Bonjour à tous!

Une amie vient de m'apporter son PC Vista avec pleins de jolis cadeaux à l'intérieur!



Premières impressions :
Très lent au démarrage
Messages de différents logiciels antivirus
Le bureau disparait
Impossible de mettre AVG ou Malwarebytes à jour
Mode sans échec impossible -> PC redémarre

J'ai réussi à faire un petit nettoyage avec Ccleaner (non mis à jour)

Le programme "Personal Security" me semble bien bizarre et AVG me retrouve le virus Koobface qui revient systématiquement au redémarrage.

(Je complète mon post au fur et à mesure)

Merci de votre aide (pour elle) ;-)

Bonjour

un helper va te prendre en charge.


rkill (de Grinler)
Télécharger rkill depuis l'un des liens ci-dessous:

http://download.bleepingcomputer.com/grinler/rkill.pif
http://download.bleepingcomputer.com/grinler/rkill.scr
http://download.bleepingcomputer.com/grinler/rkill.com
http://download.bleepingcomputer.com/grinler/rkill.exe

Enregistrer le fichier sur le Bureau.

Désactiver le module résident de l'antivirus et celui de l'antispyware.

Note : Utilisateurs Vista, : faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

Executer rkill en double cliquant dessus.


Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, Signale-le dans ton prochaine sujet et attends mes instructions.

Un rapport peut être créé , C:\rkill.log, poste le dans ta prochaine réponse.

ne redemarre pas le PC, si pas demandé


Puis essaie de lancer la mise à jour de malwarebyte antispyware et execute le si possible avec l'examen rapide
Si tu as un message d'erreur signale le nous.


RSIT
Télécharge random's system information tool (RSIT) par random/random et sauvegarde le sur ton Bureau

* Double-clic sur RSIT.exe pour l'exécuter.
* Clique sur le bouton "Continue" sur la fenêtre d'avertissement.
* Une fois le scan terminé, tu auras deux rapports qui seront ouverts : log.txt et info.txt (c:\rsit)
* Poste les dans ta prochaine réponse

Note : un rapport hijackthis est contenu dans le rapport log.txt

Si tes rapports sont trop long utilise ce site : http://www.miraclesalad.com/webtools/clip.php
Copie/coller ton rapport et clique sur le lien IP ADRESSE copie coller ton IP dans la zone adéquate puis clique sur le bouton Paste to new clipboard
Donne le lien dans ta prochaine réponse.
Il est de type : http://www.miraclesalad.com/webtools/clip.php?clip=XXXX ou xxxx est un numéro.

Si la mise à jour via malwarebyte antispyware ne fonctionne pas essaie la mise à jour manuelle : http://www.malwarebytes.org/mbam/database/mbam-rules.exe

Impossible de télécharger les fichiers via tes liens, idem pour RSIT.

"Adresse introuvable" avec le PC infecté alors que je trouve bien les fichier sur mon PC non infecté.

Idem pour la mise à jour de Malwarbytes

ton pc est bien connecté au net ?? Clé wifi ok ? ou configuration DNS ok ?
Si tu as la possibilité, utilise une clé usb pour mettre les fichiers, mais avant protege ta clé en la vaccinant.
Tout simplement en créant un dossier autorun.inf à la racine de ta clé usb.

Une fois fait, télécharger les outils cités, puis connecter ta clé usb, transferer les différents fichiers sur le bureau, et executes les.

Oui le Pc est bien connecté au net.

J'arrive à venir sur ce forum sans problème (enfin presque).

J'avais déjà essayé de transférer les fichiers sur ma clé USB mais... je ne retrouve pas celle-ci (sur le PC infecté) dans mon Poste de travail. Elle est pourtant bien "allumée" et les pilotes sont ok.

tu ne la vois pas dans la gestion des disques accessible via un clic droit sur le poste de travail choisir gérer
si tu la vois, assignes lui une lettre.

