impossible de supprimer rogue windows protection suite

OumHilal · le 4 novembre 2009

Bonjour !

Quelqu'un pourrait-il m'aider s'il vous plaît ?

Mon PC (Windows xp sp3) est infecté par windows protection suite et je n'arrive pas à supprimer ce rogue.

La saleté a commencé par bloquer mon antivirus BitDefender en signalant que la version avait expiré. Je n'ai pas réussi à le réactiver.Ensuite j'ai reçu des pubs intempestives et des msg d'alertes factices de pc infecté. J'ai pu les bloquer ac superantispyware. Désormais mon PC rame, je n'arrive plus à accéder à Gmail (connexion non authentifiée), windows live mail ne fonctionne plus correctement.

J'ai effectué plusieurs actions :

nettoyage avec CCleaner

nettoyage du disque dur

défragmentation

utilisation de smartfraud fix

nettoyage avec Spybot qui détecte le virus mais au moment de la suppression le logiciel bloque et je suis obligé de redémarrer une session. Le msg d'erreur est : "error in fixing problems . Cannot create file C:\WINDOWS\system32\drivers\etc\hosts. Accès refusé"

Spybot m'annonce : Fraud.Windowsprotection Suite 12 éléments

Micrsoft Windows redirected hosts 208 él.

le scan antivir s'arrête à 2,5% sur Documentsand Setttings/user/Localsettings/applicationData/Im/identites/... Deleted files.imm puis extension qui correspond -je crois- à une icône ds IncrediMail (ms suis pas sûre)

Et il est alors impossible de fermer le scan d'antivir qui verrouille le syst. Je dois redémarrer ma machine.

Rapport HijackThis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:12:07, on 04/11/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\bgsvcgen.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\Panasonic\VideoCamSuite\VideoCamSuiteAutoStart.exe

C:\Program Files\CDBurnerXP\NMSAccessU.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\IncrediMail\bin\ImApp.exe

C:\Program Files\Mozilla Firefox2\firefox.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netvibes.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 74.125.45.100 4-open-davinci.com

