Ordinateur infecté par win 7 home security [Résolu]

ClaireM - Dernière réponse le 2 août 2011 à 19:14

Bonjour,
mon ordi a été infecté par le virus win 7 home security et peut etre d'autres, j'ai deja effectué un certain nombres de manip j'ai de nouveau accès à internet mais j'ai contaminé plusieurs clés et disque dur que je n'ose plus utiliser.
Je poste le log de hijackthis j'espere que qeulqu'un pourra me dire si je suis toujours infecté et comment m en débarrasser.
Merci d'avance!!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:08:58, on 30/07/2011
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16800)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Dell DataSafe Local Backup\Toaster.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\Dell Wireless\Bluetooth Suite\BtvStack.exe
C:\Program Files\Dell Wireless\Bluetooth Suite\AthBtTray.exe
C:\Program Files\Dell\Dell Location and GPS\Dell Location Utility\xpscontrolpanel.exe
C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
C:\Program Files\STMicroelectronics\Accelerometer-Magnetometer\PopUp_DM.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\syncables\syncables desktop\syncables.exe
C:\Program Files\Dell\Dell Datasafe Online\NOBuClient.exe
C:\Users\claire\pj6vi7wlh9.exe
C:\Users\claire\sx621.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\syncables\syncables desktop\jre\bin\javaw.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\syncables\syncables desktop\OTiSyncApp.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\SRS Labs\SRS Premium Sound Control Panel\srspremiumpanel.exe
C:\Program Files\Dell\duo Stage\duoStage.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
C:\Program Files\SweetIM\Messenger\SweetIM.exe
C:\Program Files\PCTuto\pctuto.exe
C:\Users\claire\AppData\Roaming\PCtuto\UpdatePCTuto\autoupdater.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Program Files\Windows Live\Companion\companionuser.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.msn.com/USCON/1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file)
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: PCTBHO - {293A63F7-C3B6-423a-9845-901AC0A7EE6E} - C:\Program Files\PCTuto\pctutoBHO.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files\Windows Live\Companion\companioncore.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll
O2 - BHO: LocationFinder Class - {BC0E8AD7-13AA-4694-8EDD-0246BC47A35F} - c:\Program Files\Skyhook Wireless\Loki Plugin\loki.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O2 - BHO: Yontoo Layers - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo Layers Runtime\YontooIEClient.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [QuickSet] C:\Program Files\Dell\QuickSet\QuickSet.exe
O4 - HKLM\..\Run: [SmartAudio] C:\Program Files\CONEXANT\SAII\SAIICpl.exe /t
O4 - HKLM\..\Run: [AtherosBtStack] "C:\Program Files\Dell Wireless\Bluetooth Suite\BtvStack.exe"
O4 - HKLM\..\Run: [AthBtTray] "C:\Program Files\Dell Wireless\Bluetooth Suite\AthBtTray.exe"
O4 - HKLM\..\Run: [Dell Location Utility] c:\Program Files\Dell\Dell Location and GPS\Dell Location Utility\xpscontrolpanel.exe --no-info
O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
O4 - HKLM\..\Run: [Dell Magneto Popup] C:\Program Files\STMicroelectronics\Accelerometer-Magnetometer\PopUp_DM.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Syncables] C:\Program Files\syncables\syncables desktop\syncables.exe
O4 - HKLM\..\Run: [Dell Registration] C:\Program Files\System Registration\prodreg.exe /boot
O4 - HKLM\..\Run: [Dell DataSafe Online] C:\Program Files\Dell\Dell Datasafe Online\NOBuClient.exe
O4 - HKLM\..\Run: [PCTuto] "C:\Program Files\PCTuto\pctuto.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\RunOnce: [DSUpdateLauncher] "C:\Program Files\Dell DataSafe Local Backup\Components\DSUpdate\hstart.exe" /NOCONSOLE /D="C:\Program Files\Dell DataSafe Local Backup\Components\DSUpdate" /RUNAS "C:\Program Files\Dell DataSafe Local Backup\Components\DSUpdate\DSUpd.exe"
O4 - HKLM\..\RunOnce: [STToasterLauncher] C:\Program Files\Dell DataSafe Local Backup\toasterLauncher.exe
O4 - HKLM\..\RunOnce: [autoupdater] C:\Users\claire\AppData\Roaming\PCtuto\UpdatePCTuto\autoupdater.exe -runonce
O4 - HKCU\..\Run: [Ainene] C:\Users\claire\AppData\Roaming\Ainene.exe
O4 - HKCU\..\Run: [pj6vi7wlh9] C:\Users\claire\pj6vi7wlh9.exe
O4 - HKCU\..\Run: [sx621] C:\Users\claire\sx621.exe
O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [hch2bbm] C:\WINDOWS\System32\config\systemprofile\AppData\Roaming\ql2c7wk.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [hch2bbm] C:\WINDOWS\System32\config\systemprofile\AppData\Roaming\ql2c7wk.exe (User 'Default user')
O4 - Global Startup: Dell duo Stage.lnk = C:\Program Files\Dell\duo Stage\duoStage.exe
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_70C5B381380DB17F.dll/cmsidewiki.html
O9 - Extra button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files\Windows Live\Companion\companioncore.dll
O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix:
O18 - Protocol: cozi - {5356518D-FE9C-4E08-9C1F-1E872ECD367F} - c:\Program Files\Cozi Express\CoziProtocolHandler.dll
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O20 - Winlogon Notify: GoToAssist - C:\Program Files\Citrix\GoToAssist\514\G2AWinLogon.dll
O23 - Service: Atheros Bt&Wlan Coex Agent - Atheros - C:\Program Files\Dell Wireless\Ath_CoexAgent.exe
O23 - Service: AtherosSvc - Atheros Commnucations - C:\Program Files\Dell Wireless\Bluetooth Suite\adminservice.exe
O23 - Service: @C:\Windows\system32\CxAudMsg32.exe,-100 (CxAudMsg) - Conexant Systems Inc. - C:\Windows\system32\CxAudMsg32.exe
O23 - Service: @C:\Windows\system32\CxUSBDock32.exe,-100 (CxUSBDock) - Conexant Systems Inc. - C:\Windows\system32\CxUSBDock32.exe
O23 - Service: GoToAssist - Citrix Online, a division of Citrix Systems, Inc. - C:\Program Files\Citrix\GoToAssist\514\g2aservice.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: Dell DataSafe Online (NOBU) - Dell, Inc. - C:\Program Files\Dell\Dell Datasafe Online\NOBuAgent.exe
O23 - Service: SoftThinks Agent Service (SftService) - SoftThinks SAS - C:\Program Files\Dell DataSafe Local Backup\sftservice.EXE
O23 - Service: Dell Location Utility (xpssvc) - Skyhook Wireless - c:\Program Files\Dell\Dell Location and GPS\Dell Location Utility\xpssvc.exe