J'ai enfin pu accéder à ma clé USB

Après redémarrage j'ai tout de suite ouvert le gestionnaire des tâches et j'ai arrêté Personnal Security.

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Poyette on 31/03/2010 at 14:40:10.


Processes terminated by Rkill or while it was running:


C:\Windows\system32\rundll32.exe
C:\Users\Poyette\AppData\Roaming\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
C:\Windows\System32\rundll32.exe


Rkill completed on 31/03/2010 at 14:40:13.

J'ai également réussi à mettre Malwarebytes à jour! :-)

Voici donc les petits cadeaux lol

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3937

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

31/03/2010 15:06:16
mbam-log-2010-03-31 (15-06-16).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 103566
Temps écoulé: 5 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 9
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 43

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\Windows\System32\captcha.dll (Worm.KoobFace) -> No action taken.
c:\Windows\System32\clbcoko.dll (Worm.KoobFace) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\captcha (Worm.KoobFace) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\swoko (Worm.KoobFace) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c73fd00d-a099-405c-92b4-8997710d187d} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c73fd00d-a099-405c-92b4-8997710d187d} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c73fd00d-a099-405c-92b4-8997710d187d} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ql600oko (Worm.KoobFace) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QL600OKO (Worm.KoobFace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\PersonSecurity (Rogue.PersonalSecurity) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eoengine (Rogue.Eorezo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\softwarehelper (Rogue.Eorezo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\captcha (Worm.KoobFace) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\PersonSecurity (Rogue.PersonalSecurity) -> No action taken.
C:\Program Files\Common Files\PersonSecurityUninstall (Rogue.PersonalSecurity) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\PersonSecurity (Rogue.PersonalSecurity) -> No action taken.

Fichier(s) infecté(s):
c:\Windows\System32\captcha.dll (Worm.KoobFace) -> No action taken.
c:\Windows\System32\clbcoko.dll (Worm.KoobFace) -> No action taken.
C:\Program Files\EoRezo\EoEngine.exe (Rogue.Eorezo) -> No action taken.
C:\Users\Poyette\AppData\Roaming\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe (Rogue.Eorezo) -> No action taken.
C:\Windows\System32\win32extension.dll (Trojan.FakeAlert) -> No action taken.
C:\Windows\System32\drivers\mrxoko.sys (Worm.KoobFace) -> No action taken.
C:\Users\Poyette\downloads\packupdate_build8_231(2).exe (Trojan.Downloader) -> No action taken.
C:\Users\Poyette\downloads\packupdate_build8_231(3).exe (Trojan.Downloader) -> No action taken.
C:\Users\Poyette\downloads\packupdate_build8_231.exe (Trojan.Downloader) -> No action taken.
C:\Users\Poyette\downloads\packupdate_build9_231(2).exe (Trojan.Downloader) -> No action taken.
C:\Users\Poyette\downloads\VideoLan.exe (Trojan.SMSScam) -> No action taken.
C:\Users\Poyette\downloads\packupdate_build9_231.exe (Trojan.Downloader) -> No action taken.
C:\Users\Poyette\downloads\packupdate_build9_231(3).exe (Trojan.Downloader) -> No action taken.
C:\Program Files\PersonSecurity\psecurity.exe (Rogue.PersonalSecurity) -> No action taken.
C:\Program Files\Common Files\PersonSecurityUninstall\Uninstall.lnk (Rogue.PersonalSecurity) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\PersonSecurity\Computer Scan.lnk (Rogue.PersonalSecurity) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\PersonSecurity\Help.lnk (Rogue.PersonalSecurity) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\PersonSecurity\Personal Security.lnk (Rogue.PersonalSecurity) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\PersonSecurity\Registration.lnk (Rogue.PersonalSecurity) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\PersonSecurity\Security Center.lnk (Rogue.PersonalSecurity) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\PersonSecurity\Settings.lnk (Rogue.PersonalSecurity) -> No action taken.
C:\ProgramData\Microsoft\Windows\Start Menu\PersonSecurity\Update.lnk (Rogue.PersonalSecurity) -> No action taken.
C:\Users\Poyette\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\PersonSecurity.lnk (Rogue.PersonalSecurity) -> No action taken.
C:\captura.bmp (Malware.Traces) -> No action taken.
C:\codigo1.bmp (Malware.Traces) -> No action taken.
C:\codigo2.bmp (Malware.Traces) -> No action taken.
C:\codigo3.bmp (Malware.Traces) -> No action taken.
C:\codigo4.bmp (Malware.Traces) -> No action taken.
C:\Windows\ligh (Koobface.Trace) -> No action taken.
C:\Users\Poyette\Desktop\Personal Security.lnk (Rogue.PSecurity) -> No action taken.
C:\Windows\bk23567.dat (KoobFace.Trace) -> No action taken.
C:\Windows\fdgg34353edfgdfdf (KoobFace.Trace) -> No action taken.
C:\Windows\sonce123198.dat (Worm.KoobFace) -> No action taken.
C:\Users\Poyette\Local Settings\Application Data\010112010146101115.xxe (Worm.KoobFace) -> No action taken.
C:\Users\Poyette\Local Settings\Application Data\010112010146111103.xxe (Worm.KoobFace) -> No action taken.
C:\Users\Poyette\Local Settings\Application Data\010112010146114101.xxe (Worm.KoobFace) -> No action taken.
C:\Users\Poyette\Local Settings\Application Data\01011201014650115.xxe (Worm.KoobFace) -> No action taken.
C:\Users\Poyette\Local Settings\Application Data\rdr_1269965352.exe (Worm.KoobFace) -> No action taken.
C:\Users\Poyette\Local Settings\Application Data\rdr_1269974461.exe (Worm.KoobFace) -> No action taken.
C:\Users\Poyette\Local Settings\Application Data\rdr_1270016628.exe (Worm.KoobFace) -> No action taken.
C:\Users\Poyette\Local Settings\Application Data\rdr_1270016948.exe (Worm.KoobFace) -> No action taken.
C:\Users\Poyette\Local Settings\Application Data\rdr_1270017940.exe (Worm.KoobFace) -> No action taken.
C:\Users\Poyette\Local Settings\Application Data\rdr_1270018249.exe (Worm.KoobFace) -> No action taken.

Après suppression :

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3937

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

31/03/2010 15:09:28
mbam-log-2010-03-31 (15-09-28).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 103566
Temps écoulé: 5 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 9
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 43

