re,
Avez vous les résultats des scan de fichiers chez Virus Total.
>>>>>>> Faites les procédures dans la séquence proposée.
Relancer HijackThis
• Appuyer sur [Do a system scan only],
• Cochez (à gauche) les lignes suivantes (de R0 à 020)
>>> Fermer Internet Explorer et autre fenêtre..
• Appuyer sur [Fix Checked] pour les supprimer.
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll (file missing)
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [msword98] C:\WINDOWS\system32\msword98.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [msword98] C:\Documents and Settings\Propriétaire\msword98.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O15 - Trusted Zone: http//*.mappy.com
O15 - Trusted Zone: http//*.orange.fr
O15 - Trusted Zone: http//rw.search.ke.voila.fr
O15 - Trusted Zone: http//orange.weborama.fr
O20 - AppInit_DLLs: cru629.dat
_________________________________________________________________
Nettoyage des fichiers temporaires, Cookies..
Téléchargez >> CCleaner version Slim << - & - Tutoriel.
• Installer et lancer CCleaner,
• Décochez la mise à jour automatique,
•.Lancez Ccleaner avec l'icône créé sur le bureau,
• Cliquez sur "Option" et --> "Avancé" et Décochez >> Effacer uniquement les fichiers temporaire .. de plus de 48 heures,
• Sélectionnez "Nettoyeur" et cliquez sur --> "Windows", allez à la section "Avancé",
• Et Cochez uniquement la première case "Vieilles données du perfetch",
• Sélectionnez le bouton [Analyse].., lorsque complété,
• Cliquer sur [Nettoyage] aussi souvent..que nécessaire, jusqu’à ce que la fenêtre soit vide.
Lorsque ce nettoyage est complété.
Remettre les options standard, pour une utilisation au quotidien.
• Allez Recocher dans les Options --> Avancé : Effacer uniquement les fichiers temporaire .. de plus de 48 heures
• Et Décocher "Vieilles données du perfetch" dans Nettoyeur -->Windows
Utiliser CCleaner après chaque session sur le net, installation de logiciels et/ou avant de fermer le PC.
_________________________________________________________________
Désinfection avec Malwarebytes
Malwarebytes >> Téléchargement <<,
• Lancez l'installation,
• Dans [Settings] vous pouvez mettre en Français.
• Faites la mise à jours de Malwarebytes.
• Dans [Recherche] sélectionnez [Exécuter un examen Complet],
• Après le scan, appuyer sur >>>>>>>>>> [Supprimer la sélection].
>> Redémarrer si nécessaire..
► Postez le rapport Malwarebytes.
_________________________________________________________________
Outil de détection/suppression de Kaspersky, màj et téléchargeable quotidiennement.
Téléchargement : Kaspersky Virus Removal Tool (39Mo).
• Lancez l’installation,
• Cochez les items tel qu'à l'image suivante..
• Appuyez sur [Scan] pour lancer la détection/suppression.
>> Une 2ième fenêtre va s'ouvrir.
>> la recherche va commencer "+-30min.".
• Vérifiez "après le scan", s'il y avaient des infections d'afficher dans l'onglet Detected.
Lorsque le scan sera complété,
• Appuyez sur [Reports..] (en bas).
• Sauvegardez le rapport de Kaspersky sur votre bureau.
Peut-être aurez vous à valider les "Actions" de suppressions.
_________________________________________________________________
La procédure suivante doit être faite en mode sans échec.
Redémarrer votre PC en >> mode sans échec <<.
Suppression d'infections
• Ouvrer le Bloc-note (Menu Démarrer --> Tout les programmes --> Accessoire,
• Copier/ coller le contenu de la citation suivante dans le Bloc-Note,
• Dans le bloc-note sélectionner Fichier -> Enregistrer sous..
• Sauvegarder le Bloc-Note sous Sup_Inf.Bat (sur le bureau)
• Double-cliquer sur le fichier Sup_Inf.Bat
Citation :
del /F /S /Q "C:\Documents and Settings\Propriétaire\msword98.exe"
del /F /S /Q "C:\WINDOWS\braviax.exe"
del /F /S /Q "C:\WINDOWS\system32\wisdstr.exe"
del /F /S /Q "C:\WINDOWS\system32\braviax.exe"
del /F /S /Q "C:\Documents and Settings\Propriétaire\Application Data\zicene.dll"
del /F /S /Q "C:\Documents and Settings\Propriétaire\Application Data\qaxoda.dll"
del /F /S /Q "C:\Documents and Settings\Propriétaire\Application Data\ynumokivin.com"
del /F /S /Q "C:\Documents and Settings\Propriétaire\Application Data\ydokerer.dll"
del /F /S /Q "C:\Documents and Settings\Propriétaire\Application Data\ysyz.bat"
del /F /S /Q "C:\Documents and Settings\Propriétaire\Application Data\cetetu.com"
del /F /S /Q "C:\Documents and Settings\Propriétaire\Application Data\pisunog.com"
del /F /S /Q "C:\Documents and Settings\Propriétaire\Application Data\utituvenyg.dll"
del /F /S /Q "C:\Documents and Settings\Propriétaire\Application Data\cepacy.bat"
del /F /S /Q "C:\Documents and Settings\Propriétaire\Application Data\sytec.bat"
del /F /S /Q "C:\Documents and Settings\Propriétaire\Application Data\bybasypy.exe"
del /F /S /Q "C:\Documents and Settings\Propriétaire\Application Data\ymywimahu.vbs"
del /F /S /Q "C:\WINDOWS\unin040c.exe"
del /F /S /Q "C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\catchme.sys"
sc stop SeaPort
sc delete seaport
MsiExec.exe /X {4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}
Rmdir /S /Q "C:\Program Files\Microsoft\Search Enhancement Pack"
sc stop gupdate1c9e6bf8141137c
sc config gupdate1c9e6bf8141137c start= demand
sc stop "Google Software Updater"
sc config "Google Software Updater" start= demand
MkDir C:\Documents and Settings\Propriétaire\bureau\A_Scaner
move /y C:\WINDOWS\system32\enip.com "C:\Documents and Settings\Propriétaire\bureau\A_Scaner"
move /y C:\WINDOWS\system32\apel.com "C:\Documents and Settings\Propriétaire\bureau\A_Scaner"
|
Un répertoire (A_Scanner) devrait avoir été créé sur votre bureau.
Si les fichiers (apel.com et enip.com) n'ont pas été supprimés par Malwarebytes ou Kaspersky.
Ce répertoire contiendra ces fichiers à scanner "avec une 30aines d'antivirus" chez Virus Total.
_________________________________________________________________
• Désactivez et réactivez la >> Restauration du système <<, pour la purger.
_________________________________________________________________
• Relancez Rist
► Et ne postez que le rapport log.txt (soit l'adresse http//.... de C-Joint).
Message édité par mido70 le 17-08-2009 à 13:22:56