[Résolu] Mon PC démarre en boucle – infections tenaces

[Sophie123]

Bonjour Apollo,

Voilà qui est fait, étape 2 exécutée pour la clé USB. J'en profite pour applaudir les créateurs de toutes les petites merveilles que tu m'as déjà fait utiliser pour désinfecter mes appareils
UsbFix a réussi à déloger une fichue crasse : HKCU\Software\VB and VBA Program Settings !
Ca me bouffait mes accents circonflexes ! Jamais vu ça !

Je reçois régulièrement des mails pouvant contenir des pièces jointes ou des mails publicitaires ou des messages forwardés d'amis. Je pense d'ailleurs que c'est par l'un d'eux, type Carrefour, que mon PC a été infecté. Y-aurait-il un analyseur/désinfectant de messagerie ? Même raisons que dans mon avant dernier message.

Pour les publicités Google et cie qui s'affichent, tu conseilles quoi ? J'avais installé Adblock Plus, mais je trouve encore de la pub. Ca peut aussi contaminer, alors je préfère te demander avant.

Merci pour tous tes conseils qui sont d'une grande utilité !

[Apollo]

 

Je reçois régulièrement des mails pouvant contenir des pièces jointes ou des mails publicitaires ou des messages forwardés d'amis

 

Je n'ouvre jamais de pièce jointe même de mes amis, j'enregistre et analyse avant. Ne jamais ouvrir directement de PJ depuis un email!

 

Les mails infectés sont sans doute envoyés à l'insu des amis en question; il est plus que probable que leur ordi soit infecté; il est dès lors nécessaire pour eux de faire analyser leurs machines sur les forums de désinfection.

 

Pour un antispam, tu trouveras ça dans ma signature.

 

Si ton antivirus ne surveille pas mieux que ça ta messagerie, c'est que c'est une patate...

 

Protéger son pc gratuitement

 

Perso, j'utilise Kaspersky Internet Security depuis de nombreuses années et je ne suis jamais infecté, mais je ne fais pas n'importe quoi non plus sur le net; toute bonne solution de sécurité ne garantit rien si l'on a un comportement à risque dans son surf. (cracks etc.)

 

Si une pièce jointe est infectée, Kasper la mange toute crue. Si je "tombe" sur une page piégée, la réaction de KIS est fulgurante: page bloquée par l'antibannière , l'examinateur de liens ou le firewall

 

Je vais te donner un lien reprenant plusieurs adresses vers des solutions de sécurité les plus sérieuses... si je retrouve le topic dans mon capharnaüm de forum

 

@++

[Apollo]

Pas retrouvé

 

J'en ai fait un autre que voilà (pas encore complet).

 

http://theknitter-apollo.xooit.com/p21775.htm

 

++

[Sophie123]

Merci Apollo, je vais lire attentivement ce que tu as eu la gentillesse de chercher !

La version gratuite AVIRA permet de détecter les problèmes installés, mais je pense qu'il faut passer à la version payante pour avoir une protection complète.

Il vient encore de me signaler :

Fin de la recherche: lundi 10 février 2014 13:44

Début de la désinfection:

C:\System Volume Information\_restore{52C1ECE3-D4A7-4B79-8C0D-C1650C24301B}\RP642\A0083352.exe

[RESULTAT] Contient le cheval de Troie TR/Trash.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '54146d9d.qua'!


Et à 14:06

Le fichier 'C:\System Volume Information\_restore{52C1ECE3-D4A7-4B79-8C0D-C1650C24301B}\RP642\A0083357.exe'

contenait un virus ou un programme indésirable 'TR/Trash.Gen' [trojan].

Action(s) exécutée(s) :

Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '54146a85.qua'!

J'ai pourtant enlevé les points de restauration hier...
Tout le reste est sous quarantaine, isolé.

[Apollo]

 

Pour les publicités Google et cie qui s'affichent, tu conseilles quoi ? J'avais installé Adblock Plus

 

En gratis, c'est ce qu'il y a de mieux comme anti bannière mais évidemment, cela ne peut pas être aussi bien configuré ni aussi efficace qu'un anti bannière inclus dans les suites payantes (ce qu'avira et avast, même payants n'ont pas!)

 

1)

Télécharger SFTGC.exe sur le Bureau >>>> il ne peut pas être ailleurs! L'y déplacer si nécessaire.

Ferme tes applications, navigateurs.

Sous XP, double cliquer sur le fichier.

Sous les autres versions de Windows, clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

Un rapport va s'ouvrir à la fin.

Ce rapport est sur le bureau (SFTGC.txt)

Héberger sur http://cjoint.com pour ne pas planter le sujet. ou http://dl.free.fr/

 

-----------------------------

2)

ESET ONLINE SCANNER

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce logo:

http://download.eset.com/special/eos/esetsmartinstaller_enu.exe

• Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
• Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
• Une fois le scanner installé, configure-le en cochant la case "Remove found threats" et en cochant la case "Scan archives" de même que la case "scan for the potentially unsafe applications."

   

   

• Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
• Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":

   

   

• Une nouvelle fenêtre apparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
• Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"

   

   

• Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
• Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse

 

Nota : ce scan peut être très long et prendre plusieurs heures.

 

 

Note: Avira réagira encore pendant ce scan; j'ai déjà remarqué qu'il réagit lorsqu'un autre que lui trouve et élimine ce que lui n'est pas capable de faire.

 

ESET devrait trouver la source de ces répétitions d'alertes d'antivir et l'éliminer.

 

@++

Modifié le 10 février 2014 par Apollo

[Apollo]

http://theknitter-apollo.xooit.com/p21776.htm

 

Exemple de page très utilisée en désinfection.

 

Avec ou sans anti bannière efficace.

[Sophie123]

1) http://cjoint.com/?3BkpEyVNDNS

J'ai entre-temps installé KeyScrambler

[Sophie123]

Nouveau rapport. Que d'infections !! Sacrée bonne idée que tu as eue en me conseillant cette analyse


C:\Documents and Settings\Sophie\Mes documents\Downloads\debutsetup.exe a variant of Win32/Bundled.Toolbar.Google.C potentially unsafe application deleted - quarantined

C:\Program Files\Avira\AntiVir Desktop\apnic.dll a variant of Win32/Bundled.Toolbar.Ask potentially unsafe application deleted - quarantined

C:\Program Files\Avira\AntiVir Desktop\apntoolbarinstaller.exe a variant of Win32/Bundled.Toolbar.Ask potentially unsafe application deleted - quarantined

C:\Program Files\Avira\AntiVir Desktop\Offercast_AVIRAV7_.exe a variant of Win32/Bundled.Toolbar.Ask.D potentially unsafe application deleted - quarantined

C:\Program Files\NCH Software\Debut\debut.exe a variant of Win32/Bundled.Toolbar.Google.C potentially unsafe application deleted - quarantined

C:\Program Files\NCH Software\Debut\debutsetup_v1.88.exe a variant of Win32/Bundled.Toolbar.Google.C potentially unsafe application deleted - quarantined

C:\Program Files\NCH Software\ExpressBurn\expressburn.exe probably a variant of Win32/Bundled.Toolbar.Google.C potentially unsafe application deleted - quarantined

C:\Program Files\NCH Software\ExpressBurn\expressburnsetup_v4.69.exe probably a variant of Win32/Bundled.Toolbar.Google.C potentially unsafe application deleted - quarantined

C:\Program Files\NCH Software\MixPad\mixpad.exe a variant of Win32/Bundled.Toolbar.Google.C potentially unsafe application deleted - quarantined

C:\Program Files\NCH Software\MixPad\mixpadsetup_v3.41.exe a variant of Win32/Bundled.Toolbar.Google.C potentially unsafe application deleted - quarantined

C:\Program Files\NCH Software\Prism\prism.exe a variant of Win32/Bundled.Toolbar.Google.C potentially unsafe application deleted - quarantined

C:\Program Files\NCH Software\Prism\prismsetup_v2.04.exe a variant of Win32/Bundled.Toolbar.Google.C potentially unsafe application deleted - quarantined

C:\Program Files\NCH Software\WavePad\wavepad.exe a variant of Win32/Bundled.Toolbar.Google.C potentially unsafe application deleted - quarantined

C:\Program Files\NCH Software\WavePad\wavepadsetup_v5.57.exe a variant of Win32/Bundled.Toolbar.Google.C potentially unsafe application deleted - quarantined

C:\System Volume Information\_restore{52C1ECE3-D4A7-4B79-8C0D-C1650C24301B}\RP631\A0080689.exe a variant of Win32/Injector.Autoit.ACB trojan cleaned by deleting - quarantined

C:\System Volume Information\_restore{52C1ECE3-D4A7-4B79-8C0D-C1650C24301B}\RP631\A0080691.exe a variant of Win32/Injector.Autoit.ACB trojan cleaned by deleting - quarantined

C:\System Volume Information\_restore{52C1ECE3-D4A7-4B79-8C0D-C1650C24301B}\RP633\A0081017.exe a variant of Win32/Injector.Autoit.ACB trojan cleaned by deleting - quarantined

C:\System Volume Information\_restore{52C1ECE3-D4A7-4B79-8C0D-C1650C24301B}\RP633\A0081018.exe a variant of Win32/Injector.Autoit.ACB trojan cleaned by deleting - quarantined

C:\System Volume Information\_restore{52C1ECE3-D4A7-4B79-8C0D-C1650C24301B}\RP637\A0081135.exe a variant of Win32/Injector.Autoit.ACB trojan cleaned by deleting - quarantined

C:\System Volume Information\_restore{52C1ECE3-D4A7-4B79-8C0D-C1650C24301B}\RP637\A0081137.exe a variant of Win32/Injector.Autoit.ACB trojan cleaned by deleting - quarantined

C:\System Volume Information\_restore{52C1ECE3-D4A7-4B79-8C0D-C1650C24301B}\RP638\A0081180.exe a variant of Win32/Injector.Autoit.ACB trojan cleaned by deleting - quarantined

C:\System Volume Information\_restore{52C1ECE3-D4A7-4B79-8C0D-C1650C24301B}\RP638\A0081182.exe a variant of Win32/Injector.Autoit.ACB trojan cleaned by deleting - quarantined

C:\System Volume Information\_restore{52C1ECE3-D4A7-4B79-8C0D-C1650C24301B}\RP640\A0081277.exe a variant of Win32/Injector.Autoit.ACB trojan cleaned by deleting - quarantined

C:\System Volume Information\_restore{52C1ECE3-D4A7-4B79-8C0D-C1650C24301B}\RP640\A0081279.exe a variant of Win32/Injector.Autoit.ACB trojan cleaned by deleting - quarantined

C:\System Volume Information\_restore{52C1ECE3-D4A7-4B79-8C0D-C1650C24301B}\RP640\A0081280.exe a variant of Win32/Injector.Autoit.ACB trojan cleaned by deleting - quarantined

C:\System Volume Information\_restore{52C1ECE3-D4A7-4B79-8C0D-C1650C24301B}\RP641\A0082277.exe a variant of Win32/Injector.Autoit.ACB trojan cleaned by deleting - quarantined

C:\System Volume Information\_restore{52C1ECE3-D4A7-4B79-8C0D-C1650C24301B}\RP641\A0083277.exe a variant of Win32/Injector.Autoit.ACB trojan cleaned by deleting - quarantined

D:\PDF-XChange_Viewer_2_8334.zip a variant of Win32/Bundled.Toolbar.Ask potentially unsafe application deleted - quarantined

[Apollo]

Il te faudra changer d'antivirus car Eset a viré la toolbar qu'Antivir installe (Ask) dans sa version gratuite, ce qui est scandaleux pour un antivirus.

 

Perso, je considère Ask Toolbar comme un malware car ce machin perturbe le bon fonctionnement d'un navigateur.

 

Ask éliminé dans antivir et tu n'as plus de Webguard; installe Microsoft Security Essential (MSE) qui le vaut bien.

 

Si tu installes un autre AV, Antivir doit être désinstallé avant.

 

http://windows.microsoft.com/fr-fr/windows/security-essentials-download

 

NB: lorsque tu utiliseras Windows 8, celui-ci dispose déjà d'un antivirus et d'un firewall (Windows Defender); un logiciel tiers est donc superflu.

 

@++

Modifié le 10 février 2014 par Apollo

[Sophie123]

Je fais pourtant très attention pour justement ne pas avoir de toolbar à l'installation. Là qu'un antivirus en installe une, c'est très nul ! Je n'ai pas relancé mon PC, mais Avira m'a l'air toujours actif car je le vois comme d'habitude et peux l'ouvrir...
Je t'ai écouté et ai téléchargé M.S.E. Je ne m'en suis encore jamais servi.

Je suis estomaquée de voir tous les cafards qui polluaient mon PC. J'utilise pourtant ATF-Cleaner (free) chaque fois que j'ai terminé ma session...

Comme le contenu de mon PC a été transféré sur le nouvel ordi Windows 8, je devrai tout analyser avant de l'utiliser vraiment.

Pour analyser totalement Outlook Express et Thunderbird sur lequel j'ai transféré mes mails, tu conseilles plutôt Kaspersky Internet Security, même dans sa version gratuite ?

Merci pour toutes tes réponses