Virus

Bonjour coupinette69 et bienvenue sur Sosordi



- Tu as "hérité" d'un sacré client suis cette procédure elle est longue mais nécessaire


Étape 1


- Désactive le proxy ajouté par l'infection si présent

Sous Firefox

- Menu Outils ==> Options ==> Avancé ==> onglet Réseau
- Clique sur Paramètres
- Choisis Pas de Proxy
- Clique sur Ok


Sous Internet Explorer

- menu Outils ==> Options Internet.
- Onglet Connexions puis en bas, désactive le proxy.



Étape 2

- Redémarre l'ordinateur mode sans échec avec prise en
charge du réseau pour avoit accès à internet

- Télécharge rkill (de Grinler) de l'un de ces liens

http://download.bleepingcomputer.co[...]inler/rkill.pif
http://download.bleepingcomputer.co[...]inler/rkill.scr
http://download.bleepingcomputer.co[...]inler/rkill.com
http://download.bleepingcomputer.co[...]inler/rkill.exe

- Enregistre ce fichier sur le bureau et nulle part ailleurs


Étape 3


- Pas de processus de contrôle en temps réel
- Désactive le module résident de l'antivirus et de l'antispyware si il y en a un




Étape 4


Fais un double clic sur le fichier rkill téléchargé pour lancer l'outil.

** Pour Vista et Seven faire un clic droit sur le fichier téléchargé et Exécuter en tant qu'adminstrateur

Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et

faire une nouvelle tentative d'exécution.

Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, ne pas continuer le

nettoyage, préviens moi.



Étape 5


- Désinstalle ta version de Malwarebytes'

[*] Télécharge MalwareBytes' Anti-Malware à partir de l'un de ces liens :
http://www.malwarebytes.org/mbam/pr[...]/mbam-setup.exe
http://www.majorgeeks.com/Malwareby[...]ware_d5756.html


- Enregistre ce fichier sur le bureau

- Le téléchargement terminé ferme ton navigateur ainsi que toutes les applications en cours
- Fais un double-clic sur mbam-setup.exe afin de lancer l'installation.

** Pour Vista et Seven faire un clic droit sur le fichier téléchargé et Exécuter en tant qu'adminstrateur

- Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à

Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options

Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

- MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une

analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boite de dialogue.

- La mise à jour faite :
- Sélectionne Exécuter un examen complet si ce n'est pas déja fait
- clique sur Rechercher

- Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections :

* Clique sur Afficher les résultats
* Ensuite sur Supprimer la sélection


- Poste le rapport de MalwareByte's Anti-Malware
- Le rapport de MalwareByte's peut être retrouvé sous l'onglet Rapports/logs

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok


- Aide pour MalwareByte's ici http://www.malekal.com/tutorial_Mal[...]AntiMalware.php

Bonjour merci de votre réponse premier problème comment démarré en mode sans échec???

- Redémarre ton PC tapote sur la touche F8 sur le menu qui apparait choisis "Mode sans échec avec prise en charge du réseau" Pour avoir accés au net

Edité par Geronimo le 09/10/2010 à 21:49

ok étapes 1 et 2 effectuer mais pas compris la 3 j'ai télécharger rkill et ? Je suis vraiment désoler mais je ne suis pas une lumière en informatique comme vous pouvez le constater

Télécharge le fichier demandé et passe directement à l'étape 4

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4786

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 7.0.6002.18005

09/10/2010 23:09:50
mbam-log-2010-10-09 (23-09-50).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 249261
Temps écoulé: 54 minute(s), 9 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Winsudate (Adware.GibMedia) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\707196169 (Rogue.SecurityTool) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\natacha\AppData\Local\707196169.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Users\natacha\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\natacha\AppData\Roaming\Thinstall\Microsoft Office Professional Edition 2003\30000000bb100002i\WINWORD.EXE (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Users\natacha\AppData\Roaming\Thinstall\Microsoft Office Professional Edition 2003\4000003b900002i\msnmsgr.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4RGW2EA4\gibsvc[1].exe (Adware.Gibmedia) -> Quarantined and deleted successfully.
C:\Users\natacha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Users\natacha\AppData\Local\Temp\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Voila le rapport

Bonjour coupinette69

- Tu as fait du très bon travail, il faut continuer

Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.
Le rapport de ZHPDiag posté directement dans une réponse ne sera pas pris en compte


Étape 1

Télécharge ZHPDiag (de Nicolas coolman) http://telechargement.zebulon.fr/zhpdiag.html

- En cas de problèmes ici http://www.commentcamarche.net/down[...]4066799-zhpdiag

- Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)

** Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur

- Lance ZHPDiag en double cliquant sur le raccourci de ZHPDiag présent sur ton bureau

- Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

- Laisse l'outil travailler, il peut être assez long.


- Une fois le scan terminé, le rapport (ZHPDiag.txt) s'affichera sur le bureau.

- Sinon le rapport sera aussi sauvegardé dans ce dossier ==> C:\Program files\ZHPDiag


Étape 2


Pour poster le rapport en lien rends toi sur ce site : http://www.cijoint.fr/

* Clique sur Parcourir et va jusqu'au rapport que tu as sauvegardé .

