Security-X
Forum Security-X => Désinfections => Discussion démarrée par: snickh le décembre 28, 2012, 14:18:14
-
en cherchant sur Google je suis arrivé sur ce sujet qui avait déjà été traité mais vu qu'il est indiqué dans la procédure qu'elle est unique à l'utilisateur concerné je me permet de reposter le sujet. Sujet: Fenêtre pub ebay intempestive - ZAccess/Sirefef - services.exe infecté [Résolu] (Lu 1225 fois) J'ai commencé quand même à suivre le début de la procédure, jai téléchargé et executé OTL et j'attend pour la suite. D'avance merci
-
Bonjour ? Bonsoir ?
Chaque infection étant spécifique, oui, nous allons regarder car le problème est peut-être tout autre chez toi.
à faire donc :
Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) (de Old Timer) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur") - Coche en haut la case devant "Tous les utilisateurs"
- Coche "Avec liste Blanche" sous "Registre: approfondi"
- Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
kernel32.dll
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
- Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
- A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Note : Les rapports sont aussi enregistrés sur le bureau
-
Bonsoir merci d'une réponse aussi prompte
http://security-x.fr/up/file.php?h=Ra05a0db12c48ec897cf9938a7b2209c5
http://security-x.fr/up/file.php?h=R9315e32a75292ab4d82d04ad9b93450a
-
Re,
Alors je vais le dire sans méchanceté, mais je le dis quand même ... Ce PC est une poubelle ... :NNN
Nombreux adwares (logiciels publicitaires), plusieurs infections, dont un rootkit, probable problème système ...
On va tenter un nettoyage, mais je ne promet rien ...
1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :
Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure
- Falsh Player 10 (version obsolète, tu possèdes une plus récente)
- SweetPacks bundle uninstaller (adware)
- Iminent (idem)
- Webplayer setup version 1.0 (idem)
- SweetIM for Messenger 3.7 (idem)
- Iminent Toolbar For Internet Explorer (idem)
- Internet Explorer Toolbar 4.6 by SweetPacks (idem)
- Update Manager for SweetPacks 1.1 (idem)
- DealPly (idem)
- Windows iLivid Toolbar (idem)
- Lollipop (idem)
2) Télécharge AdwCleaner (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner) (de Xplode) sur ton Bureau.
- Double-clique sur adwcleaner.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur) - Dans la fenêtre principal, choisis l'option Suppression.
- A la fin, un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
3) Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:OTL
PRC - [2012/12/12 13:53:32 | 001,074,376 | ---- | M] (Iminent) -- C:\Program Files\Iminent\Iminent.exe
PRC - [2012/12/12 13:53:32 | 000,884,936 | ---- | M] (Iminent) -- C:\Program Files\Iminent\Iminent.Messengers.exe
PRC - [2012/12/10 14:58:04 | 002,620,016 | ---- | M] (Iminent) -- C:\Program Files\Common Files\Umbrella\Umbrella.exe
PRC - [2012/10/04 15:34:36 | 000,115,032 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files\SweetIM\Messenger\SweetIM.exe
PRC - [2012/08/15 18:08:34 | 000,231,768 | ---- | M] (SweetIM Technologies Ltd.) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe
PRC - [2011/08/09 19:06:05 | 001,599,376 | ---- | M] (Bandoo Media, inc) -- C:\Program Files\Windows iLivid Toolbar\Datamngr\datamngrUI.exe
SRV - [2012/12/10 14:58:04 | 002,620,016 | ---- | M] (Iminent) [Auto | Running] -- C:\Program Files\Common Files\Umbrella\Umbrella.exe -- (SProtection)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a2fe6wjf)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000.10015
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://www.searchqu.com/web?src=ieb&appid=119&systemid=406&sr=0&q={searchTerms}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639
IE - HKLM\..\SearchScopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}: "URL" = http://search.iminent.com/?appId=[AppInstanceUid]&ref=toolbox&q={searchTerms}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10015
IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
IE - HKU\.DEFAULT\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://www.searchqu.com/web?src=ieb&appid=119&systemid=406&sr=0&q={searchTerms}
IE - HKU\.DEFAULT\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
IE - HKU\S-1-5-18\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://www.searchqu.com/web?src=ieb&appid=119&systemid=406&sr=0&q={searchTerms}
IE - HKU\S-1-5-18\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639
IE - HKU\S-1-5-21-1144721637-1198113398-3580770514-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.iminent.com/?appId=BC8C757A-5F2D-47C3-9626-C799E9FE8381
