Se connecter / S'enregistrer
Votre question
Fermé

Virus UKash "votre ordinateur a été bloqué. Payer 100€"

Tags :
  • Virus
  • Ordinateur
  • Sécurité
Dernière réponse : dans Sécurité et virus
10 Octobre 2012 09:25:46

Bonjour,

Alors que j'étais sur Internet, mon ordinateur a affiché une page de "la gendarmerie nationale", me disant que mon ordinateur a été bloqué pour avoir visité des sites interdits.

Après des recherches, je m'aperçois qu'il s'agirait du virus Ukash.

Ne sachant pas comment faire pour le supprimer, j'en appel à vos connaissances afin de m'aider à pouvoir réutiliser mon ordinateur ..

Merci d'avance !

P.S. Mon ordinateur ne veut pas démarrer en "mode sans échec avec prise en charge réseau" mais j'ai réussi à accéder au bureau sur un autre compte utilisateur .. Car sur le mien, le message de blocage par le virus me permet de ne rien faire ...

Autres pages sur : virus ukash ordinateur bloque payer 100e

a c 548 8 Sécurité
10 Octobre 2012 19:16:59

Bonsoir,

Nous allons regarder cela, à faire donc sur la session accessible :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Score
    0
    10 Octobre 2012 22:15:06

    hyunkel30 a dit :
    Bonsoir,

    Nous allons regarder cela, à faire donc sur la session accessible :

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau


  • Merci pour votre réponse.

    Voici les rapports :

    http://security-x.fr/up/file.php?h=Ra05a3c41bc43758677b...

    http://security-x.fr/up/file.php?h=R36ad9ed520605ac6680...

    Merci à vous.
    Score
    0
    Contenus similaires
    a c 548 8 Sécurité
    10 Octobre 2012 22:40:22

    Re,

    Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.
    Tu as aussi contracté le rootkit Zeroaccess avec l'infection, ce qui ne va pas facilité la tâche.


    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
    [2010/05/13 14:48:36 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
    [2010/09/15 22:50:13 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
    [2010/11/02 09:49:20 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
    [2011/06/13 22:47:06 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
    O3 - HKU\S-1-5-21-1194005503-1296836545-315636210-1009\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    O4 - HKLM..\Run: [snp2uvc] C:\WINDOWS\System32\csnp2uvc.dll ( )
    O4 - HKU\S-1-5-21-1194005503-1296836545-315636210-1009..\Run: [agpjmvgxqkpntqg] C:\WINDOWS\agpjmvgx.exe ()
    [2012/10/10 09:07:13 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\fdvhykaxqdgcamb
    [5 C:\Documents and Settings\JAMIL DEZARNAULDS\Bureau\*.tmp files -> C:\Documents and Settings\JAMIL\Bureau\*.tmp -> ]
    [28 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [2012/10/10 09:07:12 | 000,082,858 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\eprerzskmkdxzfn
    [2012/10/10 09:07:04 | 000,108,544 | ---- | M] () -- C:\WINDOWS\agpjmvgx.exe
    [2012/10/10 09:07:04 | 000,108,544 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\agpjmvgx.exe
    [2012/10/10 09:07:04 | 000,108,544 | ---- | M] () -- C:\Documents and Settings\JAMIL\0.07422859074934762.exe
    [2010/12/09 17:15:19 | 000,002,048 | -HS- | M] () -- C:\WINDOWS\Installer\{00764482-ddbe-42d3-e732-93a2ca5f0026}\@
    [2010/12/09 17:15:19 | 000,000,000 | -HSD | M] -- C:\WINDOWS\Installer\{00764482-ddbe-42d3-e732-93a2ca5f0026}\L
    [2012/09/16 16:42:25 | 000,000,000 | -HSD | M] -- C:\WINDOWS\Installer\{00764482-ddbe-42d3-e732-93a2ca5f0026}\U
    [2012/09/07 09:00:19 | 000,001,792 | ---- | M] () -- C:\WINDOWS\Installer\{00764482-ddbe-42d3-e732-93a2ca5f0026}\U\00000001.@
    [2012/07/18 15:29:17 | 000,013,312 | ---- | M] () -- C:\WINDOWS\Installer\{00764482-ddbe-42d3-e732-93a2ca5f0026}\U\80000000.@
    [2012/09/16 16:42:25 | 000,020,992 | ---- | M] () -- C:\WINDOWS\Installer\{00764482-ddbe-42d3-e732-93a2ca5f0026}\U\800000cb.@
    [2010/12/09 17:15:19 | 000,002,048 | -HS- | M] () -- C:\Documents and Settings\SABRINA\Local Settings\Application Data\{00764482-ddbe-42d3-e732-93a2ca5f0026}\@
    [2010/12/09 17:15:19 | 000,048,640 | -HS- | M] () -- C:\Documents and Settings\SABRINA\Local Settings\Application Data\{00764482-ddbe-42d3-e732-93a2ca5f0026}\n
    [2010/12/09 17:15:19 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\SABRINA\Local Settings\Application Data\{00764482-ddbe-42d3-e732-93a2ca5f0026}\L
    [2010/12/09 17:15:19 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\SABRINA\Local Settings\Application Data\{00764482-ddbe-42d3-e732-93a2ca5f0026}\U
    [2012/07/19 13:23:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\036DFF42920C8C3100083CC07B07D329
    [2012/07/16 17:39:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\036DFF42D17A93D500083CC07B07D329
    [2012/10/10 09:07:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\fdvhykaxqdgcamb

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    à partir de ce moment là tu pourras normalement redémarrer sur l'autre session, sinon, dis-le moi. Poursuis alors :

    2) Télécharge RogueKiller (de Tigzy) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis le bouton Scan en haut à droite.
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré sur le bureau : RKreport.txt)
    Score
    0
    12 Octobre 2012 20:11:40


    Merci beaucoup pour ta réponse. Oui, j'ai réussi à accéder à l'autre session.
    Voici les rapports :

    http://security-x.fr/up/file.php?h=Rf060a65d5a52bff6c39...

