infection antivirus pro 2010 et security tool

[Mark]

Salut Emma

 

Doucement avec ton copain...lol. Il n'a peut-être rien à voir avec cette histoire

 

Je t'explique (pour Messenger). Voici un scénario possible : l'infection s'installe, suite au téléchargement de quelque chose ou bien à une visite sur site piégé (eBay et YouTube improbables) et ensuite le programme (une infection est un programme) utilise Messenger pour propager des messages piégés à tes contacts, à ton insu. On voit ça beaucoup depuis quelques années. Il s'agit d'une porte dérobée capable d'opérer Messenger en sourdine. Étant donné que Messenger était présent sur la machine, c'est un jeu d'enfant pour l'infection. Si ma théorie tient la route, tu devrais avoir des contacts qui se sont fait bombarder de messages piégés (ton copain inclus). L'inverse pourrait être vrai aussi : un de tes contacts a été infecté et t'a envoyé un message piégé, sauf que... tu n'utilisais pas Messenger alors tu n'aurais pas pu ouvrir un message piégé. Mystère...

 

Ah oui je ne t'avais pas répondu au sujet de Yahoo! : malheureusement, je ne l'utillise pas alors je ne peux pas vraiment t'aider... Regarde peut-être du côté de la configuration, il y a peut-être un réglage à quelque part.

 

===============

 

Hop, on fait du petit ménage :

 

Clique sur le bouton "Démarrer" >> "Exécuter..." puis copie/colle la ligne suivante dans la boîte et clique "OK" :

 

ComboFix /u

 

Cela ne prend que quelques secondes et une fenêtre devrait s'ouvrir avec message de succès (désinstallation de ComboFix). Si tu ne vois pas ce message ou qu'il y a erreur, refais la manip avec cette ligne :

 

ComboFix /uninstall

 

Là ça devrait aller.

~~~~~~~~~~~~~~~~~

 

Tu peux supprimer l'outil RSIT.exe (sur ton Bureau), ainsi que son répertoire qui se trouve directement sur le lecteur C: (C:\rsit)

Supprime le fichier Fix.reg qui se trouve sur ton Bureau.

 

J'ai oublié quelque chose ?

~~~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~~

 

Pour la machine de ton copain, voici la séquence que je te suggère :

 

- Vérifie que BitDefender est périmé : si oui, désinstalle-le illico (via le Panneau de Config > Ajout/Suppressions de programmes).

 

- S'il y a de grosses infections présentes (possible), il serait préférable de passer Malwarebytes' Anti-Malware tout de suite (analyse rapide), avant de mettre un autre antivirus (je te conseille AntiVir d'ailleurs). Malwarebytes' pourra ainsi décrasser la machine et permettre une installation plus aisée d'un antivirus. Si jamais Malwarebytes' refusait de tourner, stoppe tout et viens me soumettre ça ici.

 

- Si Malwarebytes' a bien tourné, installe maintenant l'antivirus et fais une analyse complète de la machine.

 

>> Si pépins, doutes ou questions, pas de gêne, fais signe ici

 

C'est pour quand le beau violon ? Tu as hâte ?

 

@bientôt,

 

Mark

[Emmacello]

Salut Mark,

 

J'ai commencé à désinstaller combofix avec la première ligne à copier/coller. Donc ça a marché mais le souci c'est que je l'avais 2 fois sur le bureau,un nommé Emma(à cause de la machine infectée qui ne voulais pas acceper d'exe) et l'autre Emma.exe. ça a supprimer Emma.exe mais pas l'autre. Du coup j'ai regardé les propriétés de l'autre (Emma) pour voir si ce n'était pas un raccourci mais c'est marqué "application". Je l'ai renommé en Emma.exe, retapé la ligne dans exécuter mais ça me dit que windows ne trouve pas combofix. Est ce que j'utilise l'autre ligne avec uninstall ou est ce qu'il est déja désinstallé

 

Sinon oui j'ai trop hâte pour le violon, c'est un violon electrique à 5 cordes, ça va être super!

 

A+

[Mark]

Salut Emma

 

Pas de soucis pour ComboFix, tu n'as qu'à supprimer celui qui reste sur le Bureau. Si tu en avais un avec ".exe" et l'autre sans, ce n'est pas l'infection qui est responsable mais bien une option sur ta machine, qui permet de voir (ou non) les extensions de fichiers dont le type est connu (.exe compris). Dans ton cas, l'option est sur "Masquer" donc tu ne peux voir les extensions .exe. Alors comment se fait-il que tu voyais Emma.exe ? Héhé : le nom de ce fichier était en fait Emma.exe.exe (si, deux fois .exe) alors Windows te montrait une fois .exe, la première étant masquée. Pour l'autre (Emma), il y avait bien .exe en extension mais masquée par cette option, qui est réglée de cette façon par défaut, sois dit en passant, donc pas de soucis. Compliqué tout ça ? Bah pas quand on la connait

 

Un violon électrique ? Du jazz ?

 

N'oublie pas de me parler de la bécane de ton copain, lorsque tu auras eu la chance de regarder ; la curiosité me ronge...

 

@+

 

Mark

[Emmacello]

Salut Mark,

 

J'espère que tu as passé un bon week end

 

Merci de toutes ces précisions!!

 

Pour le violon, non je ne joue pas du jazz mais du rock mélangé à un son baroque.

Tiens un lien d'une vidéo ou je suis au violon:

 

 

En ce qui concerne l'ordi de mon chéri, on s'y colle maintenant,je te dirai la suite!

 

Biz

[Emmacello]

salut mark,

 

Donc on s'est occupé de l'ordi de mon chéri. je lui ai fait installer cc cleaner car il avait jamais enlevé ses dossiers temporaires, et on a nettoyer. Ensuite on a insatllé Mbam qui a trouvé 16 éléments infectés, que des rogues, enfin le même puisqu'il avait le même nom.Bon je peux pas te poster le rapport car mon chéri dort donc si tu veux on te le poste plus tard. on a donc tout mis en quarantaine (on avait fait un scan complet de plus d'1h15). Ensuite on a installé antivir, là aussi super long,mais aucun éléments infectés, rien du tout. moi je trouve ça pas mal pour quelqu'un qu'avait ni anti-malware, ni anti virus.

Je voulais aussi te demander si je peux enlever l'icone "fix" sur mon bureau, c'était le truc pour nettoyer les clé de registre.

Y'a aussi un truc sur mon bureau je sais pas trop ce que c'est, c'est marqué "windows xp" et quand je passe la souris c'est écrit "auto-extacteur de fichiers CAB win 32".

J'ai également installé une imprimante hp/photosmart, l'installation a bien marché (contrairement à mon vieil ordi où ça ne voulait pas installer car ça ne trouvait pas le logiciel,alors que j'ai un cd d'installation,si tu peux m'expliquer pourquoi?). Donc ça a fonctionné; le seul truc bizarre, c'est que quand je veux retirer l'usb de l'imprimante, je clique sur "retirer le périphérique en toute sécurité" et là ça me dit qu'il y a un programme qui se sert du périphérique, enfin un truc dans le genre, donc je tire sur le port usb c'est peut etre pas tres bien. Du coup y' a les icones HP sur le bureau,j'imagine qu'on peut pas les enlever: y'a l'icone de l'imprimante donc ça normal, il y a "acheter des consommables",si on peut virer ça, et centre de solutions HP, alors ça je sais pas si il faut garder.

Ah oui il reste aussi un truc qui s'appelle RSIT sur le bureau, que dois je en faire?

 

Merci d'avance Mark ,car je pose énormément de questions je m'en rends compte.

Biz

Emma

[Emmacello]

Resalut Mark,

 

Pour finir, je te poste le rapport de MBAM de l'ordi de mon chéri (on a rien trouvé en passant antivir):

 

 

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 3081

Windows 6.0.6001 Service Pack 1

 

03/11/2009 02:15:54

mbam-log-2009-11-03 (02-15-54).txt

 

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 438667

Temps écoulé: 1 hour(s), 12 minute(s), 27 second(s)

 

Processus mémoire infecté(s): 2

Module(s) mémoire infecté(s): 2

Clé(s) du Registre infectée(s): 6

Valeur(s) du Registre infectée(s): 2

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 5

 

Processus mémoire infecté(s):

C:\Users\Rafouleflou\AppData\Roaming\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe (Rogue.Eorezo) -> Unloaded process successfully.

C:\Program Files\EoRezo\EoEngine.exe (Rogue.Eorezo) -> Unloaded process successfully.

 

Module(s) mémoire infecté(s):

C:\Program Files\EoRezo\EoAdv\EoAdv.dll (Rogue.Eorezo) -> Delete on reboot.

C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (Rogue.Eorezo) -> Delete on reboot.

 

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\TypeLib\{b6acb3f1-6a83-432c-b854-3e1056f87f4e} (Rogue.Eorezo) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{819db72d-1c28-4387-9778-e2ff3dc86f74} (Rogue.Eorezo) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{c7b76b90-3455-4ae6-a752-eac4d19689e5} (Rogue.Eorezo) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c7b76b90-3455-4ae6-a752-eac4d19689e5} (Rogue.Eorezo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c7b76b90-3455-4ae6-a752-eac4d19689e5} (Rogue.Eorezo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\softwarehelper (Rogue.Eorezo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eoengine (Rogue.Eorezo) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Users\Rafouleflou\AppData\Roaming\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.

C:\Program Files\EoRezo\EoEngine.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.

C:\Program Files\EoRezo\EoAdv\EoAdv.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.

C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (Rogue.Eorezo) -> Delete on reboot.

C:\Users\Rafouleflou\AppData\Roaming\EoRezo\SoftwareUpdate\SoftwareUpdate.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.