IE - HKU\S-1-5-21-1144721637-1198113398-3580770514-1003\..\URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - No CLSID value found
IE - HKU\S-1-5-21-1144721637-1198113398-3580770514-1003\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - SOFTWARE\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}\InprocServer32 File not found
IE - HKU\S-1-5-21-1144721637-1198113398-3580770514-1003\..\URLSearchHook: {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - No CLSID value found
IE - HKU\S-1-5-21-1144721637-1198113398-3580770514-1003\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-1144721637-1198113398-3580770514-1003\..\SearchScopes,DefaultScope = {BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}
IE - HKU\S-1-5-21-1144721637-1198113398-3580770514-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=108988&tt=151112_ccp1849_4612_7&babsrc=SP_ss&mntrId=3aa98c5700000000000000216383a47a
IE - HKU\S-1-5-21-1144721637-1198113398-3580770514-1003\..\SearchScopes\{18EAB056-9057-F224-FD4C-1F6569C4D8D2}: "URL" = http://www.plusnetwork.com/s/?q={searchTerms}&iesrc={referrer:source?}
IE - HKU\S-1-5-21-1144721637-1198113398-3580770514-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://www.searchqu.com/web?src=ieb&appid=119&systemid=406&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-1144721637-1198113398-3580770514-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
IE - HKU\S-1-5-21-1144721637-1198113398-3580770514-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639
IE - HKU\S-1-5-21-1144721637-1198113398-3580770514-1003\..\SearchScopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}: "URL" = http://search.iminent.com/?appId=[AppInstanceUid]&ref=toolbox&q={searchTerms}
IE - HKU\S-1-5-21-1144721637-1198113398-3580770514-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={C98EDE51-1ECB-11E2-97FA-001377D60E61}
FF - prefs.js..CT3238255.browser.search.defaultthis.engineName: true
FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentBar_FR Customized Web Search"
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT3238255&SearchSource=13"
FF - prefs.js..extensions.enabledAddons: {BEB9394A3-4AD6-4918-9537-31A1FD8E8EDFF}:2.0
FF - prefs.js..extensions.enabledAddons: %7BCAFEEFAC-0016-0000-0035-ABCDEFFEDCBA%7D:6.0.35
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:17.0
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3238255&SearchSource=2&CUI=SB_CUI&q="
[2012/12/25 01:53:54 | 000,000,000 | ---D | M] (uTorrentBar_FR Community Toolbar) -- C:\Users\Barthélémy\AppData\Roaming\mozilla\Firefox\Profiles\3c14cw81.default\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
[2012/10/25 18:46:11 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\Barthélémy\AppData\Roaming\mozilla\Firefox\Profiles\3c14cw81.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
[2011/05/22 05:52:50 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Barthélémy\AppData\Roaming\mozilla\Firefox\Profiles\3c14cw81.default\extensions\engine@conduit.com
[2012/11/18 22:28:05 | 000,002,447 | ---- | M] () -- C:\Users\Barthélémy\AppData\Roaming\mozilla\firefox\profiles\3c14cw81.default\searchplugins\babylon1.xml
[2012/11/18 22:28:05 | 000,002,447 | ---- | M] () -- C:\Users\Barthélémy\AppData\Roaming\mozilla\firefox\profiles\3c14cw81.default\searchplugins\mngr.xml
[2012/12/24 17:13:11 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
[2012/12/24 17:13:11 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
File not found (No name found) -- C:\USERS\BARTHéLéMY\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\3C14CW81.DEFAULT\EXTENSIONS\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
[2012/11/18 22:27:48 | 000,002,364 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2011/09/19 19:21:15 | 000,002,506 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\SearchResults.xml
O2 - BHO: (TBSB01620 Class) - {58124A0B-DC32-4180-9BFF-E0E21AE34026} - C:\Program Files\IMinent Toolbar\tbcore3.dll ()
O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
O2 - BHO: (Loader Class) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Program Files\Windows iLivid Toolbar\Datamngr\BrowserConnection.dll (Bandoo Media, inc)
O2 - BHO: (IMinent WebBooster (BHO)) - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} - C:\Program Files\Iminent\Iminent.WebBooster.InternetExplorer.dll (Iminent)
O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)
O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (IMinent Toolbar) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - C:\Program Files\IMinent Toolbar\tbcore3.dll ()
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-1144721637-1198113398-3580770514-1003\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.
