Votre question

Besoin d'aide: Infection par Win32/Pacex.Gen virus

Tags :
  • Internet explorer 8
  • Sécurité
Dernière réponse : dans Sécurité et virus
26 Février 2010 18:23:32

Bonjour à tous !

Je sollicite l'aide de personnes compétentes pour éliminer cette sale bête qui infecte mon PC -lequel est à jour et anti-vérolé par Eset Smart Security-

J'ai déjà passé MAM pour vérifier mes partitions, fait un scan Eset qui me détecte Pacex et Win32/PSW.OnLineGames.NNU

Bien entendu, j'ai aucun moyen de virer ce vilain trojan qui me fatigue les nerfs...

Je vous serais infiniment reconnaissant si vous pouviez m'aider à désinfecter ma bécane...

Autres pages sur : besoin aide infection win32 pacex gen virus

26 Février 2010 19:23:09

Hello,


on va s'occuper de cela ...


poste le rapport de Malwarebytes que tu as obtenu ( il se trouve ici > dans l'onglet "rapport/log"de Malwarebytes', le dernier en date)



/!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================



    Fais ce qui suit afin d'afoir un diagnostique précis de la situation :


    1- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> http://telechargement.zebulon.fr/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

  • Lance ZHPDiag depuis le raccourci du bureau .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec le tournevis ) :

    une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ...

  • Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...
    Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

    ( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag)


    Puis ferme le programme ...


    > rends toi ensuite sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


    ====================


    2- Lance de nouveau ZHPDiag ,

    !! déconnecte toi et ferme toutes tes applications en cours !!

  • Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

    tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.


    Laisse travailler l'outil et ne touche à rien ( cela peut-être relativement long ) .


  • Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...
    Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

    > Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...


    27 Février 2010 17:34:20

    Je te remercie pour ta célérité, et suis désolé de n'avoir pu poster le rapport MAM avant (boulot boulot boulot...).

    Voilà:

    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3800
    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    27/02/2010 17:29:15
    mbam-log-2010-02-27 (17-29-15).txt

    Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|)
    Eléments examinés: 231748
    Temps écoulé: 33 minute(s), 22 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)


    Je vais faire l'étape ZHPDiag, et je te tiens au courant dès que possible.
    Contenus similaires
    27 Février 2010 18:33:05

    Je tiens à te préciser -et je suis peut-être à blamer, si ça a déclenché une connerie de ton point de vue- qu'avant de solliciter votre aide, j'ai parcouru divers forums en cherchant comment me dépatouiller tout seul sans forcément quémander de l'aide...

    Ce qui fait que j'ai utilisé un utilitaire USBFix pour scanner mes clés usb et DDur externe, ainsi que Navilog' avant de revenir vers votre forum.

    De toute façon, c'est un secret de polichinelle puisque tu liras tout ça dans les logs que je te fais parvenir ^^'

    Si ça se trouve, les éléments qui étaient infectés sont déjà éliminés par ces deux étapes préliminaires, mais n'étant pas assez callé pour en juger, je me tourne vers tes compétences...

    Merci pour ton aide et ton indulgence...
    28 Février 2010 01:29:17

    Salut,

    Citation :
    Je tiens à te préciser -et je suis peut-être à blamer, si ça a déclenché une connerie de ton point de vue- qu'avant de solliciter votre aide, j'ai parcouru divers forums en cherchant comment me dépatouiller tout seul sans forcément quémander de l'aide...

    Ce qui fait que j'ai utilisé un utilitaire USBFix pour scanner mes clés usb et DDur externe, ainsi que Navilog' avant de revenir vers votre forum.



    > donc ton prb est plus ou moins réglé ! ... Pourquoi poster alors ? ... Tu as des disfonctionnements particuliers avec le PC après ça ? ....

    poste moi ces rapports stp histoire de contrôler > C:\cleannavi.txt et C:\UsbFix.txt .




    Puis fait ceci dans l'ordre :


    1- Rends toi sur ce site :

    http://www.virustotal.com/

    Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
    c:\windows\system32\FDlg.dll

    Clique sur Send File ( = " Envoyer le fichier " ).

    Un rapport va s'élaborer ligne à ligne.

    Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note .

    Copie le dans ta prochaine réponse ...

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

    petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...


    ================================

    2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/AD-R.ex...

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    • Au menu principal choisis l'option "S" et tape sur [entrée] .

    • le scan démarre , laisse travailler l'outil et ne touche à rien ...

    /!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )


    --> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
    (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
    Aides en images (Recherche) : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html


    1 Mars 2010 16:14:42

    Et voilà le rapport AD-R:

    .
    ======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 05.02.2010 à 17:34
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 16:06:54, 01/03/2010 | Mode Normal | Option: SCAN
    Exécuté de: C:\Ad-Remover\
    Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
    Nom du PC: -FABRO- | Utilisateur actuel: Fabro
    .
    ============== ÉLÉMENT(S) TROUVÉ(S) ==============
    .

    .
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{FE063DB9-4EC0-403E-8DD8-394C54984B2C}
    HKLM\Software\Classes\CLSID\{FE063DB1-4EC0-403e-8DD8-394C54984B2C}
    HKLM\Software\Classes\CLSID\{FE063DB9-4EC0-403e-8DD8-394C54984B2C}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FE063DB1-4EC0-403e-8DD8-394C54984B2C}
    .
    ============== Scan additionnel ==============
    .
    .
    * Mozilla FireFox Version 3.6 [fr] *
    .
    Nom du profil: 6kwqrf2n.default (Fabro)
    .
    (Fabro, prefs.js) Extensions.enabledItems, {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6
    .
    .
    * Internet Explorer Version 8.0.6001.18702 *
    .
    [HKEY_CURRENT_USER\..\Internet Explorer\Main]
    .
    Do404Search: 01000000
    Local Page: C:\WINDOWS\system32\blank.htm
    Show_ToolBar: yes
    Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Search Page: hxxp://www.google.com
    Enable Browser Extensions: yes
    Search Bar: hxxp://www.google.com/ie
    Use Search Asst: no
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Start Page: hxxp://fr.msn.com/
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    .
    ===================================
    .
    2078 Octet(s) - C:\Ad-Report-SCAN[1].log
    .
    432 Fichier(s) - C:\DOCUME~1\Fabro\LOCALS~1\Temp
    33 Fichier(s) - C:\WINDOWS\Temp
    59 Fichier(s) - C:\WINDOWS\Prefetch
    .
    2 Fichier(s) - C:\Ad-Remover\BACKUP
    0 Fichier(s) - C:\Ad-Remover\QUARANTINE
    .
    Fin à: 16:10:25 | 01/03/2010 - SCAN[1]
    .
    ============== E.O.F ==============
    .
    1 Mars 2010 16:39:40

    En fait je viens de refaire un scan ESET/NOD 32 sur mes partitions F: et G: , et il me détecte toujours Win32/PSW.OnLineGames.NWF dans les éléments du restore...


    Voici le Journal:

    Journal de l'analyse
    Version de la base des signatures de virus : 4905 (20100301)
    Date : 01/03/2010 Heure : 16:25:50
    Disques, dossiers et fichiers analysés : F:\Secteur d'amorçage;F:\;G:\Secteur d'amorçage;G:\
    F:\documents\Téléchargements\malwarebytes-anti-malware_malwarebytes_anti-malware_1.44_francais_215092.exe » INNO » file0006.bin » MIME - est OK (analyse interne non effectuée)
    F:\documents\Téléchargements\PreSonus_FireBox_Installation.exe » ZIP » setup.exe » NSIS - archive endommagée - le fichier n'a pas pu être extrait.
    F:\Programmes\pack music vst\Effects\Steinberg VST Voice Designer Plug-in v1.03.exe » ZIP » z-svd103.zip » ZIP » vd103.EXE » WISE » - mauvaise archive
    F:\Programmes\pack music vst\Effects\Steinberg VST Voice Designer Plug-in v1.03\vd103.EXE » WISE » - mauvaise archive
    F:\Programmes\pack music vst\Effects\Waves Masterbundle Multiband l2 Ultramizer Equalizer\WavesMBundle.EXE » WISE » LinMB.dll - archive endommagée
    F:\Programmes\pack music vst\Instruments\Arturia - Moog Modular.V.v1.1-OxYGeN\Setup.EXE » WISE » Moog Modular V.dll - archive endommagée
    F:\Programmes\pack music vst\Instruments\Linplug Albino Vsti v2.0.1 & Soundbanks\Rob Papen Soundbank.zip » ZIP » a-apado.rar » RAR » Setup.exe » WISE » file_00000003.bin - archive endommagée
    F:\Programmes\util\audacity-win-1.2.6.exe » INNO » file0001.bin » ZIP » audacity.hhp » MIME - est OK (analyse interne non effectuée)
    F:\Programmes\util\cdex_151.exe » NSIS - somme de contrôle CRC incorrecte, le fichier est peut-être endommagé
    F:\Programmes\util\nero 6.6.0.14\Nero-6.6.0.14.exe » RAR » Nero\CDI\CDI_VCD.CFG » MIME - est OK (analyse interne non effectuée)
    F:\Programmes\util\nero 6.6.0.14\Nero-6.6.0.14.exe » RAR » setup\Eula_esp.txt » MIME - est OK (analyse interne non effectuée)
    F:\Programmes\util\nero 6.6.0.14\Nero-6.6.0.14.exe » RAR » setup\Eula_fra.txt » MIME - est OK (analyse interne non effectuée)
    F:\Programmes\util\nero 6.6.0.14\Nero-6.6.0.14.exe » RAR » setup\Eula_ita.txt » MIME - est OK (analyse interne non effectuée)
    F:\Programmes\util\nero 6.6.0.14\Nero-6.6.0.14.exe » RAR » setup\Eula_ptg.txt » MIME - est OK (analyse interne non effectuée)
    F:\System Volume Information\_restore{4104E771-7980-46FA-A3CC-4CFE16C36EA2}\RP157\A0105535.exe - Win32/PSW.OnLineGames.NWF cheval de troie - nettoyé par suppression - mis en quarantaine [1]
    F:\System Volume Information\_restore{4104E771-7980-46FA-A3CC-4CFE16C36EA2}\RP157\A0105559.exe - Win32/PSW.OnLineGames.NWF cheval de troie - nettoyé par suppression - mis en quarantaine [1]
    F:\System Volume Information\_restore{4104E771-7980-46FA-A3CC-4CFE16C36EA2}\RP157\A0106551.exe - Win32/PSW.OnLineGames.NWF cheval de troie - nettoyé par suppression - mis en quarantaine [1]
    F:\System Volume Information\_restore{4104E771-7980-46FA-A3CC-4CFE16C36EA2}\RP157\A0106669.exe - Win32/PSW.OnLineGames.NWF cheval de troie - nettoyé par suppression - mis en quarantaine [1]
    F:\System Volume Information\_restore{4104E771-7980-46FA-A3CC-4CFE16C36EA2}\RP158\A0106685.exe - Win32/PSW.OnLineGames.NWF cheval de troie - nettoyé par suppression - mis en quarantaine [1]
    F:\System Volume Information\_restore{4104E771-7980-46FA-A3CC-4CFE16C36EA2}\RP159\A0106697.exe - Win32/PSW.OnLineGames.NWF cheval de troie - nettoyé par suppression - mis en quarantaine [1]
    F:\System Volume Information\_restore{4104E771-7980-46FA-A3CC-4CFE16C36EA2}\RP159\A0106752.exe - Win32/PSW.OnLineGames.NWF cheval de troie - nettoyé par suppression - mis en quarantaine [1]
    F:\System Volume Information\_restore{4104E771-7980-46FA-A3CC-4CFE16C36EA2}\RP159\A0107143.exe - Win32/PSW.OnLineGames.NWF cheval de troie - nettoyé par suppression - mis en quarantaine [1]
    F:\System Volume Information\_restore{4104E771-7980-46FA-A3CC-4CFE16C36EA2}\RP159\A0107195.exe - Win32/PSW.OnLineGames.NWF cheval de troie - nettoyé par suppression - mis en quarantaine [1]
    G:\System Volume Information\_restore{4104E771-7980-46FA-A3CC-4CFE16C36EA2}\RP157\A0106553.exe - Win32/PSW.OnLineGames.NWF cheval de troie - nettoyé par suppression - mis en quarantaine [1]
    G:\System Volume Information\_restore{4104E771-7980-46FA-A3CC-4CFE16C36EA2}\RP157\A0106671.exe - Win32/PSW.OnLineGames.NWF cheval de troie - nettoyé par suppression - mis en quarantaine [1]
    G:\System Volume Information\_restore{4104E771-7980-46FA-A3CC-4CFE16C36EA2}\RP158\A0106687.exe - Win32/PSW.OnLineGames.NWF cheval de troie - nettoyé par suppression - mis en quarantaine [1]
    G:\System Volume Information\_restore{4104E771-7980-46FA-A3CC-4CFE16C36EA2}\RP159\A0106699.exe - Win32/PSW.OnLineGames.NWF cheval de troie - nettoyé par suppression - mis en quarantaine [1]
    G:\System Volume Information\_restore{4104E771-7980-46FA-A3CC-4CFE16C36EA2}\RP159\A0106754.exe - Win32/PSW.OnLineGames.NWF cheval de troie - nettoyé par suppression - mis en quarantaine [1]
    G:\System Volume Information\_restore{4104E771-7980-46FA-A3CC-4CFE16C36EA2}\RP159\A0107145.exe - Win32/PSW.OnLineGames.NWF cheval de troie - nettoyé par suppression - mis en quarantaine [1]
    G:\System Volume Information\_restore{4104E771-7980-46FA-A3CC-4CFE16C36EA2}\RP159\A0107199.exe - Win32/PSW.OnLineGames.NWF cheval de troie - nettoyé par suppression - mis en quarantaine [1]
    Nombre d'objets analysés : 35162
    Nombre de menaces détectées : 16
    Nombre d'objets nettoyés : 16
    Heure d'achèvement : 16:33:13 Temps d'analyse total : 443 sec. (00:07:23)

    Notes :
    [1] L'objet a été supprimé car il ne contenait que le corps du virus.
    1 Mars 2010 17:28:49

    Re,


    Citation :
    En fait je viens de refaire un scan ESET/NOD 32 sur mes partitions F: et G: , et il me détecte toujours Win32/PSW.OnLineGames.NWF dans les éléments du restore...


    > c'est normal mais rien de grave ... le nettoyage n'a pas été fait à fond ... il faut purger la restauration systeme ( on le fera en temps voulu ).


    Tu n'as pas répondu à cette question :

    Citation :
    > donc ton prb est plus ou moins réglé ! ... Pourquoi poster alors ? ... Tu as des disfonctionnements particuliers avec le PC après ça ? ....





    Puis fait ceci dans l'ordre :


    1- Rends sur cette page :
    > http://chiquitine.changelog.fr/Sample/Upload.php

    * clique sur "parcourir" et va jusqu'au fichier C:\UsbFix_Upload_Me_-FABRO-.zip qui est donc à la racine de ton disque dur.

    * puis clique sur "envoyer le fichier" ... patiente le temps du transfère ...

    * Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_-FABRO-.zip


    merci d'avoir fait cette remonté qui permettra aux auteurs de l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant ... :) 


    ======================


    2- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !


    • Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    • Au menu principal choisis cette fois l'option "L" et tape sur [entrée] .

    • Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

    /!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )


    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


    ========================

    3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    1 Mars 2010 19:05:18

    J'ai l'impression que mon PC ne va pas si mal, je ne note pas de dysfonctionnements particuliers...Seulement je suis en train de nettoyer la bécane de mon pôte (ce PC est à lui), et comme je sais qu'il n'y connait pas grand chose et qu'il a eu tendance à installer n'importe quoi, de pas mettre XP à jour...Je préfère être sûr de la désinfection avant de lui rendre.

    Je n'aurais pas fait appel à vous si mes scans antivirus avaient été cleans, et surtout comme on se refille des fichiers régulièrement, j'ai pas envie de me faire infecter par ses clés usb et autres moyens vérolés discrètement...

    ->Bon, j'ai fait remonter le fichier à chiquitine...

    ->Je me lance dans l'étape AD-R puis ZHPDiag et je te ferai repasser les rapports dès que ceci sera fait...
    1 Mars 2010 19:08:30

    Re,

    Citation :
    ->Je me lance dans l'étape AD-R puis ZHPDiag et je te ferai repasser les rapports dès que ceci sera fait...



    Oki ... j'attends les rapports donc ... une fois le PC clean , on s'occupera de le mettre à jour etc .... ;) 
    1 Mars 2010 19:25:25

    Bienbienbien...Voilà le dernier rapport AD-R après l'option "Clean"

    .
    ======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 05.02.2010 à 17:34
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 19:08:16, 01/03/2010 | Mode Normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\
    Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
    Nom du PC: -FABRO- | Utilisateur actuel: Fabro
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .


    (!) -- Fichiers temporaires supprimés.

    .
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{FE063DB9-4EC0-403E-8DD8-394C54984B2C}
    HKLM\Software\Classes\CLSID\{FE063DB1-4EC0-403e-8DD8-394C54984B2C}
    HKLM\Software\Classes\CLSID\{FE063DB9-4EC0-403e-8DD8-394C54984B2C}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FE063DB1-4EC0-403e-8DD8-394C54984B2C}
    .
    ============== Scan additionnel ==============
    .
    .
    * Mozilla FireFox Version 3.6 [fr] *
    .
    Nom du profil: 6kwqrf2n.default (Fabro)
    .
    (Fabro, prefs.js) Extensions.enabledItems, {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6
    .
    .
    * Internet Explorer Version 8.0.6001.18702 *
    .
    [HKEY_CURRENT_USER\..\Internet Explorer\Main]
    .
    Do404Search: 01000000
    Local Page: C:\WINDOWS\system32\blank.htm
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Enable Browser Extensions: yes
    Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Use Search Asst: no
    Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Start Page: hxxp://fr.msn.com/
    Search bar: hxxp://search.msn.com/spbasic.htm
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    .
    ===================================
    .
    2331 Octet(s) - C:\Ad-Report-CLEAN[1].log
    2414 Octet(s) - C:\Ad-Report-SCAN[1].log
    .
    102 Fichier(s) - C:\DOCUME~1\Fabro\LOCALS~1\Temp
    30 Fichier(s) - C:\WINDOWS\Temp
    9 Fichier(s) - C:\WINDOWS\Prefetch
    .
    19 Fichier(s) - C:\Ad-Remover\BACKUP
    0 Fichier(s) - C:\Ad-Remover\QUARANTINE
    .
    Fin à: 19:11:54 | 01/03/2010 - CLEAN[1]
    .
    ============== E.O.F ==============
    .



    Et voilà le dernier rapport de scan ZHPDiag:

    http://www.cijoint.fr/cjlink.php?file=cj201003/cijJ2tW3...
    1 Mars 2010 19:39:04

    Bien ...



    petite vérife côté Rootkit :


    Télécharge gmer sur le bureau et dézippe-le (clic droit et "extraire ici") :

    http://www.gmer.net/gmer.zip

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!

    * Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète pas et ignore l'alerte.
    * Clique sur l'onglet "rootkit", puis clique sur scan.
    * A la fin du scan, clique sur le bouton copy.
    * Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.

    > poste le contenu du rapport stp ...

    3 Mars 2010 09:41:07

    Hello,



    c'est propre ...


    fait ce qui suit dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :



    ( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


    1- Utilisation de l'outil ZHPFix :

    > Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert :

    !! ferme tes autres applications en cours !!


    A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

    > Là tu décoches la case devant ZHPDiag !


    > Enfin clique en bas sur "Nettoyer" .


    Laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

    -> Copie/colle le contenu de ce rapport pour analyse ...

    ( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt )

    Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage, fait le !



    B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ).

    Au message de confirmation , clique sur "Ok" .


    Puis ferme ZHPFix ...


    ======================================

    2- Télécharge et installe la dernière version de CCleaner :
    ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
    ou ici http://www.commentcamarche.net/telecharger/telecharger-...

    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    -choisis bien "français" en langue .
    -avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

    Un tuto ( aide ):
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.h...


    ---> Utilisation :
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    * va dans "nettoyeur" : fais -analyse- puis -nettoyage-
    * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )



    ======================================

    3- Télécharge et installe le logiciel HijackThis :

    ici http://www.trendsecure.com/portal/en-US/_download/HJTIn...
    ou ici http://www.commentcamarche.net/telecharger/telecharger-...

    > Clique sur le setup pour lancer l'installe :
    * laisse toi guider et ne modifie pas les paramètres d'installation .
    * A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .

    Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
    C:\program files\Trend Micro\HijackThis\HijackThis.exe .

    ( ne fais pas de scan pour le moment )


    ======================================

    4- Important :
    Purge de la restauration système
    *Désactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/ coche la case désactiver la restauration, appliquer, OK
    ---> Redémarre ton PC ...

    *Réactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/ décoche la case désactiver la restauration, appliquer, OK
    --->Redémarre ton PC ...

    ( Note : tu peux aussi y accéder via panneau de configuration->"systeme"->" restauration système " ).


    ======================================

    5- Fais ce scan en ligne pour vérifier :

    ( ne rien faire d'autre avec le PC durant le scan ! )

    Fais un scan en ligne avec " Panda " :

    > http://www.pandasecurity.com/homeusers/solutions/active...
    ( clique sur "scan your PC now" )

    tuto :
    http://www.malekal.com/scan_Av_en_ligne.php#mozTocId237...


    poste moi le rapport obtenu pour analyse ...
    3 Mars 2010 18:12:27

    vu,


    continue ... ;) 
    4 Mars 2010 21:41:30

    Bien ...



    c'est clean ... mais avant de finaliser, on va tout de même vérifier ce fichier sur VirusTotal :


    c:\program files\vstplugins\freealphainstaller.exe

    Poste moi le rapport obtenu ... ( je pense que c'est un FP; c'est un plugin de synthé > http://www.zikinf.com/logiciels/free-alpha-3,s243 , mais faut être sur qu'il soit clean )
    6 Mars 2010 17:15:18

    Re! Toutes mes excuses pour le délai de réponse, voilà le scan du fichier avec Virus Total:

    Fichier FreeAlphaInstaller.exe reçu le 2010.03.06 16:10:34 (UTC)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
    Résultat: 23/42 (54.77%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: ___.
    L'heure estimée de démarrage est entre ___ et ___ .
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Formaté
    Impression des résultats Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.50 2010.03.06 Riskware.AdWare.Win32.BHO!IK
    AhnLab-V3 5.0.0.2 2010.03.06 Win-Trojan/Eshoper.84992.B
    AntiVir 8.2.1.180 2010.03.05 -
    Antiy-AVL 2.0.3.7 2010.03.05 -
    Authentium 5.2.0.5 2010.03.06 W32/AdInstall.B.gen!Eldorado
    Avast 4.8.1351.0 2010.03.06 -
    Avast5 5.0.332.0 2010.03.06 -
    AVG 9.0.0.787 2010.03.06 -
    BitDefender 7.2 2010.03.06 -
    CAT-QuickHeal 10.00 2010.03.06 Trojan.Agent.bgmt
    ClamAV 0.96.0.0-git 2010.03.06 Adware.BHO-837
    Comodo 4091 2010.02.28 TrojWare.Win32.TrojanDropper.Agent.~TL
    DrWeb 5.0.1.12222 2010.03.06 -
    eSafe 7.0.17.0 2010.03.04 -
    eTrust-Vet 35.2.7342 2010.03.05 -
    F-Prot 4.5.1.85 2010.03.06 W32/AdInstall.B.gen!Eldorado
    F-Secure 9.0.15370.0 2010.03.06 Adware:W32/Eshoper.B
    Fortinet 4.0.14.0 2010.03.06 Misc/PUP
    GData 19 2010.03.06 -
    Ikarus T3.1.1.80.0 2010.03.06 not-a-virus:AdWare.Win32.BHO
    Jiangmin 13.0.900 2010.03.06 -
    K7AntiVirus 7.10.990 2010.03.04 not-a-virus:AdWare.Win32.EShoper.p
    Kaspersky 7.0.0.125 2010.03.06 -
    McAfee 5912 2010.03.06 potentially unwanted program Generic PUP
    McAfee+Artemis 5912 2010.03.06 potentially unwanted program Generic PUP
    McAfee-GW-Edition 6.8.5 2010.03.06 -
    Microsoft 1.5502 2010.03.06 -
    NOD32 4921 2010.03.06 -
    Norman 6.04.08 2010.03.06 Suspicious_Gen2.QWWR
    nProtect 2009.1.8.0 2010.03.06 Trojan/W32.Agent.575750
    Panda 10.0.2.2 2010.03.06 Trj/CI.A
    PCTools 7.0.3.5 2010.03.04 -
    Prevx 3.0 2010.03.06 High Risk Worm
    Rising 22.37.05.03 2010.03.06 Dropper.Win32.Agent.oaj
    Sophos 4.51.0 2010.03.06 -
    Sunbelt 5770 2010.03.06 AdWare.Win32.EShoper.p
    Symantec 20091.2.0.41 2010.03.06 Suspicious.ADH
    TheHacker 6.5.1.9.222 2010.03.06 Adware/BHO.ee
    TrendMicro 9.120.0.1004 2010.03.06 TROJ_Generic.DIT
    VBA32 3.12.12.2 2010.03.05 -
    ViRobot 2010.3.5.2214 2010.03.05 Trojan.Win32.Agent.83636
    VirusBuster 5.0.27.0 2010.03.05 -
    Information additionnelle
    File size: 575750 bytes
    MD5...: f9a9cf0cc13aa432c721ad4b1f96a184
    SHA1..: 56dc2355f8fc12266363e962243f808863e75b66
    SHA256: b40f7e5da73b759c59cdfb94fa24bce67b1319e8d88ef50f402e1d7ff498475c
    ssdeep: 12288:mjAGRPOQcQ5UlcdQjHbJj4H78Arzm+psRKMKe5khb:mmQc8Ul9PJUbH/2R
    KMKjt
    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x2ca90
    timedatestamp.....: 0x3fdf13e2 (Tue Dec 16 14:17:06 2003)
    machinetype.......: 0x14c (I386)

    ( 3 sections )
    name viradd virsiz rawdsiz ntrpy md5
    UPX0 0x1000 0x1a000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    UPX1 0x1b000 0x12000 0x11c00 7.92 8ee8c34e7905b0c12e831642e5121ae9
    .rsrc 0x2d000 0x3000 0x2c00 4.89 a528ccdfa44b046fbbd29c5924de726f

    ( 9 imports )
    > KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
    > ADVAPI32.dll: RegCloseKey
    > COMCTL32.dll: -
    > comdlg32.dll: GetOpenFileNameA
    > GDI32.dll: BitBlt
    > ole32.dll: CoGetMalloc
    > SHELL32.dll: DragFinish
    > USER32.dll: IsIconic
    > VERSION.dll: VerFindFileA

    ( 0 exports )
    RDS...: NSRL Reference Data Set
    -
    pdfid.: -
    trid..: UPX compressed Win32 Executable (39.5%)
    Win32 EXE Yoda's Crypter (34.3%)
    Win32 Executable Generic (11.0%)
    Win32 Dynamic Link Library (generic) (9.8%)
    Generic Win/DOS Executable (2.5%)
    packers (Kaspersky): UPX
    sigcheck:
    publisher....:
    copyright....:
    product......: LinPlug FreeAlpha Install Program
    description..:
    original name:
    internal name:
    file version.: 2, 0, 0, 21
    comments.....:
    signers......: -
    signing date.: -
    verified.....: Unsigned
    packers (F-Prot): UPX
    <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=3996C591...' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=3996C591...;/a>


    Comme tu le soupçonnais, ce fichier m'a tout l'air d'être un dropper de trojans...Saches que j'en ai pas besoin pour mon fonctionnement, donc je suis TOUT A FAIT disposé à le virer de mon DDur...
    6 Mars 2010 17:36:48

    re,


    belle salté se soit disant synthé free ... :p 



    fait ceci donc :


    Télécharge OTM (de Old_Timer) sur ton bureau :

    http://oldtimer.geekstogo.com/OTM.exe


    Double clique sur "OTM.exe" pour ouvrir le prg .

    Puis copie ce qui se trouve en citation ci-dessous,


    :Files
    d:\vstplugins\freealphainstaller.exe
    c:\program files\vstplugins\freealphainstaller.exe

    :Commands
    [purity]
    [emptytemp]
    [Reboot]



    et colle le dans le cadre de gauche de OTM (Paste Instructions for items to be moved ).
    Ne touche à rien d'autre !

    ! Déconnecte toi et ferme toutes tes applications en cours ( navigateurs compris ) !

    -> clique sur MoveIt! pour lancer le nettoyage .

    -> laisse travailler l'outil ...

    -> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

    Ton PC va redémarrer de lui même pour finir la suppression ...

    Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

    --> Poste le contenu du rapport qui se trouve dans le dossier " C:\_OTM\MovedFiles "
    ( c'est " xxxx2010_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

    6 Mars 2010 18:45:48

    Voila le rapport "OldTimer"...Précision: entre le moment où tu m'avais demandé d'analyser "freealphainstaller.exe" et le moment où j'ai effectué l'étape oldtimer, j'avais fait un tour dans le répertoire vstplugins pour y faire le ménage.

    Ce qui fait que le fichier correspondant au chemin [c:\program files\vstplugins\freealphainstaller.exe] n'a pas été vu par Oldtimer.

    J'espère ne pas avoir fait plus de mal que de bien en le supprimant par un "shift+suppr"...Mea Maxima Culpa :( 

    Bon, voilà le rapport old timer:

    All processes killed
    ========== FILES ==========
    d:\vstplugins\FreeAlphaInstaller.exe moved successfully.
    File/Folder c:\program files\vstplugins\freealphainstaller.exe not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Fabro
    ->Temp folder emptied: 69420786 bytes
    ->Temporary Internet Files folder emptied: 238638 bytes
    ->FireFox cache emptied: 60490176 bytes
    ->Flash cache emptied: 837 bytes

    User: LocalService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 2134506 bytes
    %systemroot%\System32 .tmp files removed: 3072 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 126,00 mb


    OTM by OldTimer - Version 3.1.10.0 log created on 03062010_183537

    Files moved on Reboot...

    Registry entries deleted on Reboot...


    6 Mars 2010 18:56:41

    très bien ....



    on finalise ... dans l'ordre :



    1- Mets à jour ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :

    Version Adobe Reader à jour > v 9.3.1

    -> désinstalle avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
    -> télécharge et installe la dernière version ici :
    http://www.infos-du-net.com/telecharger/Reader-Adobe,03...


    =========================

    2- Utilise Hijackthis ainsi :

    tuto pour utilisation :
    Regarde ici, c'est parfaitement expliqué en images (merci balltrap34),
    http://perso.orange.fr/rginformatique/section%20virus/d...
    ( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

    !! Déconnecte toi et ferme toutes tes applications en cours !!

    Clique sur le raccourci du bureau pour lancer le prg :
    fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

    ---> Poste le rapport généré pour analyse ...

    6 Mars 2010 19:31:30

    Adobe mis à jour, et voilà le rapport HijackThis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:28:39, on 06/03/2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\ESET\ESET Smart Security\egui.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Creative\Software Update 3\SoftAuto.exe
    C:\Program Files\PreSonus\1394AudioDriver_FIREBox\FireBox.exe
    C:\Program Files\Creative\Shared Files\CTDevSrv.exe
    C:\Program Files\ESET\ESET Smart Security\ekrn.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
    O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SoftAuto.exe] "C:\Program Files\Creative\Software Update 3\SoftAuto.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: FireBox Control Panel.lnk = C:\Program Files\PreSonus\1394AudioDriver_FIREBox\FireBox.exe
    O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe
    O23 - Service: Creative Centrale Media Server (CTUPnPSv) - Creative Technology Ltd - C:\Program Files\Creative\Creative Centrale\CTUPnPSv.exe
    O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
    O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

    --
    End of file - 4229 bytes
    6 Mars 2010 21:44:54

    Impec ...


    suite et FIN dans l'ordre :


    1- Ferme toutes tes applications ( navigateur compris ) et déconnecte toi .

    Relance Hijackthis mais clique sur " Do a scan only "
    Tu vois donc apparaitre le résultat du scan : une multitudes de lignes, chacunes précédées d'un carré vide .
    Tu vas cliquer sur les carrés des lignes suivantes :


    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')




    Tu cliques en bas sur le bouton FIX CHECKED et valides .



    =======================

    2- Télécharge ToolsCleaner (de A.Rothstein) sur ton bureau .
    http://pc-system.fr/TC/ToolsCleaner2.exe

    ! Déconnecte toi et ferme bien toutes tes applications en cours !

    Double-clique sur le prg pour le lancer.

  • Clique sur Recherche et laisse le scan se terminer (cela peut être long).
  • Clique sur Suppression pour finaliser.
  • Clique sur quitter pour générer un rapport (et pas sur la croix rouge !).

    --> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt

    Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
    Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .


    ( garde CCleaner et Malwarebytes : très utiles ! )

    ======================================

    3- Refais un coup de CCleaner ( registre compris ) .


    ======================================


    4- Fais ce check up pour finir :


    A- Re-purge la restauration système .
    * Désactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
    ---> Redémarre ton PC ...

    * Réactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
    ---> Redémarre ton PC ...

    ( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


    Attention : ne pas toucher au PC pendant qu'il travaille !


    B- Nettoyage et Défragmentation des Disques .
    * Nettoyage :
    Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général"
    Clique sur le bouton "nettoyage de disque", OK .
    tu le fais pour chacun de tes disques ...

    * Vérifications des erreurs :
    Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil"
    "Vérifier maintenant", une boîte s'ouvre, cocher les cases :
    -réparer automatiquement les erreurs...
    -rechercher et tenter une récupération...
    --->Démarrer, ok
    Note : s'il te dis de redémarrer ton PC pour le faire , tu redémarres de suite et tu laisses faire, cela prend un peu de temps c'est normal.
    Tu le fais pour chacun de tes disques ...

    ensuite toujours dans le même onglet tu choisis :
    * Défragmentation :
    "défragmenter maintenant", OK
    une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK .
    Tu le fais pour chacun de tes disques ...

    Note : si tu as un utilitaire pour défragmenter , utilise le à la place ...
    ( attention , cela peut durer assez longtemps - plus de dix heures dans certains cas )


    C- Créer un point de restauration de ton PC :

    Aller dans le Menu Démarrer puis dans Programmes,
    - Ensuite dans Accessoires et enfin dans Outils système,
    - Choisir "Restauration du système",
    - Sélectionner "Créer un point de restauration",
    - Cliquer sur "Suivant",
    - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple :
    << Point restauration sain >> .

    --> Cliquer sur "Créer" et le point de restauration se créé automatiquement.



    ---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... :sol: 






    7 Mars 2010 19:40:58

    Voilà le rapport ToolsCleaner:


    [ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

    --> Recherche:

    C:\cleannavi.txt: trouvé !
    C:\_OTM: trouvé !
    C:\Ad-remover: trouvé !
    C:\Documents and Settings\All Users\Documents\OTM.exe: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
    C:\Documents and Settings\Fabro\Bureau\Utilitaires de désinfection_NE_PAS_TOUCHER\HijackThis.lnk: trouvé !
    C:\Documents and Settings\Fabro\Bureau\Utilitaires de désinfection_NE_PAS_TOUCHER\Gmer.exe: trouvé !
    C:\Documents and Settings\Fabro\Bureau\Utilitaires de désinfection_NE_PAS_TOUCHER\Navilog1.exe: trouvé !
    C:\Documents and Settings\Fabro\Bureau\Utilitaires de désinfection_NE_PAS_TOUCHER\Ad-R.exe: trouvé !
    C:\Documents and Settings\Fabro\Bureau\Utilitaires de désinfection_NE_PAS_TOUCHER\UsbFix.exe: trouvé !
    C:\Program Files\Navilog1: trouvé !
    C:\Program Files\ZHPDiag: trouvé !
    C:\Program Files\Navilog1\Navilog1.bat: trouvé !
    C:\Program Files\Trend Micro\HijackThis: trouvé !
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
    C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
    C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !

    ---------------------------------
    --> Suppression:

    C:\Documents and Settings\All Users\Documents\OTM.exe: supprimé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
    C:\Documents and Settings\Fabro\Bureau\Utilitaires de désinfection_NE_PAS_TOUCHER\HijackThis.lnk: supprimé !
    C:\Documents and Settings\Fabro\Bureau\Utilitaires de désinfection_NE_PAS_TOUCHER\Gmer.exe: supprimé !
    C:\Documents and Settings\Fabro\Bureau\Utilitaires de désinfection_NE_PAS_TOUCHER\Navilog1.exe: supprimé !
    C:\Documents and Settings\Fabro\Bureau\Utilitaires de désinfection_NE_PAS_TOUCHER\Ad-R.exe: supprimé !
    C:\Program Files\Navilog1\Navilog1.bat: supprimé !
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
    C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
    C:\cleannavi.txt: supprimé !
    C:\Documents and Settings\Fabro\Bureau\Utilitaires de désinfection_NE_PAS_TOUCHER\UsbFix.exe: supprimé !
    C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
    C:\_OTM: supprimé !
    C:\Ad-remover: supprimé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
    C:\Program Files\Navilog1: supprimé !
    C:\Program Files\ZHPDiag: supprimé !
    C:\Program Files\Trend Micro\HijackThis: supprimé !
    7 Mars 2010 19:44:43

    Vu ...


    Continue ... :) 
    8 Mars 2010 08:56:48

    Bon, j'ai effectué toutes les étapes, dans l'ordre, tout vérifié et défragmenté via auslogics disk defrag, créé le point de restauration sain...Je présume que la finalisation est terminée...

    Le Pc de mon pôte a l'air de tourner comme une horloge suisse !


    Je tiens à te remercier chaleureusement pour ton aide, ta patience et tes judicieux conseils pour la désinfection de ce PC..Un grand Merci, cher sKe69 !!!


    :bounce: 
    8 Mars 2010 09:01:14

    Hello,



    Content d'avoir pu te rendre service ... :) 


    Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre du topic :

  • Clique, dans ton premier message, sur le bouton Editer ( en bas à droite du message initial ) .
  • Ajoute la mention [Résolu] devant le titre.
  • Clique ensuite sur Valider votre message.



    ===================
    ===================
    ===================



    Potasse ces quelques recommandations :


    => Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html
    et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.h...

    => Surveillance :
    Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement).

    => Il faut absolument tenir à jour régulièrement Windows :

    Via Internet Explorer ( impératif ), rends toi sur Microsoft Update
    http://windowsupdate.microsoft.com/

    Effectue toutes les mise à jour critiques proposées .
    Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

    Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
    Démarrer / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis sur OK

    =============================================================

    => Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC :

    Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. http://secunia.com/software_inspector/
    - Tuto http://www.malekal.com/scan_vulnerabilite.php
    - Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page.

    -> autre très bon soft similaire dans cette astuce :
    http://www.commentcamarche.net/faq/sujet-9908-update-ch...

    ===========================================================

    * teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
    http://www.zebulon.fr/outils/scanports/test-securite.ph...

    * tests firewall: http://www.matousec.com/projects/firewall-challenge/res...

    => Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) :

    ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html

    -Tuto http://www.zebulon.fr/articles/zebprotect.php

    ================================================================

    Pour une meilleur sécurité lorsque tu surfes :

    * Je te conseille d'utiliser le navigateur " FireFox " :
    télécharge le ici -> http://www.mozilla-europe.org/fr/
    ou -> http://www.commentcamarche.net/telecharger/telecharger-...

    ( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

    -> Tutorial pour sécuriser Firefox :
    http://www.malekal.com/securiser_Firefox.php
    http://forum.zebulon.fr/index.php?showtopic=69628

    * tu peux installer cet Add-ons : WOT ( gratuit / compatible IE et FireFox )
    -> Firefox http://www.mywot.com/fr/download/ff - IE http://www.mywot.com/fr/download/ie
    -> Démo : http://www.mywot.com/fr/demo
    Très simple et léger , WOT permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
    > http://www.commentcamarche.net/faq/sujet-15620-wot-web-...

    * Noscript est un autre "Add-ons" ( pour Firefox ) qui empêche l'exécution de scripts en provenance des sites Web.
    Il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée :
    http://www.geekstogo.com/forum/redirect.php?url=http%3A...
    https://addons.mozilla.org/fr/firefox/addon/722

    =================================================================
    => Rappel sur les principales causes d'infection :

    A lire > http://www.malekal.com/fichiers/projetantimalwares/prev...
    ( merci aux auteurs de ce pdf )

    * L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :

    Les dangers des cracks :
    http://forum.malekal.com/danger-des-cracks-t893.html

    -> Le crack dans toute sa splendeur, journal d'une infection attendue :
    http://forum.zebulon.fr/index.php?showtopic=93281

    -> Fléaux du moment par le biais de pseudo crack sur réseau P2P : Virut/Scrible !
    > http://www.futura-sciences.com/fr/news/t/informatique/d...


    * Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent):

    Les conséquences du P2P : http://forum.zebulon.fr/index.php?showtopic=85544

    Pourquoi éviter le P2P (emule ,Shareaza, kazza ... ect):
    > http://www.libellules.ch/phpBB2/les-risques-securitaire...
    > http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1...
    > http://www.lexpansion.com/economie/actuali...ise_134122...


    *IE > Faire attention avec les ActiveX :
    http://assiste.com.free.fr/p/abc/a/activex_dangers.html
    et comment :
    http://assiste.com.free.fr/p/abc/c/anti_activex.html


    * Prévention sur deux autres types d'infection d'actualité :

    MSN prévention :
    http://forum.zebulon.fr/index.php?showtopic=130590
    -> autre danger grandissant , le " phishing " (= hameçonnage ) :
    http://msnfix.changelog.fr/index.php/2008/05/18/32-aler...


    Infection par supports amovibles (clefs usb, flash, DD externes ..) :
    http://forum.zebulon.fr/index.php?showtopic=131959
    http://forum.malekal.com/viewtopic.php?f=45&t=5544

    * Rappel sur l'utilisation d'une version piratée de Windows :
    http://www.commentcamarche.net/faq/sujet-2981-j-utilise...

    =================================================================

    Bon à savoir :

    * La "Console de récupération" ( XP ):
    face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable.
    tutoriels ici :
    http://www.pcastuces.com/pratique/windows/xp/console_re... .
    http://www.informatruc.com/console.php

    Equivalent Vista : http://www.forum-vista.net/tutoriaux_vista/reparer_vist...

    * Conserve une sauvegarde des fichiers importants ( Sur CD/DVD rom ,DD externe ,ect ...).

    * Ne pas telecharger n'importe quoi, éviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games, ...ect

    * Analyser les fichiers reçus/téléchargés :
    Pour les adeptes du Peer 2 Peer ( que je déconseille fortement ),toujours analyser les fichiers telechargés avec l'antivirus, l'anti-spyware/malaware du PC avant de les executer ... Cela minimise les risques ( mais ceux-ci restent tout de même présents ! )
    Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir .
    Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus .

    * Idées reçus en sécurité informatique ( très instructif ) >
    http://www.libellules.ch/idees_recues_securite.php

    =================================================================


    Voilà ...


    bonne continuation à toi ... [:youngboys:11]


    A+

    20 Mars 2010 16:10:25

    salut
    moi aussi je trouve ce virus ggpw.exe une variante de Pacex.AE.Gen virus, mais le prob je n'arrive pas à suivre les étapes que sKe69 a décrit, car GGz.. n'a pas suivi la démarche exacte,
    par ou je dois commencer? s'il vous plaiiiiiiiiiiiiiiiiis,
    comment je dois procéder, je n'ai que le NOD32 comme antivirus et il ne peut pas le supprimer
    20 Mars 2010 16:16:47

    ayama659 a dit :
    salut
    moi aussi je trouve ce virus ggpw.exe une variante de Pacex.AE.Gen virus, mais le prob je n'arrive pas à suivre les étapes que sKe69 a décrit, car GGz.. n'a pas suivi la démarche exacte,
    par ou je dois commencer? s'il vous plaiiiiiiiiiiiiiiiiis,
    comment je dois procéder, je n'ai que le NOD32 comme antivirus et il ne peut pas le supprimer



    merci de créer ton propre sujet sur le forum Sécurité/Virus ... un Helper te prendra en charge ...


    A+
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS