Windows Vista Repair

[John Fitzgerald]

Sagissant du Norton Security je l'ai supprimer par mégarde, ne sachant pas s'il est efficace ou non. N'importe quel antivirus performant fera l'affaire.

 

Je me soumets à tes conseils.

 

EDIT: je viens de m'apercevoir que bien qu'ayant posté en deux fois, les rapports demandés ultérieurement apparaissent sur un seul et même message.

Modifié le 18 juin 2011 par John Fitzgerald

[lance_yien]

Bonjour,

 

Je ne sais pas pourquoi les rapports se sont trouvés dans le même message. Tout ce que çarisquait était de faire sauter tout le topic et te trouvais obligé d'en ouvrir un autre

--

 

>>> Lancer OTL et copier la liste suivante (commençant par :OTL) puis la coller dans l'espace sous "Personnalisation" (les : au début et le ] à la fin sont très important, merci de vérifier).

 

:OTL

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = cherche.us

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = cherche.us

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = cherche.us

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = local

FF - HKLM\software\mozilla\Firefox\Extensions\\crazyloader@spointer.com: C:\Program Files\CrazyLoader\spointer\extensions\crazyloader@spointer.com [2010/10/20 15:48:39 | 000,000,000 | ---D | M]

[2010/06/22 11:48:36 | 000,001,575 | ---- | M] () -- C:\Users\Mss test\AppData\Roaming\Mozilla\Firefox\Profiles\59vvlcoe.default\searchplugins\cherche.xml

[2010/10/20 15:48:39 | 000,000,000 | ---D | M] (Interest Recognizer for Crazyloader) -- C:\PROGRAM FILES\CRAZYLOADER\SPOINTER\EXTENSIONS\CRAZYLOADER@SPOINTER.COM

[2008/02/06 23:05:00 | 000,324,976 | ---- | M] (Symantec Corporation) -- C:\Program Files\mozilla firefox\components\coFFPlgn.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\coIEPlg.dll (Symantec Corporation)

O2 - BHO: (Symantec Intrusion Prevention) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll (Symantec Corporation)

O3 - HKLM\..\Toolbar: (Show Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\CoIEPlg.dll (Symantec Corporation)

O4 - HKLM..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe (Symantec Corporation)

O4 - HKLM..\Run: [isCfgWiz] C:\Program Files\Common Files\Symantec Shared\OPC\{C86EA115-FACD-4aa8-BFA2-398C677D0936}\SYMCUW.exe (Symantec Corporation)

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present

O15 - HKCU\..Trusted Domains: chat-land.org ([]* in Trusted sites)

O15 - HKCU\..Trusted Domains: localhost ([]http in Local intranet)

O15 - HKCU\..Trusted Ranges: GD ([http] in Local intranet)

[2011/06/18 14:23:58 | 000,581,120 | ---- | C] (AVAST Software) -- C:\Users\Mss test\Desktop\aswMBR.exe

[2011/06/17 19:13:42 | 000,000,000 | ---D | C] -- C:\Program Files\GridinSoft Trojan Killer

[2011/06/06 20:14:21 | 000,000,000 | ---D | C] -- C:\Users\Mss test\Desktop\RK_Quarantine

[2011/06/17 21:16:23 | 000,000,843 | ---- | C] () -- C:\Users\Public\Desktop\Live-Player.lnk

[2011/06/17 21:16:23 | 000,000,114 | ---- | C] () -- C:\Users\Mss test\Application Data\Microsoft\Internet Explorer\Quick Launch\Chat-Land site de chat et de rencontre gratuit.URL

@Alternate Data Stream - 542 bytes -> C:\Windows\System32\drivers\dkgnuahe.sys:changelist

 

:Services

 

:Reg

 

:Files

ipconfig /flushdns /c

C:\Program Files\GridinSoft Trojan Killer

C:\Program Files\Live-Player

C:\Users\Mss test\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NVQ7ZR1U\java_skyline[1].htm

C:\Users\Mss test\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NVQ7ZR1U\lift[1].htm

C:\Users\Mss test\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NVQ7ZR1U\track[2].htm

C:\Users\Mss test\Desktop\RK_Quarantine

C:\Users\Mss test\Downloads\Live-Player_setup.exe

C:\Users\Mss test\Downloads\plugin-vlc.exe

C:\Users\Mss test\Downloads\trojankiller2095-setup.exe

C:\*.sqm

C:\WINDOWS\System32\*.tmp

C:\WINDOWS\*.tmp

 

:Commands

[EMPTYTEMP]

[EMPTYFLASH]

[RESETHOSTS]

Fermer toutes les applications et fenêtres en cours puis désactiver les programmes de protection (antivirus etc...) et lancer OTL.

