Se connecter / S'enregistrer
Votre question

Problème de virus!!!

Tags :
  • Windows defender
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
18 Juillet 2012 04:11:03

Bonjour, j'ai beaucoup de difficulter depuis quelque mois avec mon ordi. je n'arrivais plus a mettre a jour le pare feux windows. par la suite j'en nest installé un autre qui a fini par faire la même chose. et même chose pour mon anti virus et windows défender et la dèrnière mise a jour windows n'a pas fonctionné non plus. en plus quand j'ai voulus aller prendre mes mails, mon compte est suspendus. aparament quelqu'un a envoyé un grand nombre de mail avec mon compte. sa va pas bien comme on dit.

Autres pages sur : probleme virus

a c 940 8 Sécurité
18 Juillet 2012 07:28:10

Bonjour,

Nous allons regarder ça ensemble et commencer par établir un 1er diagnostic avec cet outil, suis bien les instructions indiquées :

OTL :

  • Télécharge OTL de Old_Timer et enregistre le sur le Bureau
  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Vérifie que les cases Tous les utilisateurs, Recherche Lop et Recherche Purity soient cochées
  • Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
    netsvcs
    msconfig
    activex
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\Tasks\*.* /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    nslookup http://www.google.fr /c
    CREATERESTOREPOINT

  • Clique ensuite sur Analyse et patiente le temps du scan

  • A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
  • Les rapports étant trop longs pour le forum, héberge-les sur pjjoint.fr et indique les liens fournis dans ta réponse.
    Les rapports sont sauvegardés sur le Bureau.


  • @+
    a c 940 8 Sécurité
    18 Juillet 2012 23:41:13

    Bonjour,

    Merci pour les rapports.

    Pour ta messagerie, il faut que tu changes tes mots de passe, depuis un autre PC.

    Tu as beaucoup de logiciels optimiseurs/nettoyeurs de registre qui font plus de mal que de bien sur un système.
    Il n'y a rien de mieux pour mettre à mal Windows 7.

    ---------------------------------------------------------------------------------------------

    Désinstalle via Panneau de configuration -> Programmes et fonctionnalités (si présents) :

    • Spybot - Search & Destroy (obsolète, utilise une technologie dépassée)
    • Iminent (adware)
    • PCBoost et son Keygen
    • ZHPDiag ('version obsolète)


  • ----------------------------------------------------------------------------------------------

    OTL :

