[Résolu] Je pense être infecté....Rootkit ZAccess Sirefef

Bonjour,

je ne me souviens pas de ce que j'ai fais tout à l'heure, je pense avoir refusé un l'installation d'un programme et depuis antivire me supprime sans arrêts des fichiers.

bonjour niconstant
en attendant qu' un helper te prenne en charge , fais ceci :

http://www.bibou0007.com/t2887-procedure-a-suivre-avant-de-poster

Je vais suivre tes conseil et ton lien ouzopower, mai avant de voir ta réponse j'avais déjà fait un scan MBAM voici le rapport :

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.27.05

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
Constant :: CONSTANT-PC [administrateur]

27/06/2012 13:50:12
mbam-log-2012-06-27 (13-50-12).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 331575
Temps écoulé: 1 heure(s), 12 minute(s), 16 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 32
C:\Users\Constant\AppData\Local\{1ea6ed94-3e87-f09c-9cc7-c7c4748c57a4}\n (Trojan.Dropper.PE4) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Constant\Downloads\Autocad 2008\Crack\AutoCAD-2008-keygen.exe (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Constant\Downloads\Autocad 2008\Crack\Kiss_CAD08.exe (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Installer\{1ea6ed94-3e87-f09c-9cc7-c7c4748c57a4}\U\00000001.@ (Trojan.Small) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Installer\{1ea6ed94-3e87-f09c-9cc7-c7c4748c57a4}\U\80000000.@ (Trojan.Sirefef) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Installer\{1ea6ed94-3e87-f09c-9cc7-c7c4748c57a4}\U\800000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1649\A0623361.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1649\A0623368.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1649\A0623445.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1649\A0623452.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1676\A0629768.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1676\A0629774.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1676\A0629850.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1676\A0629855.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1676\A0629931.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1676\A0629936.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1676\A0630013.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1676\A0630019.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1676\A0630096.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1676\A0630102.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1676\A0630179.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1676\A0630185.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1676\A0630262.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1676\A0630268.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1676\A0630345.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1676\A0630351.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1676\A0630428.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1676\A0630434.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1676\A0630511.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1676\A0630517.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1677\A0630635.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{0F4975B1-1886-4815-8598-1FC1480D0B41}\RP1677\A0630641.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.

(fin)

Voici mon rapport MBAM :

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.28.06

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
Constant :: CONSTANT-PC [administrateur]

28/06/2012 11:26:19
mbam-log-2012-06-28 (11-26-19).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 204965
Temps écoulé: 6 minute(s), 57 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Windows\Installer\{1ea6ed94-3e87-f09c-9cc7-c7c4748c57a4}\U\00000001.@ (Trojan.Small) -> Mis en quarantaine et supprimé avec succès.

(fin)

Mes rapports OTL :

http://cjoint.com/?3FCmLBaAlTf

http://cjoint.com/?BFCmMIM2cui

Bonsoir Niconstant

C'est un gros vilain que tu as déniché. Juste pour te prévenir, il est possible que tu perdes ta connexion à Internet pendant les manipulations, ce n'est pas systématique, mais ça arrive.


============================================================

Désinstalle le programme suivant : Windows Searchqu Toolbar


============================================================

TDSSKiller

Clique ici pour télécharger TDSSKiller sur ton bureau

• Lance TDSSkiller et clique sur "Change Parameters"
  
  • Coche les 2 options sous "Additional Options", puis clique sur le bouton "Ok".
    
    
  • Clique sur le bouton "Start Scan"
    
    • Si un objet suspect (suspicious object) est détecté, laisse sur "Skip" et clique sur "Continue"
      
    • Si un objet malicieux (malicious object) est détecté, sélectionne "Cure", clique sur "Continue", puis sur "Reboot Now"
      
      • Attention, si "Cure" n'est pas disponible, choisis "Skip"
  
  Clique en haut à droite sur "Report". Héberge le rapport sur cjoint.com et communique moi le lien s'il te plait.

Une aide en image ici

Bonjour "Gros bébé",

merci de prendre en charge mon problème.

Ce virus est t'il dangereux lors de l'utilisation des sites bancaires ?

Je viens de faire ce que tu me demande, mais je ne vois pas trop comment te communiquer le rapport je ne sais pas faire de copier coller sur un bloc note et ne peut pas l'enregistrer, a moins qu'il ne s'enregistre automatiquement quelque part, mais je ne le trouve pas ?

Bonjour Niconstant

niconstant a écrit:

Ce virus est t'il dangereux lors de l'utilisation des sites bancaires ?

