Windows XP infecté par system toolRésolu/Fermé

Question

Bonjour, 

Mon ordinateur sous Windows XP s'est fait infecté par System Tool.
Ne m'y connaissant que très peu en informatique, j'ai trouvé ce forum ou j'ai vu plusieurs posts à propos de system tool résolus, j'espère donc que vous pourrez m'aider (moment de grace à l'air de bien porter son pseudo ^^)

En gros les symptomes : fond d'écran bleu warning, impossibilité de lancer des programmes/applications windows autres que navigateur internet (firefox) à priori.

Antivirus utilisé : Avast antivirus gratuit.

Je n'ai pas osé me remettre sur un post ancien car les configurations changent selon les utilisateurs, j'aimerais donc savoir la marche à suivre/logiciels à télécharger/rapports à founrir...

Je vous suis d'avance très reconnaissant !

Alex78


Configuration: Windows XP / Firefox 3.6.13

Smart91 · Accepted Answer

bonjour, 

Tu vas faire ceci: 

- Télécharge sur le bureau RogueKiller de Tigzy 
- Quitte tous tes programmes en cours 
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur 
- Sinon lance simplement RogueKiller.exe 
- Lorsque demandé, tape 2 [DELETE] et valide 
- Poste le rapport RKreport.txt présent sur le bureau. 

* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. 

Ensuite tu fais ceci: 

* Télécharge et installe Malwarebytes 
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée 
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme) 
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher" 
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser  
* A la fin de l'analyse, clique sur "Afficher les résultats" 
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection" 
* Enregistre le rapport 
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes 
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse. 

Cela fait deux rapports à poster 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

gen-hackman · Answer

Edit ::

zut raté^^
G3?-?@¢??@?......Concepteur de List_Kill'em...

Caligula78 · Answer

Bonjour, c'est toujours Alex78 qui s'est créé un compte pour l'occasion.

J'ai téléchargé RogueKiller, mais quand je double clique dessus (Je suis sous XP) il ne s'est rien passé.
J'ai recliqué plusieurs fois, il m'a semblé voir une "boite noire" ressemblant à la boite de commande de windows s'afficher 1/2 seconde puis disparaitre. 

(Au moment de lancer RogueKiller, un avertissement de sécurité de l'ordinateur me demande si je veux bien l'exécuter, ce à quoi je reponds bien sur oui).

Y a-t-il un autre moyen de lancer RogueKiller, ou est ce que je procède mal ?

Quoiqu'il en soit merci beaucoup pour vos réponses rapides.

Caligula78 · Answer

Je l'ai renommé et relancé, il a bien fonctionné! Merci beaucoup ! Voici le rapport : RogueKiller V4.1.0 par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Famille Noyer [Droits d'admin] Mode: Suppression -- Date : 04/03/2011 16:25:20 Processus malicieux: 2 [APPDT/TMP/DESKTOP] lOaBgMe02400.exe -- c:\documents and settings\all users\application data\loabgme02400\loabgme02400.exe -> KILLED [APPDT/TMP/DESKTOP] winlogon.exe -- c:\documents and settings\famille noyer\bureau\winlogon.exe -> KILLED Entrees de registre: 0 Fichier HOSTS: Termine Je m'attelle à Malwarebytes

Smart91 · Answer

Normalement le processus a été supprimé par RK. Il ne devrait pas redémarrer. 
En revache c'est quoi ce fichier winlogon.exe qui se trouvait sur ton bureau ? Tu as renommé RogueKiller en winlogon ? 

Sinon j'attends le rapport MBAM 

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Caligula78 · Answer

Voilà le rapport MBAM :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5954

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

05/03/2011 03:40:47
mbam-log-2011-03-05 (03-40-47).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|H:\|)
Elément(s) analysé(s): 321300
Temps écoulé: 3 heure(s), 40 minute(s), 24 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
c:\documents and settings\famille noyer\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> 2952 -> Unloaded 

process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\lOaBgMe02400 (Rogue.SystemTool.M) -> Value: 

lOaBgMe02400 -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) 

Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
e:\WINNT\system32\iasrad.dll (Spyware.PWS) -> Quarantined and deleted successfully.
e:\WINNT\system32\dllcache\iasrad.dll (Spyware.PWS) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\loabgme02400\loabgme02400.exe (Rogue.SystemTool.M) -> 

Quarantined and deleted successfully.
c:\documents and settings\famille noyer\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and 

deleted successfully.





*Note : winlogon = RogueKiller que j'avais renommé

Là je vais redémarrer l'ordinateur comme il le demande.

Smart91 · Answer

Relance MBAM et vide la quarantaine.
Je te :
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

Caligula78 · Answer

J'ai fait comme recommandé, l'analyse ZHPDiag a pris seulement 2 minutes, voici le lien du ZHPDiag.txt :

http://www.cijoint.fr/cjlink.php?file=cj201103/cij22mn6dI.txt

Merci beaucoup pour ses réponses rapides et efficaces =)

Smart91 · Answer

On a bien fait de faire ce diagnostic. Tu as des barres d'outils infectées et surement une infection par clés USB

Pour ton information lis bien les dossiers ci-dessous:
Les Toolbars ce n'est pas obligatoires 
Infections par disques amovibles
Infections par disques amovibles 2

Tu vas faire ceci:

-  Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours 
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.  
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] . 
- Laisse travailler l'outil et ne touche à rien ... 
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log) 
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Ensuite ceci:
- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
-  Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
-Clique sur "Recherche"
- Laisse travailler l'outil
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Aide en images : "Recherche"

Cela fait deux rapports à poster

Smart

Caligula78 · Answer

Alors 1er rapport de AD-R :

======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 09:41:34 le 05/03/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 2 (X86) 
Famille Noyer@NOYER ( ) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Program Files\PacificPoker

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKCU\Software\pacificpoker
Clé supprimée: HKCU\Software\pokerinstaller
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{5AA2BA46-9913-4DC7-9620-69AB0FA17AE7}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.15 (fr)] ****

HKLM_MozillaPlugins\@zylom.com/ZylomGamesPlayer (x)

-- C:\Documents and Settings\Famille Noyer\Application Data\Mozilla\FireFox\Profiles\5z82n4db.default --
Extensions\fr@dictionaries.addons.mozilla.org (Dictionnaire français «Réforme 1990»)
Extensions\{B2DA00A7-44EC-4EE0-BCAF-202DF33AB878} (FireSpy)
Extensions\{b66bc4c3-6d25-4a10-8c59-01daa9063051} (FoxGame)
Extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781} (Greasemonkey)
Prefs.js - browser.startup.homepage, hxxp://www.google.fr
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.15

========================================

**** Internet Explorer Version [7.0.5730.13] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar\ShellBrowser|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (x)
HKCU_Toolbar\WebBrowser|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (x)
HKCU_Toolbar\WebBrowser|{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} (C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll)
HKLM_Toolbar|{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} (C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll)
HKLM_Extensions\{4B30061A-5B39-11D3-80F8-0090276F843F} - "Net2Phone" (n2p.ico)
BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "AcroIEHlprObj Class" (C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 1 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 05/03/2011 09:52:34 (993 Octet(s)) 

Fin à: 09:54:43, 05/03/2011 
 
============== E.O.F ============== 



Je m'attelle à USB fixe là

Smart91 · Answer

OK j'attends le rapport USBFix

Smart

Caligula78 · Answer

Voilà le rapport USBfix :

############################## | UsbFix 7.041 | [Recherche]

Utilisateur: Famille Noyer (Administrateur) # NOYER [ ]
Mis à jour le 24/02/2011 par TeamXscript
Lancé à 10:05:32 | 05/03/2011
Site Web: http://www.teamxscript.org
Un fichier non reconnu ? : http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: AMD Athlon(tm) Processor
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 7.0.5730.13

Pare-feu Windows: Activé
Antivirus: avast! Antivirus 5.0.83952505 [Enabled | Updated]
RAM -> 511 Mo 
C:\ (%systemdrive%) -> Disque fixe # 76 Go (28 Go libre(s) - 36%) [Nouveau nom] # NTFS
D:\ -> Disque fixe # 4 Go (622 Mo libre(s) - 16%) [WIN98] # FAT32
E:\ -> Disque fixe # 4 Go (2 Go libre(s) - 61%) [WIN2000] # NTFS
F:\ -> Disque fixe # 29 Go (8 Go libre(s) - 26%) [FICHIERS] # NTFS
G:\ -> CD-ROM
H:\ -> Disque fixe # 186 Go (98 Go libre(s) - 53%) [] # NTFS

################## | Éléments infectieux |


Présent! F:\Warcraft III.lnk

################## | Registre |

Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoChangeStartMenu
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoClose
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFind
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsHistory
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsMenu
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoTrayContextMenu

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{1b23220e-15fd-11dc-97e5-0040f4cab791}
Shell\AutoRun\Command = RavMon.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{27dad96a-6a4c-11de-9b88-0040f4cab791}
Shell\AutoRun\Command = WD_Windows_Tools\Setup.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{2c9f4554-58ff-11dc-9812-0040f4cab791}
Shell\Auto\Command = AdobeR.exe e
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\.\.\.\.\Explorer\MountPoints2\{7bff8db4-df12-11db-9742-0040f4cab791}
Shell\AutoRun\Command = H:\RavMon.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{e633734a-ed30-11db-975d-0040f4cab791}
Shell\AutoRun\Command = H:\Autorun.exe /run
Shell\Shell00\Command = H:\Autorun.exe /run
Shell\Shell01\Command = H:\Autorun.exe /action
Shell\Shell02\Command = H:\Autorun.exe /uninstall


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

Smart91 · Answer

OK. Relance AD-Remover et choisis "désinstaller" 

Ensuite on va faire le nettoyage et la vaccination: 
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir 
-  Double clique sur le raccourci UsbFix sur ton Bureau 
- Clique sur "Suppression" 
- Laisse travailler l'outil 
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal 
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur) 

/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution ! 

Aide en images : "Nettoyage" 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

OK. On va faire un scan généraliste pour vérification.

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser 
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Smart

Smart91 · Answer

Laisse tomber le scan avec MBAM. C'est vrai on l'a déjà fait en début.
refais un scan ZHPDiag et poste le rapport via cijoint

Smart

bbnaute · Answer

Merci ! Voici les deux rapports RogueKiller V4.1.0 par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: VISTA [Droits d'admin] Mode: Suppression -- Date : 05/03/2011 18:49:51 Processus malicieux: 1 [APPDT/TMP/DESKTOP] RogueKiller[1].exe -- c:\users\vista\appdata\local\microsoft\windows\temporary internet files\content.ie5\lw434uo0\roguekiller[1].exe -> KILLED Entrees de registre: 1 [APPDT/TMP/DESKTOP] HKCU\[...]\RunOnce : iOiAcBi16635 (C:\ProgramData\iOiAcBi16635\iOiAcBi16635.exe) -> DELETED Fichier HOSTS: 127.0.0.1 3dns-3.adobe.com 127.0.0.1 3dns-2.adobe.com 127.0.0.1 activate.adobe.com 127.0.0.1 activate.adobe.com:443 127.0.0.1 activate-sea.adobe.com 127.0.0.1 activate-sjc0.adobe.com 127.0.0.1 activate.wip3.adobe.com 127.0.0.1 192.150.18.108 127.0.0.1 adobeereg.com 127.0.0.1 adobe-dns.adobe.com 127.0.0.1 adobe-dns-2.adobe.com 127.0.0.1 adobe-dns-3.adobe.com 127.0.0.1 ereg.wip3.adobe.com 127.0.0.1 ereg.adobe.com 127.0.0.1 practivate.adobe.com 127.0.0.1 wip3.adobe.com 127.0.0.1 wwis-dubc1-vip60.adobe.com 127.0.0.1 activate.adobe.com Termine Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Version de la base de données: 5966 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.19019 05/03/2011 20:53:59 mbam-log-2011-03-05 (20-53-59).txt Type d'examen: Examen complet (C:\|) Elément(s) analysé(s): 369258 Temps écoulé: 56 minute(s), 38 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 3 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): c:\programdata\ioiacbi16635\ioiacbi16635.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. c:\Users\VISTA\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\5BK0S2RS\antispywaresetup[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. c:\Users\VISTA\Desktop\rk_quarantine\ioiacbi16635.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Smart91 · Answer

OK.  On va passer à la phase finale. il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Fais les mises à jour suivantes:

Mise à jour Windows XP vers SP3:
http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr

Mise à jour IE8
https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70

Mise à jour Avast 5 vers Avast 6:
Ouvre Avast Antivirus, va dans Maintenance puis dans Mise à jour et clique sur Mise à jour du programme

Mise à jour Java 6 update 24 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 24

Mise à jour Adobe Reader 10.0.1
Désinstalle Adobe
Installer Adobe 10.0.1

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour 

Optimisation:

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
CTFDisabled
O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline 
O23 - Service:  (c040384c-7cb5-45a3-b1f9-be07c2f57edf) - Clé orpheline
OPT:O4 - HKLM\..\Run: [QuickFinder Scheduler] . (.Novell, Inc., c/o Corel Corporation Limited - QuickFinder Index Scheduler.) -- C:\Program Files\Corel\WordPerfect Office 2002\Programs\QFSCHD100.exe  
OPT:O4 - HKLM\..\Run: [OrderReminder] . (.Hewlett-Packard - HP Cartridge Order Reminder.) -- C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe
OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper Module.) -- C:\Program Files\iTunes\iTunesHelper.exe
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-1085031214-1580436667-682003330-1003\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.exe.lnk . (.Adobe Systems, Inc..)  -- C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk . (.Adobe Systems Incorporated.)  -- C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk . (.Microsoft Corporation.)  -- C:\Program Files\Microsoft Office\Office\OSA9.EXE
OPT:O23 - Service:  (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
OPT:SS - | Auto 29/08/2008 238888 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe  

---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse

Fais déjà ceci on fera le reste ensuite

Smart

gen-hackman · Answer

c'est impressionnant le nombre de sans genes qui se croient tout permis et tout acquis !! faut pas leur en vouloir ceci n'est que le reflet de leur savoir-vivre :)

Caligula78 · Answer

Je suis en train d'effectuer les mises à jours là.

Ai-je interet à activer les mises à jour automatiques de Windows ?

Et ensuite dans ton post précédent tu avais parlé de suppression puis vaccination, et il ne me semble pas avoir fait de vaccination. Je ne veux pas critiquer ou quoi que ce soit, c'est juste pour savoir si c'est voulu ou si c'est un oubli.

En tout cas merci beaucoup, je suis en train de tout mettre à jour là =)

Smart91 · Answer

La vaccination a téét faite ==> 
C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)  
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)  
E:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)  
F:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)  
H:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)  

Active les mises à jour de Windows et passe par IE 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Caligula78 · Answer

Autant pour moi pour la vaccination ^^

J'ai activé les mises à jour de Windows, passé par IE ==> même problème (même message d'erreur).

Du coup j'ai redémarré l'ordinateur pour bien m'assurer que "activer les mises à jour automatiques" avait bien été enregistré, c'est bien le cas, mais en réessayant de mettre à jour toujours ce meme message d'erreur "stratégie réseau".

J'ai été voir un peu dans panneau de configuration/centre de sécurité ce que disait l'option mises à jour automatiques, elles se font normalement à 3h du matin, j'ai programmé la suivante pour 19h pour voir si une fois qu'elle se sera effectuée ca marchera mieux.

Merci beaucoup pour tes marches à suivre détailler, j'espère que je ne t'enquiquine pas trop!

Je reviens poster après avoir essayé une fois que les mises à jours automatiques se seront effectuées.

Smart91 · Answer

Regarde ce lien:

https://forum.zebulon.fr/topic/54129-windows-update-met-un-message-derreur

Smart

Smart91 · Answer

Sinon, c'est une mise à jour vraiment importante ou on pourrait continuer sans ? 

Oui les mises à jour de Windows sont importantes
On va faire autrement:
- Télécharge WinUpdateFix (d'Xplode) sur ton bureau.
- Lance le et appuie sur Créer un rapport de diagnostic.
- Copie/Colle le contenu du rapport qui s'ouvrira dans ta prochaine réponse.

* Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\WinUpdateFix.txt )

Smart

Smart91 · Answer

OK. No Problem

Smart

Caligula78 · Answer

De retour !

En fait après quelques redémarrages et installations de mises à jour automatiques de windows, le pack SP3 s'est proposé de lui-même en mise à jour et je l'ai donc installé. Après redémarrage de l'ordinateur j'ai fait Démarrer/exécuter/winver et il m'a bien indiqué Windows XP SP3.

Merci beaucoup et désolé d'avoir posé plein de soucis tant que ça ne fonctionnait pas ^^

On passe à l'optimisation maintenant ? (Page 1 tu avais donné des consignes, notamment du texte à copier coller dans ZHPDiag ou ZHPFix, je fais ça maintenant ?)

Smart91 · Answer

Comme il s'est passé pas de temps, le mieux est de refaire un scan ZHPDiag et de poster le rapport via cijoint

Smart

Smart91 · Answer

Aucune iquitétude  avec Avast c'est un faux positif.

Tu peux continuer la sute. ==>

https://forums.commentcamarche.net/forum/affich-21077460-windows-xp-infecte-par-system-tool#29

Smart

Smart91 · Answer

C'est bon fait la suite. Normalement ton PC dopit être plus rapide.

Smart

Smart91 · Answer

Oui désolé tu as raison.

1. Désinstallation des outils

Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer » 
Tutoriel pour t'aide 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Désactiver la restauration système et céer un point de restauration 
Dans la barre des tâches de Windows, clique sur Démarrer. 
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
Clique sur Appliquer. 
Ensuite décoche "Désactiver la restauration du systeme" 
Clique sur appliquer puis ok 
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

- Par rapport au P2P : http://www.libellules.ch/... 

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas 

Smart

Caligula78 · Answer

Tu ne peux pas imaginer mon soulagement et ma reconnaissance quand je peux enfin taper ces mots : PROBLEME RESOLU !

J'ai tout suivi jusqu'au bout, aucun problème dans la dernière ligne droite.

Je vais me répéter, mais vraiment MERCI BEAUCOUP SMART91. Je ne suis pas un bot que tu aurais créé, juste un utilisateur reconnaissant devant tant de dévouement et de suivi professionnel jusqu'au bout, même devant mes difficultés de néophyte qui devaient parfois te faire sourire...




Petite question : j'ai un peu fureté sur ce forum pendant mon problème, j'ai vu quelqu'un qui recommandait d'installer WOT pour vérifier la fiabilité des sites sur lesquels on se connectait. N'étant pas le seul utilisateur de cet ordinateur, je me disais que c'était peut-être un bon moyen pour sensibiliser/avertir les autres utilisateurs ?

Petite question bis : Quand on achète un ordinateur neuf, en dehors d'un antivirus (du type Avast), y a-t-il d'autres logiciels qu'il est préférable d'installer, que ce soit au niveau sécurité/optimisation ?

P.S : Les questions c'est du bonus puisque tu proposais, si jamais t'as pas le temps parce que tu fais d'autres désinfections je comprendrais tout à fait, celle-ci est enfin terminée !

Smart91 · Answer

Merci pour ta reconnaissance. cela fait plaisir

En effet tu peux installer WOT
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

Sachant que la version 6 de Avast fais la même chose avec l'option Webrep., mais c'est nouveua le nombre de site répertoriés est limité.
Tu peux avoie WOT et avast Webrep installé en même temps.

Quand tu achète un ordinateur neuf, souvent tu as un antivirus installé mais c'est une version limitée dans le temps, ensuite il faut l'acheter.
Installe Avast 6 qui est très bien et gratuit. Ensuitte il faut que tu actives le parefeu de Windows. Et c'est tout.
 Comme je l'ai déjà dit tu peux aussi installer MBAM et faire une fois voire deux fois par mois un scan. Mais surtout ne pas oublier de faire la mise à jour de la base virale de MBAM avant le scan.

Avant tout, la protection de ton PC c'est toi qui l'a fait, en étant vigilant lorsque l'on surfe sur internet. Eviter de télécharger n'importe quoi, bien lire les conditions avant de cliquer sur install. Ne pas les barres d'outils cela ne sert à rien...

Lis bien le dossier que je t'ai donné:
Prévention et Protection

Smart

Smart91 · Answer

Pas de souci. je mets en résolu.
Heureux de t'avoir aidé.

Smart

Windows XP infecté par system tool

32 réponses

Newsletters