FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par mustang2013
#69818
bonjour à tous,
j'ai probablement besoin d'un coup de main pour une désinfection de mon PC, SVP.
en effet depuis hier soir, je suis dans l’impossibilité d'utiliser word ou de modifier des fichiers word déjà constitués et ce uniquement sur ma session

un scannage rapide avec avast n'a rien retrouvé.
par contre j'ai retrouvé  dans le panneau de configuration "ajouts - suppressions de programmes" un programme que je ne connais pas intitulé bitguard.

j'ai pu constater sur votre forum en particulier qu'il s'agit d'un logiciel malveillant et qu'il valait mieux se faire aider pour la désinfection.

pouvez-vous s'il vous plaît me donner vos indications et conseils pour mener une désinfection et éradiquer bitguard ?
MERCI
à bientôt
mustang2013
Avatar du membre
par mustang2013
#69833
hello,
je suis donc votre procédure pour éradiquer bitguard
merci
à bientôt

voici le rapport de AdwCleaner

# AdwCleaner v3.010 - Rapport créé le 24/10/2013 à 14:07:15
# Mis à jour le 20/10/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3, v.5657 (32 bits)
# Nom d'utilisateur : gweltaz - WINDOWS-76BEF87
# Exécuté depuis : C:\Documents and Settings\gweltaz\Bureau\bitguard\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Babylon
Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\BitGuard
Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\IBUpdaterService
Dossier Supprimé : C:\Documents and Settings\gweltaz\Application Data\Babylon
Dossier Supprimé : C:\Documents and Settings\gweltaz\Application Data\file scout
Dossier Supprimé : C:\Documents and Settings\gweltaz\Application Data\OpenCandy
Dossier Supprimé : C:\Documents and Settings\gweltaz\Application Data\pdfforge
Dossier Supprimé : C:\Documents and Settings\gweltaz\Application Data\PerformerSoft
Dossier Supprimé : C:\Documents and Settings\gweltaz\Menu Démarrer\Programmes\BitGuard
Dossier Supprimé : C:\Documents and Settings\gweltaz\Bureau\BitGuard
Dossier Supprimé : C:\Documents and Settings\Sylvie\Application Data\adawaretb
Fichier Supprimé : C:\WINDOWS\system32\roboot.exe
Fichier Supprimé : C:\Documents and Settings\gweltaz\Application Data\Mozilla\Firefox\Profiles\7nwxffod.default\bProtector_extensions.rdf
Fichier Supprimé : C:\Documents and Settings\Sylvie\Application Data\Mozilla\Firefox\Profiles\l9625kxb.default\bProtector_extensions.rdf
Fichier Supprimé : C:\Documents and Settings\gweltaz\Application Data\Mozilla\Firefox\Profiles\7nwxffod.default\bprotector_extensions.sqlite
Fichier Supprimé : C:\Documents and Settings\Sylvie\Application Data\Mozilla\Firefox\Profiles\l9625kxb.default\bprotector_extensions.sqlite
Fichier Supprimé : C:\Documents and Settings\gweltaz\Application Data\Mozilla\Firefox\Profiles\7nwxffod.default\bprotector_prefs.js
Fichier Supprimé : C:\Documents and Settings\Sylvie\Application Data\Mozilla\Firefox\Profiles\l9625kxb.default\bprotector_prefs.js
Fichier Supprimé : C:\Documents and Settings\gweltaz\Application Data\Mozilla\Firefox\Profiles\7nwxffod.default\invalidprefs.js
Fichier Supprimé : C:\Documents and Settings\gweltaz\Application Data\Mozilla\Firefox\Profiles\7nwxffod.default\searchplugins\Babylon.xml
Fichier Supprimé : C:\Documents and Settings\Sylvie\Application Data\Mozilla\Firefox\Profiles\l9625kxb.default\searchplugins\Babylon.xml
Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\Babylon.xml
Fichier Supprimé : C:\Documents and Settings\gweltaz\Application Data\Mozilla\Firefox\Profiles\7nwxffod.default\searchplugins\mngr.xml
Fichier Supprimé : C:\Documents and Settings\Sylvie\Application Data\Mozilla\Firefox\Profiles\l9625kxb.default\searchplugins\mngr.xml
Fichier Supprimé : C:\WINDOWS\Tasks\BitGuard.job

***** [ Raccourcis ] *****


***** [ Registre ] *****

Valeur Supprimée : HKCU\Software\Mozilla\Firefox\Extensions [{58BD07EB-0EE0-4DF0-8121-DC9B693373DF}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Main [bprotector start page]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes [bProtectorDefaultScope]
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs [bProtectTabs]
Clé Supprimée : HKCU\Software\828adfe53db946
Clé Supprimée : HKLM\SOFTWARE\828adfe53db946
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9E131A93-EED7-4BEB-B015-A0ADB30B5646}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{25A3A431-30BB-47C8-AD6A-E1063801134F}]
Clé Supprimée : HKCU\Software\BabSolution
Clé Supprimée : HKCU\Software\DataMngr
[#] Clé Supprimée : HKCU\Software\DataMngr_Toolbar
Clé Supprimée : HKCU\Software\filescout
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\YahooPartnerToolbar
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4EFD-BAD7-B9B4CB4BC693}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Toolbar Cleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{15D2D75C-9CB2-4EFD-BAD7-B9B4CB4BC693}
Donnée Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - c:\docume~1\alluse~1\applic~1\bitguard\261694~1.246\{c16c1~1\bitguard.dll

***** [ Navigateurs ] *****

-\\ Internet Explorer v7.0.6000.20900

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]

-\\ Mozilla Firefox v24.0 (fr)

[ Fichier : C:\Documents and Settings\gweltaz\Application Data\Mozilla\Firefox\Profiles\7nwxffod.default\prefs.js ]

Ligne Supprimée : user_pref("browser.search.defaultenginename", "Claro Search");
Ligne Supprimée : user_pref("browser.search.order.1", "Claro Search");
Ligne Supprimée : user_pref("browser.search.selectedEngine", "Claro Search");
Ligne Supprimée : user_pref("browser.startup.homepage", "hxxp://www.claro-search.com/?affID=114506tt=48 ... 60b346ac21");
Ligne Supprimée : user_pref("keyword.URL", "hxxp://www.claro-search.com/?affID=114506tt=48 ... b346ac21q=");

[ Fichier : C:\Documents and Settings\Sylvie\Application Data\Mozilla\Firefox\Profiles\l9625kxb.default\prefs.js ]

Ligne Supprimée : user_pref("browser.search.defaultenginename", "Claro Search");
Ligne Supprimée : user_pref("browser.search.order.1", "Claro Search");
Ligne Supprimée : user_pref("browser.startup.homepage", "hxxp://www.claro-search.com/?affID=114506tt=48 ... 60b346ac21");
Ligne Supprimée : user_pref("keyword.URL", "hxxp://www.claro-search.com/?affID=114506tt=48 ... b346ac21q=");

*************************

AdwCleaner[R0].txt - [6804 octets] - [24/10/2013 14:02:10]
AdwCleaner[S0].txt - [6712 octets] - [24/10/2013 14:07:15]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [6772 octets] ##########
par dédétraqué
#69834
Salut mustang2013


On va vérifier le PC :

Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.

- Quitte les applications en cours afin de ne pas interrompre le scan.
- Faire double clique sur OTL.exe présent sur le bureau pour lancer le programme
Vista/Seven -- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
- Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport standard". Fais de même avec "Tous les utilisateurs" à coté.
- Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

Ne modifie pas les autres paramètres !

Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
%SYSTEMDRIVE%\*.exe
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
/md5start
consrv.dll
volsnap.sys
hidserv.dll
appmgmts.dll
eventlog.dll
winlogon.exe
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
wininet.dll
wininit.exe
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
explorer.exe
svchost.exe
userinit.exe
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
Beep.SYS
ntfs.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
winlogon.exe
wininit.ini
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
SAVEMBR:0
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
c:\$recycle.bin\*.* /s


- Clique sur le bouton Analyse.
- Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

Utilise cjoint.com pour poster en lien tes rapports :
http://cjoint.com/

- Clique sur Choisissez un fichier pour aller chercher le rapport OTL.txt sur le bureau
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Après fais de même avec l'autre rapport Extras.txt


@++
par dédétraqué
#69872
Salut mustang2013


Double clic sur OTL.exe pour le lancer.
(Vista/Seven -- Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve dans la citation ci-dessous, et colle-la dans la zone sous " Personnalisation "
Bien inclure :OTL au début du script de correction

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\NTGLM7X.sys -- (SetupNTGLM7X)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\SBREdrv.sys -- (SBRE)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\NTACCESS.sys -- (NTACCESS)
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc)
DRV - File not found [File_System | Boot | Stopped] -- system32\DRIVERS\Lbd.sys -- (Lbd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)
DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | System | Stopped] -- -- (Changer)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet File not found
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe File not found
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe File not found
MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - File not found
MsConfig - StartUpReg: SoundMan - hkey= - key= - C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)

:Commands
[Emptytemp]
* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


@++
par dédétraqué
#69899
Salut mustang2013


Double clic sur OTL.exe pour le lancer.
(Vista/Seven -- Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve dans la citation ci-dessous, et colle-la dans la zone sous " Personnalisation "
Bien inclure :Reg au début du script de correction

:Reg
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"=-
"nwiz"=-
"WOOTASKBARICON"=-
"WOOWATCH"=-

:Commands
[Emptytemp]
* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


@++
Avatar du membre
par mustang2013
#69958
salut dédétraqué,

merci beaucoup pour ton travail

l'indice fortuit ou pas qui m'avait mis la puce à l'oreille au sujet de bitguard, c'est des problèmes avec mes fichiers word. j'arrive à les ouvrir, à les modifier pendant quelques secondes, et puis ça bloque: impossible de déplacer le curseur sur le texte, puis le PC se met à ramer.
ça n’arrive qu'avec ma session. j'arrive à ouvrir et travailler sur ces mêmes fichiers depuis une 2ème session.
ce problème existe toujours après et malgré notre procédure de désinfection.

as-tu une idée de la cause et des pistes pour y remédier ?

2ème interrogation:
idéalement faut-il que j'utilise un autre antivirus ?
je fonctionne actuellement avec une version gratuite de avast
quels conseils peux-tu me donner pour éviter qu'un logiciel malveillant type bitguard n"infecte" de nouveau mon PC,  sachant que je n'utilise pas de logiciel de crack, que je télécharge préférentiellement à la source ?
je souhaite bien sûr continuer à utilisé un antivirus gratuit.

grand merci
porte-toi bien
kenavo
par dédétraqué
#69984
Salut mustang2013


Image Télécharge et installe MalwareByte's Anti-Malware
http://www.malwarebytes.org/mbam-download-exe.php

Image Mets le à jour ([g]Important[/g])

Image Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
Image Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
Image Clique sur Rechercher

Image Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur Ok

Image Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

Image Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

Image Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Tutoriel pour MalwareByte's ici :
http://www.malekal.com/tutorial_Malware ... alware.php


@++
Avatar du membre
par mustang2013
#70024
salut dédétraqué,

merci de nouveau pour cette procédure détaillée.
je m'y collerai ce week-end.

je me permettrai de te solliciter de nouveau si je tombes sur un os.

c'est prodigieux de recevoir un coup de main venant de l'autre côté de l'atlantique

MERCI
portes-toi bien
Avatar du membre
par mustang2013
#71432
salut dédétraqué

voici ma réponse avec du retard

le rapport:
http://cjoint.com/?CJDseXMuTe6

je n'arrive toujours pas à utiliser word sur ma session
tant pis, en changeant de session ça fonctionne
je suppose qu'idéalement, il faudrait que je réinstalle le pack office ?

en tout cas, j'ai l'impression que cette procédure ça a été le grand ménage d'automne

merci beaucoup à toi et FEI
portez-vous bien
ciao

mustang2013
par dédétraqué
#71466
Salut mustang2013


Voir a ouvrir un nouveau sujet dans la section Windows pour ton problème avec Word :
http://www.forum-entraide-informatique.com/f14-windows


On va faire un ménage des outils téléchargés pour la désinfection, télécharge Del Fix (de Xplode), sur ton bureau :

http://general-changelog-team.fr/fr/dow ... e/9-delfix

Lance-le, coche l'option "Supprimer les outils de désinfection".
Clique sur [Exécuter]
Patiente durant l'opération..


-----


Je te donne quelques consignes de sécurité :

Image Windows Update parfaitement à jour http://www.windowsupdate.com/
Image Pare-feu bien paramétré pour XP, je te conseil :
ZoneAlarm, Vista/Seven -- le pare de WINDOWS est suffisant.
Image Antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
Image Une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
Image Pas de téléchargement illégal, qui est le principal facteur d’infection (µTorrent, BitTorrent, eMule, Limewire, etc..)
Le danger des cracks !
Les risques sécuritaires du peer-to-peer
Image Une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
Image Nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk)
Image Scan hebdomadaire antispyware ( je conseil Malwarebytes )
Image Un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour http://www.java.com/en/download/help/testvm.xml
Image Faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
http://www.malekal.com/scan_vulnerabilite.php

Je passe le sujet en résolu

Bonne journée/soirée et bon surf


@++
Avatar du membre
par mustang2013
#71468
salut dédétraqué

je viens de supprimer les outils de désinfection

merci beaucoup pour ton action.

je vais tâcher de suivre tes conseils pour éviter les infections

porte-toi bien
ciao
Avatar du membre
par 2011N2
#75483
Image Bonjour,

Le sujet est à présent résolu, nous nous chargeons donc de le mettre en résolu et nous le verrouillons.
Vous pouvez si vous le souhaitez, mettre en valeur les messages ayant résolu votre problème comme ceci : http://www.forum-entraide-informatique. ... onse-utile

Cela permettra une meilleure visibilité du sujet pour les autres utilisateurs ayant le même souci.

Si le forum vous a aidé dans la résolution de votre problème et que vous souhaitez le remercier, vous avez la possibilité de faire un don afin de l'encourager dans ses démarches en cliquant sur le bouton suivant :

Image


Vous pouvez aussi suivre FEI sur Facebook en cliquant sur J'aime ci-dessous :



Merci d'avance,
À bientôt sur FEI !

Bonjour à tous, Je possede une config pc […]

Modèle 16R5 pour être précis. […]

je passe par un routeur intermediare TENDA entre f[…]

Bonjour, Est-ce que l'un d'entre vous aurait un &[…]