Ordinateur infecté par win 7 home security »

Suggestions

Ordinateur infecté par win 7 home security
Infection : Win 7 Home Security 2012 (Résolu) » Forum
Ordi infecté par win 7 security 2012 » Forum
WIN XP - Virus "Gendarmerie Nationale" (Résolu) » Forum
Infecté par windows 7 Internet Security (Résolu) » Forum
Win 7 Home Security 2012. (Résolu) » Forum

Plus

Réponse

jacques.gache 16706Messages postés 13 novembre 2007Date d'inscription 30 mai 2012Dernière intervention 31 juil. 2011 à 16:56

bonjour, oui tu est toujours infecté tu va faire ce qui suit , merci

1) Fixer les lignes

.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux
.Lances HijackThis
.Cliques sur "Do a system scan only"
.Tu coches les lignes suivantes :

O2 - BHO: PCTBHO - {293A63F7-C3B6-423a-9845-901AC0A7EE6E} - C:\Program Files\PCTuto\pctutoBHO.dll
O4 - HKLM\..\Run: [PCTuto] "C:\Program Files\PCTuto\pctuto.exe"
O4 - HKLM\..\RunOnce: [autoupdater] C:\Users\claire\AppData\Roaming\PCtuto\UpdatePCTuto\autoupdater.exe -runonce
O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

.Tu cliques sur "Fix Checked"
.Tu fermes HijackThis

des expliquations en images : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm

2) passes usbfix avec toutes tes clés connecté si possible

* /!\ Utilisateur de vista et windows 7 : ne pas oublier de désactiver Le contrôle des comptes utilisateurs
<http://www.teamxscript.org/usbfixTelechargement.html>

Télécharge USBFIX sur ton bureau

http://www.teamxscript.org/usbfixTelechargement.html

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

* Double clic sur le raccourci UsbFix présent sur ton bureau .
* Choisis l'option 2 ( Suppression)

* Laisse travailler l'outil.

* Ensuite post le rapport UsbFix.txt qui apparaîtra.

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

* Tuto : http://pagesperso-orange.fr/nostools/tuto_usbfix2.html

3) passes pré-scan

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau : Pre_Scan

si problème lien mirroir

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil est bloqué par l'infection utilise cette version :Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

4) postes un zhpdiag qui sera plus complet afin de voir si pas de reste

Ouvre ce lien et télécharge ZHPDiag :

http://telechargement.zebulon.fr/zhpdiag.html

cliques sur télécharger "celui du bas"

ou directement ici: ftp://zebulon.fr/ZHPDiag2.exe

Enregistres le sur ton Bureau.

Une fois le téléchargement achevé

pour XP, double-clique sur ZHPDiag

pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.

N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Cliques sur la loupe pour lancer l'analyse.

si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

Laisses l'outil travailler, il peut être assez long

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Fermes ZHPDiag en fin d'analyse.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/index.php

Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

et si problème passe par celui ci : http://cjoint.com/

Perso je ne sais peut être pas grand chose, mais si le peu que je sais peut aider et bien,
je veux bien le partager avec toi !!

Ajouter un commentaire

Réponse

claireM 31 juil. 2011 à 19:06

voici le lien pour le pre scan

http://www.cijoint.fr/cjlink.php?file=cj201107/cijpX6cS6b.txt

dis moi ce que tu en pense, merci d'avance!!

Ajouter un commentaire

Afficher les 17 commentaires

jacques.gache- 31 juil. 2011 à 19:32

ok et celui de USBFIX ????

et puis le zhpdiag de controle ??

claireM - 31 juil. 2011 à 19:49

http://cjoint.com/?AGFtWRrIisq

claireM - 31 juil. 2011 à 19:52

j arrivai pas a mettre le rapport d usbfix jepense qu il etait trop long du coup j ai fait un ci joint aussi je te mets le lien

http://cjoint.com/?AGFtY0YeHGD

merci beaucoup j attend ton avis avec impatience merci encore pour les conseils cest vraiment genial!!

jacques.gache- 31 juil. 2011 à 21:20

ok !! tu fais un examen complet de ton pc avec malwarebytes et puis tu refais un nouveau zhpdiag , merci

si vous avez Vista ou seven, vous devez désactiver l'UAC le temps de la désinfection.

pour vista suivre ce tuto si besoin : http://www.teamxscript.org/uacvista.html

pour seven celui ci : http://www.teamxscript.org/uacseven.html

!! ATTENTION !!! près de 2 heures de scan !!!

Télécharge Malwarebytes' Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

si problème essais avec celui ci : http://www.commentcamarche.net/download/telecharger-34055379-malwarebytes

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installation, alors télécharge le ici :COMCTL32.OCX

. enregistres le sur le bureau
. Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Une fois la mise à jour terminée
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Sélectionnes tous les disques si proposés
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc si il le fait pas lui même
. une fois redémarré double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller

Si tu as besoin d'aide regarde ce tutoriel :
http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/

claireM - 1 août 2011 à 00:04

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7341

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

31/07/2011 23:53:05
mbam-log-2011-07-31 (23-53-05).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 252082
Temps écoulé: 54 minute(s), 11 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\UsbFix\quarantine\E\RECYCLER\e5188982.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
e:\thumbs .db (Backdoor.Senna) -> Quarantined and deleted successfully.

claireM - 1 août 2011 à 00:06

J'ai fait ce que tu m"avait dit qu'est ce que tu pense du rapport?? Pour ce soir je vais me coucher merci beaucoup pour ton aide mon pc a l'air d'aller pas trop mal j'espere vraiment que ca a fonctionné pour la clé usb et le disque dur aussi; à demain!!

claireM - 1 août 2011 à 14:24

voici le dernier ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj201108/cijvERBsxE.txt

J'attends ton verdict est qu'il est encore infecté, puis je utiliser les cle usb et disque dur??
Merci beaucoup!!

claireM - 1 août 2011 à 14:42

Encore des questions désolé, pense tu que je peux supprimer ou désinstaller les progammes que j'ai utilisé (pre scan, zhpdiag...), j'ai avast comme anti virus est ce que ca suffit? windows veut faire des mises à jour est ce que j'accepte?? ca peut paraitre des questions bêtes mais je débute vraiment en informatique et il y avait tellement plus rien qui marchait que maintenant que ca refonctionne à peu près j'ai trop peur de faire une connerie, merci d'avance!!

jacques.gache- 1 août 2011 à 18:55

bonjours , pour les mises à jour windows oui il faut les accepter sinon tu risque d'être plus vulnérable au infections !!
pour les outils on le fera après en fin de désinfections !!

il y as des reste tu fais zhpfix comme expliqué, et puis tu postes le rapport et tu nous dis comment va le pc et si plus de problème on finalisera le nettoyage !!

. Copie les lignes suivantes en GRAS entre les deux lignes

__________________________________________________________

OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
O43 - CFD: 7/31/2011 - 12:16:58 PM - [228992] ----D- C:\Program Files\PCTuto
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:PCTuto
[HKLM\Software\BrowserChoice]
[HKCU\Software\PCTuto]
[HKLM\Software\PCTuto
C:\Program Files\PCTuto
SysRestore
FirewallRAZ
EmptyFlash
EmptyTemp
HostFix

___________________________________________________________________

. Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
. Pour XP, double-clique sur ZHPFix
. pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
. Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

PS: si rien ne se colle clique sur l'icône en haut sur gauche celui juste à côté de l'appareil photos " coller le presse papier"

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

. cliques sur OK
. Clique sur « Tous », puis sur « Nettoyer »
. Copie/colle la totalité du rapport dans ta prochaine réponse
tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

claire - 1 août 2011 à 21:03

je viens de suivre tes instructions, voila le rapport

Rapport de ZHPFix 1.12.3345 par Nicolas Coolman, Update du 29/07/2011
Fichier d'export Registre :
Run by claire at 01/08/2011 20:56:24
Windows 7 Home Premium Edition, 32-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\BrowserChoice
SUPPRIME Key: HKCU\Software\PCTuto

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: Adobe Reader Speed Launcher
SUPPRIME [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:PCTuto
ABSENT Valeur Domain Profile: FirewallRaz :
SUPPRIME FirewallRaz (Private) : TCP Query User{4071E2FC-6BB0-4661-9835-618802EE0A5F}C:\users\claire\appdata\local\temp\sdndb8d.tmp
SUPPRIME FirewallRaz (Private) : UDP Query User{C08688E5-FB1E-4F37-ABAD-B688CD1B6D0F}C:\users\claire\appdata\local\temp\sdndb8d.tmp

========== Dossier(s) ==========
SUPPRIME Folder*: C:\Program Files\PCTuto
SUPPRIME Flash Cookies: 3
SUPPRIME Temporaires Windows: : 85

========== Fichier(s) ==========
ABSENT Folder/File: c:\program files\pctuto
SUPPRIME Flash Cookies: 3
SUPPRIME Temporaires Windows: : 20

========== Fichier HOSTS ==========
Le fichier Hosts est sain

========== Restauration Système ==========
Point de restauration du système créé avec succès

========== Autre ==========
NON TRAITE [HKLM\Software\PCTuto

========== Récapitulatif ==========
2 : Clé(s) du Registre
5 : Valeur(s) du Registre
3 : Dossier(s)
3 : Fichier(s)
1 : Fichier HOSTS
1 : Restauration Système
1 : Autre

========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt

End of the scan in 01mn 10s

claireM - 1 août 2011 à 21:04

petite question aussi quand j allume mon pc il me demande d utiiser windows genuine est ce que je peux y faire confiance est ce nécessaire?

jacques.gache- 1 août 2011 à 21:27

pas de problème si ton windows est légal car se windows genuine est http://www.commentcamarche.net/faq/3625-windows-wga-windows-genuine-advantage
un contrôle de microsoft afin de détecter les windows pirater !! et si le tiens est légal pas de problème au contraire windows installera automatiquement les mises à jour si elles sont bien activé sur automatique !!
sinon plus de problème autre §§

claireM - 1 août 2011 à 21:37

nikel merci beaucoup vraiment c'est génial tout ce que tu as fait pour mon pc j'espere etre totalement débarrassé de ce virus!! Tu pense que je peux utiliser les clé usb sur un autre pc ?? et pour les antivirus qu'est ce que je garde et quel logiciels je peux enlever?
Merci encore

jacques.gache- 1 août 2011 à 22:02

tes clés que tu veux utiliser sur un autre pc ils étaient connectés sur le pc au moment ou tu as fais usbfix en suppression ?? si oui tu peux les mettre sur un autre pc , mais il serait bon de faire aussi usbfix sur l'autre pc si c'est le tiens comme cela lui aussi il sera vacciné !!

pour les outils utilisé tu va passer delfix il les supprimera sauf malwarebytes que je te conseillerais de conserver et d'utiliser régulièrement , mais toujours lui faire faire la mise à jour avant de faire un examen , tu fais un rapide 1 fois semaine sauf si tu trouve des réaction bizarrre sur le pc la tu peux l'utiliser soit en rapide ou complet selon tes craintes

bon tu vas faire delfix et un nettoyage avec ccleaner lui aussi conserve le et utilises le sur le registre après chaque désinstallation de programmes , et en fonction nettoyeur le mieux est de le faire à chaque arrêt du pc mais bon pense à le faire le plus souvent possible surtout si tu as été sur des recherches poussé sur le net la tu le fais avant déteinte le pc comme cela les choses qui attende le redémarrage pour s'installer juste avant le démarrage de l'anti-virus auront été supprimer avec la fonction nettoyeur

1)- DelFix - Option Suppression

Télécharge [ http://www.general-changelog-team.fr/telechargements/logiciels/rechercher-dans-les-logiciels/viewdownload/75-outils-de-xplode/3-delfix DelFix] (d'Xplode)

Lance le puis sélectionne Suppression

Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.

2) fais un nettoyage avec ccleaner et les réglages donnés

télécharges Ccleaner à partir de cette adresses

http://www.commentcamarche.net/telecharger/telecharger-168-ccleaner

.enregistres le sur le bureau
.double-cliques si sous XP sinon pour vista et seven clique droit et en tant que administrateur sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner

ATTENTION refuse l'installation de tous ce qui est google si pas intéressé !!

.cliques sur intaller
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.cochesla première case vieilles données du perfetch que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vériffis en relancant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner

pour aider si besion tutoriel: http://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

claireM - 2 août 2011 à 13:46

# DelFix v8.2 - Rapport créé le 02/08/2011 à 13:45
# Mis à jour le 22/07/11 à 14h30 par Xplode
# Système d'exploitation : Windows 7 Home Premium (32 bits) [Version 6.1.7600]
# Nom d'utilisateur : claire - CLAIRE-PC (Administrateur)
# Exécuté depuis : C:\Users\claire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TT1EDVFO\3-delfix[1].exe
# Option [Suppression]

~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Kill'em
Supprimé : C:\USBFix
Supprimé : C:\Program Files\trend micro\Hijackthis
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hijackthis
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\UsbFix.txt
Supprimé : C:\UsbFix_Upload_Me_CLAIRE-PC.zip
Supprimé : C:\ZHPExportRegistry-01-08-2011-20-56-24.txt
Supprimé : C:\Users\claire\Desktop\HijackThis.lnk
Supprimé : C:\Users\claire\Desktop\Pre_scan.exe
Supprimé : C:\Users\claire\Desktop\Pre_Scan_31_07_2011_19_03_20.txt
Supprimé : C:\Users\claire\Desktop\ZHPDiag.txt
Supprimé : C:\Users\claire\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\claire\Desktop\ZHPDiagfinal.txt
Supprimé : C:\Users\claire\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\claire\Downloads\HJTInstall.exe
Supprimé : C:\Users\claire\Downloads\UsbFix.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\g3n-h@ckm@n
Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [2175 octets] ##########

ClaireM - 2 août 2011 à 13:54

ben merci beaucoup j'espere que c'est bon le nettoyage s est effectué tres bien j'ai meme installé ccleaner sur mon autre pc je trouve que c est un bon outil!!
Ce forum est super je n"hesiterai à refaire appel aux talents d informaticien!!

jacques.gache- 2 août 2011 à 19:14

Ce forum est super je n"hesiterai à refaire appel aux talents d informaticien!!

bonjour mais perso je suis pas informaticien je suis justes une personne qui essais d'aider à la désinfection , je suis toujours en formation helpers !!

mais pas de problème si problème passe sur ccm il y a toujours des personnes pour aider !!

Répondre au sujet

Posez votre question

Dossier à la une

Passage au tout numérique : quel coût pour les particuliers ?

Passage au tout numérique : quel coût pour les particuliers ?

Combien cela coûte-t-il au total ? Quelles aides apportent l'état et les acteurs du marché pour alléger cette charge non choisie ? Tous les détails sur Commentçamarche.net.

Ordinateur infecté par win 7 home security [Résolu]

Ordinateur infecté par win 7 home security »

Passage au tout numérique : quel coût pour les particuliers ?