Cliquer sur le bouton rouge Correction et laisser faire.

Si un ou plusieurs fichiers ne peuvent pas être supprimés normalement, le programme demandera de redémarrer la machine pour finir le processus, cliquer sur Oui.

A la fin un rapport s'ouvre dans le bloc-note. Copier son contenu et le coller dans une nouvelle réponse. Fermer le rapport et OTL.

 

 

>>> Connais-tu ces dossiers (en gras):

C:\ProgramData\~36888312

C:\ProgramData\~36888312r

C:\ProgramData\~31448824r

C:\ProgramData\~31448824

C:\ProgramData\31448824

 

Si non, supprime-les

 

 

>>> CCleaner: Installer "CCleaner" (si tu ne l'as pas).

Dans la fenêtre principale, vérifier que les cases soient cochées comme ceci (d'autres cases peuvent être cochées pour ceux qui maîtrisent l'outil):

Cliquer sur "Nettoyeur" à gauche, sur "Analyser" à droite et laisser faire.

Cliquer sur "Nettoyer" quand c'est prêt autant de fois qu'il y a encore des items dans l'encadré à droite.

Il ne faut pas se servir du bouton "Registre" (à gauche) pendant la désinfection.

 

 

>>> Installer un antivirus:

• Télécharger sur le Bureau l'un de ces antivirus (gratuits): Antivirus Gratuit, Avira AntiVir Personal – FREE Antivirus, AVG - FREE EDITION.
   
  
• Cliquer ICI puis sur TÉLÉCHARGER à côté de "J'utilise Windows Vista/XP/2000" pour télécharger leur utilitaire sur le Bureau.
   
  
• Fermer toutes les fenêtres ouvertes y compris Internet et cliquer-droit sur le nouveau fichier "Norton_Removal_Tool.exe" => "Exécuter en tant qu'administrateur". Suivre les indications.
  Redémarrer le PC quand c'est fini et installer le nouveau antivirus.

 

>>> Mises à jour: Toute ancienne version d'un programme quel qu'il soit peut comporter des vulnérabilités susceptibles d'être exploitées pour infecter un PC et notre meilleur moyen pour limiter les dégâts c'est la mise à jour régulièrement[/b]:

• Java: Utiliser, IMPÉRATIVEMENT, Internet Explorer pour téléchargez (sur le Bureau) la dernière version qui correspond à votre Système d'exploitation (32 ou 64 bits): Téléchargements Java pour tous les systèmes d'exploitation.
   
  
  

  
   
  Avant l'installation, il est important de commencer par supprimer TOUTES les anciennes versions dans votre machine parce qu'elles peuvent contenir des vulnérabilités de sécurité:
  Cliquer sur "Démarrer" => "Panneau de Configuration" => "Ajout/ Suppr des Programmes".
  Chercher, dans la liste les lignes concernant Java (J2SE Runtime Environment.... ) et repérables avec cette icône .
  Sélectionner une ligne à la fois et cliquer sur Modifier/ Supprimer.
  Quand il n'y en a plus fermez tout et installez la nouvelle version en cliquant sur le fichier que vous avez téléchargé.
   
  

• Flash Player:
  - Désinstaller[/b][/color] les vieilles versions de Flash Player avec cet utilitaire (en le téléchargeant sur le Bureau.
  - Ensuite, installer la dernière version en cliquant ici. Décocher l'option "McAfee® Security Scan Plus gratuit (en option)" et cliquer sur Télécharger dès maintenant pour lancer le processus d'installation. Patienter jusqu'à la fin et supprimer le fichier "uninstall_flash_player.exe"
  Répéter la 2ème étape pour chacun des navigateurs utilisés (IE, FF...).
   
  
• Firefox: Lancer FF et cliquer sur le ? puis sur "Rechercher des mises à jour...". Suivre les indications. Ou le télécharger depuis ici

 

Rapports demandés:

• OTL.txt

Autre symptômes à vérifier avant de conclure à la prochaine étape?

[John Fitzgerald]

Salut, j'ai donc suivi à la lettre tes instructions et je poste ici le rapport demandé. Dagissant des autres symptômes, je subie toujours des redirections intempestives lors de mes requêtes.

 

 

All processes killed

========== OTL ==========

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Secondary_Page_URL| /E : value set successfully!

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\SearchMigratedDefaultName| /E : value set successfully!

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\SearchMigratedDefaultURL| /E : value set successfully!

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!

Registry value HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\crazyloader@spointer.com deleted successfully.

C:\Program Files\CrazyLoader\spointer\extensions\crazyloader@spointer.com\components folder moved successfully.

C:\Program Files\CrazyLoader\spointer\extensions\crazyloader@spointer.com\chrome\content folder moved successfully.

C:\Program Files\CrazyLoader\spointer\extensions\crazyloader@spointer.com\chrome folder moved successfully.

C:\Program Files\CrazyLoader\spointer\extensions\crazyloader@spointer.com folder moved successfully.

C:\Users\Mss test\AppData\Roaming\Mozilla\Firefox\Profiles\59vvlcoe.default\searchplugins\cherche.xml moved successfully.

Folder C:\PROGRAM FILES\CRAZYLOADER\SPOINTER\EXTENSIONS\CRAZYLOADER@SPOINTER.COM\ not found.

C:\Program Files\mozilla firefox\components\coFFPlgn.dll moved successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\ deleted successfully.

C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\coIEPlg.dll moved successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}\ deleted successfully.

C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll moved successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}\ deleted successfully.

File C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\CoIEPlg.dll not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ccApp deleted successfully.

C:\Program Files\Common Files\Symantec Shared\ccApp.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\isCfgWiz deleted successfully.

C:\Program Files\Common Files\Symantec Shared\OPC\{C86EA115-FACD-4aa8-BFA2-398C677D0936}\SYMCUW.exe moved successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.

Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully.

Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Recovery\ deleted successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\chat-land.org\ deleted successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\localhost\ deleted successfully.

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\GD\\http deleted successfully.

C:\Users\Mss test\Desktop\aswMBR.exe moved successfully.

C:\Program Files\GridinSoft Trojan Killer\updates folder moved successfully.

C:\Program Files\GridinSoft Trojan Killer folder moved successfully.

C:\Users\Mss test\Desktop\RK_Quarantine folder moved successfully.

C:\Users\Public\Desktop\Live-Player.lnk moved successfully.

C:\Users\Mss test\Application Data\Microsoft\Internet Explorer\Quick Launch\Chat-Land site de chat et de rencontre gratuit.URL moved successfully.

ADS C:\Windows\System32\drivers\dkgnuahe.sys:changelist deleted successfully.

========== SERVICES/DRIVERS ==========

========== REGISTRY ==========

========== FILES ==========

< ipconfig /flushdns /c >

Configuration IP de Windows

Cache de r‚solution DNS vid‚.

C:\Users\Mss test\Desktop\cmd.bat deleted successfully.

C:\Users\Mss test\Desktop\cmd.txt deleted successfully.

File\Folder C:\Program Files\GridinSoft Trojan Killer not found.

C:\Program Files\Live-Player\skins folder moved successfully.

C:\Program Files\Live-Player\img folder moved successfully.

C:\Program Files\Live-Player\data folder moved successfully.

C:\Program Files\Live-Player folder moved successfully.

C:\Users\Mss test\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NVQ7ZR1U\java_skyline[1].htm moved successfully.

C:\Users\Mss test\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NVQ7ZR1U\lift[1].htm moved successfully.

C:\Users\Mss test\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NVQ7ZR1U\track[2].htm moved successfully.

File\Folder C:\Users\Mss test\Desktop\RK_Quarantine not found.

C:\Users\Mss test\Downloads\Live-Player_setup.exe moved successfully.

C:\Users\Mss test\Downloads\plugin-vlc.exe moved successfully.

C:\Users\Mss test\Downloads\trojankiller2095-setup.exe moved successfully.

File\Folder C:\*.sqm not found.

File\Folder C:\WINDOWS\System32\*.tmp not found.

File\Folder C:\WINDOWS\*.tmp not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Mss test

->Temp folder emptied: 14663941 bytes

->Temporary Internet Files folder emptied: 10183120656 bytes

->Java cache emptied: 730121 bytes

->FireFox cache emptied: 75507431 bytes

->Google Chrome cache emptied: 1905008 bytes

->Flash cache emptied: 6235289 bytes

 

User: Public

->Temp folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 6341107 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 9 812,00 mb

 

 

[EMPTYFLASH]

 

User: All Users

 

User: Default

 

User: Default User

 

User: Mss test

->Flash cache emptied: 0 bytes

 

User: Public

 

Total Flash Files Cleaned = 0,00 mb

 

C:\Windows\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

OTL by OldTimer - Version 3.2.24.1 log created on 06192011_142957

 

Files\Folders moved on Reboot...

C:\Users\Mss test\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A98C20MO\search[1].htm moved successfully.

C:\Users\Mss test\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\20DGFMHL\ac3[1].htm moved successfully.

C:\Users\Mss test\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\20DGFMHL\MsgrConfig[1].xml moved successfully.

File move failed. C:\Windows\temp\logishrd\LVPrcInj01.dll scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

[lance_yien]

- Avec quel navigateurs ces redirections interviennent-elles: IE seul? FF seul? ou avec les deux?

- As-tu des soucis quelconques pour les antivirus et les mises à jour?

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et t

 

>>> TDSSKiller: Télécharger, sur le Bureau TDSSKiller.zip depuis ici.

Dézipper TDSSKiller.zip (clic-droit dessus => "Extraire ici". Glisser TDSSKiller.zip dans la corbeille pour le supprimer.

• Fermer tout et désactiver antivirus et tout autre programme de protection. Cliquer-droit sur TDSSKiller.exe => "Exécuter en tant qu'administrateur" pour lancer le programme.
   
  
• Cliquer sur le bouton Start Scan et patienter jusqu'à la fin de l'analyse.
   
  
• Si un fichier infecté est détecté, l'action par défaut sera Cure. Cliquer sur le bouton Continue Sans rien changer.
   
  
• Si un fichier suspect est détecté, l'action par défaut sera Skip. Cliquer sur le bouton Continue Sans rien changer.

Si vous êtes invité à redémarre la machine pour finir le processus (reboot the computer to complete the process), cliquez sur le bouton Reboot Now. Le rapport sera sauvegardé à la racine de la partition système, là où Windows est installé (généralement C:\); son format est du type "TDSSKiller.[Version]_[Date]_[Heure]_log.txt" (par exemple, C:\TDSSKiller.2.2.0_20.12.2009_15.31.43_log.txt). Poster son contenu.

Si aucun redémarrage n'est requis, cliquer sur Report. Un fichier texte s'ouvre et sera sauvegardé de la même manière, poster son contenu.

 

Rapports demandés:

• TDSSKiller_log.txt

[John Fitzgerald]

Bonjour, j'essaye désespérement de lancer TDSSkiller malheureusement il ne veut pas s'ouvrir.

Sagissant des redirections, elles s'opèrent sur internet explorer et sur firefox.

[lance_yien]

Essaie de lancer Rkill et TDSSKiller après. Normalement RKill est sur ton Bureau sinon vois mon 1er message pour le télécharger.

[Ostane]

Bonjour

 

Je tiens vraiment à remercier lance_yien car il vient de m'éviter une nuit blanche sur mon pc !

Mon ordinateur a subi les dégâts de Windows Vista Repair et sans ses conseils éclairés je ne sais pas comment j'aurai fait ...

 

Avec un antivirus (G-data), un firewall (Comodo)et le Teat-timer de spybot, comment est-ce possible d'être contaminé aussi rapidement et facilement ???

 

Merci beaucoup !

 

Ostane

[lance_yien]

Bonsoir Ostane,

content pour toi mais je te suggère d'ouvrir un autre topic pour fair vèrifier s'il n'y a pas des restes.