O3 - HKU\S-1-5-21-1144721637-1198113398-3580770514-1003\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-1144721637-1198113398-3580770514-1003\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [DATAMNGR] C:\Program Files\Windows iLivid Toolbar\Datamngr\datamngrUI.exe (Bandoo Media, inc)
O4 - HKLM..\Run: [Iminent] C:\Program Files\Iminent\Iminent.exe (Iminent)
O4 - HKLM..\Run: [IminentMessenger] C:\Program Files\Iminent\Iminent.Messengers.exe (Iminent)
O4 - HKLM..\Run: [PlusService] C:\Program Files\Messenger Plus! Live\PlusService.exe File not found
O4 - HKLM..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [Sweetpacks Communicator] C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (SweetIM Technologies Ltd.)
O4 - HKLM..\RunOnce: [SPUpdSentinel] C:\Program Files\Common Files\Umbrella\Umbrella_bkp.exe (Iminent)
[2012/12/28 12:18:49 | 000,000,000 | ---D | C] -- C:\Users\Barthélémy\AppData\Roaming\Iminent
[2012/12/28 12:18:48 | 000,000,000 | ---D | C] -- C:\ProgramData\Iminent
[2012/12/28 11:53:06 | 000,000,000 | ---D | C] -- C:\Program Files\IMinent Toolbar
[2012/12/28 11:52:47 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Iminent
[2012/12/28 11:52:45 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Umbrella
[2012/12/28 11:52:43 | 000,000,000 | ---D | C] -- C:\Program Files\Iminent
[2012/12/28 19:13:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At40.job
[2012/12/28 19:13:00 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At39.job
[2012/12/28 18:13:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At38.job
[2012/12/28 18:13:00 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At37.job
[2012/12/28 17:13:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At36.job
[2012/12/28 17:13:00 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At35.job
[2012/12/28 16:13:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At34.job
[2012/12/28 16:13:00 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At33.job
[2012/12/28 15:13:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At32.job
[2012/12/28 15:13:00 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At31.job
[2012/12/28 14:13:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At30.job
[2012/12/28 14:13:00 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At29.job
[2012/12/28 13:13:04 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At28.job
[2012/12/28 13:13:04 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At27.job
[2012/12/28 12:13:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At26.job
[2012/12/28 12:13:00 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At25.job
[2012/12/28 11:47:37 | 000,000,012 | ---- | M] () -- C:\Windows\bthservsdp.dat
[2012/12/28 11:44:32 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At7.job
[2012/12/28 11:13:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At24.job
[2012/12/28 11:13:00 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At23.job
[2012/12/28 10:13:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At22.job
[2012/12/28 10:13:00 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At21.job
[2012/12/28 09:13:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At20.job
[2012/12/28 09:13:00 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At19.job
[2012/12/28 08:13:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At18.job
[2012/12/28 08:13:00 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At17.job
[2012/12/28 07:13:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At16.job
[2012/12/28 07:13:00 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At15.job
[2012/12/28 06:13:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At14.job
[2012/12/28 06:13:00 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At13.job
[2012/12/28 05:13:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At12.job
[2012/12/28 05:13:00 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At11.job
[2012/12/28 04:13:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At10.job
[2012/12/28 04:13:00 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At9.job
[2012/12/28 03:13:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At8.job
[2012/12/28 02:13:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At6.job
[2012/12/28 02:13:00 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At5.job
[2012/12/28 01:13:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At4.job
[2012/12/28 01:13:00 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At3.job
[2012/12/28 00:13:02 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At2.job
[2012/12/28 00:13:02 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At1.job
[2012/12/27 23:13:06 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At48.job
[2012/12/27 23:13:05 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At47.job
[2012/12/25 01:46:31 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At46.job
[2012/12/25 01:46:31 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At45.job
[2012/12/24 21:13:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At44.job
[2012/12/24 21:13:00 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At43.job
[2012/12/24 20:13:00 | 000,000,346 | ---- | M] () -- C:\Windows\tasks\At42.job
[2012/12/24 20:13:00 | 000,000,344 | ---- | M] () -- C:\Windows\tasks\At41.job
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[2012/09/17 22:02:16 | 000,082,868 | ---- | C] () -- C:\ProgramData\kabghyfisahhfyt
[2012/09/10 16:58:35 | 000,000,051 | ---- | C] () -- C:\ProgramData\jfbtjbfgjyiilgq
[2012/03/27 19:33:13 | 000,000,112 | ---- | C] () -- C:\ProgramData\lVxuPR.dat
[2012/03/03 09:09:11 | 000,000,000 | ---D | M] -- C:\Users\Barthélémy\AppData\Roaming\Babylon
[2012/12/28 12:18:49 | 000,000,000 | ---D | M] -- C:\Users\Barthélémy\AppData\Roaming\Iminent
[2011/05/18 19:49:50 | 000,000,000 | ---D | M] -- C:\Users\Barthélémy\AppData\Roaming\OfferBox
[2012/11/18 22:33:06 | 000,000,000 | ---D | M] -- C:\Users\Barthélémy\AppData\Roaming\WebPlayerBdd
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{07C28A4F-F2BD-4854-A006-1B4C8C03E8D6}"=-
"{EA872F4D-599A-4A01-98B8-AC3749F1480A}"=-
"TCP Query User{CE0D6235-871B-4D26-AAE6-0A52410D7E72}C:\program files\1clickdownload\1clickdownload.exe"=-
"UDP Query User{21D6FA3C-6BB1-4F3E-BBBE-D0598F239DE7}C:\program files\1clickdownload\1clickdownload.exe"=-
[-HKEY_USERS\S-1-5-21-1144721637-1198113398-3580770514-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\bwdal]
:Files
c:\program files\windows ilivid toolbar
C:\program files\1clickdownload
C:\Program Files\Common Files\Umbrella
C:\Program Files\SweetIM
C:\Program Files\DealPly
C:\Windows\tasks\At*.job
C:\Windows\system32\{d31a0762-0ceb-444e-acff-b049a1f6fe91}.dll
:Commands
[emptytemp]
- Puis clique sur le bouton Correction en haut à gauche
- Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
- Poste le rapport de suppression s'il apparait.
Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
3) Télécharge RogueKiller (http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe) (de Tigzy) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Une fois l'initialisation terminée, choisis le bouton Scan en haut à droite.
- Laisse l'outil travailler.
- Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse
(S'il ne s'ouvre pas, clique sur le bouton "Rapport", il est aussi enregistré sur le bureau : RKreport.txt)
Dans ta prochaine réponse il me faudra donc les rapports suivants :
Adwcleaner (suppression)
OTL (correction)
Roguekiller (Recherche)
:AAN
-
Hélas je m'en doutais un peu qu'il avait attrapé toute sorte de merde :( je le prête en plus assez souvent à des personnes pas forcément très à même de faire le tri dans les installations, toolbars et autres se greffant un peu partout m'enfin essayons de faire au mieux
Dans l'ordre demandé:
lolipop : je n'ais pas réussi à le désinstaller, le rest c'est bon
rapport Adw
http://security-x.fr/up/file.php?h=R050d210f13a83737404ae79b46e37de6
rapport Otl
http://security-x.fr/up/file.php?h=Ra05a0db12c48ec897cf9938a7b2209c5
et rapport Rogue killer
RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Barthélémy [Droits d'admin]
Mode : Recherche -- Date : 29/12/2012 02:27:54
¤¤¤ Processus malicieux : 1 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[Faked.Drv][FILE] i8042prt.sys : C:\Windows\system32\drivers\i8042prt.sys --> IMPOSSIBLE DE REPARER
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x82E0E07F -> HOOKED (Unknown @ 0x8F33EE66)
SSDT[276] : NtRequestWaitReplyPort @ 0x82E21F4B -> HOOKED (Unknown @ 0x8F33EE70)
SSDT[289] : NtSetContextThread @ 0x82E8E163 -> HOOKED (Unknown @ 0x8F33EE6B)
SSDT[314] : NtSetSecurityObject @ 0x82DD1627 -> HOOKED (Unknown @ 0x8F33EE75)
SSDT[332] : NtSystemDebugControl @ 0x82DA794B -> HOOKED (Unknown @ 0x8F33EE7A)
SSDT[334] : NtTerminateProcess @ 0x82E1D543 -> HOOKED (Unknown @ 0x8F33EE07)
S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8F33EE8E)
S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8F33EE93)
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HTS543225L9A300 +++++
--- User ---
[MBR] 1022e1819832d7cc374899afc82d39a4
[BSP] 7bc305470d2ee097632b3a6326f3cb89 : KIWI Image system MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10240 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20973568 | Size: 114570 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 255612928 | Size: 113663 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt
-
Re,
Tu m'as renvoyé le rapport d'analyse d'OTL, il me faudrait le rapport de suppression, celui obtenu après avoir collé le script de mon message précédent, puis appuyer sur "Correction".
Si tu l'as déjà fait, il se trouve à présent ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
:AAN
-
Autant pour moi désolé
http://security-x.fr/up/file.php?h=Rc9f027a911ddb1171e1eb44569b1ec98
Normalement c'est celui la alors
-
Re,
Ok, on v faire un nouveau scan pour vérifier certaines choses :
Relance OTL :
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Coche en haut la case devant "Tous les utilisateurs"
- Coche "Avec liste blanche" sous "Registre: approfondi"
- Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
[fixed]netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
kernel32.dll
services.exe
i8042prt.sys
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\Tasks\at*.job
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT[/fixed]
- Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
- A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Note : Les rapports sont aussi enregistrés sur le bureau
-
Voila tout est la:
http://security-x.fr/up/file.php?h=R938edb87a949964b8b32a53edff054a6
http://security-x.fr/up/file.php?h=R699b2a872995205e7be931d2b350fc55
Merci encore pour la rapidité des réponses
-
Re,
Ok, à suivre :
Télécharge TDSSKiller (http://support.kaspersky.com/downloads/utils/tdsskiller.exe) de Kaspersky sur ton bureau.
- Double clique sur "TDSSKiller.exe" pour lancer l'outil.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)
- Clique alors sur le bouton "Change parameters".
- Coche la case Loaded modules
- Valide l'avertissement de Reboot avec Reboot Now
- Le pc va redémarrer, au redémarrage, accepte le lancement automatique de l'outil
- Clique de nouveau sur le bouton "Change parameters"
- Coche les cases Verify file digital signatures et Detect TDLFS file system sous Additional options
- Valide avec Ok
- Clique alors sur le bouton "Start Scan".
- Laisse le scan s'effectuer. (cela peut être long)
- Dans la fenêtre de résultat :
- Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
- Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
- Pour la partie "Suspicious object" laisse sur "Skip"
- /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
- Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
- Clique enfin sur "Continue"
Note : si No threat found apparait, pas besoin de nous fournir le rapport ni chercher ces options
- Il peut t'être demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"
- Au redémarrage va chercher le rapport de suppression, il se trouve ici :
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt
Poste le rapport comme les précédent en l'hébergeant : http://security-x.fr/up/
Un aide à l'utilisation ici (http://forum.security-x.fr/tutoriels-317/tutoriel-tdsskiller-nouvelle-version/)
-
Je n'ais eu aucun des cas "spéciaux" mentionnés donc j'ai fais continue tout simplement sans toucher aux options mises par défauts
http://security-x.fr/up/file.php?h=Rcf3b468293f1f1e6e6b45c4f4928cbe1
-
Re,
Ok, il semble avoir fait son boulot, on va vérifier :
Relance OTL :
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur") - Coche en haut la case devant "Tous les utilisateurs"
- Coche "Avec liste Blanche" sous "Registre: approfondi"
- Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
kernel32.dll
services.exe
i8042prt.sys
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
- Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
- A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Note : Les rapports sont aussi enregistrés sur le bureau
-
ET voila : :)
http://security-x.fr/up/file.php?h=Rf4cab7753f76df3389569d2d5149f28d
http://security-x.fr/up/file.php?h=R636bda8391a1ad1c56eaadfdd0b6c9d8
-
Re,
On continu pour quelque reste et un dernier scan :
1) Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:OTL
MsConfig - StartUpReg: TomTomHOME.exe - hkey= - key= - File not found
O33 - MountPoints2\{47b9f51c-0d29-11e0-a39e-001377d60e61}\Shell\AutoRun\command - "" = dwh.exe
O33 - MountPoints2\{47b9f51c-0d29-11e0-a39e-001377d60e61}\Shell\open\Command - "" = dwh.exe
O20 - AppInit_DLLs: (c:\progra~2\browse~1\25976~1.107\{c16c1~1\mngr.dll) - File not found
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (auks818b)
:Files
C:\Windows\$NtUninstallKB2015$\1733058707
C:\Windows\$NtUninstallKB2015$
:Commands
[resethosts]
[emptytemp]
- Puis clique sur le bouton Correction en haut à gauche
- Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
- Poste le rapport de suppression s'il apparait.
Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
2) Télécharge MalwareByte's Anti-Malware (http://www.inforumatique.fr/site/download/download-82+malwarebytes-anti-malware.php) :
- Installe le programme (aide ici (http://www.bibou0007.com/antispywares-f77/malwarebytes-anti-malware-t952.htm))
- Lance-le et met à jour la base de définition.
- Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
- Sélectionne les disques dur et clique sur "Lancer l'examen"
- Laisse l'analyse se faire (cela peut durer longtemps).
- A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
- Puis clique sur "Supprimer la sélection" en bas.
- Un redémarrage peut être nécessaire.
- Un rapport va s'afficher, enregistre-le sur ton bureau.
- ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
-
Je sens quand même que ça lui fais le plus grand bien au fur et à mesure :)
OTL:
http://security-x.fr/up/file.php?h=Rf998a92216b19f8666046348583990c7
Malwarebyte's
http://security-x.fr/up/file.php?h=Ra648c30080b03691afdaa8db8959a101
-
Re,
On est bon pour les infections normalement, on va vérifier les dégâts occasionnés sur le système :
Télécharge Farbar Service Scanner (http://www.bleepingcomputer.com/download/farbar-service-scanner/dl/62/) (de Farbar) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Coche toutes les options
- Clique sur le bouton "Scan"
- Laisse travailler l'outil, un rapport va apparaitre.
- Poste son contenu dans ta prochaine réponse
(S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
-
Déjà une bonne nouvelle esperons que cela continue !
http://security-x.fr/up/file.php?h=Ra5b62e65e9f94940bf17ac721a6d46c5
-
Re,
Ok, l'infection a endommagé plusieurs services du système, on va tenter de réparer :
Télécharge Windows Repair (http://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio_setup.exe) (de Tweaking.com) sur ton bureau.
- Double-Clic dessus pour l'installer puis lance-le.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Va directement à l'onglet "step 3"
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FWindowsrepair%2FWindowsrepair4.png&hash=ffb5c2569900648dbd4bfe5e89f5928a02416d56)
- Clique sur le bouton Do It, et laisse le scan s'effectuer.
- Ferme le programme et redémarre le PC
- Relance l'outil et va cette fois-ci sur l'onglet Start Repairs (à la fin)
- Clique sur le bouton"Start"
- Dans la fenêtre suivante, coche exactement ces options :
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FWindowsrepair%2FWindowsrepair10.png&hash=3a3f048c725b8b3577f2f668fcceb81e2b365ed2)
- Clique enfin sur "Start" en bas à droite.
- Redémarre le pc s'il ne le fait pas automatiquement.
Relance FSS :
- Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Coche toutes les options
- Clique sur le bouton "Scan"
- Laisse travailler l'outil, un rapport va apparaitre.
- Poste son contenu dans ta prochaine réponse
(S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
-
Bonjour :) voilà le rapport de FSS :
http://security-x.fr/up/file.php?h=R63f6f8ad9dcb34b16b8c225f1ae28717
Merci pour les explications et toutes les impressions d'écran qui permettent une utilisation très de tous les outils utilisé.
-
Re,
Ok, il reste un service qu'on va tenter de réparer avec un autre outil :
Télécharge Services Repair (http://kb.eset.com/library/ESET/KB%20Team%20Only/Malware/ServicesRepair.exe) (de Eset) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur ServicesRepair.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- L'outil va te demander de confirmer le lancement, accepte avec le bouton "Yes"
- Laisser-le travailler (cela peut prendre quelques minutes)
- Une nouvelle fenêtre va apparaitre pour demander de redémarrer le PC, accepte avec "Yes"
- Au redémarrage, un dossier aura été crée sur ton bureau, nommé CC Support
- Poste-moi dans la prochaine réponse le rapport qui se trouve ici : CC Support\Logs\SvcRepair.txt
:jap:
-
Voilà c'est ok :
Rapport service repairs
http://security-x.fr/up/file.php?h=R9e046a57a3b30af97715dc8233cd070c
-
Re,
Bien une vérif pour voir si c'est ok :
Relance FSS :
- Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Coche toutes les options
- Clique sur le bouton "Scan"
- Laisse travailler l'outil, un rapport va apparaitre.
- Poste son contenu dans ta prochaine réponse
(S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
Et bon réveillon :AAN
-
Rapport FSS
http://security-x.fr/up/file.php?h=Rafb8eb21194e1076a7139a4cc7c544d7
Bonne année :)
-
:AAC Bonjour et bonne année,
Bien, nous en avons terminé, alors on va nettoyer les outils utilisé puis mettre à jour le pc et conclure :
D'ailleurs maintenant as-tu encore des soucis rencontré initialement ou est-ce que tout va bien sur le pc ?
1) Désinstalle AdwCleaner :
- Relance-le le programme adwcleaner.exe situé sur ton Bureau.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
[li$i]Dans la fenêtre principal, choisis l'option Désinstaller, et valide avec "Oui"[/li][/list]
- Supprime ensuite le fichier adwcleaner.exe sur ton bureau.
2) Relance OTL.exe
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur "Purge d'outils"
- Valide l'avertissement par "ok" et laisse le pc redémarrer.
Supprime manuellement les outils restant, normalement :
- ServicesRepair.exe
- Windows Repair
Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour auparavant. Sinon, désinstalle-le dans ta liste des programmes.
3) Mise à jour du système et des logiciels :
Cette étape est très importante, le pc a été infecté car certains logiciels/plugins n'étaient pas à jour !
Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) (de Igor51 ) sur ton bureau.
- Lance SXCU.exe en double-cliquant dessus.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Java(TM) 6 Update 37
- Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
(pense à ne pas accepter les offres comme McAfee security scan ou Chrome)
Ferme le programme via "Quit"
Tu peux supprimer SXCU.exe.
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
- Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
A lire ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
- Firefox (http://www.mozilla-europe.org/fr/firefox/) et/ou Chrome (http://www.google.fr/chrome?hl=fr) offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript (https://addons.mozilla.org/fr/firefox/addon/722) et WOT (https://addons.mozilla.org/fr/firefox/addon/3456) par exemple. (pour Chrome : NoScript (https://chrome.google.com/webstore/detail/odjhifogjcknibkahlpidmdajjpkkcfn) ; WOT (https://chrome.google.com/webstore/detail/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr) )
- Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité (http://secunia.com/vulnerability_scanning/online/) pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.infos-du-net.com/forum/id-2134891/prevention-protection.html)
Ici aussi ! (http://www.infos-du-net.com/forum/275481-11-dossier-prevention-protection)
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
A bientôt sur Security-X
:AAN
-
Oui tout est ok je te remercie sincèrement pour ta disponibilité et pour la clarté de toutes les démarches expliquées au fur et à mesure.
Surtout continuez c'est vraiment super votre concept de formation en même temps.
A+