    Et voici le 2ème :

    ¤¤¤ Entrees de registre: 2 ¤¤¤
    [ZeroAccess] HKCR\[...]\InprocServer32 : (\\.\globalroot\systemroot\Installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\n.) -> REPLACED (c:\windows\system32\wbem\wbemess.dll)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] n : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\n --> REMOVED
    [ZeroAccess][FILE] @ : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\@ --> REMOVED AT REBOOT
    [Del.Parent][FILE] 00000001.@ : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\U\00000001.@ --> REMOVED
    [Del.Parent][FILE] 80000000.@ : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\U\80000000.@ --> REMOVED
    [Del.Parent][FILE] 800000cb.@ : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\U\800000cb.@ --> REMOVED
    [ZeroAccess][FOLDER] U : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\U --> REMOVED
    [ZeroAccess][FILE] n : c:\documents and settings\tigzy\local settings\application data\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\n --> REMOVED
    [ZeroAccess][FILE] @ : c:\documents and settings\tigzy\local settings\application data\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\@ --> REMOVED

    ¤¤¤ Driver: [CHARGE] ¤¤¤
    SSDT[98] : NtLoadKey @ 0x8061C482 -> HOOKED (Unknown @ 0xF8CD30E2)
    SSDT[122] : NtOpenProcess @ 0x805C1296 -> HOOKED (Unknown @ 0xF8CD30B0)
    SSDT[128] : NtOpenThread @ 0x805C1522 -> HOOKED (Unknown @ 0xF8CD30B5)
    SSDT[193] : NtReplaceKey @ 0x8061C332 -> HOOKED (Unknown @ 0xF8CD30EC)
    SSDT[204] : NtRestoreKey @ 0x8061BC3E -> HOOKED (Unknown @ 0xF8CD30E7)

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    [...]

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 189868
    Temps écoulé: 7 minute(s), 1 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 1
    HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\INPROCSERVER32 (Trojan.Zaccess) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 1
    HKCU\SOFTWARE\CLASSES\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Données: C:\Documents and Settings\tigzy\Local Settings\Application Data\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\n. -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 5
    C:\Documents and Settings\tigzy\Bureau\LogicielsDesinfection\HideProc(v1.0)\HideProcDrv.sys (Rootkit.Agent) -> Aucune action effectuée.
    C:\Documents and Settings\tigzy\Bureau\RK_Quarantine\00000001.@.vir (Trojan.Small) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\tigzy\Bureau\RK_Quarantine\80000000.@.vir (Trojan.Sirefef) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\tigzy\Bureau\RK_Quarantine\800000cb.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\tigzy\Bureau\RK_Quarantine\n.vir (Trojan.Dropper.PE4) -> Mis en quarantaine et supprimé avec succès.

    (fin)

    Avant de quitter RogueKiller, est-ce que je dois Cliquer sur "Supression" ?
    Score
    0
    a c 548 8 Sécurité
    12 Octobre 2012 21:46:43

    Re,

    Tu m'as collé le rapport d'exemple du site de support roguekiller et non le rapport de scan obtenu par l'outil !

    Selon son résultat on passera à la suppression, mais je veux le voir avant ;) 

    Donc reposte-moi le rapport de scan cette fois-ci s'il te plait, il est sur ton bureau normalement :
    RKreport.txt
    Score
    0
    13 Octobre 2012 11:11:46

    hyunkel30 a dit :
    Re,

    Tu m'as collé le rapport d'exemple du site de support roguekiller et non le rapport de scan obtenu par l'outil !

    Selon son résultat on passera à la suppression, mais je veux le voir avant ;) 

    Donc reposte-moi le rapport de scan cette fois-ci s'il te plait, il est sur ton bureau normalement :
    RKreport.txt


    Re,

    Ah exact. Désolé ..
    Mais le rapport n'étant pas sur mon bureau, j'ai cliqué sur "rapport" en bas à droite.
    Le voici :

    RogueKiller V8.1.1 [03/10/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Website: http://www.sur-la-toile.com/RogueKiller/
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur : *********** [Droits d'admin]
    Mode : Recherche -- Date : 12/10/2012 20:02:28

    ¤¤¤ Processus malicieux : 1 ¤¤¤

    ¤¤¤ Entrees de registre : 4 ¤¤¤
    [HJ SMENU] HKLM\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
    [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (\\.\globalroot\systemroot\Installer\{00764482-ddbe-42d3-e732-93a2ca5f0026}\n.) -> TROUVÉ
    [HJ INPROC][ZeroAccess] HKLM\[...]\InprocServer32 : (\\.\globalroot\systemroot\Installer\{00764482-ddbe-42d3-e732-93a2ca5f0026}\n.) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xA036F23C)
    SSDT[41] : NtCreateKey @ 0x80578ABE -> HOOKED (Unknown @ 0xA036F1F6)
    SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xA036F246)
    SSDT[53] : NtCreateThread @ 0x805860C0 -> HOOKED (Unknown @ 0xA036F1EC)
    SSDT[63] : NtDeleteKey @ 0x8059A5CD -> HOOKED (Unknown @ 0xA036F1FB)
    SSDT[65] : NtDeleteValueKey @ 0x805991EC -> HOOKED (Unknown @ 0xA036F205)
    SSDT[68] : NtDuplicateObject @ 0x8057DDAF -> HOOKED (Unknown @ 0xA036F237)
    SSDT[98] : NtLoadKey @ 0x805D608D -> HOOKED (Unknown @ 0xA036F20A)
    SSDT[122] : NtOpenProcess @ 0x8057BB80 -> HOOKED (Unknown @ 0xA036F1D8)
    SSDT[128] : NtOpenThread @ 0x80596A0F -> HOOKED (Unknown @ 0xA036F1DD)
    SSDT[193] : NtReplaceKey @ 0x806570B6 -> HOOKED (Unknown @ 0xA036F214)
    SSDT[204] : NtRestoreKey @ 0x80656C4D -> HOOKED (Unknown @ 0xA036F20F)
    SSDT[213] : NtSetContextThread @ 0x8063629D -> HOOKED (Unknown @ 0xA036F24B)
    SSDT[247] : NtSetValueKey @ 0x8057B4EF -> HOOKED (Unknown @ 0xA036F200)
    SSDT[257] : NtTerminateProcess @ 0x8058E6B9 -> HOOKED (Unknown @ 0xA036F1E7)
    S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xA036F250)
    S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xA036F255)