* Clic gauche dessus clique ensuite sur ouvrir
* Clique ensuite sur Cliquer ici pour déposer le fichier
* Une fois l'upload fini un lien apparaît copie/colle le dans ta prochaine réponse


- Aide pour ZHPDiag http://stopovirus.xooit.fr/t85-Guid[...]HPDiag.htm#p706

http://www.cijoint.fr/cjlink.php?fi[...]/cijwUifwlb.txt

- Ask s'est invité aussi il va falloir s'en débarrasser

Etape 1


Désactive l'UAC-User Account Control - contrôle des comptes utilisateurs


Pour Vista:
- Clique sur Démarrer ==> Panneau de Configuration
- Double clique sur l'icône Comptes d'utilisateurs
- Clique ensuite sur Désactiver et valide.
- Si tu ne sais pas comment faire consulte ce lien :
http://www.zebulon.fr/astuces/220-d[...]dans-vista.html

Pour Windows 7
- Clique sur Démarrer ==> Panneau de Configuration
- Double clique sur l'icône Comptes et protection des utilisateurs
- Comptes d'utilisateurs
- Modifier les paramètres de contrôle de compte d'utilisateur
- Placer le curseur tout en bas sur "Ne jamais m'avertir"
http://pagesperso-orange.fr/NosTools/uac_win7.html




Etape 2


- Télécharge Ad-remover à partir de l'un de ces deux liens: http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
http://forum-aide-contre-virus.be/d[...]d/C_XX/AD-R.exe

- Enregistre ce fichier sur le bureau et pas ailleurs

- Le téléchargement terminé quitte ton navigateur

- Double clique sur AD-R.exe qui est sur le bureau.
** Pour Vista et Seven faire un clic droit sur le fichier téléchargé et Exécuter en tant qu'adminstrateur

- Au menu principal Clique sur Scanner ensuite sur Oui

Laisse travailler l'outil ne touche pas au clavier ni à la souris.

- Le scan terminé un fichier texte s'affichera poste son contenu.

- Le rapport est sauvegardé sous C:\Ad-report-scan.log

Note :

- Une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus, Avast) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Bonjour a vous Et merci pour le compliment c'est toujours plus simple quand c'est bien expliquer !

Pour poster son contenu je suis la même procédure que précédemment ou je le copie collé directement dans un message ?

Suis la même procédure cela encombre moins le sujet

ok donc voila
http://www.cijoint.fr/cjlink.php?fi[...]/cijH0ke3a8.txt

joyeux anniversaire coupinette69

- Je constate que ce n'est pas la première fois qu'AD-Remover est utilisé sur ce PC

Étape 1


- Relance Ad-remover
- Clique sur Nettoyer Pour lancer le nettoyage

Laisse travailler l'outil ne touche pas au clavier ni à la souris.
- Le scan terminé un rapport sera créé sur le disque C sous la forme de : Ad-Report-(jour-mois-année).log

- Poste le contenu de ce rapport



Étape 2

- Refais un scan avec ZHPDiag poste ensuite son rapport en lien, le rapport posté directement dans une réponse ne sera pas pris en compte

Note : Tu as trois rapports à poster.

Militaire sois papa pourquoi tu me dit bonne anniversaire ?

Voila j'espère ne pas mettre trompé j'ai un doute la ...

http://www.cijoint.fr/cjlink.php?fi[...]/cijjxdJs6N.txt

http://www.cijoint.fr/cjlink.php?fi[...]/cijR76lf9l.txt

http://www.cijoint.fr/cjlink.php?fi[...]/cijtvikFJ2.txt

- Effectivement il y a eu un sacré mélange

Il faut désactiver ton antivirus le temps d'utiliser USBFix

• Télécharge UsbFix (de Chiquitine29) : http://pagesperso-orange.fr/NosTool[...]ne29/UsbFix.exe
* Où bien ici http://chiquitine.changelog.fr/UsbFix.exe enregistre ce fichier sur le bureau



• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir

• Fais un clic droit sur UsbFix.exe présent sur ton bureau et choisis Exécuter en tant qu'administrateur
• Clique sur Recherche
• Laisse travailler l'outil
• Ensuite poste le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

http://www.cijoint.fr/cjlink.php?fi[...]/cijEItp0VD.txt

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir

• Fais un clic droit sur UsbFix.exe présent sur ton bureau et choisis "Exécuter en tant qu'administrateur" .
• Clique sur Suppression
• Laisse travailler l outil.
• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .•

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

J'ai re effectuer cela mais quand j'essaie de le publier sur cijoint ça ne marche pas

http://www.cijoint.fr/cjlink.php?fi[...]/cijiD3U3y3.txt

- Refais un scan avec ZHPDiag poste ensuite son rapport en lien, le rapport posté directement dans une réponse ne sera pas pris en compte

http://www.cijoint.fr/cjlink.php?fi[...]/cijUpLF1F4.txt