[resolu]trop de virus ,aidez moi!

[angelique]

• desinstalle Limewire , si c'est pas deja fait

 

• Télécharge OTMoveIt de OldTimer

 

 

http://oldtimer.geekstogo.com/OTM.exe

 

* Enregistre-le sur ton bureau

* Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître)

* Copie-colle l'entièreté de ceci, le contenu du cadre uniquement à partir de :processes; dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) :

 

 

:processes
explorer.exe

:files
c:\documents and settings\All Users\Application Data\NortonInstaller
c:\windows\system32\SysShield.exe
c:\program files\LimeWire
c:\program files\AskBarDis

:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify]
"IconStreams"=-
"PastIconsStream"=-

:commands
[emptytemp]

 

 

 

 

* Clique sur le bouton rouge Moveit! pour lancer le nettoyage, accepte le redemarrage.

* Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche

--> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)

 

• Télécharge Malwarebytes' Anti-Malware (MBAM)

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

 

* Double clique sur le fichier téléchargé pour lancer le processus d'installation.

* Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.

* Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".

* Sélectionne "Exécuter un examen complet"

* Clique sur "Rechercher"

* L'analyse démarre, le scan est relativement long, c'est normal.

* A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

 

Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.

* Ferme tes navigateurs.

* Si des malwares ont été détectés, clique sur Afficher les résultats.

Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

* MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

 

 

 

NB : Si MBAM te demande à redémarrer, fais-le.

[haley]

re, voici le rapport:

Malwarebytes' Anti-Malware 1.36

Version de la base de données: 2176

Windows 5.1.2600 Service Pack 2

 

25/05/2009 17:32:49

mbam-log-2009-05-25 (17-32-49).txt

 

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 238941

Temps écoulé: 1 hour(s), 40 minute(s), 17 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 2

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 12

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\AVP09 (Rogue.Antivirus2009) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\AV2009 (Rogue.Antivirus2009) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

C:\Documents and Settings\All Users\Menu Démarrer\Antivirus 2009 (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\Documents and Settings\HP_Propriétaire.PHAN-DENIS\Bureau\Saved\media_player_update.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\HP_Propriétaire.PHAN-DENIS\Bureau\Saved\Codec.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Documents and Settings\HP_Propriétaire.PHAN-DENIS\Bureau\Saved\backups\backup-20090430-134753-303.dll (Adware.CooperativeAdvertiser) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{86E11626-5203-4B6B-99A3-889F6E4C5699}\RP15\A0004779.exe (Trojan.Vundo.V) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{86E11626-5203-4B6B-99A3-889F6E4C5699}\RP15\A0004887.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{86E11626-5203-4B6B-99A3-889F6E4C5699}\RP15\A0004893.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{86E11626-5203-4B6B-99A3-889F6E4C5699}\RP15\A0004895.exe (Trojan.Vundo.V) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{86E11626-5203-4B6B-99A3-889F6E4C5699}\RP8\A0004494.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\_OTM\MovedFiles\05252009_153904\windows\system32\SysShield.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\Documents and Settings\HP_Propriétaire.TWOBABIES\winlogon.exe.vir (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\Program Files\Antivirus 2009\SysShield.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\__c00CC88C.exe.vir (Trojan.Vundo.V) -> Quarantined and deleted successfully.

[angelique]

• vide la quarantine de MBAM

 

• supprime C:\_OTM ( tu n'as pas posté le rapport !)

 

» ça doit etre ok désormais .

 

IMPORTANT POUR FINIR!

 

==> Finir le nettoyage :

- Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!):

 

telecharge sur ton bureau:

 

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

 

ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

Patiente le temp du nettoyage

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé.

 

• naviguer avec FireFox http://www.mozilla-europe.org/fr/firefox/ , JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA-20...-001/index.html

 

http://imagesup.org/images/1237009714-jsff.jpg

 

• Configurer FireFox pour vider cache, cookies ...... à sa fermeture:

 

http://imagesup.org/images/1237009855-clrff.jpg

 

• Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php

 

- Désactive puis réactive la restauration du système :

- Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924

 

• desinstalle ComboFix en copiant|collant la ligne cidessous du cadre dans executer et valide:

 

ComboFix /u

 

supprime son dossier restant apres disparition de l'icone de combofix de ton bureau en c:\combofix

 

 

Sauvegarde de la ruche systeme

 

Pratique en cas de ce type d'erreur au demarrage (http://www.vista-xp.fr/forum/topic183.html ) et rapide à restaurer en console de recuperation: http://www.malekal.com/console_recuperatio...#mozTocId862261

http://www.malekal.com/tutorial_ERUNT.php#mozTocId955164

 

• telecharge ERUNT (ERDNT):

http://www.derfisch.de/lars/erunt.zip

http://www.aumha.org/downloads/erunt.zip

http://dundats.mvps.org/Files/erunt.zip

 

et dezippe le ,renomme le dossier par ERDNT, coupe_colle le dossier dezippé à cet endroit et pas ailleurs: c:\windows\ , un ancien dossier de ComboFix vide apres désinstallation est toujours présent à cet endroit,tu le remplaces par le nouveau que tu viens de dezipper, puis double clic sur ERUNT comme sur la capture:

 

http://imagesup.org/images/1240900435-erdnt1.jpg

 

* clic ok et dans la fenetre qui apparait comme sur la capture , spécifie le chemin c:\windows\ERDNT en "backup to", pas ailleurs!, un nouveau dossier doit alors être crée, clic ok.

 

http://imagesup.org/images/1240900561-erdnt2.jpg

 

*la sauvegarde de la ruche systeme s'opère alors , un dossier de sauvegarde en date de création apparrait en c:\windows\ERDNT

 

http://imagesup.org/images/1240900791-erdnt3.jpg

 

*ferme une fois terminé la fenêtre.

 

 

et c'est ok

[haley]

merci beaucoup , j'espere que je n'aurais plus de pb a l'avenir

bonne soirée, merci encore

[angelique]

ça depend que de toi et ton attitude sur le net & Javascript sur les sites inconnus...

 

Des traces de Limewire , je t'invite à lire les "inconvénients" du P2P:

 

Ce qui suit n'est pas pour faire la morale, mais vise plutôt à te faire prendre conscience des risques liés à l'utilisation de ce type de programmes.

Fais gaffe avec l'utilisation des logiciels P2P!! ce sont les principaux vecteurs d'infection avec les craks/keygens,musiques,videos infectés etc...! Pour t'en convaincre, lis ces deux topics très clairs:

le premier est de Malekal et concerne les cracks => http://forum.malekal.com/viewtopic.php?f=33&t=893

le second de Tesgaz concerne le P2P en général => http://forum.zebulon.fr/prevention-le-p2p-...ces-t85544.html

Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/

Maintenant que tu sais, c'est à toi de voir... est ce que ca vaut le coup de risquer une grosse infection(et mettre tes données en peril)?

 

J'édite ton sujet comme [resolu]

 

Bye \o_