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\WINDOWS\system32\drivers\etc\hosts

    127.0.0.1 localhost


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] 894473a82679637712834e88cded4518
    [BSP] c8d22bc61589b21893ccf3ee0cec9abb : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 63 | Size: 10244 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20981760 | Size: 142381 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt



    Score
    0
    a c 548 8 Sécurité
    13 Octobre 2012 18:56:35

    Re,

    On passe à la suppression alors :

    Relance RogueKiller :
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis le bouton Suppression en haut à droite.
    (Note : si le bouton est grisé, lance d'abord un scan pour qu'il devienne actif)
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré sur le bureau : RKreport.txt)
    Score
    0
    13 Octobre 2012 21:39:11

    Voici le rapport :

    RogueKiller V8.1.1 [03/10/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Website: http://www.sur-la-toile.com/RogueKiller/
    Blog: http://tigzyrk.blogspot.com
    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur : ************* [Droits d'admin]
    Mode : Suppression -- Date : 13/10/2012 21:26:10
    ¤¤¤ Processus malicieux : 0 ¤¤¤
    ¤¤¤ Entrees de registre : 3 ¤¤¤
    [HJ SMENU] HKLM\[...]\Advanced : Start_ShowRecentDocs (0) -> REMPLACÉ (1)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
    [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (\\.\globalroot\systemroot\Installer\{00764482-ddbe-42d3-e732-93a2ca5f0026}\n.) -> REMPLACÉ (C:\WINDOWS\system32\wbem\wbemess.dll)
    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    ¤¤¤ Driver : [CHARGE] ¤¤¤
    SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xA036F23C)
    SSDT[41] : NtCreateKey @ 0x80578ABE -> HOOKED (Unknown @ 0xA036F1F6)
    SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xA036F246)
    SSDT[53] : NtCreateThread @ 0x805860C0 -> HOOKED (Unknown @ 0xA036F1EC)
    SSDT[63] : NtDeleteKey @ 0x8059A5CD -> HOOKED (Unknown @ 0xA036F1FB)
    SSDT[65] : NtDeleteValueKey @ 0x805991EC -> HOOKED (Unknown @ 0xA036F205)
    SSDT[68] : NtDuplicateObject @ 0x8057DDAF -> HOOKED (Unknown @ 0xA036F237)
    SSDT[98] : NtLoadKey @ 0x805D608D -> HOOKED (Unknown @ 0xA036F20A)
    SSDT[122] : NtOpenProcess @ 0x8057BB80 -> HOOKED (Unknown @ 0xA036F1D8)
    SSDT[128] : NtOpenThread @ 0x80596A0F -> HOOKED (Unknown @ 0xA036F1DD)
    SSDT[193] : NtReplaceKey @ 0x806570B6 -> HOOKED (Unknown @ 0xA036F214)
    SSDT[204] : NtRestoreKey @ 0x80656C4D -> HOOKED (Unknown @ 0xA036F20F)
    SSDT[213] : NtSetContextThread @ 0x8063629D -> HOOKED (Unknown @ 0xA036F24B)
    SSDT[247] : NtSetValueKey @ 0x8057B4EF -> HOOKED (Unknown @ 0xA036F200)
    SSDT[257] : NtTerminateProcess @ 0x8058E6B9 -> HOOKED (Unknown @ 0xA036F1E7)
    S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xA036F250)
    S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xA036F255)
    ¤¤¤ Infection : ZeroAccess ¤¤¤
    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\WINDOWS\system32\drivers\etc\hosts
    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤
    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] 894473a82679637712834e88cded4518
    [BSP] c8d22bc61589b21893ccf3ee0cec9abb : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 63 | Size: 10244 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20981760 | Size: 142381 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!
    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

    Merci :) 
    Score
    0
    a c 548 8 Sécurité
    13 Octobre 2012 22:30:09

    Re,

    Bien, on continu :

    1) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"


    2) Télécharge Farbar Service Scanner (de Farbar) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    Score
    0
    14 Octobre 2012 14:28:08

    VOICI LE 1ER RAPPORT :

    Malwarebytes Anti-Malware (Essai) 1.65.0.1400
    www.malwarebytes.org

    Version de la base de données: v2012.10.13.09

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    **************** :: JAMES [administrateur]

    Protection: Activé

    14/10/2012 10:11:32
    mbam-log-2012-10-14 (10-11-32).txt

    Type d'examen: Examen complet (C:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 317490
    Temps écoulé: 4 heure(s), 2 minute(s), 53 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 1
    C:\Documents and Settings\*****************\Menu Démarrer\Programmes\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> Mis en quarantaine et supprimé avec succès.

    Fichier(s) détecté(s): 8
    C:\Documents and Settings\All Users\Application Data\036DFF42D17A93D500083CC07B07D329\036DFF42D17A93D500083CC07B07D329.exe (Trojan.Lameshield) -> Mis en quarantaine et supprimé avec succès.
    C:\_OTL\MovedFiles\10122012_193612\C_Documents and Settings\All Users\Application Data\agpjmvgx.exe (Trojan.ExploitDrop) -> Mis en quarantaine et supprimé avec succès.
    C:\_OTL\MovedFiles\10122012_193612\C_Documents and Settings\***************\0.07422859074934762.exe (Trojan.ExploitDrop) -> Mis en quarantaine et supprimé avec succès.
    C:\_OTL\MovedFiles\10122012_193612\C_Documents and Settings\****************\Local Settings\Application Data\{00764482-ddbe-42d3-e732-93a2ca5f0026}\n (Trojan.Sirefef) -> Mis en quarantaine et supprimé avec succès.
    C:\_OTL\MovedFiles\10122012_193612\C_WINDOWS\agpjmvgx.exe (Trojan.ExploitDrop) -> Mis en quarantaine et supprimé avec succès.
    C:\_OTL\MovedFiles\10122012_193612\C_WINDOWS\Installer\{00764482-ddbe-42d3-e732-93a2ca5f0026}\U\80000000.@ (Trojan.Small) -> Mis en quarantaine et supprimé avec succès.
    C:\_OTL\MovedFiles\10122012_193612\C_WINDOWS\Installer\{00764482-ddbe-42d3-e732-93a2ca5f0026}\U\800000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\***************\Menu Démarrer\Programmes\Live Security Platinum\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Mis en quarantaine et supprimé avec succès.