O1 - Hosts: 74.125.45.100 Securitysoftwarepayments.com

O1 - Hosts: 74.125.45.100 privatesecuredpayments.com

O1 - Hosts: 74.125.45.100 Secure.privatesecuredpayments.com

O1 - Hosts: 74.125.45.100 getantivirusplusnow.com

O1 - Hosts: 74.125.45.100 Secure-plus-payments.com

O1 - Hosts: 74.125.45.100 www.getantivirusplusnow.com

O1 - Hosts: 74.125.45.100 www.secure-plus-payments.com

O1 - Hosts: 74.125.45.100 www.getavplusnow.com

O1 - Hosts: 74.125.45.100 www.securesoftwarebill.com

O1 - Hosts: 74.125.45.100 Secure.paysecuresystem.com

O1 - Hosts: 74.125.45.100 paysoftbillsolution.com

O1 - Hosts: 64.86.17.56 google.ae

O1 - Hosts: 64.86.17.56 google.as

O1 - Hosts: 64.86.17.56 google.at

O1 - Hosts: 64.86.17.56 google.az

O1 - Hosts: 64.86.17.56 google.ba

O1 - Hosts: 64.86.17.56 google.be

O1 - Hosts: 64.86.17.56 google.bg

O1 - Hosts: 64.86.17.56 google.bs

O1 - Hosts: 64.86.17.56 google.ca

O1 - Hosts: 64.86.17.56 google.cd

O1 - Hosts: 64.86.17.56 google.com.gh

O1 - Hosts: 64.86.17.56 google.com.hk

O1 - Hosts: 64.86.17.56 google.com.jm

O1 - Hosts: 64.86.17.56 google.com.mx

O1 - Hosts: 64.86.17.56 google.com.my

O1 - Hosts: 64.86.17.56 google.com.na

O1 - Hosts: 64.86.17.56 google.com.nf

O1 - Hosts: 64.86.17.56 google.com.ng

O1 - Hosts: 64.86.17.56 google.ch

O1 - Hosts: 64.86.17.56 google.com.np

O1 - Hosts: 64.86.17.56 google.com.pr

O1 - Hosts: 64.86.17.56 google.com.qa

O1 - Hosts: 64.86.17.56 google.com.sg

O1 - Hosts: 64.86.17.56 google.com.tj

O1 - Hosts: 64.86.17.56 google.com.tw

O1 - Hosts: 64.86.17.56 google.dj

O1 - Hosts: 64.86.17.56 google.de

O1 - Hosts: 64.86.17.56 google.dk

O1 - Hosts: 64.86.17.56 google.dm

O1 - Hosts: 64.86.17.56 google.ee

O1 - Hosts: 64.86.17.56 google.fi

O1 - Hosts: 64.86.17.56 google.fm

O1 - Hosts: 64.86.17.56 google.fr

O1 - Hosts: 64.86.17.56 google.ge

O1 - Hosts: 64.86.17.56 google.gg

O1 - Hosts: 64.86.17.56 google.gm

O1 - Hosts: 64.86.17.56 google.gr

O1 - Hosts: 64.86.17.56 google.ht

O1 - Hosts: 64.86.17.56 google.ie

O1 - Hosts: 64.86.17.56 google.im

O1 - Hosts: 64.86.17.56 google.in

O1 - Hosts: 64.86.17.56 google.it

O1 - Hosts: 64.86.17.56 google.ki

O1 - Hosts: 64.86.17.56 google.la

O1 - Hosts: 64.86.17.56 google.li

O1 - Hosts: 64.86.17.56 google.lv

O1 - Hosts: 64.86.17.56 google.ma

O1 - Hosts: 64.86.17.56 google.ms

O1 - Hosts: 64.86.17.56 google.mu

O1 - Hosts: 64.86.17.56 google.mw

O1 - Hosts: 64.86.17.56 google.nl

O1 - Hosts: 64.86.17.56 google.no

O1 - Hosts: 64.86.17.56 google.nr

O1 - Hosts: 64.86.17.56 google.nu

O1 - Hosts: 64.86.17.56 google.pl

O1 - Hosts: 64.86.17.56 google.pn

O1 - Hosts: 64.86.17.56 google.pt

O1 - Hosts: 64.86.17.56 google.ro

O1 - Hosts: 64.86.17.56 google.ru

O1 - Hosts: 64.86.17.56 google.rw

O1 - Hosts: 64.86.17.56 google.sc

O1 - Hosts: 64.86.17.56 google.se

O1 - Hosts: 64.86.17.56 google.sh

O1 - Hosts: 64.86.17.56 google.si

O1 - Hosts: 64.86.17.56 google.sm

O1 - Hosts: 64.86.17.56 google.sn

O1 - Hosts: 64.86.17.56 google.st

O1 - Hosts: 64.86.17.56 google.tl

O1 - Hosts: 64.86.17.56 google.tm

O1 - Hosts: 64.86.17.56 google.tt

O1 - Hosts: 64.86.17.56 google.us

O1 - Hosts: 64.86.17.56 google.vu

O1 - Hosts: 64.86.17.56 google.ws

O1 - Hosts: 64.86.17.56 google.co.ck

O1 - Hosts: 64.86.17.56 google.co.id

O1 - Hosts: 64.86.17.56 google.co.il

O1 - Hosts: 64.86.17.56 google.co.in

O1 - Hosts: 64.86.17.56 google.co.jp

O1 - Hosts: 64.86.17.56 google.co.kr

O1 - Hosts: 64.86.17.56 google.co.ls

O1 - Hosts: 64.86.17.56 google.co.ma

O1 - Hosts: 64.86.17.56 google.co.nz

O1 - Hosts: 64.86.17.56 google.co.tz

O1 - Hosts: 64.86.17.56 google.co.ug

O1 - Hosts: 64.86.17.56 google.co.uk

O1 - Hosts: 64.86.17.56 google.co.za

O1 - Hosts: 64.86.17.56 google.co.zm

O1 - Hosts: 64.86.17.56 google.com

O1 - Hosts: 64.86.17.56 google.com.af

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: XBTP06568 - {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: (no name) - {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} - (no file)

O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Exécution automatique de VideoCam Suite 1.0.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/dow...llerControl.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/200612...ex/qtplugin.cab

O16 - DPF: {38D6D77C-5EC1-4A4A-AFEB-85FE780CD61A} (FontDownloaderIE Class) - http://www.qurancomplex.org/downloads/FontDown.cab

O16 - DPF: {B0067CA5-2C37-4C6B-AAEC-5E2CE8635061} (FontDown Class) - http://www.qurancomplex.org/Downloads/FontSmooth.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{BB04A734-F955-4653-8868-FE8E23E6F242}: NameServer = 212.27.40.240,212.27.40.241

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Avira antivir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira antivir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: getPlus® Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Lavasoft Ad-aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)

O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--

End of file - 11924 bytes

(Ms je n'ai pas bien compris comment enregistrer HijackThis ds répertoire dédié- qd je télécharge hijackt il faut d'abord l'enregistrer sur le C avt de l'éxécuter ?)

Et j'ai fait le scan en mode normal -faut-il le faire en mode sans échec ?

Une autre question : pr nettoyer en mode sans échec pourquoi faut-il éviter de passer par msconfig et plutôt utiliser la touche f8 ?

Dernière question : ext-ce imprudent d'envoyer mails avc pc ds cet état ? puis-je infecter mon destinataire ?

Merci de votre aide. J'en ai besoin !!

oGu · le 4 novembre 2009

Salut !

On va te tirer d'affaire : avant je réponds à tes questions :

Et j'ai fait le scan en mode normal -faut-il le faire en mode sans échec ?

Non, HijackThis doit être fait en Mode normal

pr nettoyer en mode sans échec pourquoi faut-il éviter de passer par msconfig et plutôt utiliser la touche f8 ?

Car avec la touche F8, en cas de pépin concernant le bon fonctionnement du sans échec, tu ne peux pas revenir en arrière et annuler le Mode sans échec : ta machine rebootera sans cesse en sans échec, alors que ce mode ne fonctionnera plus

Dernière question : ext-ce imprudent d'envoyer mails avc pc ds cet état ? puis-je infecter mon destinataire ?

De manière générale, évite de surfer avec une machine qui subit des redirections et est infectée.

On y va ?

MYHOSTS

Télécharge le programme MyHosts de Jeanmimigab
Lance MyHosts et patiente
MyHosts fournit en fin de procédure un rapport : copie-colle son contenu dans ta prochaine réponse
Fais redémarrer ton PC

MALWAREBYTES ANTI-MALWARE

Télécharge Malwarebytes Antimalware en cliquant sur cette image:

Installe-le: une mise à jour doit normalement s'exécuter toute seule
Une fois installé, lance-le en double-cliquant sur le raccourci
Connecte tes clés USB et ton disque dur externe
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche"
Sélectionne "Exécuter un examen complet":
Clique sur "Rechercher"
Dans la fenêtre qui s'ouvre, coche toutes les cases pour analyser la totalité des disques:
Lance le scan en cliquant sur le bouton "Lancer l'examen"
A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre.
Ferme tes navigateurs et clique en bas sur "Afficher les résultats"
Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur "Supprimer la sélection" , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le
Redémarre ton PC

ESET ONLINE SCANNER

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce logo:

Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
Une fois le scanner installé, configure-le en décochant la case "Remove found threats" et en cochant la case "Scan archives"
Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
Une nouvelle fenêtre aparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse

OumHilal · le 4 novembre 2009

Bonsoir !

Merci bcp pr ta réponse très bien détaillée.

J'ai effectué les manip demandées. Ca m'a l'air bien engagé.

Il y a eu un bug ac myHosts. Voici le rapport :** Rapport MyHosts.txt **

MyHosts V.1.0.0.0 de jeanmimigab

Merci à la team MH et à Batch_man pour leurs aides

Résultat de l'opération:

/!\ Le fichier hosts n'a pas été restauré... /!\

** Informations **

si vous êtes Sous Vista/Seven MyHosts ne fonctionne pas

sous un compte limité.

Relancer MyHosts depuis un compte ayant des droits administrateurs.

** Fin du rapport **

Et celui de MBAM :

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 3099

Windows 5.1.2600 Service Pack 3

04/11/2009 17:12:02

mbam-log-2009-11-04 (17-12-02).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|)

Eléments examinés: 178505

Temps écoulé: 56 minute(s), 28 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

C:\System Volume Information\_restore{8C6FD373-9CD0-4347-84C7-1689DFD823DA}\RP392\A0193744.rbf (Rogue.SpyCleaner) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{8C6FD373-9CD0-4347-84C7-1689DFD823DA}\RP392\A0193774.exe (Rogue.Installer) -> Quarantined and deleted successfully.

Quant au scan de Eset , il a été négatif : tout semble propre. Est-ce à dire que j'ai réussi à venir à bout de cette @^%*sal...@^_3# ?

Ca, ça m'inquiète :

/!\ Le fichier hosts n'a pas été restauré... /!\

Que faire ?

OumHilal · le 5 novembre 2009

Bonsoir !

J'ai refait un scan hier soir (très tard) avec spybot et la saleté (les saletés) sont tjs là. Tjs ps moyen d'accéder à certaines pages. Je crois que j'ai mal effectué la manip avec MyHosts. Et il se passe un truc bizarre qd je télécharge à partir de FireFox : fenêtre noire, demande d'enregistrer le fichier ms pas de l'exécuter. (Je suis pas sûre d'être très claire ds mes explications.)

Je commence à désespérer d'y arriver seule, vu mes compétences très limitées et j'ai peur d'avoir bidouillé et touché le registre.

En ts cas, ce qui m'énerve, c'est que je ne sais pas où se cache l'animal (sale bête ! )

Dois-je essayer RHosts ou est-ce le même emploi que MyHosts ? En fait, à quoi ça sert ? (J'aime bien comprendre ce que je fais.)

A l'aide !! :P

OumHilal · le 5 novembre 2009

Re-Bonsoir !

J'avais posté sur PC astuces, puis précisé que je suivais une autre procédure. J'hésite à reposter là-bas, sachant qu'il est plus fréquenté que Zébulon. Ms je ne veux pas mobiliser qqn pr rien ni laisser une procédure en plan. De tts façons, j'ai pas mal de boulot ce soir. J'attendrais sûrement demain pr me remettre ds désinfect° de ma bécane.

oGu · le 5 novembre 2009

Ok.

On va essayer avec R-Hosts (qui a pour fonction de restaurer le fichier Hosts par défaut)

R-HOSTS

Télécharge le programme R-Hosts de S!RI
Lance R-Hosts.exe puis clique sur Restaurer.
Valide la modification en appuyant sur OK.

RSIT

Télécharge sur ton Bureau random's system information tool (RSIT) par random/random en cliquant sur cette image:

Double-clique sur RSIT.exe afin de lancer RSIT
Clique Continue à l'écran Disclaimer.
Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

Edit : que t'a signalé Spybot? Et as-tu touché au Registre, vu que tu en parles ?

Modifié le 5 novembre 2009 par oGu

oGu · le 5 novembre 2009

Re-Bonsoir !

J'avais posté sur PC astuces, puis précisé que je suivais une autre procédure. J'hésite à reposter là-bas, sachant qu'il est plus fréquenté que Zébulon.

Ouais, ça c'est pas une bonne idée le double-post !

Tu en es où là-bas ? Il faut que tu fasses un choix et que tu donnes le lien vers l'autre prise en charge, que mon collègue (ou moi) sachons ce qui a été fait...

Sinon, en quoi le fait que PC Astuces est plus fréquenté change-t-il quoi que ce soit??

Edit : en + ce n'est pas le cas, il semble que cela soit l'inverse ^^ :

http://rankings.big-boards.com/?filter=all...mp;sort=traffic

http://rankings.big-boards.com/?sort=posts...=all,FR&p=3

Même si ces tableaux restent un peu obscurs

Modifié le 5 novembre 2009 par oGu

oGu · le 5 novembre 2009

http://forum.pcastuces.com/sujet.asp?s=51169&f=25

Je crois qu'on (Nardino et moi) va te laisser te débrouiller seul(e?), non ?

OumHilal · le 7 novembre 2009

Bonsoir !

Merci pour tes réponses et ta constance ! ce qui n'a pas été mon cas, désolée.

J'avais fait un double post par panique un peu comme deux bouteilles (qui vaudrait mieux qu'une !) lancées à la mer. Et pr répondre à ta question je me disais que plus le nb de personnes qui liraient mon msg était grd, plus j'avais de chances d'obtenir de l'aide (sur Pc astuces).

J'ai compris que le double post n'était pas une bonne idée et que ça vs avait froissé à toi et ceux de PC astuces. Mille excuses.

J'espère que tu voudras bien continuer à m'apporter ton aide et que tu mettras mon erreur sur le compte de l'inexpérience : c'est la première fois que je fréquente un forum d'aide informatique. Au final, j'ai clos le post sur PC astuces et m'attacherai à celui-ci.

Sinon, je n'ai pas encore effectué les manip que tu m'as conseillées par faute de temps. J'ai laissé les choses en plan depuis jeudi sans toucher à la machine.

Voilà où j'en suis :Quand j'essaie de restaurer avec Rhosts le msg d'erreur est "impossible de créer le fichier c:\windows\system32\drivers\etc\hosts

Quand j'ai téléchargé RSIT (d'ailleurs un truc qui m'interpelle, qd je télécharge ac firefox, on ne me propose plus de l'exécuter ou de l'enregistrer, ms seulement de l'enregistrer, alors je n'ai plus le choix de l'endroit de l'enregistrement).

Il y a eu plusieurs msg d'alerte (je n'ai pas pu les copier) m'indiquant en anglais que l'accès à l'écriture du fichier host était refusé et que le nombre de fichiers "hijacked" était trop important et dc un conseil de supprimer l'ensemble du host ; enfin c'est ce que j'ai compris, mon anglais est convenable ms pas mon anglais informatique et , comme t'as dû le constater, mes connaissances en info limitées (je viens d'apprendre ce quétait le hosts et encore je suis pas sûre d'avoir tt compris).

Les deux fichiers textes st sortis ms j'ai pas eu à cliquer "continue" et pas d'écran "disclaimer". Tt s'est fait automatiquement. Les voici :

Logfile of random's system information tool 1.06 (written by random/random)

Run by User at 2009-11-07 18:52:37

Microsoft Windows XP Édition familiale Service Pack 3

System drive C: has 29 GB (19%) free of 153 GB

Total RAM: 447 MB (11% free)

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:53:49, on 07/11/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\bgsvcgen.exe

C:\Program Files\CDBurnerXP\NMSAccessU.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\Panasonic\VideoCamSuite\VideoCamSuiteAutoStart.exe

C:\Program Files\IncrediMail\bin\ImApp.exe

C:\Program Files\Mozilla Firefox2\firefox.exe

C:\Documents and Settings\User\Mes documents\Téléchargements\RSIT.exe

C:\Program Files\Trend Micro\HijackThis\User.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netvibes.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 74.125.45.100 4-open-davinci.com

O1 - Hosts: 74.125.45.100 securitysoftwarepayments.com

O1 - Hosts: 74.125.45.100 privatesecuredpayments.com

O1 - Hosts: 74.125.45.100 secure.privatesecuredpayments.com

O1 - Hosts: 74.125.45.100 getantivirusplusnow.com

O1 - Hosts: 74.125.45.100 secure-plus-payments.com

O1 - Hosts: 74.125.45.100 www.getantivirusplusnow.com

O1 - Hosts: 74.125.45.100 www.secure-plus-payments.com

O1 - Hosts: 74.125.45.100 www.getavplusnow.com

O1 - Hosts: 74.125.45.100 www.securesoftwarebill.com

O1 - Hosts: 74.125.45.100 secure.paysecuresystem.com