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\Windows\System32\captcha.dll (Worm.KoobFace) -> Delete on reboot.
c:\Windows\System32\clbcoko.dll (Worm.KoobFace) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\captcha (Worm.KoobFace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\swoko (Worm.KoobFace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c73fd00d-a099-405c-92b4-8997710d187d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c73fd00d-a099-405c-92b4-8997710d187d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c73fd00d-a099-405c-92b4-8997710d187d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ql600oko (Worm.KoobFace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QL600OKO (Worm.KoobFace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\PersonSecurity (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eoengine (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\softwarehelper (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\captcha (Worm.KoobFace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\PersonSecurity (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Program Files\Common Files\PersonSecurityUninstall (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\PersonSecurity (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\Windows\System32\captcha.dll (Worm.KoobFace) -> Delete on reboot.
c:\Windows\System32\clbcoko.dll (Worm.KoobFace) -> Delete on reboot.
C:\Program Files\EoRezo\EoEngine.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Users\Poyette\AppData\Roaming\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Windows\System32\win32extension.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\mrxoko.sys (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Poyette\downloads\packupdate_build8_231(2).exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Poyette\downloads\packupdate_build8_231(3).exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Poyette\downloads\packupdate_build8_231.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Poyette\downloads\packupdate_build9_231(2).exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Poyette\downloads\VideoLan.exe (Trojan.SMSScam) -> Quarantined and deleted successfully.
C:\Users\Poyette\downloads\packupdate_build9_231.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Poyette\downloads\packupdate_build9_231(3).exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Program Files\PersonSecurity\psecurity.exe (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Program Files\Common Files\PersonSecurityUninstall\Uninstall.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\PersonSecurity\Computer Scan.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\PersonSecurity\Help.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\PersonSecurity\Personal Security.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\PersonSecurity\Registration.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\PersonSecurity\Security Center.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\PersonSecurity\Settings.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\PersonSecurity\Update.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Users\Poyette\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\PersonSecurity.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\captura.bmp (Malware.Traces) -> Quarantined and deleted successfully.
C:\codigo1.bmp (Malware.Traces) -> Quarantined and deleted successfully.
C:\codigo2.bmp (Malware.Traces) -> Quarantined and deleted successfully.
C:\codigo3.bmp (Malware.Traces) -> Quarantined and deleted successfully.
C:\codigo4.bmp (Malware.Traces) -> Quarantined and deleted successfully.
C:\Windows\ligh (Koobface.Trace) -> Quarantined and deleted successfully.
C:\Users\Poyette\Desktop\Personal Security.lnk (Rogue.PSecurity) -> Quarantined and deleted successfully.
C:\Windows\bk23567.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\fdgg34353edfgdfdf (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\sonce123198.dat (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Poyette\Local Settings\Application Data\010112010146101115.xxe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Poyette\Local Settings\Application Data\010112010146111103.xxe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Poyette\Local Settings\Application Data\010112010146114101.xxe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Poyette\Local Settings\Application Data\01011201014650115.xxe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Poyette\Local Settings\Application Data\rdr_1269965352.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Poyette\Local Settings\Application Data\rdr_1269974461.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Poyette\Local Settings\Application Data\rdr_1270016628.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Poyette\Local Settings\Application Data\rdr_1270016948.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Poyette\Local Settings\Application Data\rdr_1270017940.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Poyette\Local Settings\Application Data\rdr_1270018249.exe (Worm.KoobFace) -> Quarantined and deleted successfully.

Le rapport de malwarebyte semble ne pas être complet
utilise ci-joint.fr pour uploader le fichier.

poste moi un rapport RSIT

http://www.cijoint.fr/cjlink.php?file=cj201003/cijIMt1But.txt

http://www.cijoint.fr/cjlink.php?file=cj201003/cijvK7v0bW.txt

Bien il reste encore quelques infections :


Outil de suppression TDSS

* Télécharge TDSSKiller.zip et enregistrez-le sur votre bureau.
* Extraire le fichier zip sur votre bureau (très important, sa trouve là-bas!).
* Cliquez sur Démarrer> Exécuter et copiez-collez le texte en gras suivant dans la boîte de dialogue Exécuter
"%userprofile%\Desktop\tdsskiller.exe"-l report.txt
* Quand il terminé, appuyez sur n'importe quelle touche pour continuer.
* Si nécessaire redémarrer l'ordinateur.

Un rapport sera crée au format texte (report.txt) sur le bureau. Poste-le dans ta réponse.

AD-Remover : Nettoyage

Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Miroir: http://forum-aide-contre-virus.be/download/C_XX/AD-R.exe

/!\ Ferme toutes applications en cours /!\

/!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Lance Ad-remover.exe, par un double-clique sur l'icône Ad-remover située sur ton Bureau.
Sur la page, clique sur le bouton SCan
Laisse travailler l'outil
Poste le rapport qui apparait à la fin
(Le rapport est sauvegardé aussi sous C:\Ad-reportScan.Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
Aide en image : clique ici