    (fin)



    VOICI LE SECOND RAPPORT :

    Farbar Service Scanner Version: 07-10-2012
    Ran by *********** (administrator) on 14-10-2012 at 14:24:11
    Running from "C:\Documents and Settings\**************\Bureau"
    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    Boot Mode: Normal
    ****************************************************************

    Internet Services:
    ============

    Connection Status:
    ==============
    Localhost is accessible.
    LAN connected.
    Google IP is accessible.
    Google.com is accessible.
    Yahoo IP is accessible.
    Yahoo.com is accessible.


    Windows Firewall:
    =============
    sharedaccess Service is not running. Checking service configuration:
    Checking Start type: ATTENTION!=====> Unable to retrieve start type of sharedaccess. The value does not exist.
    Checking ImagePath: ATTENTION!=====> Unable to retrieve ImagePath of sharedaccess. The value does not exist.
    Unable to retrieve ServiceDll of sharedaccess. The value does not exist.


    Firewall Disabled Policy:
    ==================


    System Restore:
    ============

    System Restore Disabled Policy:
    ========================


    Security Center:
    ============
    wscsvc Service is not running. Checking service configuration:
    Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
    Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
    Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.


    Windows Update:
    ============
    wuauserv Service is not running. Checking service configuration:
    Checking Start type: ATTENTION!=====> Unable to open wuauserv registry key. The service key does not exist.
    Checking ImagePath: ATTENTION!=====> Unable to open wuauserv registry key. The service key does not exist.
    Checking ServiceDll: ATTENTION!=====> Unable to open wuauserv registry key. The service key does not exist.

    BITS Service is not running. Checking service configuration:
    Checking Start type: ATTENTION!=====> Unable to open BITS registry key. The service key does not exist.
    Checking ImagePath: ATTENTION!=====> Unable to open BITS registry key. The service key does not exist.
    Checking ServiceDll: ATTENTION!=====> Unable to open BITS registry key. The service key does not exist.


    Windows Autoupdate Disabled Policy:
    ============================


    File Check:
    ========
    C:\WINDOWS\system32\dhcpcsvc.dll => MD5 is legit
    C:\WINDOWS\system32\Drivers\afd.sys => MD5 is legit
    C:\WINDOWS\system32\Drivers\netbt.sys => MD5 is legit
    C:\WINDOWS\system32\Drivers\tcpip.sys => MD5 is legit
    C:\WINDOWS\system32\Drivers\ipsec.sys => MD5 is legit
    C:\WINDOWS\system32\dnsrslvr.dll
    [2009-12-02 20:14] - [2009-04-20 19:18] - 0045568 ____A (Microsoft Corporation) 1A1E59377FB6CACD711CC5073C4A7D79

    C:\WINDOWS\system32\ipnathlp.dll
    [2009-12-02 20:14] - [2008-04-14 14:00] - 0332800 ____A (Microsoft Corporation) F4CE708A7D17A625DE6C0FD746D50E88

    C:\WINDOWS\system32\netman.dll
    [2009-12-02 20:14] - [2008-04-14 14:00] - 0198144 ____A (Microsoft Corporation) BE0CB143FA427D93440DED18DB8C918B

    C:\WINDOWS\system32\wbem\WMIsvc.dll
    [2009-12-03 00:31] - [2008-04-14 14:00] - 0145408 ____A (Microsoft Corporation) 5E9DEAE9980FF34BCD6DDE2E9E2BF911

    C:\WINDOWS\system32\srsvc.dll
    [2009-12-03 00:32] - [2008-04-14 14:00] - 0171520 ____A (Microsoft Corporation) 6ED29124A1C83BD0CF6B26BD01CA6F6F

    C:\WINDOWS\system32\Drivers\sr.sys
    [2009-12-03 00:32] - [2008-04-14 14:00] - 0073600 ____A (Microsoft Corporation) 39626E6DC1FB39434EC40C42722B660A

    C:\WINDOWS\system32\wscsvc.dll
    [2009-12-02 20:15] - [2008-04-14 14:00] - 0080896 ____A (Microsoft Corporation) C1FD85DB4A80A98D60ECB7A828E77FE0

    C:\WINDOWS\system32\wbem\WMIsvc.dll
    [2009-12-03 00:31] - [2008-04-14 14:00] - 0145408 ____A (Microsoft Corporation) 5E9DEAE9980FF34BCD6DDE2E9E2BF911

    C:\WINDOWS\system32\wuauserv.dll
    [2009-12-03 00:32] - [2008-04-14 14:00] - 0006656 ____A (Microsoft Corporation) 75D6C5C3D2C93B1F9931E5DFB693AE2A

    C:\WINDOWS\system32\qmgr.dll
    [2009-12-03 00:32] - [2008-04-14 14:00] - 0409088 ____A (Microsoft Corporation) BAA0B6E647C1AD593E9BAE5CC31BCFFB

    C:\WINDOWS\system32\es.dll
    [2009-12-02 20:14] - [2008-07-07 22:28] - 0253952 ____A (Microsoft Corporation) EC16AE9B37EACF871629227A3F3913FD

    C:\WINDOWS\system32\cryptsvc.dll
    [2009-12-02 20:14] - [2008-04-14 14:00] - 0062464 ____A (Microsoft Corporation) 7A6D0B71035E123FDDA2156A25578AD3

    C:\WINDOWS\system32\svchost.exe
    [2009-12-02 20:15] - [2008-04-14 14:00] - 0014336 ____A (Microsoft Corporation) E4BDF223CD75478BF44567B4D5C2634D

    C:\WINDOWS\system32\rpcss.dll
    [2009-12-02 20:14] - [2009-02-09 12:53] - 0401408 ____A (Microsoft Corporation) 0203B1AAD358F206CB0A3C1F93CCE17A

    C:\WINDOWS\system32\services.exe
    [2009-12-02 20:14] - [2009-02-09 13:23] - 0111104 ____A (Microsoft Corporation) C3FB1D70CB88722267949694BA51759E


    Extra List:
    =======
    Gpc(6) IPSec(4) NetBT(5) PSched(7) Tcpip(3)
    0x0700000004000000010000000200000003000000050000000600000007000000
    IpSec Tag value is correct.