Oui. Il va falloir que tu changes tous tes mots de passe (compte bancaire, boite mail, etc.) depuis un ordinateur que tu sais être "propre", et que tu prennes contact avec ta banque pour leur expliquer le problème.
A la limite, n'utilise pas ton ordinateur pour surfer sur Internet, sauf pour venir ici ...

Citation :

Je viens de faire ce que tu me demande, mais je ne vois pas trop comment te communiquer le rapport je ne sais pas faire de copier coller sur un bloc note et ne peut pas l'enregistrer, a moins qu'il ne s'enregistre automatiquement quelque part, mais je ne le trouve pas ?

Le rapport se trouve également à la racine du disque dur : C:\TDSSkiller.une série de chiffre_log.txt
(exemple C:\TDSSKiller.2.7.42.0_28.06.2012_22.10.02_log.txt)
Ensuite tu l'héberges comme tu l'as fait avec OTL

Voilà j'ai fais le nécessaire, et voici le lien :

http://cjoint.com/?BFDlXjnURxA

Ok.



OTL

Relance OTL

• Dans le cadre Personnalisation qui est en bas, colle le contenu du cadre ci dessous :
  
  

  Citation :

  
  :OTL
  FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.2.1
  [2011/02/04 14:33:09 | 000,000,000 | ---D | M] (Facemoods) -- C:\Users\Constant\AppData\Roaming\mozilla\Firefox\Profiles\zrpfnc7a.default\extensions\ffxtlbr@Facemoods.com
  [2010/12/13 14:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml
  O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
  O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
  O4 - HKLM..\Run: [] File not found
  [2012/01/11 16:46:20 | 000,002,048 | -HS- | C] () -- C:\windows\Installer\{1ea6ed94-3e87-f09c-9cc7-c7c4748c57a4}\@
  [2012/01/11 16:46:20 | 000,002,048 | -HS- | C] () -- C:\Users\Constant\AppData\Local\{1ea6ed94-3e87-f09c-9cc7-c7c4748c57a4}\@
  
  :Services
  
  :Reg
  
  :Files
  C:\windows\Installer\{1ea6ed94-3e87-f09c-9cc7-c7c4748c57a4}
  C:\Users\Constant\AppData\Local\{1ea6ed94-3e87-f09c-9cc7-c7c4748c57a4}
  
  :Commands
  [purity]
  [emptytemp]

  Puis clique sur le bouton Correction en haut.
  
• Laisse OTL tourner, le pc va redémarrer.
  
• Au redémarrage, un nouveau rapport va s'ouvrir, copie/colle son contenu ici svp
  

====================================================================================

Combofix


Je vais te demander d'utiliser Combofix, consulte cette aide en image avant de l'utiliser

Télécharge Combofix sur ton bureau depuis un de ces deux liens :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.forospyware.com/sUBs/ComboFix.exe

Ferme toutes tes fenêtres et désactive tes logiciels de sécurité (Antivir).

Double clique sur Combofix pour le lancer et suis les instructions à l'écran. Pendant qu'il travaillera, ne touche plus à rien.
A priori il va redémarrer la machine, laisse le faire.
A la fin, il te fournira un rapport dont j'aurai besoin, héberge le rapport su cjoint.com et communique moi le lien s'il te plait.

Notes :
Ne lance Combofix qu'une fois. En cas de problème, reviens me voir s'il te plait.
Pendant que Combofix travaillera, ne touche plus à rien.

OTL :

http://cjoint.com/?BFDoJwWvCPX

combofix :

http://cjoint.com/?BFDoIDNzdt0

Combofix me disait que antivir était toujours actif alors que je l'avais désactivé, pour ne pas prendre de risques j'ai comlètement supprimé antivir.

Réinstalle un antivirus s'il te plait. A priori, nous n'aurons plus besoin de Combofix, je le désinstallerai plus tard.
Au fait, tu n'avais pas désinstallé Windows Searchqu Toolbar ?


===========================================================================

Je vais vérifier une petite chose que l'infection touche parfois.

Farbar Service Scanner

Clique ici pour télécharger Farbar Service Scanner (FSS) sur ton bureau

• Lance FSS
  Utilisateur de Vista/Seven, effectue un clic droit sur FSS et sélectionne "Exécuter en tant qu'administrateur"
  
• Coche toutes les options ...
  
  ... et clique sur le bouton "Scan". Patiente quelques instants le temps de l'analyse ...
  
• Dès que c'est terminé, un rapport s'ouvrira. Il se trouve également sur le bureau sous le nom "FSS.txt".
  

Ferme Farbar Service Scanner. Copie le contenu du rapport et colle le dans ta prochaine réponse.


===========================================================================

OTL

• Relance OTL.exe.
  
• Coche Recherche Lop et Recherche Purity
  
• Sous Personnalisation (en bas), copie/colle ceci
  
  %systemroot%\system32\drivers\*.sys /lockedfiles
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\*. /mp /s
  
  
• Ferme toutes tes fenêtres, puis clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  
  
  
  • A la fin du scan, un rapport s'ouvrira (OTL.Txt)
  
  PS : tu le trouveras aussi enregistré sur le bureau. Héberge le et communique moi le lien s'il te plait.

===========================================================================

J'attends donc le rapport de Farbar Service Scanner ainsi que le nouveau OTL.
Remarques tu des choses inhabituelles ou des problèmes qui ne sont pas encore réglés ?

A plus tard

J'avais oublié "Windows Searchqu Toolbar", mais je viens de regarder il n'apparait pas dans "ccleaner" ni dans" installer desinstaller un programme" comment le supprimer proprement ?

FSS :

http://cjoint.com/?BFDp1wMLj2y

OTL:

http://cjoint.com/?BFDqh4y97wb

Oui je constate que si j'ouvre une seconde fenêtre firefox pour aller sur ci-joint par exemple, rien ne s'affiche je lance une recherche il me met une liste avec plusieurs ci-joint où si je recherche google il me fait pareil le script de la page ne se fait pas bien, si je clic sur un des mots de la liste google par exemple il va sur le site et pas de problème.

sinon pour l'instant rien d'autre.

je vais réinstaller un antivirus

Citation :

J'avais oublié "Windows Searchqu Toolbar", mais je viens de regarder il n'apparait pas dans "ccleaner" ni dans" installer desinstaller un programme" comment le supprimer proprement ?

Il a été (en partie) supprimé par Combofix.

Citation :

je constate que si j'ouvre une seconde fenêtre firefox pour aller sur ci-joint par exemple, rien ne s'affiche je lance une recherche il me met une liste avec plusieurs ci-joint où si je recherche google il me fait pareil le script de la page ne se fait pas bien, si je clic sur un des mots de la liste google par exemple il va sur le site et pas de problème.

Je n 'ai pas compris le problème


=========================================================================

Quelques suppressions

OTL

Relance OTL

• Dans le cadre Personnalisation qui est en bas, colle le contenu du cadre ci dessous :
  
  

  Citation :

  
  :OTL
  IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
  IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=119&systemid=406&sr=0&q={searchTerms}
  IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.searchqu.com/406
  IE - HKCU\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
  IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
  IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=119&systemid=406&sr=0&q={searchTerms}
  FF - prefs.js..browser.search.defaultenginename: "Search Results"
  FF - prefs.js..browser.search.order.1: "Search Results"
  FF - prefs.js..browser.search.selectedEngine: "Search Results"
  [2012/02/08 14:28:50 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- C:\Users\Constant\AppData\Roaming\mozilla\Firefox\Profiles\zrpfnc7a.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7}
  [2012/02/08 14:28:48 | 000,002,519 | ---- | M] () -- C:\Users\Constant\AppData\Roaming\Mozilla\Firefox\Profiles\zrpfnc7a.default\searchplugins\Search_Results.xml
  [2012/02/08 14:28:48 | 000,002,519 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
  CHR - default_search_provider: Search Results (Enabled)
  CHR - default_search_provider: search_url = http://dts.search-results.com/sr?src=crb&appid=119&systemid=406&sr=0&q={searchTerms}
  O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found.
  O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 10.5.1)
  O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
  O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 10.5.1)
  
  :Services
  
  :Reg
  
  :Files
  ipconfig /flushdns /c
  
  :Commands
  [emptytemp]

  Puis clique sur le bouton Correction en haut.
  
• Laisse OTL tourner, le pc va redémarrer.
  
• Au redémarrage, un nouveau rapport va s'ouvrir, copie/colle son contenu ici svp
  

=========================================================================

Pour éventuellement supprimer les restes de Windows Searchqu Toolbar, et un peu plus.

AdwCleaner

Clique ici pour télécharger AdwCleaner sur ton bureau
Lance AdwCleaner.exe.
Accepte l'avertissement qui suit, et clique sur Suppression.
Patiente le temps de la recherche, puis poste le rapport qui apparait à la fin.

Une aide en image ici


=========================================================================

Pour faire le point.

OTL

Relance OTL, clique sur Analyse rapide, puis communique moi le rapport s'il te plait.


=========================================================================

Du coup j'attends le rapport de suppression d'OTL, le rapport de suppression d'AdwCleaner et le nouveau OTL

1er OTL :

http://cjoint.com/?BFDv6xNCngM

ADW Cleaner :

# AdwCleaner v1.700 - Rapport créé le 29/06/2012 à 21:52:18
# Mis à jour le 26/06/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium (32 bits)
# Nom d'utilisateur : Constant - CONSTANT-PC
# Exécuté depuis : C:\Users\Constant\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Constant\AppData\Local\Ilivid Player
Dossier Supprimé : C:\Users\Constant\AppData\LocalLow\AskToolbar
Dossier Supprimé : C:\Users\Constant\AppData\LocalLow\facemoods.com
Dossier Supprimé : C:\Users\Constant\AppData\LocalLow\Searchqutoolbar
Dossier Supprimé : C:\Users\Constant\AppData\Roaming\Mozilla\Firefox\Profiles\zrpfnc7a.default\Searchqutoolbar
Dossier Supprimé : C:\ProgramData\boost_interprocess

***** [Registre] *****

Clé Supprimée : HKCU\Software\DataMngr_Toolbar
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\SOFTWARE\Classes\facemoods.facemoodsHlpr
Clé Supprimée : HKLM\SOFTWARE\Classes\facemoods.facemoodsHlpr.1
Clé Supprimée : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard
Clé Supprimée : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Google\chrome\Extensions\ihflimipbcaljfnojhhknppphnnciiif
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASMANCS

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CC1AC828-BB47-4361-AFB5-96EEE259DD87}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.7600.16385

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v12.0 (en-US)

Nom du profil : default
Fichier : C:\Users\Constant\AppData\Roaming\Mozilla\Firefox\Profiles\zrpfnc7a.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v19.0.1084.56

Fichier : C:\Users\Constant\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée : "name": "Search Results",
Supprimée : "search_url": "hxxp://dts.search-results.com/sr?src=crb&appid=119&systemid=406&sr=0&q={searchT[...]

*************************

AdwCleaner[S1].txt - [3207 octets] - [29/06/2012 21:52:18]

########## EOF - C:\AdwCleaner[S1].txt - [3335 octets] ##########

OTL analyse rapide :

http://cjoint.com/?BFDwjIjXAjB

Ça me semble pas trop mal, vois tu des problèmes ? (Notamment le problème que tu soulevais avec ton navigateur, mais que je n'ai pas compris)

Pour le problème de navigateur, je l'ai règlé c'était un programme de sécurité qui bloquait le script, cependant quand j'ouvre une nouvelle page en cliquant sur le "+" en haut elle est blanche elle ne s'ouvre pas sur un site, mais je supose que c'est juste une configuration a faire.

Autre problème que je viens de constater, si je vais sur youtube je ne peux pas voir les videos, si je vais sur facebook je ne peux pas laisser de commentaires.

Au niveau du virus antivire ne se déclenche lus sans arrêt je supose donc que c'est règlé.

Est-ce que je peux essayer ma boite mail maintenant ?

Bonjour Niconstant

niconstant a écrit:

quand j'ouvre une nouvelle page en cliquant sur le "+" en haut elle est blanche elle ne s'ouvre pas sur un site, mais je supose que c'est juste une configuration a faire.

Ouvre un nouvel onglet et tape about:config dans la barre d'adresse.
Clique sur "Je ferai attention, promis !"
Recherche browser.newtab.url et tu changes about:newtab par ta page Google par exemple, ou autre.

Citation :

Autre problème que je viens de constater, si je vais sur youtube je ne peux pas voir les videos, si je vais sur facebook je ne peux pas laisser de commentaires.

C'est moi qui ai supprimé des choses relatives à JAVA qui n'était pas à jour, mais je vais les rétablir. Je ne t'avais pas conseillé de ne pas utiliser ton pc ?

Citation :

Est-ce que je peux essayer ma boite mail maintenant ?

Bientôt, je vais lancer deux dernières analyses pour vérifier que je n'ai rien laissé "trainer".


=================================================================================

Malwarebyte

• Relance Malwarebyte et mets à jour la base de définition en allant dans l'onglet "mise à jour" puis "Recherche de mise à jour".
  
• Choisis "Exécuter un examen rapide" puis Rechercher
  
• Laisse l'analyse se faire (cela peut durer longtemps).
  
  Une fois le scan terminé, clique sur "Afficher les résultats", vérifie que les éléments trouvés soient cochés puis sur Supprimer la sélection" en bas.
  
  
• Un redémarrage peut être nécessaire.

Un rapport va s'afficher, enregistre-le sur ton bureau. Sinon, après le démarrage, il se trouvera dans l'onglet Rapports/logs de Malwarebyte[/list]
Poste le rapport svp

Une aide à l'utilisation ici


=================================================================================

Mise à jour de JAVA

Désinstalle tous les logiciels Java que tu trouveras dans Programmes et fonctionnalités. Ensuite, installe la dernière version : http://www.java.com/fr/

http://www.bibou0007.com/t4852-controle-et-mise-a-jour-manuelle-de-java


=================================================================================

Analyse en ligne

Effectue l'analyse en ligne proposée par ESET : Tutoriel Eset Online Scanner
Si elle ne marche pas, essaie celle de BullGuard : Tutoriel BullGuard Online Scanner
L'analyse est un peu longue. Copie le rapport et transmet le moi s'il te plait.

MBAM :

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.07.01.08

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
Constant :: CONSTANT-PC [administrateur]

01/07/2012 22:22:02
mbam-log-2012-07-01 (22-22-02).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 206015
Temps écoulé: 4 minute(s), 57 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Java quand je verifie en cliquant sur le second lien j'ai le message suivant : something is wrong. java is not working

Bonjour Niconstant

Essaie de le réinstaller à partir de ce lien : http://javadl.sun.com/webapps/download/AutoDL?BundleId=64152

Ensuite poursuis la procédure avec l'analyse en ligne

Bon après midi.

Ok maintenant java fonctionne, mais je l'ai réinstallé après le scan, je ne sais pas si ça a une importance ?

rapport 1 : http://cjoint.com/?BGcwWNLYZWc
rapport 2 : http://cjoint.com/?BGcwX4IXFcE
rapport 3 : http://cjoint.com/?BGcwYHZw3C5
rapport 4 : http://cjoint.com/?BGcwZCyZG8q
rapport 5 : http://cjoint.com/?BGcw0b8Wvti

Bonjour Niconstant



On va retirer tout ce que je t'ai demandé d'utiliser.

• Clique sur le menu Démarrer, sélectionne Exécuter
  
• Copie ComboFix /Uninstall et colle le dans la fenêtre qui s'est ouverte, puis clique sur OK.
  Combofix va se relancer pour se désinstaller, patiente.

Clique ici pour télécharger Delfix sur ton bureau.

• Lance le et clique sur "Suppression".
  Quitte Delfix, puis relance le pour cliquer sur "Désinstallation".

Supprime les éventuels rapports et logiciels qui resteraient sur ton bureau.
Conserve Malwarebytes, c'est un des meilleurs dans son domaine. Utilise le régulièrement (1 fois par semaine en analyse rapide et après l'avoir mis à jour)
Tutoriel mettre à jour manuellement Malwarebytes' Anti-malware
Tutoriel Malwarebytes antimalware


======================================================================

Désactive puis réactive la restauration du système : Purger la restauration du système sous windows Seven


======================================================================

Il faudrait mettre à jour quelques logiciels. Il vaut mieux que tes logiciels soient à jour, cela limite les risques d'infection. Je vois que tu utilises UpdateChecker. Lance le pour effectuer quelques mises à jour, notamment :

Firefox : http://www.mozilla.org/fr/firefox/fx/
VLC : http://www.videolan.org/

Ce petit utilitaire va te permettre de voir si certains logiciels sensibles ne sont pas à jour, et le cas échéant de corriger : http://www.bibou0007.com/t5240-sx-checkupdate

Un petit tour sur Windows Update également ne te fera pas de mal : Mise à jour manuelle de Windows


======================================================================

Voilà si tu as des questions, ou d'autres problèmes, n'hésite pas, si non c'est bon pour moi

Dans le menu démarrer, je n'ai pas executer ?

Je m'y attendais : http://www.commentcamarche.net/faq/19650-windows-7-faire-apparaitre-la-commande-executer

Voilà j'ai terminé, c'est fini alors je peux réutiliser mon pc normalement ?

Bonsoir Niconstant

On ne peut jamais être sûr de rien, mais les rapports semblent être propres.

Problème rencontré our l'instant :

j'ai reçu des massages sur facebook, je ne sais pas les lires.

j'aimerais regarder le site camping dune arcachon, le scrit ne s'affiche pas, il necessite adobe flash je le télécharge et toujours rien.

Adobe Flash ? Je n'y ai pas touché. Tu as ces 2 soucis avec tes 2 navigateurs ? (Firefox et Chrome)
As tu utilisé SX Check&Update ? http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-sx-checkupdate/

avec google chrome ça fonctionne. La dernière version d'internet explorer est t'elle fiable ?

Oui j'ai utilisé SX.

niconstant a écrit:

La dernière version d'internet explorer est t'elle fiable ?

Oui.

Et SX Check&Update te dit que les logiciels (Java et Adobe) sont à jour ?

Oui ils sont à jour

Mouais, c'est bizarre. On a réinstallé Java, je n'ai pas touché à Adobe et il semble être à jour. Tu as fait tout ce que je te demandais, là je sèche.

Je vais sur facebook, je clique sur message la liste des messages s'affichent je clique sur un message pour répondre et là il travaille sans arrêt et n'affiche jamais le message.

Si c'est un problème firefox, on peut peut-être le désinstaller et le réinstaller pour voir ?

niconstant a écrit:

Si c'est un problème firefox, on peut peut-être le désinstaller et le réinstaller pour voir ?

Je n'osais pas te le demander
Désinstalle le complètement, redémarre, puis réinstalle Firefox : Tutoriel Revo Uninstaller

J'ai supprimer firefox avec ccleaner, pensant sans l'avoir regarder que ton lien me dirigerait vers le téléchargement FF.

J'ai télécharger firefox.exe en français, mais pour l'installer il me demande de mettre mot de passe en administrateur ou de continuer avec la cession en cours. Je choisi la cession en cours je clique sur suivant et plus rien.

il ne s'installe pas.

Nouvellement constaté : des fenêtres internet explorer s'ouvrent intempestivement.

Que faire je viens de faire un scan rapide MBAM, je suis à nouveau infecté un deuxième scan m'a encore détecté 5 virus.


Rapport 1er scan : http://cjoint.com/?BGjus17DmdW

Quand j'ai acheté le pc j'ai fais des dvd restauration système, ne devrais-je pas les utiliser ?

Bonsoir Niconstant.

Désolé pour mon temps de réponse, j'ai un souci avec Internet. Je te réponds de mon téléphone.

Les dvd de restauration ne sont pas nécessaires. Tu as installé un logiciel publicitaire. Où as tu téléchargé Firefox ainsi que le tuto pour Firefox ?
Installe Firefox depuis le site de Mozilla : www.mozilla.org/fr/firefox

Regarde dans la liste de tes logiciels si tu vois des logiciels tels que pctuto, pc4tuto, eorezo et desinstalle les.
Utilise adwcleaner en suppression et ça devrait être bon : forum.security-x.fr/tutoriels-317/(tutoriel)-adwcleaner/

En effet j'avais bien ctuto et adwcleaner me l'a enlevé.

Pour firefoxe je viens de suivre ton lien mais ça ne marche pas. il me demande d'entrer mon mot de passe administrateur, comme je n'en ai pas je choisi l'option continuer avec l'utilisateur courant "pc constant" je clique sur continuer puis rien ne se passe.

Bonsoir Niconstant

Vraiment désolé pour le délai, je viens tout juste de récupérer Internet.

Tu utilises un compte administrateur ?
Essaie en lançant le programme d'installation via un clic droit, puis exécuter en tant qu'administrateur : Lancer un logiciel avec les droits administrateur

Voilà ça a marché. Mais depuis j'utilisais internet explorer et ça fonctionnait très bien. et je ne remarque plus aucun problèmes.

Si tu ne vois rien d'autre à faire, on peut considerer ce sujet comme résolu.

Je te remercie vraiment pour ton aide.

Bonjour Niconstant

Et bien super.
Juste un peu de lecture pour t'éviter le problème que tu as eu avec Firefox (les fenêtres de pub qui s'ouvraient intempestivement) : http://www.malekal.com/2011/11/28/pctuto-et-01net-le-foutage-de-gueule-continue/

Le plaisir a été pour moi. Aller, bonne journée

Le sujet semble résolu, je le verrouille. Si pour une raison ou une autre, vous avez besoin de le réouvrir, faites en la demande par Messagerie Privée en précisant la raison et le lien vers ce sujet.
Ceci ne s'applique qu'à Niconstant.
Pour les autres, créez votre propre sujet svp.