[résolu]Virus nommé "System Tool"

Bien le bonjour !

Il y a 2 semaines mon père a infecté le pc "familial" en surfant n'importe où. Nous avons 3 sessions sur notre pc xp familial, et seulement la sienne possède ce virus si je puis dire. Le nom du virus est System Tool. En faisant une petite recherche sur internet j'ai trouvé ceci comme description:
"Il s’agit d’un programme malhonnête et très dangereux. Vous rencontrerez de nombreux faux résultats positifs, avec éventuellement une fausse analyse du système et de faux résultats d’analyse. En outre, System Tool 2011 fera tout son possible pour vous amener à acheter une version complète qui en réalité n’existe pas. Ne soyez pas surpris si votre système informatique devient de plus en plus lent et si des fichiers se mettent à disparaître.

System Tool 2011 peut provoquer de nombreuses modifications du registre et refuser l’accès à certaines applications et programmes de sécurité. Il est de votre intérêt d’éradiquer System Tool 2011 de votre système informatique dès sa détection, car mieux vaut prévenir que guérir."

Mon père en arrivant sur sa session ne peut plus aller nulle part, il est bloqué, il clique sur les icônes et rien ne se passe. Un fond d'écran bleu laid comme tout s'est installé aussi. Et en permanence le virus s'active en faisant une "fausse" analyse du pc. J'ai essayé "d'effacer" le virus avec Spybot - Search & destroy, croyant qu'il était supprimé puisque tout était redevenu normal, ce matin le virus est revenu...

C'est pourquoi je m'en remets à vous pour m'aider à enlever ce foutu virus.
Merci d'avance.

PS: Je poste depuis mon pc portable personnel pour plus de rapidité mais j'effectuerai les démarches sur le pc infecté, bien entendu !

WhiteBean a écrit:

Bien le bonjour !

Il y a 2 semaines mon père a infecté le pc "familial" en surfant n'importe où.

le vilain !

hello

commence à faire ceci ,et dès que possible , un helper te prendra en charge

http://www.bibou0007.com/t2887-procedure-a-suivre-avant-de-poster

pour la suite spybot est obsolète , préferes lui MBAM

bienvenue et bon courage

Ok merci pour ta réponse.

Je vais faire les procédures qui sont dans ton lien et je donnerai des nouvelles.

Pour MBAM, le problème c'est que je n'arrive pas à faire la mise à jour, donc faire une analyse me sert à rien

Merci!

Bonjour

avant malwarebyte , fais ceci sans rebooter

* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
* Lance RogueKiller.exe.
* Lorsque demandé, tape 1 et valide
* Si le programme demande pour supprimer le proxy, tapez1 si vous êtes sûr que ce n'est pas vous qui l'avez mis, sinon taper 2
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

NOTE: taper 2 pour mode suppression
NOTE: S'il y a un proxy de trouvé , taper 1 pour la suppression

Mise à jour manuelle de malwarebyte : http://www.bibou0007.com/t4577-tutoriel-mettre-a-jour-manuellement-malwarebytes-anti-malware

WhiteBean a écrit:

Pour MBAM, le problème c'est que je n'arrive pas à faire la mise à jour, donc faire une analyse me sert à rien

Merci!

qu' est ce qui bloque ?
sinon , méthode :

http://www.bibou0007.com/t4577-tutoriel-mettre-a-jour-manuellement-malwarebytes-anti-malware

Re !

Alors j'ai suivi les procédures du lien de ouzopower et celui de Laddy et voici ce que je vous rapport:

Le rapport du scan RogueKiller
http://www.cijoint.fr/cjlink.php?file=cj201101/cijn4uXdrn.txt

Le rapport Malwarebytes' Anti-Malware
http://www.cijoint.fr/cj201101/cij0EKaNXZ.txt

Le rapport ZHPDiag
http://www.cijoint.fr/cjlink.php?file=cj201101/cijIFzITbn.txt

Les rapports RSIT
log: http://www.cijoint.fr/cjlink.php?file=cj201101/cijHR6a0H0.txt
info: http://www.cijoint.fr/cjlink.php?file=cj201101/cijxH3FKs4.txt

Et pour le scan de Gmer, je n'ai pas pu le faire parce qu'en cliquant sur l'icône pour exécuter le programme, mon pc plante immédiatement et redémarre...

Voilà !

Bonjour

pour gmer, pas de soucis.

Tu as un brickopack installé, j'espère qu'il ne va pas nous géner pendant la désinfection.

Je n'ai pas vu d'infection system tool ? suis tu une désinfection ailleurs ? ou as tu passé deux fois certains outils ??
Si oui, il est dangereux pour ton pc de suivre une désinfection croisée. Fais ton choix là-bas ou ici.

Si ce n'est pas le cas poursuivons :

Tu as une infection ask.com provoqué par l'installation de ce logiciel : VDownloader ansi que des restes d'autres infections.

Nous allons y remédier.
Ad-Remover : Scan
Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
http://forum-aide-contre-virus.be/download/AD-Remover.html ( Miroir )

/!\ Ferme toutes applications en cours /!\

/!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « Scanner »
- Confirme lancement du scan
- Laisse travailler l’outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-reportScan.Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)


AD-Remover : Nettoyage

Relance Ad-remover.exe, par un double-clique sur l'icône Ad-remover située sur ton Bureau.
Sur la page, clique sur le bouton Nettoyer
Laisse travailler l'outil
Poste le rapport qui apparait à la fin
(Le rapport est sauvegardé aussi sous C:\Ad-reportClean.Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
Aide en image : clique ici


Aide en image : clique ici

Reposte moi un nouveau rapport zhdiag après reboot du pc.

J'attends :
tes deux rapports ad-remover
ton nouveau rapport zhpdiag.

Bonjour !

Non je ne suis pas de désinfection ailleurs je suis juste vos indications ! Mais je fais les procédures sur ma session qui n'est pas "infectée", pas sur celle qui est infectée car sur cette session je n'ai accès à absolument rien...

Les rapports Ad-Remover:
Scan: http://www.cijoint.fr/cjlink.php?file=cj201101/cijxHL6Atb.txt
Nettoyage: http://www.cijoint.fr/cjlink.php?file=cj201101/cijsYWmjFq.txt

Le rapport zhpdiag:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijMh0j5Xq.txt

Voilà !

Bonjour

je comprends mieux.
réaliser les scans sur la session non infectée ne montrent pas l'infection il faut absolument réalisé les scans sur la session infectée et être plus précis.

Sur ta session Marie, tu peux désinstaller ad-remover en le réouvrant et en cliquant sur le bouton désinstaller.
Sur ta session non infectée : Marie, copie colle roguekiller.exe vers ce chemin :


C:\documents and settings\Nom_Session_infecté\Bureau
ou Nom_Session_infectée est à remplacer par le nom de la session infectée.

Quelle est le nom de la session infectée ?
Arrives tu sur le bureau de cette section infectée ? as tu accès au gestionnaire des tâches en faisant alt+ctrl+supp ?

Oui ou non ?
Si oui , Menu Fichiers > Créer une nouvelle tâche, clic sur le bouton parcourir et rends toi sur le bureau ou tu as placé précédemment : RogueKiller.exe
Clic sur ouvrir puis OK.

avec un peu de chance le programme va s'éxecuter si ce n'est pas le cas, informe moi des messages d'erreur éventuels que tu rencontres.

ou




arrives tu à charger le bureau en mode sans echec avec prise en charge réseau ?

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

* Redémarre ton ordinateur
* Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 ou F5 (une pression par seconde).
* A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
* Choisis la première option, pour exécuter Windows en mode sans échec avec prise en charge réseau , puis appuie sur "Entrée".
* Choisis le compte infecté.

Si le bureau se charge,

* Lance RogueKiller.exe qui doit être placé sur ton bureau
* Lorsque demandé, tape 2 et valide
* Si le programme demande pour supprimer le proxy, tapez1 si vous êtes sûr que ce n'est pas vous qui l'avez mis, sinon taper 2
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.


indiques moi la procédure que tu as suivis :

Mode normal, ou mode sans echec sur la session infectée ?

Re,

En allant sur la session infectée en mode normal, je n'arrive pas à accéder au gestionnaire de tâches. J'essaye donc de le redémarrer en mode sans échec avec prise en charge réseau mais quand j'accède au menu pour choisir cette option, mes flèches du clavier ne marchent pas donc je reste bloquée...

Bonjour
nous allons avoir recours à un liveCD.

Avec un autre ordinateur ou session fonctionnant muni d'un graveur,
Télécharger OTLPEnet sur ton Bureau (Taille 120,9 Mo)

* Quand le téléchargement sera fini, Double Clic sur OTLPENet.exe et assures-toi d'avoir insérer un CDR vierge dans ton graveur CD/DVD. Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
* Patiente le temps de la décompression et de la gravure du CD.
* Redémarre ton PC en utilisant le CD Boot venant d'etre créé.
*** Modifie eventuellement les options de boot, tu dois booter sur le CD (F12)
* Ton système doit montrer un bureau REATOGO-X-PE
* En fonction de votre type de connexion Internet, tu dois être en mesure d'accèder au Net, si bien que tu peux accéder à ce sujet plus facilement.
* Double-clic sur l'îcone OTLPE
* Dans la Première messagebox RunScanner clique sur Yes.
* Dans la seconde, Assures toi que la case " "Automatically Load All Remaining Users" soit coché et clique sur ok.
* OTL doit se lancer maintenant
* Presse Run Scan pour démarrer le scan.
* Quand c'est terminé, le fichier est sauvegardé sur ton disque dur C:\OTL.txt
* Copies sur fichier sur une clé usb si tu n'as pas accès à Internet.
* Poste la contenu du rapport OTL.txt dans ton prochaine réponse.

Si ton rapport est trop long, utilise le site http://www.ci-joint.fr pour envoyer ton rapport, et poste le lien dans ta prochaine réponse.

Le logiciel est bien gravé sur le cd mais mon pc ne le reconnait pas alors que sur mon pc le cd se reconnait directement...

Je crois que je suis foutue!

Bonjour
je n'ai rien compris.

[quote]mais mon pc ne le reconnait pas alors que sur mon pc le cd se reconnait directement..
[/uqote]
je pense que tu voulais dire au démarrage du pc
le cd est reconnu sous windows...

Tu dois modifier ta séquence de démarrage PC pour booter sur le CD gravé.
Ta séquence de boot peut être accessible via en appuyant sur la touche F12 de ton clavier si me souvenirs sont bons.

Choisir le CDROM pour booter, normalement REATOGO-X-PE devrait pouvoir se charger.

as tu effectué cette manipulation ?

En appuyant sur F12 j'ai bien l'option CDrom mais sans les touches du clavier je ne peux pas accéder à cette option

ton clavier ne fonctionne pas ? est il en usb ?

C'est un clavier sans fil qui est connecté avec un capteur qui lui est branché au pc. Une fois arrivé à ma session, le clavier marche, avant non

Ok je vois c'est quelque peu ennuyant pour réaliser les manipulations sous dos...

ça va être difficile de traiter l'infection sur la session infectée...

tu n'aurais pas un clavier usb sous la main ?

Ah j'ai réussi en changeant un paramètre dans le menu BIOS !

Je vais essayé de faire cette étape

"* Lance RogueKiller.exe qui doit être placé sur ton bureau
* Lorsque demandé, tape 2 et valide
* Si le programme demande pour supprimer le proxy, tapez1 si vous êtes sûr que ce n'est pas vous qui l'avez mis, sinon taper 2
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois."

Je te donne des nouvelles.

Re !

Voici le rapport RogueKiller
http://www.cijoint.fr/cjlink.php?file=cj201101/cijcBkqWA8.txt

Que dois-je faire maintenant ?

étrange, en modifiant le bios, tu as réussi à démarrer sur ta session infectée ?
Qu'est ce que tu as modifié exactement ?


Quelle est le nom de la session infectée ? Merci de répondre.

Roguekiller a désenregistré un exe infectieux qui était responsable du blocage.

Sans redémarre le PC.

Télécharge MalwareByte's Anti-Malware et installe le.

http://www.malwarebytes.org/mbam.php

bouton Download free version.

- Assure toi qu'il se soit bien mis à jour avant de passer à la suite.

* Lance MBAM et sélectionne "Exécuter un examen rapide". Patiente le temps du scan.

* Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera.

ZHPDiag :



Clique ici pour Télécharger ZHPDiag ( de Nicolas coolman )


Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut (Coche " Créer une icône sur le bureau " )

• Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Exécuter en tant qu'administrateur ( Vista/seven )
  
  
• Clique sur la loupe en haut à gauche, puis laisse l'outil scanner
  
  
• Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau

Poste le contenu du rapport


Si les rapports sont trop longs utilisez ce site : http://www.cijoint.fr/
Cliquez sur Parcourir pour rechercher les rapports puis cliquez sur Cliquez ici pour déposer le fichier
Donnez le lien dans le sujet.
Il est de type : http://www.cijoint.fr/cjlink.php?file=cj201003/abcZ8MD0zB.tx

En fait, j'ai juste activité le droit à mon clavier et souris sans fil de fonctionner quand je démarrais en mode sans échec en gros.

La session infectée est Hervé.

Je fais les scan et je te donne les rapports !

Voici le rapport MBAM:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijNNoJs0K.txt

Et le rapport ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijW4b5IyT.txt

Bonjour WhiteBean

tu as un rogue installé sur ton PC nommé : EasySpywareCleaner, très vieux rogue
Logiquement malwarebyte aurait dû le supprimer.

Si tu arrives à redémarrer cette section Hervé en mode normal sinon toujous en mode sans echec

est ce que tu arrives maintenant à démarrer en mode normal sur cette session ?

ZHPFix : raccourcis sur le bureau

• Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en tant qu'administrateur).
  
• Copie les lignes suivantes :
  
  O4 - HKLM\..\Run: [EasySpywareCleaner] \EasySpywareCleaner.exe
  [HKCU\Software\AskToolbar]
  
  
  
• Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
  
• Les lignes se collent automatiquement dans ZHPFix.
  
• Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer »
  
• Poste le contenu de ton rapport dans ta prochaine réponse, le rapport est situé sur ton bureau
  

Redémarre la machine en mode normal


Poste moi un nouveau rapport ZHPDiag, et réalise une nouvelle fois un scan malwarebyte.

J'attends :
ton rapport zhfix
ton rapport zhpdiag
ton rapport malwarebyte.

Bonjour !

J'ai réussi à faire les scan sur la session infectée en mode normal.

Rapport ZHPFix:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijxgRpuef.txt

Rapport ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201102/cij5pGQdMg.txt

Rapport MBAM:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijOIKG0hP.txt

Bonjour



bien que tu n'utilises pas internet explorer comme navigateur par défaut, ton pc est vulnérable aux failles de sécurité, je te conseille vivement de faire la mise à jour vers la version 8.

Tu as des programmes sensibles aux failles de sécurité , qui doivent être mis à jour.


Acrobat Reader X :
Rends toi sur cette page : http://get.adobe.com/fr/reader/

Décoche la case : McAfee® Security Scan Plus gratuit (en option)
Clique sur le bouton Télécharger.
Installe Acrobat reader.

Java

Rends toi sur le site de java pour installer : Java 6 update 23[list]
http://www.java.com/fr/download/


Java Quick Starter (JQS.exe) ajoute un service destiné à améliorer le temps de démarrage initial d'applets et applications Java.
Pour désactiver le service JQS si vous ne souhaitez pas l'utiliser, allez dans Démarrer> Panneau de configuration> Java> Avancé> Divers et décochez la case Java Quick Starter. Cliquez sur OK et redémarrez votre PC.

CCleaner : effacter une entrée
Ouvre CCleaner > Outils > désinstallation de programme
Repère Security Tool2011 , sélectionne le et clic sur le bouton Effacer l'entrée
Ferme ccleaner

Désinstallation de programmes obsolètes :
Bouton démarrer > paramètres > panneau de configuration ajout supression de programme
Spybot est obsolète par sa façon de fonctionner je te conseille de le désinstaller.

Dans la liste désinstaller les programmes suivants si présent.

Adobe Reader 9.3.4 - Français -
Java(TM) 6 Update 13
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 6
Java(TM) 6 Update 7
Spybot - Search & Destro
SweetIM Toolbar for Internet Explorer 3.6

ZHPFix : raccourcis sur le bureau

• Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en tant qu'administrateur).
  
• Copie les lignes suivantes :
  
  SysRestore
  EmptyTemp
  FirewallRAZ
  CTFDisabled
  R3 - URLSearchHook: (no name) - {4596013b-6c31-408b-a266-deae5c086dc2} Clé orpheline
  O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline
  
  OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
  OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
  OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
  OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
  OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
  OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
  OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
  O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK
  O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP
  [HKCU\Software\LdShih]
  [HKCU\Software\YahooPartnerToolbar]
  ServiceDemand:TomTomHOMEService
  O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} [DefaultScope] - (Web Search) - http://search.conduit.com
  O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - (@ieframe.dll,-12512) - http://search.live.co
  O44 - LFC:[MD5.762D449B63BC19144F183A1E64816AE6] - 16/01/2011 - 18:20:39 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\fsqwr.bmp [1228854]
  
  
  
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
  
• Les lignes se collent automatiquement dans ZHPFix.
  
• Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer »
  
• Poste le contenu de ton rapport dans ta prochaine réponse, le rapport est situé sur ton bureau
  

Redémarre ton pc
Poste moi un nouveau ZHPDiag avec le rapport ZHPfix

Comment va cette session ?

Voici le rapport zhpfix: http://www.cijoint.fr/cjlink.php?file=cj201102/cijMVCk96d.txt

Je n'ai pas effacé Adobe Reader 9.3.4 - Français - car je n'ai pas ça dans la liste des programmes mais j'ai Adobe Reader X - Français - , c'est pareil ou pas ?

Sinon la session à l'air d'aller, le fond d'écran n'apparaît plus et elle n'est plus bloquée.
Mon pc me signale qu'aucun pare-feu n'est activé par contre, c'est normal ou pas ?

C'est que tu as fait la mise à jour et que l'ancienne version a été désinstallé sans doute.
Poste moi un nouveau rapport ZHPDiag.

Pour ton pare-feu, bouton démarrer > paramètres > panneau de configuration > parefeu
Mettre sur activé.
Valide par OK
.
Est il activé maintenant ?

Voici le rapport zhpdiag: http://www.cijoint.fr/cjlink.php?file=cj201102/cijrEmfb4f.txt

Pour le pare-feu je ne peux pas l'activer car les options sont grisées, je ne peux pas cliquer dessus.

Re,

pour ton pare-feu c'est comme ça depuis quand ? depuis l'infection ? ou depuis juste après le fix réalisé plus haut ?

ZHPFix : raccourcis sur le bureau

• Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en tant qu'administrateur).
  
• Copie les lignes suivantes :
  
  OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe
  OPT:O4 - HKLM\..\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
  OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe (.not file.)
  ServiceDemand:JavaQuickStarterService
  ServiceDemand:gupdate
  ServiceDemand:LVCOMSer
  ServiceDemand:LVPrcSrv
  
  
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
  
• Les lignes se collent automatiquement dans ZHPFix.
  
• Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer »
  
• Poste le contenu de ton rapport dans ta prochaine réponse, le rapport est situé sur ton bureau
  

Poste moi un nouveau rapport ZHPDiag avec celui de ZHPFix.

Le pare-feu c'est avant l'infection.

Rapport zhpfix: http://www.cijoint.fr/cjlink.php?file=cj201102/cijV54IqR8.txt
Rapport zhpdiag: http://www.cijoint.fr/cjlink.php?file=cj201102/cijPpvlaoZ.txt

Ok tres bien.

Pare-feu windows :

Bouton démarrer > executer > taper CMD
Valide par OK
A l'invite de commande : copie coller cette ligne : netsh firewall reset
Valide par entrer

Tu devrais voir le message Ok apparaitre.
Si non indique moi le message d'erreur, est ce que ton pare-feu est activé maintenant ?
regarde dans le panneau de configuration
Un redémarrage peut être nécessaire.

J'ai bien fait ce que tu m'as dit, le message "ok" s'est mis, j'ai fermé l'invite de commandes j'ai redémarré mais je ne peux toujours pas cocher l'activation du pare-feu, les options sont toujours grisées.

Tu n'avais pas un pare-feu logiciel avant d'installer ? et aucun logiciel parefeu sur d'autres sessions ?

Essaie ceci :
Télécharger ce fichier : http://informatruc2.free.fr/bdr/enablefirewall.rar
Décompresse le sur le bureau
double clic sur le fichier reg pour le fusionner à la base du registre.
Redémarre le PC.
Recommence ceci : NETSH FIREWALL RESET

est ce toujours grisé ?

Quand je clique sur ton lien ça fait "404 - File or directory not found."

Et j'avais un pare-feu avant mais un jour on a du changer la carte mère et depuis plus de pare-feu... Et ceci sur nos 3 sessions respectives.

Edit: le lien remarche j'installe et je te dis

Vu pour le lien j'en ai mis un autre.

Voilà j'ai pu coché "activé le pare-feu"
Sera-t-il activé sur les autres sessions ?
Et mon virus est-il supprimé ?

Re,

normalement il doit être activé sur toute les sessions mais tu peux vérifier.

Ton infection est traitée mais on peut jeter un oeil sur les autres sessions voir si tout va bien. il suffit de faire un rapport zhpdiag pour chaque session.

D'accord je fais ça et je te montre.

Pour sécuriser ton firefox je te conseille vivement d'installer ses extensions sur chaque session :

https://addons.mozilla.org/fr/firefox/addon/adblock-plus/
https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/Pour sécuriser ton firefox je

Merci je vais installer tes extensions sur chaque session. A quoi servent-elles ?

Voici les rapports :

Marie: http://www.cijoint.fr/cjlink.php?file=cj201102/cijZ3chB3u.txt
Martine: http://www.cijoint.fr/cjlink.php?file=cj201102/cijv3TiMvi.txt

C'est ok POUR LES autres sessions.
Tu peux supprimer le fichier reg téléchargé précédemment, ainsi que RogueKiller.

Adblocks permet de te proteger de la publicité, et WOT permet de te protéger des sites malicieux.

Sur la session Hervé il y a juste ceci a retiré des moteurs de recherche d'internet explorer 7 :
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} [DefaultScope] - (Web Search) - http://search.conduit.com
Je ne dispose plus de cette version, il faudra que tu cherches toi meme dans internet explorer

Rends toi vers : C:\Program Files\Spybot - Search & Destroy
et supprime le dossier Spybot puisqu'il est désinstallé
ainsi que
C:\Program Files\LimeWire
C:\Program Files\DAEMON Tools Toolbar
C:\Program Files\Ad-Remover


Réalise un scan Antivir en le mettant à jour et poste le rapport à la fin.

Conserve malwarebyte antimalware, que tu peux utiliser une fois par semaine pour scanner ton pc.

"Sur la session Hervé il y a juste ceci a retiré des moteurs de recherche d'internet explorer 7 :
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} [DefaultScope] - (Web Search) - http://search.conduit.com
Je ne dispose plus de cette version, il faudra que tu cherches toi meme dans internet explorer"

Je fais comment ?

Sinon je fais les scan et je te dis ça.

Pour internet explorer 7, à toi de chercher dans les options d'internet explorer. Je n'ai plus ce navigateur, je suis à jour.

Mise à jour Internet explorer 8 : http://www.microsoft.com/france/windows/internet-explorer/telecharger-ie8.aspx
Avant de réaliser la mise à jour, réalise une point de restauration systeme


OneClick2RestorePoint :


Télécharge OneClick2RestorePoint de Laddy sur ton Bureau

Mirroirs si non accessible :
OneClick2RP.exe (Mirroir 1)

• Conserve-le tout au long de la désinfection et de l'optimisation.
  
• Double clic dessus pour l'exécuter (Sous Vista/Seven, fais un clic droit et choisir Exécuter en tant qu'administrateur)
  
• Entre la description suivante : avant_mal_ie8
  
• Clic sur le bouton Créer, puis sur le bouton OK.
  
• Clic sur le bouton quitter pour fermer l'application
  

Bonjour !

Voilà mon analyse Avira est terminée, comment je poste le rapport ? Il me donne deux choses qui sont "positives" mais je n'ai aucun moyen de les c/c et je ne sais pas où se trouve le rapport. Je peux te faire une impression d'écran pour te montrer ?

Bonjour WhiteBean,

Quand le scan est terminé tu as un bouton nommé rapport sur la fenêtre.
il suffit de cliquer dessus pour ouvrir le rapport puis de l'enregistrer sur le bureau.

Si tu as fermé la fenêtre utilise ce petit outil :


Télécharge Report_Antivir.exe de Laddy sur ton bureau, double clic dessus pour l'exécuter.


Rends toi sur l'onglet Rapports, dans la liste, double clic sur la date la plus récente (en général c'est le dernier) pour ouvrir le rapport.
Copie/coller le contenu dans ta prochaine réponse.

Tu n'as pas un autre site pour héberger le rapport ? Cijoint ne marche pas...

Essaie celui ci sans créer de compte.
ou
en créant un compte gratut.
Uppi.fr : uploader vos fichiers

1.Création de compte :

Rends toi sur cette page pour ouvrir un compte gratuit, cela prend quelques secondes : http://www.uppi.fr/ucp.php?go=register
Tu pourras utiliser ce compte tout au long de la procédure de désinfection.

2. Connexion et upload de fichiers :

Une fois l'inscription faite; rends toi vers cette page pour te connecter : http://www.uppi.fr/ucp.php?go=login
Clic sur le bouton Choisissez un fichier et navigue jusqu'à ton Bureau pour uploader le rapport demandé
Si tu dois uploader plusieurs fichiers clic le bouton +
Coche la case : Vous devez accepter les CGU
Clic sur le bouton Envoyer
Patiente le temps de l'upload.
Fournis le lien donné qui sera de cette forme dans ta prochaine réponse : http://www.uppi.fr/download.php?id=XX où X est un numéro

sinon
http://www.sendspace.com/

http://www.sendspace.com/file/kebf9y voilà mon scan avira

Bien,
vide la quarantaine de Antivir

comment je fais ?