    **** End of log ****


    P.S. Est-ce normal que mon Antivirus se désactive tout seul lors du démarrage de l'ordinateur ? Pour info, j'ai Antivir ..

    Merci encore pour ton aide depuis le début
    Score
    0
    a c 548 8 Sécurité
    14 Octobre 2012 14:59:11

    Re,

    :o  Tu t'es réinfecté !!!

    Merci d'arrêter l'utilisation de ce pc sur le net durant la procédure, il est vulnérable car non à jour, alors pas de surf sur le net sauf pour venir ici, pas de streaming, etc !!!!

    Je dois recommencer la procédure maintenant ... :pfff: 

    Relance OTL :
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, seul le rapport OTL.Txt s'ouvrira cette fois.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Score
    0
    a c 548 8 Sécurité
    14 Octobre 2012 22:27:50

    Re,

    Toi peut-être mais n'y a-t-il pas d'autres utilisateur ?
    Tu ne serais pas allé sur des sites de streaming ?
    Enfin, bref, on va finir, essaye d'utiliser au minimum ce pc en attendant.


    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    [2012/07/19 13:23:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\036DFF42920C8C3100083CC07B07D329
    [2012/10/14 14:17:50 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\036DFF42D17A93D500083CC07B07D329
    [2010/02/14 20:01:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Norton
    [2009/12/03 03:35:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\NortonInstaller
    [2010/02/14 19:56:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Symantec


    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    2) Télécharge Windows Repair (de Tweaking.com) sur ton bureau.

  • Double-Clic dessus pour l'installer puis lance-le.

  • Va directement à l'onglet "step 3"

  • Clique sur le bouton Do It, et laisse le scan s'effectuer.
    Note : sous XP un cd original pourrait être demandé, si tu ne le possèdes pas, annule l'opération, et passe à la suite

  • Ferme le programme et redémarre le PC

  • Relance l'outil et va cette fois-ci sur l'onglet Start Repairs (à la fin)
  • Clique sur le bouton"Start"
  • Dans la fenêtre suivante, coche exactement ces options :


  • Clique enfin sur "Start" en bas à droite.
  • Redémarre le pc s'il ne le fait pas automatiquement.


    3) Relance FSS :

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    Score
    0
    14 Octobre 2012 22:49:46

    Quand je clique sur Correction, l'ordinateur se bloque .. Ça reste figé. Seule la souris peut bouger. Meme l'horloge reste figée .. (J'ai essayé l'operation plusieurs fois ...)

    Que faire ?'
    Score
    0
    14 Octobre 2012 23:15:36

    Il ne veut pas démarrer en Mode sans échec ...
    Et mon antivirus vient de trouver un logiciel malveillant ...
    Je crois que je suis beaucoup infecté ...
    Score
    0
    a c 548 8 Sécurité
    14 Octobre 2012 23:19:57

    Re,

    Pourquoi à présent il ne démarrerais plus en mode sans échec alors qu'avant oui ?
    Qu'est-ce qu'il se passe lorsque tu tentes de démarrer en mode sans échec ?

    Citation :
    Et mon antivirus vient de trouver un logiciel malveillant ...
    Je crois que je suis beaucoup infecté ...


    Non pas plus que cela ... il restait que deux dossiers.

    Il détecte quoi et où Antivir ? Donne-moi le rapport
    Score
    0
    15 Octobre 2012 00:07:57

    VOICI LE RAPPORT :

    Avira AntiVir Personal
    Date de création du fichier de rapport : dimanche 14 octobre 2012 23:12

    La recherche porte sur 4345527 souches de virus.

    Le programme fonctionne en version intégrale illimitée.
    Les services en ligne sont disponibles.

    Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
    Numéro de série : 0000149996-ADJIE-0000001
    Plateforme : Windows XP
    Version de Windows : (Service Pack 3) [5.1.2600]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur : JAMES

