> Tous les forums > Forum Sécurité
 pc infecté par virus office central de lutteSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
abcinfo
  Posté le 03/03/2013 @ 10:59 
Aller en bas de la page 
Petit astucien

Bonjour, le pc d'une amie (retraitée) a été infectée par un virus.

C'est moi qui lui avait mis le pc en place donc elle m'a appelé à l'aide.

Son pc est sous vista 32 bits.

Elle m'a dit qu'elle avait comme antivirus kaspersky non à jour, puis ensuite avast.

Ce virus affiche cette image dès le lancement de la session :

Ensuite on ne peut plus rien faire, ordi complètement bloqué sur cette page

Alt+F4 ne marche pas.

Redémarrage en mode sans échec ne marche pas (le pc se lance et dès qu'il démarre sur la session, il redémarre tout seul

J'ai vu cette astuce sur un autre forum (non essayé, je voulais avoir voir avis d'abord pour ne pas faire de bétise) : "plutot que de redemarrer je vous conseille de ne fermer que la cession ( ctrl alt supp ) une fois que la page est virée , faut cliquer sur " annuler" la cession reste donc ouverte et il ne reste plus qu à lancer l antivirus, ou nettoyer"

Voilà j'ai donc besoin de votre aide pour m'éviter un formatage si possible.

Question subsidiaire, comment ce pc a t il pu être infecté ? (elle a + de 60 ans, et son usage se limite à échanger des mails avec ses enfants pour les photos des petits enfants, ou surfer un peu genre site laredoute, sfr...

Merci



Modifié par abcinfo le 03/03/2013 11:01
Publicité
AngeBleu
 Posté le 03/03/2013 à 11:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

C'est un peut comme le virus gendarmerie ou police

Un membre du Groupe Sécurité devrait intervenir d'ici peut de temps (on est Dimanche, donc un peut de patience)

++++

Evasion60
 Posté le 03/03/2013 à 11:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

Oui, Ukash comme infection et profonde => Plus de mode sans échec !

/!\ CD de boot à effectuer sur un PC sain

image OTLPENet.exe de OldTimer sur le bureau à partir d'un pc sain.

Ce système vous permettra d'accéder à Internet si vous disposez d'une connexion.

image Insére un cd vierge dans ton graveur et clique sur le fichier téléchargé.
image Réponds Oui à la demande de gravure et attends la fin de celle-ci.
Récupère le CD gravé.
image Insére-le dans le pc contaminé.
image Tapotes sur F8 ou F5 au démarrage pour choisir de "booter" sur le lecteur de CD.

Cette fenêtre va apparaître et peut rester affichée plusieurs minutes.

image

Plusieurs fenêtres de ce type vont suivre :

image

Juste avant affichage du bureau ReaToGo.

image

Clique sur l'icône de Firefox Portable.

image

Clic sur No Thanks, I'll risk it, il n'est pas nécessaire de le mettre à jour.

image

Tape Rogue Killer dans la barre de recherche et valide par Entrer ou un clic sur Google Search.

image

Clic sur ce résultat de préférence, c'est le site du créateur de l'outil.

image

Clique sur l'icône Rogue Killer (1) et sur Save File (2) pour enregistrer le fichier.

image

Le fichier sera enregsitré dans B:\Documents and Settings\Default User\My Documents\Download que tu ouvres.
Tu ouvres aussi My Computer - Local Disk C: qui correspond au système contaminé.
Ouvre Documents and Settings - ton compte - Bureau et tu y copies-colles ou glisses-déposes le fichier RogueKiller.exe.

image

Tu double-cliques sur le fichier pour l'exécuter. Clic sur Run dans le message.

image

Clic sur Accept pour poursuivre.

image

Après le pré-scan qui s'effectue rapidement et automatiquement, clique sur Scan et sur Delete après affichage des résultats dans le grand cadre du bas.

image

Le résultat affichera les actions entreprises (Deleted ou Replaced), ferme l'outil par la croix habituelle.

image

Ferme ReaToGo comme un système normal.

image

Tu dois être sur Shutdown et cliquer sur OK. Le disque va s'éjecter automatiquement.

image

Redémarre le système corrompu et si jamais l'infection est toujours présente, clique rapidement sur l'icône RogueKiller du bureau avant que le rogue ne bloque tout.
Refais la procédure complère de Scan et Suppression.
Un rapport s'affichera que tu posteras dans ta réponse.

Il est conseillé de compléter par un scan rapide de Malwarebytes et un autre avec AdwCleaner pour les dégâts collatéraux.

Voir sur cette page Aide au diagnostic d'un PC infecté

En attente du rapport

AngeBleu
 Posté le 03/03/2013 à 11:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Evasion60,

C'est bien le même type que le virus gendarmerie ? J'avais procédé au même processus de désinfection sur un pc infecté.

++++

abcinfo
 Posté le 03/03/2013 à 16:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonjour, je vous remercie de vous pencher sur mon pb et de m'aider.

2 questions avant de me lancer la dedans :

- risque d'infection de mon réseau en branchant le pc infecté à la freebox via le cable réseau ? (la freebox sert juste de routeur, les différents pc ne se voyent pas entre eux)

- puis graver le programme donné sur un dvd-r ? (j'ai pas de cdr...)

Enfin, je pense que je pourrai me pencher sur le pb que ce soir ou dans le courant de la semaine, mais c'est pas sur, du coup, ne vous inquiétez pas si vous n'avez pas de mes nouvelles.

Evasion60
 Posté le 03/03/2013 à 17:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

Perso, je ne connecterais pas cette machine sur un réseau !
Oui, pour le CD de boot, il peut être sur un CD RW ( le graver à la plus petite vitesse => important sur un RW de boot )
Ensuite la procédure se continue via une clé USB, pour la réinjecter sur la machine HS

A te lire bientôt donc



Modifié par Evasion60 le 03/03/2013 17:58
abcinfo
 Posté le 06/03/2013 à 09:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour, je vais pouvoir m'en occuper vendredi ou ce week end.

Par contre tu me dis de ne pas connecter la machine au réseau, mais comment firefox va t il accéder à internet pour télécharger le programme donné ?

Je précise que sur mon réseau domestique, les pc ne se voyent pas entre eux, ils sont juste connectés à la freebox qui est en mode routeur.

Evasion60
 Posté le 06/03/2013 à 10:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

J'avais "zapé", cette info au niveau de ton réseau !!
Donc Ok !

abcinfo
 Posté le 06/03/2013 à 10:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour {#}

Alors c'est cool, bon je reviens vers toi quand je me lance dans le truc {#}

Publicité
abcinfo
 Posté le 08/03/2013 à 21:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonsoir, voici une première avancée avec rogue killer.

Il me semble que j'ai de nouveau la main sur le pc !

Voici le rapport :

RogueKiller V8.5.2 [Feb 23 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : xxxxxxxxxx [Droits d'admin]
Mode : Recherche -- Date : 08/03/2013 21:46:45
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-3000694517-3741649684-3221817096-1000\$69a1d57b08b79d6eae44aa985417a305\n [-] --> TROUVÉ

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤
-> D:\windows\system32\config\SOFTWARE
-> D:\windows\system32\config\SYSTEM
-> D:\Users\Default\NTUSER.DAT

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG HD321KJ ATA Device +++++
--- User ---
[MBR] 4cf8851addb8ad21b8049a5e3d8acca2
[BSP] 162060bb474056eae6dde76395768ebf : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 47 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 98304 | Size: 10240 Mo
2 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 21069824 | Size: 294956 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3]_S_08032013_214645.txt >>
RKreport[1]_S_08032013_195936.txt ; RKreport[2]_D_08032013_213544.txt ; RKreport[3]_S_08032013_214645.txt

Evasion60
 Posté le 08/03/2013 à 23:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir

Bien joué, mais faut aller plus loin
Tu appliqueras l'ordre des rapports, soit n°1, n°2 et enfin n°3

Clique dans ma signature "Aide au diag d'un PC infecté"
Reviens dans ta réponse avec =>
1 le rapport de MalwareBytes AM
2 le rapport de AdwCleaner
Pour le 3, nous verrons

A te lire

abcinfo
 Posté le 09/03/2013 à 09:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonjour, ok super merci.

Je le fais aujourd'hui je pense.

Bonne journée {#}

abcinfo
 Posté le 09/03/2013 à 10:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonjour, voici le 1er rapport :

Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.03.09.06

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 7.0.6001.18000
Janine
BUREAU [administrateur]

Protection: Activé

09/03/2013 10:33:56
mbam-log-2013-03-09 (10-33-56).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 209728
Temps écoulé: 7 minute(s), 58 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 12
C:\Users\Janine\AppData\Roaming\skype.dat (Trojan.Ransom.RRE) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3000694517-3741649684-3221817096-1000\$69a1d57b08b79d6eae44aa985417a305\n (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Janine\AppData\Local\Temp\msimg32.dll (Rootkit.0Access.EPS) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Janine\AppData\Local\Temp\wpbt0.dll (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Janine\AppData\Local\Temp\xkfuqb.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Janine\AppData\Local\Temp\~!#9156.tmp (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Janine\AppData\Local\Temp\~!#9905.tmp (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Janine\AppData\Local\Temp\~!#AE98.tmp (Rootkit.0Access.EPS) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Janine\AppData\Local\Temp\~!#BBC3.tmp (Trojan.Ransom.RRE) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Janine\Downloads\tuto_firefox.exe (Trojan.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Janine\Downloads\tuto_openoffice_01.exe (Trojan.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Janine\AppData\Roaming\Icones\icones_pa.ico (Adware.GibMedia) -> Mis en quarantaine et supprimé avec succès.

(fin)

abcinfo
 Posté le 09/03/2013 à 12:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

re bonjour et voici enfin le dernier rapport demandé :

# AdwCleaner v2.114 - Rapport créé le 09/03/2013 à 12:04:11
# Mis à jour le 05/03/2013 par Xplode
# Système d'exploitation : Windows Vista (TM) Business Service Pack 1 (32 bits)
# Nom d'utilisateur : Janine - BUREAU
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Janine\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\Iminent
Dossier Supprimé : C:\Program Files\SweetIM

***** [Registre] *****

Clé Supprimée : HKCU\Software\Iminent
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\MenuExt\Rechercher sur le Web
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\IMBoosterARP
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{02054E11-5113-4BE3-8153-AA8DFB5D3761}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{021B4049-F57D-4565-A693-FD3B04786BFA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0362AA09-808D-48E9-B360-FB51A8CBCE09}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{06844020-CD0B-3D3D-A7FE-371153013E49}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0ADC01BB-303B-3F8E-93DA-12C140E85460}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10D3722F-23E6-3901-B6C1-FF6567121920}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1675E62B-F911-3B7B-A046-EB57261212F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{192929F2-9273-3894-91B0-F54671C4C861}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2932897E-3036-43D9-8A64-B06447992065}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2DE92D29-A042-3C37-BFF8-07C7D8893EFA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{32B80AD6-1214-45F4-994E-78A5D482C000}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3A8E103F-B2B7-3BEF-B3B0-88E29B2420E4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{478CE5D3-D38E-3FFE-8DBE-8C4A0F1C4D8D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{48B7DA4E-69ED-39E3-BAD5-3E3EFF22CFB0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5982F405-44E4-3BBB-BAC4-CF8141CBBC5C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5D8C3CC3-3C05-38A1-B244-924A23115FE9}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{641593AF-D9FD-30F7-B783-36E16F7A2E08}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{711FC48A-1356-3932-94D8-A8B733DBC7E4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{72227B7F-1F02-3560-95F5-592E68BACC0C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{7B5E8CE3-4722-4C0E-A236-A6FF731BEF37}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{890D4F59-5ED0-3CB4-8E0E-74A5A86E7ED0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8C68913C-AC3C-4494-8B9C-984D87C85003}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8D019513-083F-4AA5-933F-7D43A6DA82C4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{923F6FB8-A390-370E-A0D2-DD505432481D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9BBB26EF-B178-35D6-9D3D-B485F4279FE5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A62DDBE0-8D2A-339A-B089-8CBCC5CD322A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A82AD04D-0B8E-3A49-947B-6A69A8A9C96D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{ADEB3CC9-A05D-4FCC-BD09-9025456AA3EA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B06D4521-D09C-3F41-8E39-9D784CCA2A75}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C06DAD42-6F39-4CE1-83CC-9A8B9105E556}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2E799D0-43A5-3477-8A98-FC5F3677F35C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D16107CD-2AD5-46A8-BA59-303B7C32C500}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D25B101F-8188-3B43-9D85-201F372BC205}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D2BA7595-5E44-3F1E-880F-03B3139FA5ED}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D35F5C81-17D9-3E1C-A1FC-4472542E1D25}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D8FA96CA-B250-312C-AF34-4FF1DD72589D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DAFC1E63-3359-416D-9BC2-E7DCA6F7B0F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DC5E5C44-80FD-3697-9E65-9F286D92F3E7}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E1B4C9DE-D741-385F-981E-6745FACE6F01}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E7B623F5-9715-3F9F-A671-D1485A39F8A2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{ED916A7B-7C68-3198-B87D-2DABC30A5587}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EFA1BDB2-BB3D-3D9A-8EB5-D0D22E0F64F4}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F4CBF4DD-F8FE-35BA-BB7E-68304DAAB70B}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FC32005D-E27C-32E0-ADFA-152F598B75E7}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2BF2028E-3F3C-4C05-AB45-B2F1DCFE0759}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{DB538320-D3C5-433C-BCA9-C4081A054FCF}
Clé Supprimée : HKLM\Software\Iminent
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48D2-9061-8BBD4899EB08}
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchTheWebARP
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EEE6C35B-6118-11DC-9C72-001320C79847}]

***** [Navigateurs] *****

-\\ Internet Explorer v7.0.6001.18639

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v25.0.1364.97

Fichier : C:\Users\Janine\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [6235 octets] - [09/03/2013 12:03:24]
AdwCleaner[S1].txt - [6229 octets] - [09/03/2013 12:04:11]

########## EOF - C:\AdwCleaner[S1].txt - [6289 octets] ##########

abcinfo
 Posté le 09/03/2013 à 12:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonjour, en regardant windows update, je m'aperçois que le SP2 de vista n'est pas intallé, il essaye de l'installer depuis un an avec échec à chaque fois.

Puis essayer de l'installer à ce stade ou devons nous faire d'autres manipulations ?

Evasion60
 Posté le 09/03/2013 à 12:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

bonjour, en regardant windows update, je m'aperçois que le SP2 de vista n'est pas intallé, il essaye de l'installer depuis un an avec échec à chaque fois.

Ok, ton WindowsUpdate est "Planté", nous verrons cela vers la fin de désinfection (rappelle le moi, si j'oublie)

Bien, comme tu le vois dans les deux rapports, j'ai besoin du point n°3 => ZHPDiag
Il faudra héberger son rapport comme demandé

abcinfo
 Posté le 09/03/2013 à 18:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : C:UsersJanineDesktopHPDiag.txt

bonsoir, et voici le dernier rapport demandé.

Encore un grand merci pour toute cette aide



Modifié par abcinfo le 09/03/2013 18:52
Publicité
Evasion60
 Posté le 09/03/2013 à 19:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir

1/
Applique ce correctif =>

Lance ZHPFix par l'icône sur le bureau, avec élévation des privilèges pour Vista et Windows 7/8( Clic droit exécuter en tant qu'administrateur )

image


Elle a été créée lors de l'installation de ZHPDiag.

image A l'aide de la souris (clic gauche maintenu), sélectionne et copie (clic droit/copier) le contenu de l'encadré ci-dessous

Code

[HKCU\Software\SweetIM] => Infection PUP (PUP.SweetIM)*
[HKLM\Software\SweetIM] => Infection PUP (PUP.SweetIM)*
O43 - CFD: 19/04/2012 - 18:41:25 - [0] ----D C:\Users\Janine\AppData\Local\{626C6BE3-03F2-40FE-9622-4ECE42D9449F} => Empty Folder not necessary
O87 - FAEL: "{A674F5AA-B8BA-49D5-905E-FB0C1D5AE225}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (.not file.) => Infection PUP (PUP.SweetIM)*
O87 - FAEL: "{67AEF2BB-9D25-4C05-9E90-C907267DEB7F}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (.not file.) => Infection PUP (PUP.SweetIM)*
[HKCU\Software\SweetIM] => Infection PUP (PUP.SweetIM)*
[HKLM\Software\SweetIM] => Infection PUP (PUP.SweetIM)*
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] => Toolbar.Bing
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] => Toolbar.Bing
C:\Users\Janine\AppData\Local\Temp\GoogleToolbarInstaller1.log => Infection PUP (Toolbar.Babylon)
EmptyCLSID
Emptytemp
EmptyFlash


image Clique sur le bouton Presse-papier encadré en rouge sur l'image.


Les lignes contenues dans le presse-papier vont s'afficher.

image Clique sur le bouton GO en bas à gauche.

Note: Si l'UAC est active, après le clic sur "GO", un message va apparaître du style "Voulez-vous autoriser le programme...." qu'il faudra valider :

Puis ZHPFix se relance, il faudra à nouveau cliquer sur le bouton "Presse-papier" pour coller les lignes, puis sur le bouton "GO"

Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil (en haut à doite).

image
image Poste le contenu du rapport ZHPFixReport.txt, enregistré sur le bureau.

image

2/

image
Télécharge windows_repair sur ce lien, décompresse le dossier tweaking.com_windows_repair_aio.zip.

Ferme toutes tes applications en cours.
image Lance le programme en cliquant sur Repair_Windows.exe dans le dossier décompressé tweaking.com_windows_repair_aio / Tweaking.com - Windows Repair
Il ne nécessite pas d'installation.
Cette fenêtre va apparaître.

image Pour démarrer la/les réparation(s), clique sur l'onglet Start Repairs et sur le bouton Start

image

Une fenêtre te demande de créer un point de restauration. Clique sur Oui si tu utilises cette fonction.

image

image Dans la fenêtre suivante, clique sur le bouton Unselect All pour tout décocher.
Coche les lignes indiquées en gras souligné dans l'encadré ci-dessous.
Coche la case devant Restart/Shutdown System When Finished, le point s'affichera automatiquement devant Restart System pour redémarre l'ordinateur.

image

Citation

- Reset Registry Permissions
- Reset File Permissions
- Register System Files
- Repair WMI
- Repair Windows Firewall
- Repair Internet Explorer
- Repair MDAC/MS Jet
- Repair Hosts File
- Remove Policies Set By Infections
- Repair Missing Start Menu Icons Removed By Infections
- Repair Icons
- Repair Winsocks & DNS Cache
- Remove Temp Files
- Repair Proxy Settings
- Unhide Non System Files
- Repair Windows Updates
- Repair CD/DVD Missing /Not Working
- Repair Volume Shadow Copy Service
- Repair Windows Sidebar/Gadgets
- Set Windows Services to Default Startup
- Repair MSI (Windows Installer)
- Repair Windows Snipping Tool
- Repair .lnk (Shortcuts) File Association



image Clique sur le bouton Start pour lancer la réparation.

3/
Via Windows Update, tente la mise à jour en SP2

Tu as un rapport à publier

abcinfo
 Posté le 09/03/2013 à 21:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonsoir, merci pour le suivi {#}

je me remets au boulot !

abcinfo
 Posté le 09/03/2013 à 21:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
abcinfo
 Posté le 09/03/2013 à 21:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
abcinfo
 Posté le 09/03/2013 à 21:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonsoir et voici enfin les 2 derniers rapports demandés ci-dessus (ZHPFIX et windows_repair).

Je vais tenter une mise à jour SP2.

Je vous tiens au courant, bonne fin de soirée et bonne nuit {#}

abcinfo
 Posté le 10/03/2013 à 11:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonjour, mise à jour via update de SP2 et mises à jour suivantes bien installées. Cool !

Evasion60
 Posté le 10/03/2013 à 11:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

1/

Suppression des outils et rapports, liés à cette infection

image DelFix (d'Xplode)

Citation
DelFix va supprimer les outils utilisés pour cette désinfection.(quarantaines comprises) DelFix va purger la restauration systéme potentiellement infectée et créer un nouveau point de restauration propre. Ce point de restauration sera nommé "Fin de désinfection" A l'issue Delfix s'auto-supprime.
  • Téléchargez et enregistrez DelFix sur votre bureau.
  • Cliquez sur Delfix pour le lancer.
  • Vista/ 7 et 8, faites un clic droit et choisissez "Exécuter en tant qu'administrateur"
  • Cochez les cases : "Supprimer les outils de désinfections" et "Purger la restauration système" image
  • Cliquez sur "Exécuter", Delfix va faire son travail et se supprimer lui même à l'issue.
  • Pour avoir le rapport de l'outils qui est enregistré dans le presse papier Windows.
  • Faites un clic droit de souris dans votre bloc notes (Notepad) ouvert et sélectionnez "Coller".
  • Ou Appuyez simultanément sur les touches CTRL et V pour coller le contenu du presse-papier. Le rapport ressemblera à ceci....
    Code
    # DelFix v10.0 - Rapport créé le 28/01/2013 à 18:18:59 # Mis à jour le 04/01/2013 par Xplode # Nom d'utilisateur : Patrick - PORTABLE ~ Suppression des outils de désinfection ... Supprimé : C:\ZHP Supprimé : C:\PhysicalDisk0_MBR.bin ~ Purge de la restauration système ... Supprimé : RP #20 [Fin de désinfection | 01/28/2013 17:18:29] Nouveau point de restauration créé ! ########## - EOF - ##########

Vous pouvez maintenant l'enregistrer et poster son contenu.


2/

Passe ce scanner en ligne =>
https://forum.pcastuces.com/eset_online_scanner___tutoriel-f31s56.htm
Poste son rapport


Bon dimanche

abcinfo
 Posté le 10/03/2013 à 15:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour {#},

Voici le rapport delfix :

# DelFix v10.1 - Rapport créé le 10/03/2013 à 15:41:27
# Mis à jour le 23/02/2013 par Xplode
# Nom d'utilisateur : Janine - BUREAU

~ Suppression des outils de désinfection ...

Supprimé : C:\ZHP
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Janine\Desktop\adwcleaner.exe
Supprimé : C:\Users\Janine\Desktop\RogueKiller.exe
Supprimé : C:\Users\Janine\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Janine\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #330 [Windows Vista™ Service Pack 2 | 03/09/2013 21:19:39]
Supprimé : RP #331 [Windows Update | 03/10/2013 07:22:43]
Supprimé : RP #332 [Windows Update | 03/10/2013 09:05:01]
Supprimé : RP #333 [Windows Update | 03/10/2013 10:02:49]

Nouveau point de restauration créé !

########## - EOF - ##########

abcinfo
 Posté le 10/03/2013 à 15:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

re bonjour,

Scanner en ligne par eset en cours.

J'ai pas réussi à désactiver kaspersky qui est soit disant actif dans le centre de sécurité, alors que je ne le trouve pas dans les programmes (un vieux truc qui est resté peut être ?).

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
infection par virus 'office central de lutte...'
Ami infecté par virus police....
Infecté de la tête au pied ... Virus/spyware/RAT
Virus toolbar pc infecté
PC infecté par le virus Win32/Small.CA
PC infecté par virus police gendarmerie
Pc infecté par virus gendarmerie
PC infecté par virus Gendarmerie Nationale V2
Pc bloque, infecte avec le virus do logo Suisa
PC infecté, virus....
Plus de sujets relatifs à pc infecté par virus office central de lutte
 > Tous les forums > Forum Sécurité