Forum d'Entraide Informatique (FEI)

Bonjour,
Claro a réussi à infecter mon PC, quelqu'un peut m'aider à désinfecter?
Merci d'avance.

Salut Andry, bienvenu sur le forum


Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
http://general-changelog-team.fr/telech ... adwcleaner

Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira, poste le contenu de ce rapport.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


-----


On va vérifier le PC :

Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.

- Quitte les applications en cours afin de ne pas interrompre le scan.
- Faire double clique sur OTL.exe présent sur le bureau pour lancer le programme
Vista/Seven -- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
- Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport standard". Fais de même avec "Tous les utilisateurs" à coté.
- Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

Ne modifie pas les autres paramètres !

Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.*
%SYSTEMDRIVE%\*.exe
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
/md5start
consrv.dll
volsnap.sys
hidserv.dll
appmgmts.dll
eventlog.dll
winlogon.exe
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
wininet.dll
wininit.exe
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
explorer.exe
svchost.exe
userinit.exe
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
Beep.SYS
ntfs.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
winlogon.exe
wininit.ini
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
SAVEMBR:0
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
c:\$recycle.bin\*.* /s

- Clique sur le bouton Analyse.
- Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

Utilise cjoint.com pour poster en lien tes rapports :
http://cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport OTL.txt sur le bureau
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Après fais de même avec l'autre rapport Extras.txt


@++

Bonjour et merci d'avance de m'aider,
la suppression dans adwcleaner dure combien de temps en moyenne? est ce normale que la barre d'avancement reste au 1/4 environ?

Salut Andry


Normalement cela n'est pas long, 5 à 10 minute pas plus...

Si cela ne débloque pas arrête le et faire le scan en mode sans échec :

Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis ta session habituelle ...


@++

Salut dédétraqué
Alors, je ne sais pas pourquoi mais j'ai 4 fichiers dans C/adwcleaner qui sont ci dessous
http://cjoint.com/?3LoulOgY7Ny
http://cjoint.com/?3LouosZHRYi
http://cjoint.com/?3Louo3rP4jR
http://cjoint.com/?3LoupW3lxty

le fichier otl
http://cjoint.com/?3LourcIcQkb

et le fichier extras
http://cjoint.com/?3Lous72HdU9

A+

Salut Andry


Double clic sur OTL.exe pour le lancer.
(Vista/Seven -- Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve en citation ci-dessous, et colle-la dans la zone sous " Personnalisation "

:Reg
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpqSRMon"=-

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\U46wdm.sys -- (U46WDMMK21_01)
DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\U46DRV.sys -- (U46_MK2)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\u46drv.sys -- (U46_AA)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\u46Wdm.sys -- (U46_01)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\sis163u.sys -- (SIS163u)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\cv2k1.sys -- (CV2K1)
IE - HKU\S-1-5-21-2888992875-2682562900-4163198000-1000\..\SearchScopes\{a6d4146b-d275-4c28-91f9-b224feb27bdd}: "URL" = http://www.yougoo.fr/france?searchq={searchTerms}
[2010/01/08 19:07:45 | 000,003,707 | ---- | M] () -- C:\Users\andry et lanto\AppData\Roaming\mozilla\firefox\profiles\lqe1but2.default\searchplugins\YouGoo.xml
O8 - Extra context menu item: Exporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 10.7.2)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk - - File not found
MsConfig - StartUpFolder: C:^Users^andry et lanto^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Outil de notification Live Search.lnk - - File not found
MsConfig - StartUpReg: ffnnmmt - hkey= - key= - File not found
MsConfig - StartUpReg: ORAHSSSessionManager - hkey= - key= - File not found
MsConfig - StartUpReg: QuickTime Task - hkey= - key= - File not found
MsConfig - StartUpReg: WinUsr - hkey= - key= - File not found
[2012/12/14 18:13:03 | 000,000,392 | ---- | M] () -- C:\Windows\tasks\AmiUpdXp.job
[2010/06/23 15:00:23 | 000,000,100 | ---- | C] () -- C:\Users\andry et lanto\AppData\Local\bynjh.bat
[2010/03/17 11:42:29 | 000,000,097 | ---- | C] () -- C:\Users\andry et lanto\AppData\Local\rdpzmxc.bat
[2009/12/19 14:04:48 | 000,000,099 | ---- | C] () -- C:\Users\andry et lanto\AppData\Local\qceqdei.bat
@Alternate Data Stream - 12 bytes - C:\Windows\System32:{DA6227CB-326B-4B4D-9A81-04B61F1538DD}
@Alternate Data Stream - 104 bytes - C:\ProgramData\TEMP:D1B5B4F1

:Commands
[Emptytemp]

* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


@++

Désolé mais j'ai pas envie de faire des bêtise, est ce qu'il faut cocher les cases comme tt a lheure, (lop purity...)

Salut Andry


Non tu coches rien cette fois...


@++

ça marche impeccable!
Un grand MERCI, par contre peux tu m'expliquer vagement les démarche que tu m'a fait faire, j'ai rien compris

Salut Andry


Cela va me faire un plaisir de t'expliquer, mais j'aurais aimé avoir le rapport pour vérifier si tout à bien été supprimé...


@++

Ah ok!!
http://cjoint.com/?3LowtIpeWeG

Salut Andry


Cela est bon, ton PC est propre...

Claro search comme bien d'autre(babylon, searchnu, etc...) sont des Browser hijacker qui modifie la page de démarrage, la page de recherche et d'autre option de certain navigateur web :
http://fr.wikipedia.org/wiki/Browser_hijacker

J'ai utilisé l'outil AdwCleaner pour supprimer l'infection et d'autre présent sur le PC, en passant faire attention quant tu installes un logiciel gratuit quelque soit le site(toujours recommandé le site de l'auteur du logiciel), bien lire chaque pages du programme d'installation(ne pas cliquer suivant/suivant/suivant/etc... sans lire), souvent est proposé des programmes inutiles(souvent des toolbars et adware), toujours une case à décocher lors de l'installation. De bonne lecture que je t'invite à lire :

http://www.libellules.ch/opt_out.php
http://forum.malekal.com/les-toolbars-e ... t6173.html

Après pour finir un ptit script avec OTL pour supprimer le reste des choses inutiles...


On va faire un ménage des outils téléchargés pour la désinfection, télécharge Del Fix (de Xplode), sur ton bureau

http://www.general-changelog-team.fr/fr ... /26-delfix

[*]Double-clique sur l'icône delfix.exe située sur ton Bureau.
(Vista/Seven - Faire un clique droit sur l'icône delfix.exe située sur ton Bureau et choisir exécuter en tant qu'administrateur.)

[*]Sélectionne Suppression

[*]Copie/colle le contenu du rapport dans ton prochain message.

Note : Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )


@++

Rapport del fix,
http://cjoint.com/?3LowYqjiGCa
c'est normal que le pc ram tjrs? ou c'est autre chose?

Salut Andry


c'est normal que le pc ram tjrs? ou c'est autre chose?Déjà si tu donnais plus de détail sur le souci, c'est toi qui est devant le PC...


@++

Dédétraqué,
je ne saurai t'expliquer plus mais le pc ram en général, par exemple je tape un texte et il l'affiche que 2s après, quand j'ouvre une nouvelle page elle met du temps à s'ouvrir.... mais c'est pas grave, je verrai demain,sauf si on n'a pas fini? Merci encore.
A+

Salut Andry


Refais un scan avec OTL comme la première fois(mode Analyse) avec les mêmes paramètres et la même liste sous personnalisation, tu auras seulement un rapport(OTL.txt) a me poster, voir a utilisé cjoint pour poster le rapport.


@++

Salut!
ci dessous le liens du dernier otl
http://cjoint.com/?3Lpiw3mPlWT
A+

Salut Andry


Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

Important Désactive ton Antivirus et antispyware avant le scan avec Combofix :
http://forum.pcastuces.com/desactiver_l ... -f31s4.htm


== Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n’est pas fini.

Double clique sur combofix.exe, clique sur OUI et valide par Entrée

Il te sera demandé d’installer la console si elle n’est pas installer, clique sur Oui

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++

Salut,
alors, j'ai une fenetre de commande bleu qui est bloqué à l'étape 50, que dois je faire docteur?

Salut Andry


Faire le scan en mode sans échec :

Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis ta session habituelle ...


@++

Salut dédétraqué,
j'ai enfin réussi à utiliser combofix en mode sans echec
http://cjoint.com/?3LqrtJPau5b
A+

Salut Andry


Cela est bon, comment va le PC maintenant...


@++

Dédétraqué,
le pc ne ram plus, j'ai l'impression que ça va un peu plus vite qu'avant même!!
Je te remercie!

Salut Andry


Effectivement beaucoup de chose qui ont été supprimés avec Combifix, relance Del Fix pour supprimer les outils et poste le rapport...


@++

ci dessous le dernier delfix
http://cjoint.com/?3LqrKmoeZub
A+

Salut Andry


OK cela est bon, relance l'outil et clique sur désinstaller...

Je te donne quelques consignes de sécurité :

Windows Update parfaitement à jour http://www.windowsupdate.com/
Pare-feu bien paramétré pour XP, je te conseil :
ZoneAlarm, Vista/Seven -- le pare de WINDOWS est suffisant.
Antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
Une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
Pas de téléchargement illégal, qui est le principal facteur d’infection (µTorrent, BitTorrent, eMule, Limewire, etc..)
Le danger des cracks !
Les risques sécuritaires du peer-to-peer
Une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
Nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
Scan hebdomadaire antispyware ( je conseil MalwareByte's Anti-Malware)
Un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour http://www.java.com/en/download/help/testvm.xml
Faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
http://www.malekal.com/scan_vulnerabilite.php

De bonne lecture si tu veux en savoir plus sur la sécurité et le fonctionnement de Windows :
http://www.malekal.com/menu_windows_general.php
http://www.malekal.com/menu_windows_securite.php

Si tu considère ton problème comme résolu, procédure pour le mettre :
http://www.forum-entraide-informatique. ... -en-resolu

Bonne journée/soirée et bon surf


@++

Dédétraqué!
merci beaucoup pour l'aide et en plus des conseilles, je ferai gaffe la prochaine fois.
Bonne soirée!!

Salut Andry


Bien de rien, pense à mettre en résolu...


@++