AppData\Local\Microsoft\Windows\2643

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    A partir de ce redémarrage, tu dois pouvoir lancer normalement le pc, confirme-moi que c'est le cas

    Si c'est bon fais ceci :

    2) Télécharge RogueKiller (de Tigzy) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis le bouton Scan en haut à droite.
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré sur le bureau : RKreport.txt)
    m
    0
    l
    a c 614 8 Sécurité
    20 Septembre 2012 21:37:37

    Re,

    Ok, il faudra maintenant faire la procédure que tu n'avais pas faite la dernière fois s'il te plait :
    http://www.infos-du-net.com/forum/id-2141757/virus-root...

    Citation :
    Pour info, je réponds à ce mail du pc en question mais je suis en wifi. Dis moi si c'est ok comme ça ou pas.

    Tant que tu navigues pas sur Internet autre part qu'ici pas de souci ;) 

    Dis-moi quand tu as terminé avec la suppression de la partition.

    :jap: 
    m
    0
    l
    20 Septembre 2012 22:00:24

    C'est bon, c'est fait .
    m
    0
    l
    a c 614 8 Sécurité
    21 Septembre 2012 10:48:43

    Re,

    Ok, un dernier scan pour la route, et une vérif, puis si tout est bon, on terminera ensuite.

    1) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"


    2) Télécharge Farbar Service Scanner (de Farbar) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    m
    0
    l
    21 Septembre 2012 22:59:14

    Salut,

    J'ai mis à jour la base de definition de l'anti malware sans pb. Par contre, après quand je choisis "Exécuter un examen complet" puis "Rechercher" et que je sélectionne les disques durs (ce sont lesquels d'ailleurs... entre C, D, E, F, Q??), je clique sur "Rechercher" et là j'ai le message suivant : "Selectionnez une ou plusieurs options dans l'onglet Paramètres d'examen (examen: mémoire, registre, système de fichiers ou objets heuristiques). PROGRAM_ERROR_NO_ITEMS_SELECTED (0,0).

    Merci !

    C
    m
    0
    l
    a c 614 8 Sécurité
    22 Septembre 2012 14:35:49

    Re,

    Ben tu en as toute une ribambelle de partition/disque donc oui, tous :
    Citation :
    %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
    Drive C: | 137,26 Gb Total Space | 50,82 Gb Free Space | 37,03% Space Free | Partition Type: NTFS
    Drive D: | 149,05 Gb Total Space | 148,67 Gb Free Space | 99,74% Space Free | Partition Type: NTFS
    Drive E: | 11,79 Gb Total Space | 2,11 Gb Free Space | 17,86% Space Free | Partition Type: NTFS
    Drive G: | 1,84 Gb Total Space | 1,12 Gb Free Space | 60,50% Space Free | Partition Type: FAT
    Drive H: | 7,84 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS


    Au moins C, D, et E qui sont les disques fixe du pc semble-t-il.

    Ensuite tu sélectionnes tous les éléments à rechercher (normalement par défaut ils auraient dû être coché ...)

    :jap: 
    m
    0
    l
    23 Septembre 2012 12:39:26

    Alors le Malware a finalement detecté 9 - 10 éléments. Je les ai supprimés (après avoir redemarré le pc, comme cela était demandé), par contre dans Rapport/Logs, je n'ai rien trouvé...Y a peut etre un truc que j'ai pas capté ?

    Pour FSS, le rapport est ici : http://pjjoint.malekal.com/files.php?id=20120923_h8f14s...

    m
    0
    l
    a c 614 8 Sécurité
    23 Septembre 2012 14:33:55

    Re,

    Non ce n'est pas normal, tu dois avoir le ou les rapports de suppression dans l'onglet "Rapport/log"
    Regarde bien :

    m
    0
    l
    23 Septembre 2012 16:33:46

    Bah non j'ai rien...
    m
    0
    l
    a c 614 8 Sécurité
    23 Septembre 2012 17:04:40

    Re,

    Et dans l'onglet quarantaine, y'a quelque chose ?

    Si tu relances une recherche, il ne détecte plus rien ?
    m
    0
    l
    23 Septembre 2012 19:22:38

    Alors, dans l'onglet quarantaine y'avait rien non plus.

    J'ai relancé une deuxième recherche : il a détecté 2 éléments que j'ai supprimés, mais je n'ai toujours pas eu de rapport.

    Je l'ai lancé une troisième fois (j'espère que ce n'est pas un pb..) en cochant dans paramètres généraux les 2 derniers items (sauvegarder rapport et afficher rapport). Cette fois, il n'a pas détecté de nouveaux éléments et j'ai bien eu un rapport. Le voici :

    Malwarebytes Anti-Malware 1.65.0.1400
    www.malwarebytes.org

    Version de la base de données: v2012.09.23.02

    Windows Vista Service Pack 2 x86 NTFS
    Internet Explorer 9.0.8112.16421
    EYBENS :: CAROLINE [administrateur]

    23/09/2012 17:49:43
    mbam-log-2012-09-23 (17-49-43).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|F:\|Q:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 396568
    Temps écoulé: 1 heure(s), 27 minute(s), 43 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    m
    0
    l
    a c 614 8 Sécurité
    23 Septembre 2012 19:32:35

    Re,

    Ouais enfin chez toi Malwarebyte's avait décidé de pas faire comme chez tous les autres quoi ... il avait désactiver les options pour le rapport et les quarantaines, ce qui absolument anormal ... enfin bref ...

    As-tu encore des symptômes, des alertes ou tout autre problème sur le pc ?

    Si c'est bon, on passera au nettoyage et la conclusion.
    m
    0
    l
    23 Septembre 2012 19:48:46

    Je n'ai plus de symptômes ni d'alertes (rootkit...) comme j'avais avant.
    m
    0
    l

    Meilleure solution

    a c 614 8 Sécurité
    23 Septembre 2012 22:46:16

    Très bien, on fini alors :

    1) Désinstallation de Combofix :

    Clique sur "Démarrer" -> "exécuter" (si non présent : "Tous les programmes" -> "accessoires")
    Tape exactement ceci :
    Citation :
    Combofix.exe /Uninstall


    Laisse l'outil travailler, il se supprimera automatiquement.


    2) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour auparavant. Sinon désinstalle-le dans ta liste des programmes.

    Supprime manuellement :
    - MBRScan (et ses rapports)
    - AswMbr


    3) Mise à jour du système et des logiciels :

    /!\ Cette étape est très importante, tu as été infecté car des logiciels/plugins n'étaient pas à jour sur ce pc !

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Java(TM) 6 Update 26

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : 8.1.2

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
    (pense à ne pas accepter les offres comme McAfee security scan ou Chrome)

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    -------------------


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    partage
    26 Septembre 2012 21:26:46

    Et bien merci beaucoup pour ton aide et ta patience, et bonne continuation à toi.

    C/
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS