PC infecté, besoin d'aide pour nettoyage

Merci de ton aide.

Alors on a peut-être déjà une piste: Internet explorer ne fonctionne pas et ça m'écrit le message suivant:
"Internet explorer alert. Visiting this site may pose a security threat to your system!"

Et quand j'ai démarré IE, un programme a voulu s'installer mais je ne l'ai pas autorisé

un PC portable, oui.

J'essaie le mode sans échec!

okay tiens moi au courant, sinon on fera autrement.

Alors j'y suis, et le problème subsiste. On me ramène à Vista Home security, où presque 30 infections ont été détectées. Le truc, c'est que j'ai essayé pleu de trucs, et à chaque fois ça essaie de me faire acheter un logiciel de protection chez Microsoft.

Ne les télécharge surtout pas, et les achète encore moins.

J'y pensais, merci =)
Mais alors on fait quoi?
J'ai installé Avast, mais en faisant une analyse que j'ai arrêtée au bout de 30% (quand tu es arrivé), il avait encore rien trouvé

Le rapport:

http://pjjoint.malekal.com/files.php?id=e8c4b725b910159

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

F:\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 14:53:04 le 08/05/2011, Mode sans echec

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 1 (X86)
Pili@PC-DE-PILI ( )

============== RECHERCHE ==============


Dossier trouvé: C:\Users\Pili\AppData\Roaming\EoRezo

Clé trouvée: HKLM\Software\EoRezo
Clé trouvée: HKCU\Software\EoRezo
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SoftwareUpdate_is1
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1

Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eoengine


============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [8.0.6001.19048] ****

IEXPLORE.EXE\Shell\Open\Command - C:\Users\Pili\AppData\Local\kgc.exe -a C:\Program Files\Internet Explorer\iexplore.exe
HKCU_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_Main|SearchMigratedDefaultURL - hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
HKCU_Main|Search Page - hxxp://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*hxxp://fr.yahoo.com
HKCU_Main|Start Page - hxxp://www.google.ch/
HKLM_Main|Default_Page_URL - hxxp://fr.fr.acer.yahoo.com
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://fr.fr.acer.yahoo.com
AboutUrls|Tabs - hxxp://y.lo.st
HKCU_Toolbar\ShellBrowser|{5CBE3B7C-1E47-477E-A7DD-396DB0476E29} (x)
HKCU_Toolbar\WebBrowser|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (x)
HKCU_Toolbar\WebBrowser|{5CBE3B7C-1E47-477E-A7DD-396DB0476E29} (x)
HKCU_ElevationPolicy\{EC025568-79FC-4196-9E4F-66F702CF4F16} - C:\Users\Pili\AppData\Local\Google\Update\GoogleUpdate.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
BHO\{83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} (?)

========================================

F:\Ad-Remover\Quarantine: 0 Fichier(s)
F:\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 08/05/2011 14:53:18 (0 Octet(s))

Fin à: 14:54:06, 08/05/2011

============== E.O.F ==============

Le nettoyage avec AD-Remover va aller long: encore à 1% après 2 minutes!

Patiente un peu, il est possible que ça ai planté. Si dans 5-10 minutes toujours rien, recommence ;)

Je dois m'absenter, je reviens plus tard.

RogueKiller V5.1.1 [05/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Pili [Droits d'admin]
Mode: Recherche -- Date : 08/05/2011 15:28:03

Processus malicieux: 1
[APPDT/TMP/DESKTOP] kgc.exe -- c:\users\pili\appdata\local\kgc.exe -> KILLED

Entrees de registre: 5
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Pili\AppData\Local\kgc.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Users\Pili\AppData\Local\kgc.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\[...]exefile\shell\open\command : ("C:\Users\Pili\AppData\Local\kgc.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\[...].exe\shell\open\command : ("C:\Users\Pili\AppData\Local\kgc.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\Pili\AppData\Local\kgc.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> FOUND

Fichier HOSTS:
::1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt

Posté juste ici au-dessus!

Je le trouve pas, alors je relance AD-R et après, je lancerai RogueKiller, OK?

Le rapport d'Ad-Remover se trouve là :
C:\Ad-Report-CLEAN[1].txt

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Users\Pili\Desktop\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 15:17:25 le 08/05/2011, Mode sans echec

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 1 (X86)
Pili@PC-DE-PILI ( )

============== ACTION(S) ==============


Dossier supprimé: C:\Users\Pili\AppData\Roaming\EoRezo

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\EoRezo
Clé supprimée: HKCU\Software\EoRezo
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SoftwareUpdate_is1
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eoengine


============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [8.0.6001.19048] ****

IEXPLORE.EXE\Shell\Open\Command - C:\Users\Pili\AppData\Local\kgc.exe -a C:\Program Files\Internet Explorer\iexplore.exe
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar\ShellBrowser|{5CBE3B7C-1E47-477E-A7DD-396DB0476E29} (x)
HKCU_Toolbar\WebBrowser|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (x)
HKCU_Toolbar\WebBrowser|{5CBE3B7C-1E47-477E-A7DD-396DB0476E29} (x)
HKCU_ElevationPolicy\{EC025568-79FC-4196-9E4F-66F702CF4F16} - C:\Users\Pili\AppData\Local\Google\Update\GoogleUpdate.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
BHO\{83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} (?)

========================================

C:\Users\Pili\Desktop\Ad-Remover\Quarantine: 15 Fichier(s)
C:\Users\Pili\Desktop\Ad-Remover\Backup: 17 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 08/05/2011 15:03:42 (436 Octet(s))
C:\Ad-Report-CLEAN[2].txt - 08/05/2011 15:17:31 (0 Octet(s))
C:\Ad-Report-SCAN[1].txt - 08/05/2011 14:53:18 (2628 Octet(s))

Fin à: 15:18:46, 08/05/2011

============== E.O.F ==============

Bien RK en option 2 maintenant :)

RogueKiller V5.1.1 [05/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Pili [Droits d'admin]
Mode: Suppression -- Date : 08/05/2011 16:46:53

Processus malicieux: 1
[APPDT/TMP/DESKTOP] kgc.exe -- c:\users\pili\appdata\local\kgc.exe -> KILLED

Entrees de registre: 3
[FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Pili\AppData\Local\kgc.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Users\Pili\AppData\Local\kgc.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\Pili\AppData\Local\kgc.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED : ("C:\Program Files\internet explorer\iexplore.exe")

Fichier HOSTS:
::1 localhost


Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Je crois que ça va mieux. Je suis toujours en mode sans échec, mais en redémarrant, on verra bien où ça en est. Pour l'instant, j'ai plus un message d'avertissement (virus, infection, tout ça) toutes les trente secondes, et je peux de nouveau aller sur internet sans problèmes.

Je fais Malwarebytes dans une minute!

Fais MBAM en mode normal ;)

J'avais déjà eu un problème du genre (avec mon portable, cette fois-là), et on m'a fait faire presque pareil (ZHP, AD-R, Malwarebytes, tout ça)

Est-ce que je dois savoir énormément de choses pour réutiliser tout ça (genre lecture des rapports, tout ça...), ou c'est possible de m'en occuper tout seul si ça devait m'arriver à nouveau? (en exécutant toutes les mêmes choses, etc...)

C'est fortement déconseiller de le faire seul... Même si les outils sont très fréquemment utilisés, il se peut qu'il affichent des FP, et donc suppriment des composants légitimes (et parfois essentiels).

Après... c'est toi qui voit.
Pour MBAM y a pas de soucis, tu peux le passer régulièrement et supprimer ces détections.

ZHPDiag est juste un outils de diagnostique, si tu ne sais pas le lire, tu n'en tireras rien ^^

OK... dans le doute, je continuerai de faire appel à ceux qui s'y connaissent!

Désolé d'être parti hier, mais on n'a plus de problèmes pour l'instant. En rentrant ce soir (vers 7h), je lance ZHPDiag et je te posterai le rapport!