    Informations de version :
    BUILD.DAT : 10.2.0.155 36070 Bytes 25/01/2012 13:28:00
    AVSCAN.EXE : 10.3.0.7 484008 Bytes 01/09/2011 11:22:35
    AVSCAN.DLL : 10.0.5.0 56680 Bytes 01/09/2011 11:22:34
    LUKE.DLL : 10.3.0.5 45416 Bytes 01/09/2011 11:22:35
    LUKERES.DLL : 10.0.0.0 13672 Bytes 17/08/2010 12:39:11
    AVSCPLR.DLL : 10.3.0.7 119656 Bytes 01/09/2011 11:22:36
    AVREG.DLL : 10.3.0.9 88833 Bytes 01/09/2011 11:22:36
    VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
    VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 18:15:39
    VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 19:44:09
    VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 19:08:20
    VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 07:25:27
    VBASE005.VDF : 7.11.34.116 4034048 Bytes 29/06/2012 19:49:27
    VBASE006.VDF : 7.11.41.250 4902400 Bytes 06/09/2012 07:01:54
    VBASE007.VDF : 7.11.45.207 2363904 Bytes 11/10/2012 19:16:22
    VBASE008.VDF : 7.11.45.208 2048 Bytes 11/10/2012 19:16:22
    VBASE009.VDF : 7.11.45.209 2048 Bytes 11/10/2012 19:16:23
    VBASE010.VDF : 7.11.45.210 2048 Bytes 11/10/2012 19:16:23
    VBASE011.VDF : 7.11.45.211 2048 Bytes 11/10/2012 19:16:23
    VBASE012.VDF : 7.11.45.212 2048 Bytes 11/10/2012 19:16:23
    VBASE013.VDF : 7.11.45.213 2048 Bytes 11/10/2012 19:16:23
    VBASE014.VDF : 7.11.45.214 2048 Bytes 11/10/2012 19:16:23
    VBASE015.VDF : 7.11.45.215 2048 Bytes 11/10/2012 19:16:23
    VBASE016.VDF : 7.11.45.216 2048 Bytes 11/10/2012 19:16:23
    VBASE017.VDF : 7.11.45.217 2048 Bytes 11/10/2012 19:16:23
    VBASE018.VDF : 7.11.45.218 2048 Bytes 11/10/2012 19:16:23
    VBASE019.VDF : 7.11.45.219 2048 Bytes 11/10/2012 19:16:23
    VBASE020.VDF : 7.11.45.220 2048 Bytes 11/10/2012 19:16:23
    VBASE021.VDF : 7.11.45.221 2048 Bytes 11/10/2012 19:16:24
    VBASE022.VDF : 7.11.45.222 2048 Bytes 11/10/2012 19:16:24
    VBASE023.VDF : 7.11.45.223 2048 Bytes 11/10/2012 19:16:24
    VBASE024.VDF : 7.11.45.224 2048 Bytes 11/10/2012 19:16:24
    VBASE025.VDF : 7.11.45.225 2048 Bytes 11/10/2012 19:16:24
    VBASE026.VDF : 7.11.45.226 2048 Bytes 11/10/2012 19:16:24
    VBASE027.VDF : 7.11.45.227 2048 Bytes 11/10/2012 19:16:24
    VBASE028.VDF : 7.11.45.228 2048 Bytes 11/10/2012 19:16:24
    VBASE029.VDF : 7.11.45.229 2048 Bytes 11/10/2012 19:16:24
    VBASE030.VDF : 7.11.45.230 2048 Bytes 11/10/2012 19:16:24
    VBASE031.VDF : 7.11.46.12 100352 Bytes 13/10/2012 19:16:25
    Version du moteur : 8.2.10.184
    AEVDF.DLL : 8.1.2.10 102772 Bytes 18/07/2012 13:32:22
    AESCRIPT.DLL : 8.1.4.60 463227 Bytes 06/10/2012 13:54:45
    AESCN.DLL : 8.1.9.2 131444 Bytes 26/09/2012 14:51:35
    AESBX.DLL : 8.2.5.12 606578 Bytes 17/06/2012 10:05:15
    AERDL.DLL : 8.1.9.15 639348 Bytes 17/09/2011 07:38:22
    AEPACK.DLL : 8.3.0.38 811382 Bytes 30/09/2012 09:54:42
    AEOFFICE.DLL : 8.1.2.48 201082 Bytes 24/09/2012 17:30:12
    AEHEUR.DLL : 8.1.4.118 5423480 Bytes 13/10/2012 19:16:40
    AEHELP.DLL : 8.1.25.2 258423 Bytes 13/10/2012 19:16:27
    AEGEN.DLL : 8.1.5.38 434548 Bytes 26/09/2012 14:51:34
    AEEXP.DLL : 8.2.0.6 115060 Bytes 13/10/2012 19:16:41
    AEEMU.DLL : 8.1.3.2 393587 Bytes 18/07/2012 13:32:09
    AECORE.DLL : 8.1.28.2 201079 Bytes 26/09/2012 14:51:33
    AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 21:01:00
    AVWINLL.DLL : 10.0.0.0 19304 Bytes 17/08/2010 12:38:56
    AVPREF.DLL : 10.0.3.2 44904 Bytes 01/09/2011 11:22:34
    AVREP.DLL : 10.0.0.10 174120 Bytes 17/05/2011 15:51:57
    AVARKT.DLL : 10.0.26.1 255336 Bytes 01/09/2011 11:22:33
    AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 01/09/2011 11:22:34
    SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:28:02
    AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 12:38:56
    NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:01
    RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 01/09/2011 11:22:32
    RCTEXT.DLL : 10.0.64.0 100712 Bytes 01/09/2011 11:22:32

    Configuration pour la recherche actuelle :
    Nom de la tâche...............................: avguard_async_scan
    Fichier de configuration......................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\AVGUARD_50b5d63e\guard_slideup.avp
    Documentation.................................: par défaut
    Action principale.............................: réparer
    Action secondaire.............................: quarantaine
    Recherche sur les secteurs d'amorçage maître..: marche
    Recherche sur les secteurs d'amorçage.........: arrêt
    Recherche dans les programmes actifs..........: marche
    Recherche en cours sur l'enregistrement.......: arrêt
    Recherche de Rootkits.........................: arrêt
    Contrôle d'intégrité de fichiers système......: arrêt
    Fichier mode de recherche.....................: Tous les fichiers
    Recherche sur les archives....................: marche
    Limiter la profondeur de récursivité..........: 20
    Archive Smart Extensions......................: marche
    Heuristique de macrovirus.....................: marche
    Heuristique fichier...........................: intégral

    Début de la recherche : dimanche 14 octobre 2012 23:12

    La recherche sur les processus démarrés commence :
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ONENOTEM.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'Athan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'NokiaMServer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'PLFSetI.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'PLFSetL.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'LManager.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'iaanotif.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mbamgui.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'Explorer.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'UpdaterService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mbamservice.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mbamscheduler.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'IAANTMon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'dsiwmis.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avshadow.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\System Volume Information\_restore{349AAD8A-C2EB-4D69-94A1-4765B827CEA8}\RP401\A0345118.exe'
    C:\System Volume Information\_restore{349AAD8A-C2EB-4D69-94A1-4765B827CEA8}\RP401\A0345118.exe
    [RESULTAT] Contient le cheval de Troie TR/Winwebsec.bamnx
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '53d88a78.qua' !


    Fin de la recherche : dimanche 14 octobre 2012 23:13
    Temps nécessaire: 00:12 Minute(s)

    La recherche a été effectuée intégralement

    0 Les répertoires ont été contrôlés
    51 Des fichiers ont été contrôlés
    1 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    1 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    0 Impossible de scanner des fichiers
    50 Fichiers non infectés
    0 Les archives ont été contrôlées
    0 Avertissements
    1 Consignes

    Score
    0
    a c 548 8 Sécurité
    15 Octobre 2012 09:35:16

    Re,

    C'est que dalle la détection, c'est dans un point de restauration système, donc ce n'est pas actif.

    Tu peux me répondre pour le mode sans échec s'il te plait ?
    Score
    0
    15 Octobre 2012 09:50:18

    Bonjour,

    Je t'avouerai que je ne sais pas si avant il démarrait en mode sans échec ou non, car c'est la 1ère fois que j'essaye de le démarrer en Mode sans échec.

    En tout cas, à chaque fois que je veux démarrer l'ordinateur selon cette opération (j'appui sur F8, j'ai le choix entre plusieurs commandes, je choisi "Mode sans échec"), l'ordinateur essaye donc de démarrer en Mode sans échec, mais c'est comme s'il en est empecher et il redémarre instantannément.
    Score
    0
    a c 548 8 Sécurité
    15 Octobre 2012 10:14:14

    Re,

    Ressaye OTL, mais désactive Antivir auparavant si cela n'avait pas été fait déjà (clic-droit sur l'icone parapluie -> décoche "Activer protection temps réel")

    Si pas mieux, on testera autrement.
    Score
    0
    15 Octobre 2012 10:29:05

    Le parapluie d'Antivir n'apparait pas en bas à droite.

    Comme je t'ai dit, lors du démarrage de l'ordinateur, le parapluie disparait et Windows m'alerte que : "avgnt.exe a rencontré un problème et doit fermé ..."

    J'ai tout de même réessayé la procédure avec OTL et l'ordinateur se bloque encore ...
    Score
    0
    a c 548 8 Sécurité
    15 Octobre 2012 11:18:47

    Re,

    Et pourtant il t'as détecté une menace ... alors ... il est actif d'une certaine manière
    Désinstalle antivir, on le réinstallera plus tard.

    Relance OTL après cela.

    Score
    0
    15 Octobre 2012 12:02:45

    J'ai désinstallé Antivir et réessayé la procédure avec OTL et même le mode sans échec ...
    Mais toujours les mêmes problèmes ... :( 
    Score
    0
    a c 548 8 Sécurité
    15 Octobre 2012 14:02:25

    Re,

    Télécharge Windows Repair (de Tweaking.com) sur ton bureau.

  • Double-Clic dessus pour l'installer puis lance-le.

  • Va directement à l'onglet Start Repairs (à la fin)
  • Clique sur le bouton"Start"
  • Accepte la création du point de restauration et sauvegarde registre
  • Dans la fenêtre suivante, coche l'option tout en bas :
    Repair Windows Safe Mode

  • Clique sur "Start" en bas à droite.
  • Redémarre le pc s'il ne le fait pas automatiquement.


    Regarde si tu peux redémarre en mode sans échec ensuite.
    Score
    0
    15 Octobre 2012 22:26:20

    J'ai suivi la procédure à la lettre ...

    Le mode sans échec demeure indisponible ... :( 
    Score
    0
    15 Octobre 2012 22:36:55

    Oui, C'est fait
    Score
    0
    a c 548 8 Sécurité
    15 Octobre 2012 23:04:53

    Re,

    Pour la suite, as-tu sous la main un cd original de windows xp ?
    Score
    0
    15 Octobre 2012 23:06:42

    Pas du tout.

    Et mon ordinateur est un notebook / pc portable sans endroit où mettre CD/DVD ...

    S'il n'y a vraiment aucune solution , laisse tomber ... Ce n'est pas grave ..
    Score
    0
    a c 548 8 Sécurité
    16 Octobre 2012 10:44:33

    Re,

    En soit, l'infection est supprimée.

    Mais nous avons le système qui est endommagée à cause d'elle, or, sous Vista et Windows 7, cela ne poserait pas trop de problème pour réparer, sous XP, c'est plus difficile.

    On peut tenter sans CD, mais il est possible que la réparation n'arrive pas au bout.
    Actuellement plusieurs services sont hors d'état, ceux pour les mises à jour et le parefeu notamment.

    à toi de me dire si tu veux tenter quand même ou si tu laisse réellement tomber.
    Score
    0
    17 Octobre 2012 12:10:09

    Re,

    Si certains services ainsi que les parefeu sont désactivés, je reste vulnérable aux attaques de virus, trojan etc .. ?

    Non bah je pense qu'on va laisser tomber .. Simplement, juste si tu peux me dire quoi installer pour mieux le protéger ? Juste l'antivirus ? D'autres programmes ?

    Je te remercie pour ton aide en tout cas.
    Score
    0
    a c 548 8 Sécurité
    17 Octobre 2012 15:38:09

    Re,

    Ton parefeu ainsi que les mises à jour sur ce pc sont désactivée actuellement.

    On peut tester de les réparer en sautant l'étape de vérification des fichiers système pour voir, qui sait ...

    1) Relance Windows Repair :

  • Relance l'outil et va cette fois-ci sur l'onglet Start Repairs (à la fin)
  • Clique sur le bouton"Start"
  • Accepte la création d'un point de restauration et la sauvegarde du registre
  • Dans la fenêtre suivante, coche exactement ces options :


  • Clique enfin sur "Start" en bas à droite.
  • Redémarre le pc s'il ne le fait pas automatiquement.


    2) Relance FSS :

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    Score
    0
    17 Octobre 2012 21:46:15

    Farbar Service Scanner Version: 07-10-2012
    Ran by ************** (administrator) on 17-10-2012 at 21:41:58
    Running from "C:\Documents and Settings\**************\Bureau"
    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    Boot Mode: Normal
    ****************************************************************

    Internet Services:
    ============

    Connection Status:
    ==============
    Localhost is accessible.
    LAN connected.
    Attempt to access Google IP returned error: Google IP is offline
    Google.com is accessible.
    Yahoo IP is accessible.
    Yahoo.com is accessible.