Note : l'UAC de Vista ne gêne plus AD Remover
Aide en image : clique ici

http://www.cijoint.fr/cjlink.php?file=cj201003/cijDsy4cy1.txt

Relance
AD-Remover : Nettoyage

/!\ Ferme toutes applications en cours /!\

/!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Relance Ad-remover.exe, par un double-clique sur l'icône Ad-remover située sur ton Bureau.
Sur la page, clique sur le bouton Nettoyer
Laisse travailler l'outil
Poste le rapport qui apparait à la fin
(Le rapport est sauvegardé aussi sous C:\Ad-reportClean.Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
Aide en image : clique ici

Que donne TDSSKIller ? l'as tu executé avant ad-remover comme demandé ?


hijackthis
Ouvre hijackthis en suivant ce chemin C:\Program Files\Trend Micro\HijackThis\Poyette.exe

Clique sur le bouton Scan only system...
Coches les cases suivantes :

O1 - Hosts: 95.143.192.205 u07012010u.com
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)

fermes toutes tes applications et fenêtres puis clique sur le bouton fix checked.



RSIT
Poste moi un nouveau rapport RSIT, merci

gMER
Télécharge le programme : Gmer à cette adresse http://www.gmer.net/gmer.zip

Déconnecte toi d'internet si possible et ferme tous les programmes. Déconnecte l'antivirus.
clic droit executer en tant qu'administrateur
Décompresse le fichier zip et double-clic sur gmer.exe
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
A droite, décoche "Registry"
Clic sur Scan
Lorsque le scan est terminé, clic sur "copy"

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

http://www.cijoint.fr/cjlink.php?file=cj201003/cij36R4Ntn.txt

Je n'arrive pas à lancer TDSSkiller

http://www.cijoint.fr/cjlink.php?file=cj201003/cij8u0ND3t.txt

Je m'occupe de gmer...

Oups... écran bleu et redémarrage avec gmer...

hijackthis
Ouvre hijackthis en suivant ce chemin C:\Program Files\Trend Micro\HijackThis\Poyette.exe

Clique sur le bouton Scan only system...
Coches les cases suivantes :

O1 - Hosts: 95.143.192.205 u07012010u.com
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)

fermes toutes tes applications et fenêtres puis clique sur le bouton fix checked.

pour gmer tu as bien tout désactivé ??

On va essayer ceci :

Télécharge load_tdsskiller de Loup Blanc sur ton Bureau en cliquant sur ce lien :

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

* Lance load_tdsskiller en double-cliquant dessus : l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan
* A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande
* Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (le fichier est également présent ici : C:\tdsskiller\report.txt)
* Fais redémarrer ton PC

Attention à être bien attentif.




Combofix :
Télécharge Combofix (by sUbs) sur ton bureau pas ailleurs !

NOTE Désactive tes protections résidentes durant son utilisation (antivirus et antispyware / [g]Déconnecte toi de Internet[/g].

- Double Clic sur Combofix., accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Tu as le tutorial sur ce lien pour t'aider : http://www.bleepingcomputer.com/combofi ... r-combofix

PS : Si Combofix ne se lance pas en mode normal, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

- Laisse toi guider et ne touche à rien, sinon le PC risque de freezer.
- Lorsque l'analyse est terminée, un b]rapport[/b] sera créé.
- Poste-le (C:\Combofix.txt).

Aide: Un guide et un tutoriel sur l'utilisation de ComboFix

Je lirai tes rapports demain. Je dois partir. Les PC est bien nettoyer

relance ad-remover et clique sur le bouton désinstaller.

Tu en es ou ??? tu as rendu le pc ??? plus de soucis ???

Dois je classer ton sujet.

Absente pendant 3 jours = Fêtes de Pâques, si mercredi je n'ai pas de réponse, le sujet sera vérrouillé.

Une désinfection est inefficace si on ne va pas jusqu'au bout...


Sujet fermé en raison de l'inactivité. Si vous souhaitez réouvrir ce sujet, faites en la demande par MP en indiquant la raison et le lien vers ce sujet. Cela ne s'applique qu'à Delirium79. Pour les autres, créez votre propre sujet svp.