Security-X
Forum Security-X => Désinfections => Discussion démarrée par: marouane-93320 le avril 21, 2012, 16:43:55
-
bonjour
je suis sous windows 7 , 64 bits.
alors voila j'ai un chopé un virus dit " virus de la gendarmerie " et je n'arrive pas a m'en débarasser
d'avance je vous remercie de bien vouloir m'aider :)
-
:AAC Bonsoir marouane,
Bienvenu sur security-X
En premier lieu, on va déterminer en semble quelle variante de l'infection tu as attrapé, afin de préparer la suite.
- As-tu accès à quelque chose en mode normal sur ton pc, le navigateur par exemple ?
- Si tu n'as rien accès en mode normal, as-tu accès en mode sans échec ?
Aide : Comment faire démarrer son ordinateur en mode sans échec (http://www.infos-du-net.com/forum/272325-11-tuto-demarrer-mode-echec).
-
Salut Hyunkel, c'est un ami à moi.
Son PC a sans doute plusieurs malwares supplémentaires. J'ai préféré ne pas y toucher.
-
oui aucun souci j'ai un accès a internet.
-
:III Salut Ammonium, c'est bien de ramener les amis :D
Ok marouane, on y va alors :
1) Télécharge Rkill (http://download.bleepingcomputer.com/grinler/eXplorer.exe) (de Grinler) sur ton bureau.
- Ferme toutes tes fenêtres, et les programmes en cours
- Double clique sur eXplorer.exe pour lancer l'outil.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Une fenêtre noire va s'ouvrir brièvement, puis se refermer
- Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse
(S'il ne s'ouvre pas, il est enregistré ici : C:\Windows\rkill.log)
/!\ Ne redémarre pas le PC maintenant, passe à l'outil suivant immédiatement /!\
2) Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) (de Old Timer) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Coche en haut la case devant "Tous les utilisateurs"
- Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT - Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
- A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://pjjoint.malekal.com/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Note : Les rapports sont aussi enregistrés sur le bureau
3) Télécharge TDSSKiller (http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip) de Kaspersky sur ton bureau.
- Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
- Double clique sur "TDSSKiller.exe" pour lancer l'outil.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)
- Clique alors sur le bouton "Start Scan".
- Laisse le scan s'effectuer.
- Dans la fenêtre de résultat :
- Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
- Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
- Pour la partie "Suspicious object" laisse sur "Skip"
- /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
- Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
- Clique enfin sur "Continue"
- Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"
- Au redémarrage va chercher le rapport de suppression, il se trouve ici :
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt
Poste son contenu dans ta prochaine réponse.
-
voila la premier rapport "Rkill"
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Rkill was run on 21/04/2012 at 21:54:13.
Operating System: Windows 7 Home Premium
Processes terminated by Rkill or while it was running:
C:\Users\marouane\Downloads\eXplorer.exe
Rkill completed on 21/04/2012 at 21:54:18.
-
Re Hyunkel, je l'ai ammener parceque je sais que vous êtes compétent et rapide ^^
Et puis, ca me permet également de regarder un peu ce qui se passe et d'essayer de comprendre =)
-
voila le premier rapport d'otl via le lien :
http://pjjoint.malekal.com/files.php?id=20120421_s5v12i10h5s13
et voila le second:
http://pjjoint.malekal.com/files.php?id=20120421_i9i12t5u7j9
-
voila le lien de TDS killer pour voir la rapport :
http://pjjoint.malekal.com/files.php?id=20120421_m6l11q15u13z9
-
Re,
Bon tu as de la chance ce n'est pas la variante la plus dangereuse, mais quand même, cela arrive car certains logiciels ne sont pas à jour, java notamment, tu as aussi des adwares (logiciels/sponsors publicitaire), il faudra faire un peu plus attention.
On y va pour le ménage :
1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :
- Linkury Smartbar (sauf si utilité)
- SweetIM Toolbar for Internet Explorer 4.2 (adware)
- SweetIM for Messenger 3.6 (adware)
- Babylon toolbar on IE (sponsors)
- Conduit Engine (adware)
- DealScout for Google Chrome (sponsors)
- eoJet 1.1 (adware)
- PriceGong 2.5.1 (adware)
- Softonic_France Toolbar (sponsors)
- Wincore MediaBar (sponsors)
- Outil de notification de cadeaux MSN (sponsors)
2) Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
/!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:OTL
SRV - [2012/01/10 05:56:54 | 000,827,456 | ---- | M] (McAfee, Inc.) [Disabled | Stopped] -- C:\Users\marouane\AppData\Local\Temp\004436~1.EXE -- (0044361329564181mcinstcleanup) McAfee Application Installer Cleanup (0044361329564181)
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=1083&systemid=1&sr=0&q={searchTerms}
IE - HKLM\..\URLSearchHook: {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files (x86)\Softonic_France\prxtbSof0.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=1083&systemid=1&sr=0&q={searchTerms}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2542115
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={B7FF8491-66E5-496F-BD24-5DEBD338A8D3}
IE - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?babsrc=HP_ss&affID=111015&mntrId=6e3f260c0000000000000026825963ca
IE - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=111015&mntrId=6e3f260c0000000000000026825963ca
IE - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003\..\SearchScopes\{227EF8F4-F572-4CD3-99C5-3889FBEC3D5C}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=fr_FR&apn_ptnrs=U3&apn_dtid=OSJ000YYFR&apn_uid=8A5C2BCD-E920-4211-971D-C6540BD5AAD5&apn_sauid=F2AA427D-2786-4E5B-AF65-07B8938F8AF4
IE - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=1083&systemid=1&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2542115
IE - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={B7FF8491-66E5-496F-BD24-5DEBD338A8D3}
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_ss&affID=111015&mntrId=6e3f260c0000000000000026825963ca"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=adbartrp&affID=111015&mntrId=6e3f260c0000000000000026825963ca&q="
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}: C:\Program Files (x86)\PriceGong\2.5.1\FF [2011/10/12 16:31:42 | 000,000,000 | ---D | M]
[2011/12/28 22:00:34 | 000,000,000 | ---D | M] (Wincore Mediabar) -- C:\Users\marouane\AppData\Roaming\mozilla\Firefox\Profiles\akww82ns.default\extensions\{28387537-e3f9-4ed7-860c-11e69af4a8a0}
[2012/03/23 18:38:24 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\marouane\AppData\Roaming\mozilla\Firefox\Profiles\akww82ns.default\extensions\ffxtlbr@babylon.com
[2011/12/28 22:00:23 | 000,002,517 | ---- | M] () -- C:\Users\marouane\AppData\Roaming\Mozilla\Firefox\Profiles\akww82ns.default\searchplugins\Search_Results.xml
[2012/04/01 10:46:13 | 000,002,288 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2011/12/28 22:00:23 | 000,002,517 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml
CHR - default_search_provider: search_url = http://dts.search-results.com/sr?src=crb&appid=1083&systemid=1&sr=0&q={searchTerms}
CHR - Extension: PriceGong = C:\Users\marouane\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkomkajifikmkfnjgphkjcfeepbnojok\5.6.2_0\
CHR - Extension: General Crawler = C:\Users\marouane\AppData\Local\Google\Chrome\User Data\Default\Extensions\dednnpigldgdbpgcdpfppmlcnnbjciel\2.5_0\
CHR - Extension: DealScout = C:\Users\marouane\AppData\Local\Google\Chrome\User Data\Default\Extensions\mpmfjcpampmdgkjfjbjfloolnfojlogf\2.1.11.0_0\
O2:64bit: - BHO: (DataMngr) - {BE7A24F5-69CB-4708-B77B-B1EDA6043B95} - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\x64\BrowserConnection.dll (iMesh, Inc)
O2 - BHO: (Shopping Assistant Plugin) - {1631550F-191D-4826-B069-D9439253D926} - C:\Program Files (x86)\PriceGong\2.5.1\PriceGongIE.dll (PriceGong)
O2 - BHO: (Wincore Mediabar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll ()
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (Softonic_France Toolbar) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files (x86)\Softonic_France\prxtbSof0.dll (Conduit Ltd.)
O2 - BHO: (DataMngr) - {BE7A24F5-69CB-4708-B77B-B1EDA6043B95} - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\BrowserConnection.dll (iMesh, Inc)
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (Wincore Mediabar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll ()
O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Softonic_France Toolbar) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files (x86)\Softonic_France\prxtbSof0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003\..\Toolbar\WebBrowser: (Softonic_France Toolbar) - {4DAAC69C-CBA7-45E2-9BC8-1044483D3352} - C:\Program Files (x86)\Softonic_France\prxtbSof0.dll (Conduit Ltd.)
O4 - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003..\Run: [Media Finder] "C:\Program Files (x86)\Media Finder\MF.exe" /opentotray File not found
F3:64bit: - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003 WinNT: Load - (C:\Users\marouane\LOCALS~1\Temp\mszjdjigi.exe) - C:\Users\marouane\LOCALS~1\Temp\mszjdjigi.exe ()
F3 - HKU\S-1-5-21-2360704144-1195535935-4111656585-1003 WinNT: Load - (C:\Users\marouane\LOCALS~1\Temp\mszjdjigi.exe) - C:\Users\marouane\LOCALS~1\Temp\mszjdjigi.exe ()
O8:64bit: - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\x64\datamngr.dll) - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\x64\datamngr.dll (iMesh, Inc)
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\x64\IEBHO.dll) - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\x64\IEBHO.dll (iMesh, Inc)
O20 - AppInit_DLLs: (C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\datamngr.dll) - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\datamngr.dll (iMesh, Inc)
O20 - AppInit_DLLs: (C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\IEBHO.dll) - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\IEBHO.dll (iMesh, Inc)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - explorer.exe ()
O20 - HKLM Winlogon: Shell - (explorer.exe) - explorer.exe ()
MsConfig:64bit - StartUpFolder: C:^Users^marouane^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Outil de notification de cadeaux MSN.lnk - C:\Users\marouane\AppData\Roaming\MICROS~1\OUTILD~1\msnotif.exe - (Microsoft Corporation)
MsConfig:64bit - StartUpReg: DATAMNGR - hkey= - key= - C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\datamngrUI.exe (iMesh, Inc)
MsConfig:64bit - StartUpReg: MediaGet2 - hkey= - key= - File not found
MsConfig:64bit - StartUpReg: SweetIM - hkey= - key= - C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
[2012/04/01 10:46:30 | 000,000,000 | ---D | C] -- C:\Users\marouane\AppData\Roaming\Media Finder
[2012/04/01 10:46:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Finder
[2012/04/01 10:46:28 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\BabylonToolbar
[1 C:\windows\SysWow64\*.tmp files -> C:\windows\SysWow64\*.tmp -> ]
[2011/10/15 22:50:06 | 000,000,000 | ---D | M] -- C:\Users\marouane\AppData\Roaming\Babylon
:Files
C:\Program Files (x86)\Softonic_France
C:\Program Files (x86)\PriceGong
C:\Program Files (x86)\iMesh Applications\MediaBar
C:\Program Files (x86)\BabylonToolbar
C:\Program Files (x86)\ConduitEngine
C:\Program Files (x86)\SweetIM
C:\Users\marouane\AppData\Roaming\Sys32\explorer.exe
:Commands
[emptytemp]
- Puis clique sur le bouton Correction en haut à gauche
- Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
- Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
-
trois programme ne veulent pas se desinstaller :
- Linkury Smartbar (sauf si utilité)
- SweetIM Toolbar for Internet Explorer 4.2 (adware)
- SweetIM for Messenger 3.6 (adware)
j'ai comme message d'erreur :
Imposssible d'accéder au service Windows Installer.
ceci peut se produire si le programme d'instalation de windows n'est pas bien installé. contacter votre support technique pour assistance!
-
Re,
Ce n'est pas grave, continu la procédure, on s'en occupera après, de toute manière je supprime en grande partie ensuite.
-
comment on fait pour passer de log a txt ( putin je suis une brele en informatique j'ai bien fait d'aller en medecine mdrrrr )???
-
Re,
Alors c'est simple ... tu fais un clic-droit sur le fichier -> renommer
Tu enlèves le .log et tu remplaces par .txt
Tu valides, tu auras un avertissement, c'est normal, tu accepte, et c'est bon.
;)
Ps : la suite et fin sera demain, bonne nuit ;)
-
merci beaucoup pour l'aide deja fourni je te passe le lien du rapport de otl :
http://pjjoint.malekal.com/files.php?id=20120421_j10r6j15c6n15
-
:) Bonjour,
Dis-moi si tout est ok sur le pc.
Pour compléter la suppression des adwares :
Télécharge AdwCleaner (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner) (de Xplode) sur ton Bureau.
- Double-clique sur adwcleaner0.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Recherche.
- A la fin, un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Rx].txt). Poste-le dans ta prochaine réponse.
-
euhhh j'ai des rapport desktop.ini qui sont apparu que dois-je en faire ?
-
Re,
N'y touche pas, ce sont des fichiers cachés qui sont apparus, on les masquera de nouveau plus tard ;)
Fournis-moi le rapport Adwcleaner s'il te plait
-
le voici : http://pjjoint.malekal.com/files.php?id=20120422_p13s13r9u7f7
-
Re,
On passe au nettoyage, y'a encore des restes des logiciels publicitaires :
Relance AdwCleaner :
/!\ Désactive tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\
- Double-clique sur adwcleaner0.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Suppression.
- Valide l'avertissement.
- Si le pc demande à redémarrer, accepte.
- Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
Lance MalwareByte's Anti-Malware :
- Met à jour la base de définition.
- Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
- Sélectionne les disques dur et clique sur "Lancer l'examen"
- Laisse l'analyse se faire (cela peut durer longtemps).
- A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
- Puis clique sur "Supprimer la sélection" en bas.
- Un redémarrage peut être nécessaire.
- Un rapport va s'afficher, enregistre-le sur ton bureau.
- ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
-
voici le rapport de suppression de Adw Cleaner :
http://pjjoint.malekal.com/files.php?id=20120422_i8h5g9g10b5
-
voila le rapport de malware byte après un exam complet :
http://pjjoint.malekal.com/files.php?id=20120422_m5w7k15c13h12
-
Re,
Parfait, niveau infections on a terminé.
As-tu encore des soucis sur le PC ? (mis à part les fichiers desktop.ini)
Sinon on passera au ménage final et à la conclusion.
-
de quel type de soucis parles tu ? ^^'
-
Je pense qu'il veut dire ralentissements et autre soucis.
-
ahh non non aucun soucis apparent a part le fait que je suis sur MSE parceque je sais pas si le virus a été correctement éliminé et tant que j'aurai pas eu un feu vert cleir et definitif de ta part ... on peut donc passer a la suite :)
-
:D
Effectivement j'aurais dû te dire que tu pouvais travailler en mode normal.
Donc redémarre en mode normal et regarde si tu as encore des problèmes lié à l'infection.
On finira ensuite.
-
youhouuuuu no problem thank you !!!
on peut finir je pense ?
-
;) Oui, on termine :
1) Désinstalle AdwCleaner :
- Relance-le le programme adwcleaner0.exe situé sur ton Bureau.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Désinstallation, et valide avec "Oui"
- Supprime ensuite le fichier adwcleaner0.exe sur ton bureau.
2) Relance OTL.exe[/color]
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur "Purge d'outils"
- Valide l'avertissement par "ok" et laisse le pc redémarrer.
Supprime manuellement Rkil : eXploRer.exe (sur ton bureau)
Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour avant.
Si après redémarrage du pc, les fichiers desktop.ini sont toujours présent, fais ceci :
Clique sur Ordinateur dans le menu du haut -> Organiser -> Options des dossiers et de recherche/ puis la nouvelle fenêtre, clique sur l'onglet Affichage :
- Coche Ne pas afficher les fichiers et dossiers cachés
- Coche Masquer les extensions des fichiers dont le type est connu
- Coche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.
3) Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) (de Igor51 ) sur ton bureau.
- Lance SXCU.exe en double-cliquant dessus.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
- Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
Ferme le programme via "Quit"
Tu peux supprimer SXCU.exe.
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
- Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
- Firefox (http://www.mozilla-europe.org/fr/firefox/) et/ou Chrome (http://www.google.fr/chrome?hl=fr) offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript (https://addons.mozilla.org/fr/firefox/addon/722) et WOT (https://addons.mozilla.org/fr/firefox/addon/3456) par exemple. (pour Chrome : NoScript (https://chrome.google.com/webstore/detail/odjhifogjcknibkahlpidmdajjpkkcfn) ; WOT (https://chrome.google.com/webstore/detail/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr) )
- Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité (http://secunia.com/vulnerability_scanning/online/) pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.infos-du-net.com/forum/275481-11-dossier-prevention-protection)
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
@ bientôt sur Security-X
:AAN
-
euhhh juste pour savoir tu pourrai me conseiller un anti virus gratuit le temps que je m'en installe un payant ? merci
-
Bonjour,
Tu as déjà Avast! non ? Il est tout à fait convenable.
Ici, aucun antivirus ne t'aurais protégé, l'infection est dû à une faille d'un logiciel tiers non à jour, Java je pense, et pour les Adwares, peu d'antivirus avec les paramètres de bases les bloquent.
Pour Avast!, tu peux en touchant aux réglages :
http://www.malekal.com/2011/07/27/detection-puplpi-potentially-unwanted-program/
(plus bas dans l'explication)
:AAN