    Windows Firewall:
    =============

    Firewall Disabled Policy:
    ==================


    System Restore:
    ============

    System Restore Disabled Policy:
    ========================


    Security Center:
    ============

    Windows Update:
    ============

    Windows Autoupdate Disabled Policy:
    ============================


    File Check:
    ========
    C:\WINDOWS\system32\dhcpcsvc.dll => MD5 is legit
    C:\WINDOWS\system32\Drivers\afd.sys => MD5 is legit
    C:\WINDOWS\system32\Drivers\netbt.sys => MD5 is legit
    C:\WINDOWS\system32\Drivers\tcpip.sys => MD5 is legit
    C:\WINDOWS\system32\Drivers\ipsec.sys => MD5 is legit
    C:\WINDOWS\system32\dnsrslvr.dll
    [2009-12-02 20:14] - [2009-04-20 19:18] - 0045568 ____A (Microsoft Corporation) 1A1E59377FB6CACD711CC5073C4A7D79

    C:\WINDOWS\system32\ipnathlp.dll
    [2009-12-02 20:14] - [2008-04-14 14:00] - 0332800 ____A (Microsoft Corporation) F4CE708A7D17A625DE6C0FD746D50E88

    C:\WINDOWS\system32\netman.dll
    [2009-12-02 20:14] - [2008-04-14 14:00] - 0198144 ____A (Microsoft Corporation) BE0CB143FA427D93440DED18DB8C918B

    C:\WINDOWS\system32\wbem\WMIsvc.dll
    [2009-12-03 00:31] - [2008-04-14 14:00] - 0145408 ____A (Microsoft Corporation) 5E9DEAE9980FF34BCD6DDE2E9E2BF911

    C:\WINDOWS\system32\srsvc.dll
    [2009-12-03 00:32] - [2008-04-14 14:00] - 0171520 ____A (Microsoft Corporation) 6ED29124A1C83BD0CF6B26BD01CA6F6F

    C:\WINDOWS\system32\Drivers\sr.sys
    [2009-12-03 00:32] - [2008-04-14 14:00] - 0073600 ____A (Microsoft Corporation) 39626E6DC1FB39434EC40C42722B660A

    C:\WINDOWS\system32\wscsvc.dll
    [2009-12-02 20:15] - [2008-04-14 14:00] - 0080896 ____A (Microsoft Corporation) C1FD85DB4A80A98D60ECB7A828E77FE0

    C:\WINDOWS\system32\wbem\WMIsvc.dll
    [2009-12-03 00:31] - [2008-04-14 14:00] - 0145408 ____A (Microsoft Corporation) 5E9DEAE9980FF34BCD6DDE2E9E2BF911

    C:\WINDOWS\system32\wuauserv.dll
    [2009-12-03 00:32] - [2008-04-14 14:00] - 0006656 ____A (Microsoft Corporation) 75D6C5C3D2C93B1F9931E5DFB693AE2A

    C:\WINDOWS\system32\qmgr.dll
    [2009-12-03 00:32] - [2008-04-14 14:00] - 0409088 ____A (Microsoft Corporation) BAA0B6E647C1AD593E9BAE5CC31BCFFB

    C:\WINDOWS\system32\es.dll
    [2009-12-02 20:14] - [2008-07-07 22:28] - 0253952 ____A (Microsoft Corporation) EC16AE9B37EACF871629227A3F3913FD

    C:\WINDOWS\system32\cryptsvc.dll
    [2009-12-02 20:14] - [2008-04-14 14:00] - 0062464 ____A (Microsoft Corporation) 7A6D0B71035E123FDDA2156A25578AD3

    C:\WINDOWS\system32\svchost.exe
    [2009-12-02 20:15] - [2008-04-14 14:00] - 0014336 ____A (Microsoft Corporation) E4BDF223CD75478BF44567B4D5C2634D

    C:\WINDOWS\system32\rpcss.dll
    [2009-12-02 20:14] - [2009-02-09 12:53] - 0401408 ____A (Microsoft Corporation) 0203B1AAD358F206CB0A3C1F93CCE17A

    C:\WINDOWS\system32\services.exe
    [2009-12-02 20:14] - [2009-02-09 13:23] - 0111104 ____A (Microsoft Corporation) C3FB1D70CB88722267949694BA51759E


    Extra List:
    =======
    Gpc(6) IPSec(4) NetBT(5) PSched(7) Tcpip(3)
    0x0700000004000000010000000200000003000000050000000600000007000000
    IpSec Tag value is correct.

    **** End of log ****
    Score
    0
    17 Octobre 2012 22:59:04

    J'y ai bel et bien accès et installé Windows Update.

    D'ailleurs, les mises à jour automatiques sont activées apparemment.
    L'outil est d'ores-et-déjà en recherche des dernières mises à jour ..

    Voilà.
    Score
    0

    Meilleure solution

    a c 548 8 Sécurité
    17 Octobre 2012 23:08:10

    Re,

    Très bien, on va laisser les mises à jour terminer de se faire, puis on passe au nettoyage des outils et la conclusion :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Supprime manuellement Windows Repair

    ---------

    2) Mise à jour du système et des logiciels :

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Java(TM) 6 Update 35

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Adobe Reader 9.5.2 MUI

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
    (pense à ne pas accepter les offres comme McAfee security scan ou Chrome)

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.

    -----------------

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Installer un parefeu en remplacement de celui de Windows XP :
    Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm ou Comodo par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    partage
    18 Octobre 2012 00:19:01

    J'ai réinstallé Antivir.
    Je t'ai envoyé un message privé.

    Merci pour ton aide
    Score
    0
    8 Novembre 2012 23:07:57

    hyunkel30 a dit :
    Bonsoir,

    Nous allons regarder cela, à faire donc sur la session accessible :

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau


  • Un grand merci voici le lien:
    http://security-x.fr/up/file.php?h=R1e4a6bbdfecd089b2b3...
    Score
    0
    a c 548 8 Sécurité
    8 Novembre 2012 23:57:28

    Bonsoir,

    Vous souhaitez une prise en charge ?
    Merci de créer votre propre sujet !
    Un seul sujet par utilisateur et infection.

    Je ferme ici.
    Score
    0
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS