Procédure suivie. Demande d'analyse

jca06 · le 20 janvier 2006

Bonjour le forum, bonjour Charles Ingals,

Voici le nouveau rapport après scan chez Panda :

Je t'ai noté hier que j'avais installé KillApp, mais c'est en fait KillBox, en espérant que ce soit la même chose.

A plus et merci !

Incident Statut Analyse

Dialer:dialer.bqw No Désinfecté HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\CONC

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\jgxygyst.default\Cache\633285D9d01[Process.exe]

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\jgxygyst.default\cookies.txt[]

Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\proprié[email protected][1].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@doubleclick[1].txt

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@tradedoubler[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Propriétaire\Cookies\propriétaire@xiti[1].txt

Outil indésirable:Application/HideWindow.A No Désinfecté C:\hp\bin\FondleWindow.exe

Outil indésirable:Application/KillApp.B No Désinfecté C:\hp\bin\KillIt.exe

Outil indésirable:Application/KillApp.A No Désinfecté C:\hp\bin\Terminator.exe

Adware:Adware/IST.ISTBar No Désinfecté C:\RECYCLER\S-1-5-21-4192658861-2993199077-2014635832-1003\Dc1.zip[jcq.exe]

Hacktool:HackTool/OptixPatch No Désinfecté I:\Recycled\Di1.zip[CRACK.EXE]

Outil indésirable:Application/Processor No Désinfecté I:\Incoming\Programmes\SmitfraudFix\Process.exe

Thanos · le 20 janvier 2006

Oui c'est killox! , donc de ce coté pas de soucis! Pour ce qui est de " Process.exe " c'est smitfraudfix ,pas de souci non plus.

-N'oublie pas de vider la poubelle!

J'ignore pourquoi, mais le fichier reg n'a pas fonctionné! On va virer la clé manuellement!

-Passe par les menus Démarrer > Exécuter >et tape regedit dans la fenêtre.

-Tu vas naviguer jusqu'à la clé suivante en cliquant à chaque fois sur le signe [+] (à gauche)

=> HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN

- On va exporter la sous clé MAIN par prudence:

* clique avec le bouton droit de ta souris sur cette clé et clique sur Exporter dans le menu qui s'affiche.
* Dans la fenêtre qui s'ouvre,choisis le dossier ou tu vas sauvegarder cette clé :dans Mes Documents par exemple.
* Dans le champs "Nom du fichier" (en bas de page) , donne un nom à la clé que tu sauvegardes : MAIN par exemple.
* Clique sur le bouton Enregistrer

- Pour supprimer la valeur infectée:

* Clique une fois de plus sur le signe [+] pour accéder à la sous clé suivante: CONC
* clique avec le bouton droit de ta souris sur cette clé et sélectionne "Supprimer" puis valide.
*Quitte le registre.

On va faire un petit nettoyage de ta base de registre à présent:

-Télécharge jv16:

http://telechargement.zebulon.fr/201-jv16-powertools.html

- Mets le logiciel en français : Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Clique sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis

va en bas à droite et supprime.Tu peux virer toutes les entrées en vert.

-Si ca ne fonctionne pas du premier coup,recommence!

-Redémarre le pc pour que les modifications soient prises en compte,et un dernier scan chez Panda

jca06 · le 20 janvier 2006

Bonjour Charles Ingals,

Pour le fichier reg, je pense avoir bien suivi la procédure...

Pour tes nouvelles instructions, faut-il le faire en mode sans échec ?

Je languis de rentrer à la maison pour essayer ça !

A plus

Thanos · le 20 janvier 2006

J'ai pas compris, je viens de poster et un message m'avertit que le forum va fermer quelques minutes

Je te remet ce que j'ai écris: oui fais la manip en mode sans échec, je crains qu'en mode normal; un résident tel que "RECGUARD.EXE" risque d'empêcher la manipuation de la base de registre!

N'oublie pas que pour modifier la bdr, il faut avoir les droits administrateur!

A ce soir

Modifié le 20 janvier 2006 par charles ingals

jca06 · le 20 janvier 2006

Ok, j'ai donc récupéré ton message et jv16 sur ma clé USB.

Par contre, qu'entends-tu pour jv16 par "Si ca ne fonctionne pas du premier coup,recommence!" ?

D'autre part, j'ai Ad-aware mais je ne l'ai pas fait tourner depuis longtemps. Est-ce à utiliser ou cela n'apporte rien ?

Thanos · le 20 janvier 2006

Il arrive parfois que l'élimination des clés intuiles ne fonctionne pas du premier coup! donc il faut sortir du programme,le relancer et refaire la manip!

Ad-aware est un bon antispyware; conserve le ! Il faut que la fonction résidente soit activée pour pouvoir bénéficier de sa protection: ne l'ayant pas utilisé depuis un certain temps, il faut le mettre à jour(profite en pour scanner ton pc!)Pour paramétrer ce logiciel , un lien ici=>

Son tuto

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

jca06 · le 20 janvier 2006

Bonsoir Charles Ingals,

J'ai fais comme tu m'as dit et j'ai lancé 3 fois jv16. A la 3ème il n'y avait plus rien.

Je vais bientôt partir en week-end et le scan ne sera pas terminé.

Néanmoins, après environs 30 % d'analyse, je vois déjà affiché 5 logiciels espions et 4 outils de piratage ou indésirable mais pas de numérateur pour le moment...

Dis-moi si cela change quelque chose...

Bon, je dois y aller, la suite dimanche soir...

Merci beaucoup pour ton aide, et bon week-end !

Voici le rapport partiel :