    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne OTL)
      :OTL
      IE - HKLM\..\URLSearchHook: {90d46c30-9f25-4104-aea9-35c3f84477ff} - C:\Program Files (x86)\mipony-plugin\prxtbmip0.dll (Conduit Ltd.)
      IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2465030
      IE - HKU\S-1-5-21-365135338-2628186692-2104424595-1001\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://feed.snap.do/?publisher=SnapdoGOblidoo&dpid=SnapdoGOblidoo&co=CA&userid=d4c7a5e6-6a71-40de-a9fb-25bf8bfba590&searchtype=ds&q={searchTerms}
      IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2465030
      IE - HKU\S-1-5-21-365135338-2628186692-2104424595-1001\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.snap.do/?publisher=SnapdoGOblidoo&dpid=SnapdoGOblidoo&co=CA&userid=d4c7a5e6-6a71-40de-a9fb-25bf8bfba590&searchtype=ds&q={searchTerms}
      IE - HKU\S-1-5-21-365135338-2628186692-2104424595-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=17425&tt=140612_dpl&babsrc=SP_def&mntrId=54bb418000000000000000251146d135
      IE - HKU\S-1-5-21-365135338-2628186692-2104424595-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2465030
      FF - prefs.js..browser.search.defaultenginename: "SearchMyWeb"
      FF - prefs.js..browser.search.selectedEngine: "SearchMyWeb"
      FF - user.js..browser.search.defaultenginename: "SearchMyWeb"
      FF - user.js..browser.search.selectedEngine: "SearchMyWeb"
      File not found (No name found) -- C:\USERS\JEAN SéBASTIEN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\H8RBR2RV.DEFAULT\EXTENSIONS\{33E0DAA6-3AF3-D8B5-6752-10E949C61516}
      FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\webbooster@iminent.com: C:\Program Files (x86)\Iminent\webbooster@iminent.com [2012-07-17 16:42:09 | 000,000,000 | ---D | M]
      [2012-07-03 11:24:50 | 000,000,000 | ---D | M] (Complitly - Speed up your search with your personal search suggestions tool) -- C:\Users\Jean Sébastien\AppData\Roaming\mozilla\Firefox\Profiles\h8rbr2rv.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516}
      O2 - BHO: (mipony-plugin Toolbar) - {90d46c30-9f25-4104-aea9-35c3f84477ff} - C:\Program Files (x86)\mipony-plugin\prxtbmip0.dll (Conduit Ltd.)
      O2 - BHO: (IMinent WebBooster (BHO)) - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} - C:\Program Files (x86)\Iminent\Iminent.WebBooster.InternetExplorer.dll (Iminent)
      O3 - HKLM\..\Toolbar: (mipony-plugin Toolbar) - {90d46c30-9f25-4104-aea9-35c3f84477ff} - C:\Program Files (x86)\mipony-plugin\prxtbmip0.dll (Conduit Ltd.)
      O3 - HKU\S-1-5-21-365135338-2628186692-2104424595-1001\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
      O3 - HKU\S-1-5-21-365135338-2628186692-2104424595-1001\..\Toolbar\WebBrowser: (mipony-plugin Toolbar) - {90D46C30-9F25-4104-AEA9-35C3F84477FF} - C:\Program Files (x86)\mipony-plugin\prxtbmip0.dll (Conduit Ltd.)
      O4 - HKLM..\Run: [Iminent] C:\Program Files (x86)\Iminent\Iminent.exe (Iminent)
      O4 - HKLM..\Run: [IminentMessenger] C:\Program Files (x86)\Iminent\Iminent.Messengers.exe (Iminent)
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
      [2012-07-17 16:42:26 | 000,000,000 | ---D | C] -- C:\ProgramData\Iminent
      [2012-07-17 16:42:18 | 000,000,000 | ---D | C] -- C:\Users\Jean Sébastien\AppData\Roaming\Iminent
      [2012-07-17 16:42:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Iminent
      [2012-07-16 18:29:00 | 000,000,000 | ---D | C] -- C:\Users\Jean Sébastien\Desktop\pcboost keygen
      [2012-07-11 14:08:03 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Iminent
      [1 C:\Windows\SysNative\*.tmp files -> C:\Windows\SysNative\*.tmp -> ]
      [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
      [2012-03-15 19:03:28 | 005,877,632 | ---- | M] (Uniblue Systems Ltd ) -- C:\Users\Jean Sébastien\AppData\Roaming\OpenCandy\91B43CC9B93E49EBBEFB7826B1A4291E\driverscannerwin7.exe
      @Alternate Data Stream - 84 bytes -> C:\Windows\system.ini:c1_encryption_e
      @Alternate Data Stream - 146 bytes -> C:\ProgramData\TEMP:DFC5A2B2
      @Alternate Data Stream - 14 bytes -> C:\Windows\system.ini:c1_encryption_d
      @Alternate Data Stream - 132 bytes -> C:\ProgramData\TEMP:553CA6CA
      @Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:430C6D84
      @Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:183A9046

      :files
      ipconfig /flushdns /c

      :Commands
      [EMPTYTEMP]
      [RESETHOSTS]
      [CREATERESTOREPOINT]

    • Colle l'intégralité du script dans le cadre Personnalisation
    • Clique ensuite sur le bouton Correction

    • L'outil lance la suppression, ne pas l'interrompre
    • Si l'outil te demande de redémarrer le PC, tu acceptes
    • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
      les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ---------------------------------------------------------------------------------------------

    TDSSKiller :

    • Télécharge TDSSKiller de Kaspersky et enregistre-le sur ton Bureau
    • Double-clique sur TDSSKiller.exe
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur Change parameters et coche dans Additionnal options les cases Verify driver digital signatures et Detect TDLFS file system. Valide par OK
    • Clique sur Start scan pour lancer l'analyse. Laisse travailler l'outil sans l'interrompre.
    • En fin d'analyse, si l'outil a trouvé des éléments suspects ou malicieux, vérifie que :
      • Si TDSS.tdl2 est détecté, l'option delete soit cochée par défaut
      • Si TDSS.tdl3 est détecté, l'option Cure soit bien cochée
      • Si TDSS.tdl4 (mbr) est détecté, l'option Cure soit bien cochée
      • Si Suspicious file est indiqué, l'option Skip soit cochée
        Si un fichier de ce type C:\windows\123456789:987654321.exe (c:\windows\chiffres aléatoires:chiffres aléatoires.exe), l'option doit être sur Delete

    • Clique ensuite sur Continue, puis clique sur Reboot computer
    • Au redémarrage, poste le rapport TDSSKiller.Version_Date_Heure_log.txt dans ta réponse sur le forum
      Le rapport TDSSKiller.Version_Date_Heure_log.txt est enregistré sous C:\TDSSKiller.Version_Date_Heure_log.txt


  • ----------------------------------------------------------------------------------------------

    AdwCleaner - Suppression :

    • Sur cette page, télécharge AdwCleaner de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
      Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
    • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
    • A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner(S).txt


  • Tutoriel d'utilisation AdwCleaner en images

    ---------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    • C:\_OTL\MovedFiles\********_******.log
    • TDSSKiller.Version_Date_Heure_log.txt
    • AdwCleaner(S).txt


  • @+

    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS