Auteur Sujet: ministere de l'interieur virus et ZeroAccess [Résolu]  (Lu 12349 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne matt

  • Membres
  • Members
  • *
  • Messages: 28
ministere de l'interieur virus et ZeroAccess [Résolu]
« le: novembre 08, 2012, 16:15:08 »
Bonjour Chantal11

Je suis sous windows vista, et j'ai a mon tour été infecté par le virus du ministere de l'interieur, si j'ai le wiffi conecté, la fenetre du gouvernement apparait. j'ai donc suivis les conseils que tu donnais a nathavia et donc j'ai redemarré sous mode sans échec, telecharger OTL etc...j'ai scanner et j'ai les deux fichiers OTL.TXt et extras txt. Voici les liens OTL suivis de Extras

http://security-x.fr/up/file.php?h=Rfd65faec56ce9f1b58862ba8c12a3fef

http://security-x.fr/up/file.php?h=Rf0678474da3115502e1e6348ba6f5683

Ais-je tout bien fait ? En attente de ta réponse

Merci d'avance
« Modifié: novembre 11, 2012, 18:06:42 par chantal11 »

Security-X

ministere de l'interieur virus et ZeroAccess [Résolu]
« le: novembre 08, 2012, 16:15:08 »

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23390
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : ministere de l'interieur virus
« Réponse #1 le: novembre 08, 2012, 17:14:42 »
Bonjour matt et bienvenue sur Security-X,

Ton Vista n'est pas à jour et tes plugins/extensions non plus, notamment Java.
Le rogue en a profité et a exploité ces failles de sécurité.

Toujours en mode sans échec :

----------------------------------------------------------------------------------------------

  OTL :

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :OTL)
    Citer
    :OTL
    IE - HKLM\..\SearchScopes\{a5b9c0f5-5616-47cd-a95f-e43b488faccf}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XPxdm049YYfr&ptnrS=XPxdm049YYfr&si=38885&ptb=B55D1CBE-059F-48A5-A490-B6177731C23E&psa=&ind=2012102709&st=sb&n=77ee4035&searchfor={searchTerms}
    IE - HKLM\..\SearchScopes\{DC9A3994-0E55-43D6-938D-05E871DC8396}: "URL" = http://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913932
    IE - HKU\S-1-5-21-469815061-3045077125-3109416129-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
    IE - HKU\S-1-5-21-469815061-3045077125-3109416129-1000\..\URLSearchHook: {0696f815-a3a9-490a-bb14-9ec3350b1276} - No CLSID value found
    IE - HKU\S-1-5-21-469815061-3045077125-3109416129-1000\..\SearchScopes\{3ED48864-FBC9-4642-9D8C-FE0C79D0AB55}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=fr_FR&apn_ptnrs=U3&apn_dtid=OSJ000YYFR&apn_uid=098C1E82-4471-41F4-9330-B3170C2EC539&apn_sauid=B4D9F26B-CDF5-43B0-97C7-B31CFD127576
    IE - HKU\S-1-5-21-469815061-3045077125-3109416129-1000\..\SearchScopes\{a5b9c0f5-5616-47cd-a95f-e43b488faccf}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XPxdm049YYfr&ptnrS=XPxdm049YYfr&si=38885&ptb=B55D1CBE-059F-48A5-A490-B6177731C23E&psa=&ind=2012102709&st=sb&n=77ee4035&searchfor={searchTerms}
    IE - HKU\S-1-5-21-469815061-3045077125-3109416129-1000\..\SearchScopes\{DC9A3994-0E55-43D6-938D-05E871DC8396}: "URL" = http://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913932
    FF - HKLM\Software\MozillaPlugins\@TelevisionFanatic.com/Plugin: C:\Program Files\TelevisionFanatic\bar\1.bin\NP64Stub.dll (MindSpark)
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\64ffxtbr@TelevisionFanatic.com: C:\Program Files\TelevisionFanatic\bar\1.bin [2012/11/07 21:14:21 | 000,000,000 | ---D | M]
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
    O3 - HKLM\..\Toolbar: (TelevisionFanatic) - {c98d5b61-b0ea-4d48-9839-1079d352d880} - C:\Program Files\TelevisionFanatic\bar\1.bin\64bar.dll (MindSpark)
    O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
    O3 - HKU\S-1-5-21-469815061-3045077125-3109416129-1000\..\Toolbar\WebBrowser: (TelevisionFanatic) - {C98D5B61-B0EA-4D48-9839-1079D352D880} - C:\Program Files\TelevisionFanatic\bar\1.bin\64bar.dll (MindSpark)
    O3 - HKU\S-1-5-21-469815061-3045077125-3109416129-1000\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
    O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask)
    O4 - HKLM..\Run: [NPSStartup]  File not found
    O4 - Startup: C:\Users\Dub's\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation)
    O33 - MountPoints2\{8ef99aa4-3cd4-11df-8614-00238be1d083}\Shell\AutoRun\command - "" = F:\LJUBAVNICA//vesnakurva.exe
    O33 - MountPoints2\{8ef99aa4-3cd4-11df-8614-00238be1d083}\Shell\open\command - "" = F:\LJUBAVNICA//vesnakurva.exe
    O33 - MountPoints2\{a06483fb-e417-11de-90bc-00238be1d083}\Shell\AutoRun\command - "" = F:\LJUBAVNICA//vesnakurva.exe
    O33 - MountPoints2\{a06483fb-e417-11de-90bc-00238be1d083}\Shell\open\command - "" = F:\LJUBAVNICA//vesnakurva.exe
    [2012/10/27 14:53:05 | 000,000,000 | ---D | C] -- C:\Program Files\TelevisionFanatic
    [1 C:\Program Files\*.tmp files -> C:\Program Files\*.tmp -> ]
    [2012/11/07 20:07:12 | 000,278,016 | ---- | M] () -- C:\Users\Dub's\0.2402570066016595.exe
    [2012/11/07 20:06:43 | 000,000,772 | ---- | M] () -- C:\Users\Dub's\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
    [2012/11/07 20:06:41 | 000,044,544 | ---- | M] (Microsoft Corporation) -- C:\ProgramData\lsass.exe
    [2012/11/07 20:06:41 | 083,023,306 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.pad

    :reg
    [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
    "ThreadingModel"="Both"
    ""="C:\Windows\system32\shell32.dll"

    :files
    ipconfig /flushdns /c

    :Commands
    [EMPTYTEMP]
    [CREATERESTOREPOINT]
  • Colle l'intégralité du script dans le cadre Personnalisation
  • Clique ensuite sur le bouton Correction

  • L'outil lance la suppression, ne pas l'interrompre
  • Si l'outil te demande de redémarrer le PC, tu acceptes
  • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
    les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

Tu devrais pouvoir redémarrer en mode normal pour faire la suite :

----------------------------------------------------------------------------------------------

RogueKiller :

  • Télécharge RogueKiller de Tigzy, en cliquant sur le lien de téléchargement et enregistre-le sur ton Bureau
  • /!\ Important -> Quitte tous les programmes en cours
  • Double-clique sur RogueKiller.exe sur ton Bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Patiente le temps du Prescan, puis clique sur Scan

  • Clique sur Rapport et poste le contenu de ce rapport dans ta prochaine réponse
Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

---------------------------------------------------------------------------------------------

Sont attendus les rapports :
  • C:\_OTL\MovedFiles\********_******.log
  • RogueKiller
@+
« Modifié: novembre 08, 2012, 19:34:28 par chantal11 »
 

Hors ligne matt

  • Membres
  • Members
  • *
  • Messages: 28
Re : ministere de l'interieur virus
« Réponse #2 le: novembre 08, 2012, 17:44:42 »
je copie et appuie sur corriger mais mon ordi plante..jai recommencé deux fois et meme chose a chaque fois, le gestionnaire des taches que j'ouvre m'indique qu'il n'y a pas de reponse pour OTL...j'ai également coché les trois cases "tous les utilisateurs","recherche lop", et " recherche purity" comme indiqué comme sur le schéma, même si tu ne me l'a pas indiqué..ais-je fais une erreur ? que dois-je faire ?

Merci encore

Hors ligne matt

  • Membres
  • Members
  • *
  • Messages: 28
Re : ministere de l'interieur virus
« Réponse #3 le: novembre 08, 2012, 17:50:02 »
mon OTL indique une case a coché "sans fichiers microsft" entre les cases " avec liste blanche des sociétés" et 'use no compagny name while list...
ais je le bon OTL ? je sais pas si cela a a voir.. mais jai pourtant utilisé le meme que pour te donner les liens OTL exe et EXtras...

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23390
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : ministere de l'interieur virus
« Réponse #4 le: novembre 08, 2012, 18:30:09 »
Re,

Non pour le correctif OTL, tu dois suivre les indications précisées.
Il n'y a pas de case à cocher, juste à copier/coller le script sous Personnalisation et cliquer sur le bouton Correction.

Tu copies bien l'intégralité du script ?
Tu laisses bien travailler l'outil ?
Il ne faut pas tenir compte si l'outil indique qu'il ne répond pas, patiente le temps de la correction.

Tu veux bien le recommencer tranquillement voir si le correctif va jusqu'au bout ?

Si le correctif échoue, passe à RogueKiller, toujours en mode sans échec, et poste le rapport.

@+
 

Hors ligne matt

  • Membres
  • Members
  • *
  • Messages: 28
Re : ministere de l'interieur virus
« Réponse #5 le: novembre 08, 2012, 22:19:59 »
Parfait la correction a fonctionné, jai redémarré l'ordi, le rapport du contenu que je vais posté est le document en texte correspondant a lheure ou j'ai redemarré l'ordi, j'ai fait copié collé, est-ce que je me tropmpe ?

que faire ensuite ? avant de revenir en mode normal pour télécharger roquekiller ?

Encore merci pour ton temps et ta patience

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23390
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : ministere de l'interieur virus
« Réponse #6 le: novembre 08, 2012, 22:26:46 »
Re,

Tu as tenté de redémarrer en mode normal ?

Ensuite tu lances RogueKiller.

N'oublie pas de poster le rapport du correctif OTL.

@+
 

Hors ligne matt

  • Membres
  • Members
  • *
  • Messages: 28
Re : ministere de l'interieur virus
« Réponse #7 le: novembre 08, 2012, 23:22:00 »
voici le correctif otl, j'espere ne pas me tromper


All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{a5b9c0f5-5616-47cd-a95f-e43b488faccf}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a5b9c0f5-5616-47cd-a95f-e43b488faccf}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{DC9A3994-0E55-43D6-938D-05E871DC8396}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DC9A3994-0E55-43D6-938D-05E871DC8396}\ not found.
Registry value HKEY_USERS\S-1-5-21-469815061-3045077125-3109416129-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{00000000-6E41-4FD3-8538-502F5495E5FC} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\ not found.
File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_USERS\S-1-5-21-469815061-3045077125-3109416129-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{0696f815-a3a9-490a-bb14-9ec3350b1276} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0696f815-a3a9-490a-bb14-9ec3350b1276}\ not found.
Registry key HKEY_USERS\S-1-5-21-469815061-3045077125-3109416129-1000\Software\Microsoft\Internet Explorer\SearchScopes\{3ED48864-FBC9-4642-9D8C-FE0C79D0AB55}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3ED48864-FBC9-4642-9D8C-FE0C79D0AB55}\ not found.
Registry key HKEY_USERS\S-1-5-21-469815061-3045077125-3109416129-1000\Software\Microsoft\Internet Explorer\SearchScopes\{a5b9c0f5-5616-47cd-a95f-e43b488faccf}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a5b9c0f5-5616-47cd-a95f-e43b488faccf}\ not found.
Registry key HKEY_USERS\S-1-5-21-469815061-3045077125-3109416129-1000\Software\Microsoft\Internet Explorer\SearchScopes\{DC9A3994-0E55-43D6-938D-05E871DC8396}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DC9A3994-0E55-43D6-938D-05E871DC8396}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@TelevisionFanatic.com/Plugin\ not found.
File C:\Program Files\TelevisionFanatic\bar\1.bin\NP64Stub.dll not found.
Registry value HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\64ffxtbr@TelevisionFanatic.com not found.
File C:\Program Files\TelevisionFanatic\bar\1.bin not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{c98d5b61-b0ea-4d48-9839-1079d352d880} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c98d5b61-b0ea-4d48-9839-1079d352d880}\ not found.
File C:\Program Files\TelevisionFanatic\bar\1.bin\64bar.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_USERS\S-1-5-21-469815061-3045077125-3109416129-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{C98D5B61-B0EA-4D48-9839-1079D352D880} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C98D5B61-B0EA-4D48-9839-1079D352D880}\ not found.
File C:\Program Files\TelevisionFanatic\bar\1.bin\64bar.dll not found.
Registry value HKEY_USERS\S-1-5-21-469815061-3045077125-3109416129-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ApnUpdater not found.
File C:\Program Files\Ask.com\Updater\Updater.exe not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NPSStartup not found.
File move failed. C:\Users\Dub's\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk scheduled to be moved on reboot.
File C:\ProgramData\lsass.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8ef99aa4-3cd4-11df-8614-00238be1d083}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8ef99aa4-3cd4-11df-8614-00238be1d083}\ not found.
File F:\LJUBAVNICA//vesnakurva.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8ef99aa4-3cd4-11df-8614-00238be1d083}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8ef99aa4-3cd4-11df-8614-00238be1d083}\ not found.
File F:\LJUBAVNICA//vesnakurva.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a06483fb-e417-11de-90bc-00238be1d083}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a06483fb-e417-11de-90bc-00238be1d083}\ not found.
File F:\LJUBAVNICA//vesnakurva.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a06483fb-e417-11de-90bc-00238be1d083}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a06483fb-e417-11de-90bc-00238be1d083}\ not found.
File F:\LJUBAVNICA//vesnakurva.exe not found.
Folder C:\Program Files\TelevisionFanatic\ not found.
File/Folder C:\Program Files\*.tmp not found.
File C:\Users\Dub's\0.2402570066016595.exe not found.
File C:\Users\Dub's\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found.
File C:\ProgramData\lsass.exe not found.
File C:\ProgramData\dsgsdgdsgdsgw.pad not found.
========== REGISTRY ==========
HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32\\"ThreadingModel"|"Both" /E : value set successfully!
HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32\\""|"C:\Windows\system32\shell32.dll" /E : value set successfully!
========== FILES ==========
< ipconfig /flushdns /c >
Configuration IP de Windows
Cache de r‚solution DNS vid‚.
C:\Users\Dub's\Desktop\cmd.bat deleted successfully.
C:\Users\Dub's\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Dub's
->Temp folder emptied: 237544673 bytes
->Temporary Internet Files folder emptied: 1640907670 bytes
->Java cache emptied: 97781 bytes
->Flash cache emptied: 202647 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 83333076 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 1 871,00 mb
 
System Restore Service not available.
 
OTL by OldTimer - Version 3.2.69.0 log created on 11082012_214132

Hors ligne matt

  • Membres
  • Members
  • *
  • Messages: 28
Re : ministere de l'interieur virus
« Réponse #8 le: novembre 08, 2012, 23:38:58 »
Voici le lien de RoqueKiller, j'ai redémarrer l'ordi en mode normal, le virus ne vient plus me perturber lors de la connecxion a internet, génial cela a l'air de bien fonctionner ! y-a-t-il d'autres étapes ? le virus a-t-il définitivement disparu ? merci encore !!


RogueKiller V8.2.3 [07/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Dub's [Droits d'admin]
Mode : Recherche -- Date : 08/11/2012 23:32:48

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 9 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Facebook Update ("C:\Users\Dub's\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-469815061-3045077125-3109416129-1000[...]\Run : Facebook Update ("C:\Users\Dub's\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver) -> TROUVÉ
[Services][ROGUE ST] HKLM\[...]\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49} (C:\Program Files\Hewlett-Packard\Media\DVD\000.fcl) -> TROUVÉ
[TASK][SUSP PATH] FacebookUpdateTaskUserS-1-5-21-469815061-3045077125-3109416129-1000UA.job : C:\Users\Dub's\AppData\Local\Facebook\Update\FacebookUpdate.exe  -> TROUVÉ
[TASK][SUSP PATH] FacebookUpdateTaskUserS-1-5-21-469815061-3045077125-3109416129-1000Core.job : C:\Users\Dub's\AppData\Local\Facebook\Update\FacebookUpdate.exe  -> TROUVÉ
[TASK][SUSP PATH] FacebookUpdateTaskUserS-1-5-21-469815061-3045077125-3109416129-1000Core : C:\Users\Dub's\AppData\Local\Facebook\Update\FacebookUpdate.exe /c /nocrashserver -> TROUVÉ
[TASK][SUSP PATH] FacebookUpdateTaskUserS-1-5-21-469815061-3045077125-3109416129-1000UA : C:\Users\Dub's\AppData\Local\Facebook\Update\FacebookUpdate.exe /ua /installsource scheduler -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-469815061-3045077125-3109416129-1000\$ff24043d55f85ce9a20a8337d9b4b888\@ --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-469815061-3045077125-3109416129-1000\$ff24043d55f85ce9a20a8337d9b4b888\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-469815061-3045077125-3109416129-1000\$ff24043d55f85ce9a20a8337d9b4b888\L --> TROUVÉ

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1       localhost
::1             localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0:  +++++
--- User ---
[MBR] ccdf17d7e9e510c30e34c616b246449f
[BSP] 64e337131f490ad902cc12c1a0c940ba : Toshiba tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 466095 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 954564608 | Size: 10841 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_08112012_233248.txt >>
RKreport[1]_S_08112012_233248.txt




Hors ligne matt

  • Membres
  • Members
  • *
  • Messages: 28
Re : ministere de l'interieur virus
« Réponse #9 le: novembre 09, 2012, 00:11:06 »
est ce que je peux quitter la fenetre du scan roguekiller, ? il me demande si je souhaite supprimer les éléments...

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23390
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : ministere de l'interieur virus
« Réponse #10 le: novembre 09, 2012, 08:44:41 »
Bonjour,

Citer
j'ai redémarrer l'ordi en mode normal, le virus ne vient plus me perturber lors de la connecxion a internet,

OK, une bonne chose, mais tu n'es pas encore sorti d'affaire.
Le ransomware n'est pas venu tout seul et il y a une infection plus coriace à supprimer.
On l'a déjà entamé avec le correctif OTL, RogueKiller va s'occuper du reste.

---------------------------------------------------------------------------------------------

RogueKiller :

  • /!\ Important -> Quitte tous les programmes en cours
  • Double-clique sur RogueKiller.exe sur ton Bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Accepte l'EULA du programme
  • Patiente le temps du Prescan, puis clique sur Scan
  • Dans l'onglet Registre décoche les 9 entrées trouvées
  • Clique sur Suppression, puis sur Rapport et poste le contenu de ce rapport dans ta prochaine réponse
Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

---------------------------------------------------------------------------------------------

  Malwarebyte's Anti-Malware :

  • Télécharge Malwarebytes Anti-Malware en cliquant sur Download Now et enregistre le sur le Bureau
  • Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
  • Clique sur Terminer
  • Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
  • Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
  • Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
  • Sélectionne ton disque dur, puis clique sur Lancer l'examen
  • A la fin du scan, clique sur Afficher les résultats
  • Pour supprimer les éléments détectés, clique sur Supprimer la sélection
  • Si un redémarrage est demandé, clique sur Yes
  • Le rapport mbam-log[date-heure].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
----------------------------------------------------------------------------------------------

Sont attendus les rapports :
  • RogueKiller
  • mbam-log[date-heure].txt
@+

@+
 

Hors ligne matt

  • Membres
  • Members
  • *
  • Messages: 28
Re : ministere de l'interieur virus
« Réponse #11 le: novembre 09, 2012, 10:14:43 »
Rapport apres supression des 9 éléments décochés:


RogueKiller V8.2.3 [07/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Dub's [Droits d'admin]
Mode : Suppression -- Date : 09/11/2012 10:12:40

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 9 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Facebook Update ("C:\Users\Dub's\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver) -> NON SELECTIONNÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-469815061-3045077125-3109416129-1000[...]\Run : Facebook Update ("C:\Users\Dub's\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver) -> NON SELECTIONNÉ
[Services][ROGUE ST] HKLM\[...]\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49} -> ERROR [0x5]
[TASK][SUSP PATH] FacebookUpdateTaskUserS-1-5-21-469815061-3045077125-3109416129-1000UA.job : C:\Users\Dub's\AppData\Local\Facebook\Update\FacebookUpdate.exe  -> NON SELECTIONNÉ
[TASK][SUSP PATH] FacebookUpdateTaskUserS-1-5-21-469815061-3045077125-3109416129-1000Core.job : C:\Users\Dub's\AppData\Local\Facebook\Update\FacebookUpdate.exe  -> NON SELECTIONNÉ
[TASK][SUSP PATH] FacebookUpdateTaskUserS-1-5-21-469815061-3045077125-3109416129-1000Core : C:\Users\Dub's\AppData\Local\Facebook\Update\FacebookUpdate.exe /c /nocrashserver -> NON SELECTIONNÉ
[TASK][SUSP PATH] FacebookUpdateTaskUserS-1-5-21-469815061-3045077125-3109416129-1000UA : C:\Users\Dub's\AppData\Local\Facebook\Update\FacebookUpdate.exe /ua /installsource scheduler -> NON SELECTIONNÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> NON SELECTIONNÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> NON SELECTIONNÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-469815061-3045077125-3109416129-1000\$ff24043d55f85ce9a20a8337d9b4b888\@ --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-469815061-3045077125-3109416129-1000\$ff24043d55f85ce9a20a8337d9b4b888\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-469815061-3045077125-3109416129-1000\$ff24043d55f85ce9a20a8337d9b4b888\L --> SUPPRIMÉ

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1       localhost
::1             localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0:  +++++
--- User ---
[MBR] f442b99a03bc081e24113db544fdc519
[BSP] 00f833f78562b2b4e14609e0625bd96b : Toshiba tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 466095 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 954564608 | Size: 10841 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3]_D_09112012_101240.txt >>
RKreport[1]_S_08112012_233248.txt ; RKreport[2]_S_09112012_101210.txt ; RKreport[3]_D_09112012_101240.txt


Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23390
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : ministere de l'interieur virus
« Réponse #12 le: novembre 09, 2012, 11:25:35 »
Re,

OK, tu postes le rapport Malwarebytes quand l'analyse sera terminée  ;)

@+
 

Hors ligne matt

  • Membres
  • Members
  • *
  • Messages: 28
Re : ministere de l'interieur virus
« Réponse #13 le: novembre 09, 2012, 13:28:15 »
j'ai redémarré l'ordi aprés l'analyse, le rapport était ouvert, mais aprés le redémarrage je ne trouve plus le rapport...ou est ce que je peux aller le chercher ?

Hors ligne matt

  • Membres
  • Members
  • *
  • Messages: 28
Re : ministere de l'interieur virus
« Réponse #14 le: novembre 09, 2012, 13:35:49 »
je pense avoir trouver mais il faut me confirmer si je n'ai pas mal fais : j'ai réouvert malwarebytes en tant que administrateur (puisque je suis vista) et j'ai ouvert l'onglet rapport/logs et la se trouvait le rapport donc je le copie colle...c'était la démarche a suivre ?



Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.11.09.04

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 8.0.6001.19088
Dub's :: PC-DE-DUBS [administrateur]

09/11/2012 10:34:51
mbam-log-2012-11-09 (10-34-51).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 410966
Temps écoulé: 2 heure(s), 43 minute(s), 51 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 88
HKCR\CLSID\{02515cef-2063-4d64-b87a-d504c99d40dd} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{aed3b1e0-fabb-4c27-a2da-ec8352ee7e30} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{9989BC14-9B5B-4B3B-8040-478FD1685E34} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{04d2b915-19ff-41e9-994d-95dc898bea43} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{0597d3be-9a4d-4426-a8a7-572ad299852e} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{4E7F49ED-8C94-4AAA-A407-3010D099B11A} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.SettingsPlugin.1 (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.SettingsPlugin (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{04D2B915-19FF-41E9-994D-95DC898BEA43} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{04D2B915-19FF-41E9-994D-95DC898BEA43} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{07494721-dfcf-41c1-8a03-b3fffb0f8409} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{952c6f00-cba7-47be-baf3-cfc5808e6c7b} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{1E34EA93-600B-4CBC-9858-59BE04C1A581} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{0e8a6cb6-3b14-491d-8bba-86a95a62ff72} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.PseudoTransparentPlugin.1 (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.PseudoTransparentPlugin (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{0E8A6CB6-3B14-491D-8BBA-86A95A62FF72} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{1D7E63AF-274B-426B-B51D-ADF161DF7F24} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.HTMLMenu.1 (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.HTMLMenu (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D7E63AF-274B-426B-B51D-ADF161DF7F24} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{387dface-9e46-415f-8c86-18083b7d6ead} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{73cadbbd-4dc5-419d-84f1-e7bf4c3b20c4} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{32CC4D2E-999C-4853-9D3E-5DE4C02D57C6} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{38deffd9-9379-4ac4-baa9-1a883dba9cd2} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.MultipleButton.1 (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.MultipleButton (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{52d3c28f-c9ac-40b5-848f-1fb63d2badef} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.ScriptButton.1 (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.ScriptButton (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{5d79f641-c168-40df-a32f-bacea7509e75} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{5D79F641-C168-40DF-A32F-BACEA7509E75} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5D79F641-C168-40DF-A32F-BACEA7509E75} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{67d33c35-62e9-4f77-a284-9e9d256f7846} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.DynamicBarButton.1 (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.DynamicBarButton (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{6ffb45e3-cffc-4b3a-95eb-334cb53c85b0} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{a378fd9d-b406-44bb-96d2-8cdaa668713f} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{93A55DA3-83ED-4090-91B6-904C44647639} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.FeedManager.1 (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.FeedManager (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{7895609d-c8b4-4cf5-a2c7-28223d0c3d92} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{34979cb5-728d-4727-81bf-01850a3bb89b} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{934063FB-A81D-4849-B02C-478446DF3219} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.ThirdPartyInstaller.1 (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.ThirdPartyInstaller (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7895609D-C8B4-4CF5-A2C7-28223D0C3D92} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{7952f465-ac46-4a82-b383-870f3784d1cd} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.UrlAlertButton.1 (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.UrlAlertButton (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{7ad9c324-3672-4d33-8477-d9c8e627f4bf} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.Radio.1 (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.Radio (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{8be781d8-5e70-423d-82de-9e4756fce53c} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{026fd9ba-112b-4d9f-86ea-589e28016e8c} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{0328B630-EA94-4FA3-9F27-8250B6324DDB} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.XMLSessionPlugin.1 (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.XMLSessionPlugin (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8BE781D8-5E70-423D-82DE-9E4756FCE53C} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{91a8da6b-8013-44aa-b63f-00195312999a} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{03f59b4b-09d9-40f0-a01a-6e895023f2f0} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{42CB7963-EFE0-4737-A927-CE076FAA3BA0} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.RadioSettings.1 (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.RadioSettings (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{cb41fc95-f1b3-4797-8bb6-1012ff62abba} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CB41FC95-F1B3-4797-8BB6-1012FF62ABBA} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{CB41FC95-F1B3-4797-8BB6-1012FF62ABBA} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{CB41FC95-F1B3-4797-8BB6-1012FF62ABBA} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{d09094b3-b426-4f16-a6d9-e211fe222127} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D09094B3-B426-4F16-A6D9-E211FE222127} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{f02c0832-c85c-4b93-8c6f-9df20121a10d} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{6784d08d-cdc3-419d-9b97-744a351ed908} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{844C2331-94DF-431E-9A67-426ED861D27F} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.HTMLPanel.1 (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.HTMLPanel (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{F02C0832-C85C-4B93-8C6F-9DF20121A10D} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{fba7cbb1-fc93-4149-8862-d94451a7d167} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{608f7340-e221-4afb-a848-c4dad297cd58} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{966430CC-2097-45CA-8626-2C3F454C3297} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C98D5B61-B0EA-4D48-9839-1079D352D880} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C98D5B61-B0EA-4D48-9839-1079D352D880} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0696F815-A3A9-490A-BB14-9EC3350B1276} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4e7f49ed-8c94-4aaa-a407-3010d099b11a} (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.SkinLauncher (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.SkinLauncher.1 (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.SkinLauncherSettings (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKCR\TelevisionFanatic.SkinLauncherSettings.1 (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TelevisionFanaticbar Uninstall (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 6
C:\$RECYCLE.BIN\S-1-5-21-469815061-3045077125-3109416129-1000\$RS61H2I.exe (PUP.AdBundle) -> Mis en quarantaine et supprimé avec succès.
C:\_OTL\MovedFiles\11082012_172200\C_Program Files\TelevisionFanatic\bar\1.bin\64bar.dll (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\_OTL\MovedFiles\11082012_172200\C_Program Files\TelevisionFanatic\bar\1.bin\64impipe.exe (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\_OTL\MovedFiles\11082012_172200\C_Program Files\TelevisionFanatic\bar\1.bin\64Plugin.dll (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\_OTL\MovedFiles\11082012_172200\C_Program Files\TelevisionFanatic\bar\1.bin\NP64Stub.dll (PUP.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\_OTL\MovedFiles\11082012_172200\C_Users\Dub's\0.2402570066016595.exe (Trojan.ExploitDrop.BV) -> Mis en quarantaine et supprimé avec succès.

(fin)

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23390
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : ministere de l'interieur virus
« Réponse #15 le: novembre 09, 2012, 14:53:46 »
Re,

Citer
j'ai réouvert malwarebytes en tant que administrateur (puisque je suis vista) et j'ai ouvert l'onglet rapport/logs et la se trouvait le rapport donc je le copie colle...c'était la démarche a suivre ?

Tout à fait, c'était bien là qu'il fallait aller chercher le rapport s'il ne se ré-affichait pas après redémarrage.

Comment se comporte le système maintenant ?

---------------------------------------------------------------------------------------------

   Désinstalle via Panneau de configuration -> Programmes et fonctionnalités (si présents) :

- Ask Toolbar (sauf si réelle utilité)
- Ask Toolbar Updater (sauf si réelle utilité)
- AOL Toolbar (sauf si réelle utilité)
- TelevisionFanatic Toolbar (si toujours présent)
- Java(TM) 6 Update 7 (totalement obsolète)
- Norton Internet Security (reste certainement de ton ancienne protection)

---------------------------------------------------------------------------------------------

  AdwCleaner - Suppression :

  • Sur cette page, télécharge AdwCleaner de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
  • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
  • A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
    Le rapport se trouve sous C:\AdwCleaner(S).txt
Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

  SX Check&Update :

  • Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur SXC&U.exe pour lancer l'application
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
    A titre indicatif, la page de téléchargement http://get.adobe.com/fr/flashplayer/
  • Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
    A titre indicatif, la page de téléchargement http://www.java.com/fr/download/
  • Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
    A titre indicatif, la page de téléchargement http://get.adobe.com/fr/reader/?promoid=HTEGU
  • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
  • Referme l'outil et relance-le pour générer un rapport en cliquant sur le bouton Rapport
  • Copie-colle le contenu de ce rapport dans ta prochaine réponse.
Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXC&U.exe est sûr)

---------------------------------------------------------------------------------------------

Sont attendus les rapports :
  • AdwCleaner(S).txt
  • SX Check&Update
@+
 

Hors ligne matt

  • Membres
  • Members
  • *
  • Messages: 28
Re : ministere de l'interieur virus
« Réponse #16 le: novembre 09, 2012, 15:18:31 »
je ne peux pas supprimer ask toolbar car ils me disent de fermer toutes les fenetres de navigateur meme quand rien n'est ouvert pour le asktoolbar update, ils me disent que je dois demander la permission a l'utilisateur, c'est bizarre...est-ce important (je ne me sert pas du tout de asktoolbar) pour le reste c'est fait.

voici le rapport de adwcleaner


# AdwCleaner v2.007 - Rapport créé le 09/11/2012 à 15:11:59
# Mis à jour le 06/11/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : Dub's - PC-DE-DUBS
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Dub's\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\Ask.com
Dossier Supprimé : C:\ProgramData\Ask
Dossier Supprimé : C:\Users\Administrateur\AppData\LocalLow\AskToolbar
Dossier Supprimé : C:\Users\Dub's\AppData\LocalLow\AskToolbar
Dossier Supprimé : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk

***** [Registre] *****

Clé Supprimée : HKCU\Software\APN
Clé Supprimée : HKCU\Software\AppDataLow\Software\AskToolbar
Clé Supprimée : HKCU\Software\Ask.com
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Clé Supprimée : HKLM\Software\APN
Clé Supprimée : HKLM\Software\AskToolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{13119113-0854-469D-807A-171568457991}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{33119133-0854-469D-807A-171568457991}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{761F6A83-F007-49E4-8EAC-CDB6808EF06F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{76C45B18-A29E-43EA-AAF8-AF55C2E1AE17}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{96EF404C-24C7-43D0-9096-4CCC8BB7CCAC}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{97720195-206A-42AE-8E65-260B9BA5589F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{97D69524-BB57-4185-9C7F-5F05593B771A}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{986F7A5A-9676-47E1-8642-F41F8C3FCF82}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B18788A4-92BD-440E-A4D1-380C36531119}
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{23119123-0854-469D-807A-171568457991}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{03119103-0854-469D-807A-171568457991}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.19088

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [4146 octets] - [09/11/2012 15:11:59]

########## EOF - C:\AdwCleaner[S1].txt - [4206 octets] ##########

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23390
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : ministere de l'interieur virus
« Réponse #17 le: novembre 09, 2012, 15:25:56 »
Re,

AdwCleaner s'est chargé de Ask.

Vérifie tout de même dans Programmes et fonctionnalités si Ask Toolbar et Ask Toolbar Updater apparaissent toujours et retente la désinstallation.

Tu peux enchaîner sur SX Check&Update

@+
 

Hors ligne matt

  • Membres
  • Members
  • *
  • Messages: 28
Re : ministere de l'interieur virus
« Réponse #18 le: novembre 09, 2012, 15:44:36 »
ASK ONT EFECTIVEMENT DISPARU. j'ai installé Sx check, flash player et java, mais le adobe reader lui ne s'ouvre pas, seul une fenetre noir aparrait et se retire aussi tôt...
que puis-je faire ?

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23390
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : ministere de l'interieur virus
« Réponse #19 le: novembre 09, 2012, 15:47:11 »
Re,

Tu n'as pas un rapport SXCU à me fournir ?
Regarde sur le Bureau.

@+
 

Hors ligne matt

  • Membres
  • Members
  • *
  • Messages: 28
Re : ministere de l'interieur virus
« Réponse #20 le: novembre 09, 2012, 16:08:35 »
je n'ai pas encore cliqué sue rapport car la fenetre d'installation de update adobe reader ne s'affiche pas lorsque je clique dessus depuis la fenetre SX team...je sais pas si tu vois ce que je veux dire..est ce que j'installe update adobe reader depuis google ?

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23390
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : ministere de l'interieur virus
« Réponse #21 le: novembre 09, 2012, 16:24:16 »
Re,

Oui, je t'ai indiqué le lien, je te le redonne
http://get.adobe.com/fr/reader/?promoid=HTEGU

Veille à décocher McAfee Security Scan Plus  ;)

@+
 
 

Hors ligne matt

  • Membres
  • Members
  • *
  • Messages: 28
Re : ministere de l'interieur virus
« Réponse #22 le: novembre 09, 2012, 16:47:03 »
j'ai télécharger reader, j'ai rien eu a faire comme décocher Mc Afee security.. je te laisse regarder le rapport, je n'y connais rien mais il est marqué que adobe reader n'est pas a jour, j'ai peut etre mal fait quelque chose...


SX Check&Update
Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-checkupdate/
---
Windows Version : Windows Vista 32 bits
Service Pack : 1
UserName : Dub's
09/11/2012
16:45:25
version = v0.3.0 
---
Windows Update Information :
AUOptions : 4
Automatically, no notification
---
Name : FlashPlayer ActiveX 
Version : 11.5.502.110
Flash Player ActiveX  est à jour

Java Information :
   Nom : Java 7 Update 9
   Version : 7.0.90
Java 7 Update 9 est à jour

Nom : Adobe Reader X (10.1.4) - Français
Version : 10.1.4
Adobe Reader est à jour

Nom : Adobe Shockwave Player
Version : 11.0
Adobe Reader n'est pas à jour! (11.0.00)

Nom : Internet Explorer
   Version : 8.0.6001.19088


Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23390
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : ministere de l'interieur virus
« Réponse #23 le: novembre 09, 2012, 17:44:30 »
Re,

Non, c'est Shockwave Player qu'il faut mettre à jour.

Mets le à jour sur cette page -> http://get.adobe.com/fr/shockwave/

Tu n'as pas répondu à Comment se comporte le système ?

@+
 

Hors ligne matt

  • Membres
  • Members
  • *
  • Messages: 28
Re : ministere de l'interieur virus
« Réponse #24 le: novembre 09, 2012, 17:53:54 »
Oui l'ordinateur se porte bien, il ne rame pas, tout a l'air de bien fonctionner ! merci encore !!
Aprés l'instalation de shokware, doit-je rendre le rapport ?
a quoi cela sert toutes ces intallations au fait ?
y - en a  t il d'autres a faire ?
Est ce que je peux supprimer tout les icones sur mon bureau (OTL, Rk,malware, adw, Sx..ainsi que les extras exe, otl exe...) ou sont ils toujours important ?

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23390
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : ministere de l'interieur virus
« Réponse #25 le: novembre 09, 2012, 18:15:16 »
Re,

Citer
Oui l'ordinateur se porte bien, il ne rame pas, tout a l'air de bien fonctionner ! merci encore !!

OK c'est parfait.

Citer
Aprés l'instalation de shokware, doit-je rendre le rapport ?
a quoi cela sert toutes ces intallations au fait ?

Non pour le rapport, je te fais confiance  ;)

Les dernières installations sont des mises à jour de tes extensions/plugins à risque, Java, Flash Player et Adobe Reader, celles-là même qui présentaient des failles de sécurité sur ton système et qui ont été exploitées par le ransomware et ZeroAccess.

Citer
y - en a  t il d'autres a faire ?

Oui, il y aura la mise à jour Windows à faire, mais nous la ferons après avoir finalisé la procédure de désinfection.

Citer
Est ce que je peux supprimer tout les icones sur mon bureau (OTL, Rk,malware, adw, Sx..ainsi que les extras exe, otl exe...) ou sont ils toujours important ?

On y vient  :NNN

---------------------------------------------------------------------------------------------

  Purge points de restauration :

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Copie l'intégralité de ce script ci-dessous
    Citer
    :Commands
    [CLEARALLRESTOREPOINTS]
    [EMPTYTEMP]
  • Colle l'intégralité du code dans le cadre Personnalisation
  • Clique ensuite sur le bouton Correction
  • Si l'outil te demande de redémarrer le PC, tu acceptes
---------------------------------------------------------------------------------------------

  Désinstallation des outils utilisés :

Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Clique sur Purge d'outils

  • Valide l'avertissement par OK et laisse le pc redémarrer
  • Relance AdwCleaner et clique sur Désinstaller
  • Supprime SXCU de ton Bureau
  • Supprime tous les rapports générés restants
---------------------------------------------------------------------------------------------

  Mets à jour ton système via Windows Update

Lance des recherches de mises à jour via Windows Update et installe toutes les mises à jour proposées, y compris le SP2 et IE9
Le lien pour le SP2 si Windows Update ne te le propose pas -> https://www.microsoft.com/fr-fr/download/details.aspx?id=16468
Cette mise à jour est importante, tu dois impérativement la faire, sinon, tout ce que nous venons de faire ne servira à rien.

---------------------------------------------------------------------------------------------

  Quelques précisions et conseils :


  • D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
Pourquoi et comment je me fais infecter ?

/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur

/!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !

/!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !

/!\ Sauvegarder régulièrement les données personnelles sur un support externe

/!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu


  • Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes


  • Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
    Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
    Il faut l'installer Flash Player sous chaque navigateur présent sur le système
    Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
    Maintenir Java, Adobe Reader et le player Flash à jour
    Exploitation SWF/PDF et Java - système non à jour = danger


  • Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation
    Firefox sécurisé


    /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
    Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)

N'hésite pas si tu as des questions.

Pour en savoir plus, clique sur l'image pour télécharger ce PDF
 

Hors ligne matt

  • Membres
  • Members
  • *
  • Messages: 28
Re : ministere de l'interieur virus et ZeroAccess [Résolu]
« Réponse #26 le: novembre 12, 2012, 15:42:47 »
désolé je n'ai pas pu me conecter sur l'ordinateur du week end.

Merci encore pour toute ton aide et tes précieux conseils.

MAIS, il y a toujours un mais, haha ! j'ai ut ce que tu m'as demandé sauf sur les mises a jour windows update, je ne sais pas ou chercher ni qu'est ce que c'est que SP2 et IE9..
J'ai effectué 4 mises a jour facultative dont un software appelé PS/2...je ne sais pas si c'est celui ci dont tu parles..Le lien que tu me propose est une installation est ce bien ça ?

Merci encore

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23390
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : ministere de l'interieur virus et ZeroAccess [Résolu]
« Réponse #27 le: novembre 12, 2012, 16:02:57 »
Bonjour,

Citer
sauf sur les mises a jour windows update, je ne sais pas ou chercher ni qu'est ce que c'est que SP2 et IE9..

Dans Démarrer -> Rechercher, tu tapes Windows Update et tu valides par Entrée.
La fonctionnalité Mise à jour (Windows Update) s'ouvre.
Tu cliques sur Rechercher des mises à jour (sur le volet de gauche) et tu installes toutes les mises à jour qui te sont proposées.
Tu redemandes une recherche de mises à jour jusqu'à ce que le Service Pack 2 (SP2) te soit proposé, ainsi que la mise à jour Internet Explorer 9 (IE9).

Citer
J'ai effectué 4 mises a jour facultative dont un software appelé PS/2...je ne sais pas si c'est celui ci dont tu parles..

Tu as bien fait d'installer ces mises à jour facultatives qui concernent en général les applications "Matériel", mais c'est surtout les mises à jour recommandées et importantes qu'il faut installer.

Citer
Le lien que tu me propose est une installation est ce bien ça ?

Oui, c'est un lien à utiliser si malgré tes demandes de Recherche de mises à jour, Windows Update ne te propose pas le SP2.

@+
 

Hors ligne matt

  • Membres
  • Members
  • *
  • Messages: 28
Re : ministere de l'interieur virus et ZeroAccess [Résolu]
« Réponse #28 le: novembre 12, 2012, 19:56:56 »
ca y est windows update m'a finalement proposé sp2 je l'ai installé, par contre pas de propositions pour IE 9 ...

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23390
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : ministere de l'interieur virus et ZeroAccess [Résolu]
« Réponse #29 le: novembre 12, 2012, 20:27:40 »
Re,

C'est parfait pour le SP2  :sup:

Si IE9 ne t'es pas proposé, passe alors directement par ce lien :
http://windows.microsoft.com/fr-FR/internet-explorer/download-ie

@+
 

Hors ligne matt

  • Membres
  • Members
  • *
  • Messages: 28
Re : ministere de l'interieur virus et ZeroAccess [Résolu]
« Réponse #30 le: novembre 12, 2012, 20:48:45 »
Merci encore !

Aprés plusieurs demande de mises a jour de ma part, IE9 finalement proposé et accepté...

Tout est parfait !

Dois-je souvent aller effectuer les mises a jour update ou se font elles automatiquement ? a chauqe fois que je demande des mises a jour, j'ai l'impression qu'il y en a toujours a faire..ou cela s'arrete au bout d'un moment ?? ^^

Y a t il encore des choses à faire ?

Si rien à d'autres à faire, j'aurais une derniere chose a voir avec toi tant que je suis avec une experte en informatique..si cela ne te pose pas de problèmes..??!!  ::)

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23390
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : ministere de l'interieur virus et ZeroAccess [Résolu]
« Réponse #31 le: novembre 12, 2012, 21:01:34 »
Re,

Oui Windows Update est paramétré en automatique sur ton système, donc les mises à jour se font automatiquement.
Pense tout de même à ouvrir régulièrement Windows Update et installe les mises à jour qui seraient en attente.

Et oui, il y a toujours des mises à jour à faire, pour combler des failles, pour corriger des dysfonctionnements, pour changer de version ......

Citer
j'aurais une derniere chose a voir avec toi tant que je suis avec une experte en informatique..si cela ne te pose pas de problèmes..??!!


Si c'est juste une demande de précision, pose ta question.
Mais si c'est une demande d'aide, il te faut ouvrir un nouveau sujet dans la rubrique concernée, ici par exemple si cela concerne Windows Vista :
http://forum.security-x.fr/windows-vista/

@+
 

Hors ligne matt

  • Membres
  • Members
  • *
  • Messages: 28
Re : ministere de l'interieur virus et ZeroAccess [Résolu]
« Réponse #32 le: novembre 12, 2012, 21:05:25 »
d'accord ! merci encore pour ton aide !

oui il s'agit d'autre chose, je vais ouvrir un nouveau sujet !

merci pour tout !   :AAN