virus Infostealer gampass comment le supprimer??

virus Infostealer gampass comment le supprimer?? - Virus/Spywares - Windows & Software

Marsh Posté le 14-07-2009 à 17:48:45    

Bonjour, :hello:  
 
Mon antivirus norton a détecté le virus infostealer gampass sur mon ordi.
Impossible de le supprimer ou de le mettre en quarantaine.
Quelqu'un at-il une solution pour l'éradiquer? Existe-t-il un patch ?
Merci d'avance !! :jap:

Reply

Marsh Posté le 14-07-2009 à 17:48:45   

Reply

Marsh Posté le 15-07-2009 à 02:25:49    

Bonsoir Magmong,
 
 
Utilise ce logiciel de diagnostic stp :
 
• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.  
• Clique sur ' continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : ne les poste pas directement ici (une règle de ce forum l'interdit...) ! A la place, suis ce tuto pour héberger le rapport ailleurs et poste le lien qui est donné stp.
 
Tutoriel illustré pour t'aider à utiliser RSIT : http://forum-aide-contre-virus.be/tutoriel_RSIT.html

Reply

Marsh Posté le 15-07-2009 à 15:32:53    

Salut Anthony5151,
 
Merci d'abord pour ces explications bien claires car j'y connais pas grand chose en informatique mais tes liens m'ont bien tout expliqué : nickel !!
 
Voici donc le lien des 2 rapports demandés
 
http://www.toofiles.com/fr/oip/doc [...] 9_log.html
 
Je te précise que bizarrement norton situe mon virus sous D lorsque le cd d'installation "drivers and utilities" est dedans, c'est possible que le virus ai pu s'installer sur un cd non gravable? ou bien il est dans le lecteur D ??? enfin bref, tu vois que j'y comprend rien...
 
Merci de ton aide en tous cas.

Reply

Marsh Posté le 15-07-2009 à 20:11:11    

Re,
 
 
Il y a plusieurs infections sur ton ordinateur :
 
 
1) Il y a une infection Navipromo, qui affiche des publicités intempestives, et qui s'est installée via des programmes "gratuits", dont ceux-ci :
 
 • Funky Emoticons
 • Games Attack  
 • go-astro
 • GoRecord
 • HotTVPlayer / HotTVPlayer & Paris Hilton
 • Live-Player
 • MailSkinner
 • Messenger Skinner
 • Instant Access
 • InternetGameBox
 • Officiale Emule (Version d'Emule modifiée)
 • Original-solitaire  
 • SuperSexPlayer  
 • Speed Downloading  
 • Sudoplanet
 • Webmediaplayer
 
 
• Télécharge Navilog1 (créé par IL-MAFIOSO) sur ton Bureau.
• Lance Navilog depuis le raccourci présent sur le Bureau
• Au menu principal, fais le choix 1 (Recherche / Désinfection automatique)
• Si des éléments indésirables sont trouvés, navilog fera redémarrer l'ordinateur. Patiente alors jusqu'au message «Scan terminé le...»
• A la fin, le rapport (C:\cleannavi.txt) va s'ouvrir dans le bloc-notes, poste le dans ta prochaine réponse stp.
 
 
 
2) Il y a une barre d'outil néfaste sur ton ordinateur (ShoppingReport)... Pour éviter ce genre d'infection, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !
 
• Télécharge Toolbar-S&D (de la team IDN) sur ton Bureau.
• Lance l'installation du programme en exécutant le fichier téléchargé.  
• Double-clique maintenant sur le raccourci de Toolbar-S&D.  
• Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.  
• Choisis directement l'option 2 (Suppression). Patiente jusqu'à la fin de la recherche.  
• Poste le rapport généré (C:\TB.txt)
 
 
 
Note : Poste les rapports en utilisant ToolFiles, comme tu l'as fait pour les rapports RSIT stp


Message édité par Profil supprimé le 15-07-2009 à 20:11:59
Reply

Marsh Posté le 16-07-2009 à 20:41:19    

Salut Anthony,
 
Je viens de procéder à toutes ces étapes et voici les 2 rapports qu'il en ressort :
 
http://www.toofiles.com/fr/oip/doc [...] nnavi.html
 
et  
 
http://www.toofiles.com/fr/oip/documents/txt/tb.html
 
 
Voilà, pas de soucis particulier sauf le logiciel Deepburner (registration)que j'ai eu beaucoup de mal à fermer...!!
 
Tu penses que mon ordi est tout nickel maintenant???
Merci de ton aide en tous cas.

Reply

Marsh Posté le 17-07-2009 à 03:55:11    

Ca fait deux infections en moins ;)
 
Attention avec les cracks, c'est un important vecteur d'infection (plus d'infos ici). C'est d'autant plus dommage qu'il existe des alternatives gratuites à WinRAR (7Zip, ALZip...) et à DeepBurner Pro (la version gratuite de DeepBurner, CDBurnerXP...)
 
 
On va vérifier qu'il n'y a pas d'infection de disque amovible :
 
Télécharge FindyKill (de Chiquitine29 et C_XX) sur ton Bureau
• Lance l'installation avec les paramètres par défaut
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
• Double clique sur le raccourci FindyKill sur ton Bureau
• Au menu principal, choisis l'option 2 (Suppression)
• Ton Bureau va disparaitre, puis l'ordinateur va redémarrer --> c'est normal
• Laisse travailler l'outil jusqu'au bout
• A la fin, le rapport va s'afficher --> poste le dans ta prochaine réponse stp
 
 
Ensuite, fais ce scan généraliste stp :
 
• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

Reply

Marsh Posté le 18-07-2009 à 10:17:06    

salut,
 
Je n'ai fait que la 2ème étape car je n'ai pas de clé usb ou disque dur externe etc...
Voici le rapport : http://www.toofiles.com/fr/oip/doc [...] 08-21.html
 
Apparemment il a détecté d'autres infections....ggrrrr!!!
 
Merci à toi.

Reply

Marsh Posté le 18-07-2009 à 14:33:52    

Tu n'as aucun appareil de stockage externe que tu branches en USB (appareil photo numérique, camescope, téléphone portable ?)
Dans tous les cas, il faut quand même utiliser l'outil, car ce type d'infection a pu infecter ton ordinateur, même si tu n'as pas de disques amovibles (soit par une autre infection, soit avec la clé USB de quelqu'un d'autre...)
 
Par contre le lien a changé, c'est maintenant USBFix
 
Ensuite, tu peux supprimer ce dossier manuellement : C:\Program Files\Secure PC Solutions
 
Enfin, poste un nouveau rapport RSIT stp
Norton détecte-t-il encore quelque chose ?

Reply

Marsh Posté le 18-07-2009 à 17:37:50    

Bon, j'ai trouvé 1 clé usb et branché 1 webcam + mis ma carte photo dans le lecteur de carte intégré, cela donne :
 
http://www.toofiles.com/fr/oip/doc [...] sbfix.html
 
Ensuite, voici le 2ème rapport RSIT :
 
http://www.toofiles.com/fr/oip/doc [...] final.html
 
Ce matin j'ai lancé 1 scan sur norton , il n'a trouvé aucune infection.
 
Tu crois que c'est bon?
 
Merci.

Reply

Marsh Posté le 18-07-2009 à 23:36:56    

Non ce n'est pas encore tout à fait terminé (je te le dirai quand ce sera le cas ;) ).
 
Il faudrait que tu fasses analyser un fichier stp :
 
• Rends toi sur le site http://www.virustotal.com/fr/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : C:\WINDOWS\system32\fcachdll32.dll
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.
 
Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.

Reply

Marsh Posté le 18-07-2009 à 23:36:56   

Reply

Marsh Posté le 19-07-2009 à 16:04:02    

Voilou :
 
Fichier fcachdll32.dll reçu le 2009.07.19 14:06:06 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE  
 
 
Résultat: 20/40 (50%)
en train de charger les informations du serveur...  
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 50 et 71 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.  
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.  
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.  
 Formaté Impression des résultats  Votre fichier a expiré ou n'existe pas.  
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.  Email:  
   
 
Antivirus Version Dernière mise à jour Résultat  
a-squared 4.5.0.24 2009.07.19 Trojan.Crypt!IK  
AhnLab-V3 5.0.0.2 2009.07.19 -  
AntiVir 7.9.0.220 2009.07.17 TR/Hijacker.Gen  
Antiy-AVL 2.0.3.7 2009.07.17 -  
Authentium 5.1.2.4 2009.07.19 W32/Agent.AK.gen!Eldorado  
Avast 4.8.1335.0 2009.07.19 Win32:Agent-AATD  
AVG 8.5.0.387 2009.07.19 Downloader.Small.60.AO  
BitDefender 7.2 2009.07.19 DeepScan:Generic.Clicker.Lobgal.793E1730  
CAT-QuickHeal 10.00 2009.07.17 -  
ClamAV 0.94.1 2009.07.19 -  
Comodo 1702 2009.07.19 -  
DrWeb 5.0.0.12182 2009.07.19 -  
eSafe 7.0.17.0 2009.07.16 Suspicious File  
eTrust-Vet 31.6.6623 2009.07.18 -  
F-Prot 4.4.4.56 2009.07.19 W32/Agent.AK.gen!Eldorado  
F-Secure 8.0.14470.0 2009.07.19 Trojan.Win32.Agent.dwg  
Fortinet 3.120.0.0 2009.07.19 W32/Agent.ATD!tr  
GData 19 2009.07.19 DeepScan:Generic.Clicker.Lobgal.793E1730  
Ikarus T3.1.1.64.0 2009.07.19 Trojan.Crypt  
Jiangmin 11.0.800 2009.07.19 -  
K7AntiVirus 7.10.796 2009.07.18 -  
Kaspersky 7.0.0.125 2009.07.19 Trojan.Win32.Agent.dwg  
McAfee 5680 2009.07.18 -  
McAfee+Artemis 5680 2009.07.18 -  
McAfee-GW-Edition 6.8.5 2009.07.19 Trojan.Hijacker.Gen  
Microsoft 1.4803 2009.07.19 TrojanProxy:Win32/Dorando.gen!A  
NOD32 4258 2009.07.19 probably a variant of Win32/Agent.OQE  
Norman 6.01.09 2009.07.17 Conficker.HC  
nProtect 2009.1.8.0 2009.07.19 -  
Panda 10.0.0.14 2009.07.19 -  
Prevx 3.0 2009.07.19 -  
Rising 21.38.62.00 2009.07.19 -  
Sophos 4.43.0 2009.07.19 Troj/AgenBS-Fam  
Sunbelt 3.2.1858.2 2009.07.18 -  
Symantec 1.4.4.12 2009.07.19 -  
TheHacker 6.3.4.3.370 2009.07.17 -  
TrendMicro 8.950.0.1094 2009.07.18 -  
VBA32 3.12.10.8 2009.07.19 BScope.Trojan-Proxy.Glukelira.1  
ViRobot 2009.7.17.1841 2009.07.17 -  
VirusBuster 4.6.5.0 2009.07.16 Trojan.Global.Gen  
Information additionnelle  
File size: 8704 bytes  
MD5...: 0a34ea5a92edb25aef75f3c1f26cdcf4  
SHA1..: 7b60235ed2d7c6572363a99a55b1a837a3386cab  
SHA256: cfbe8c4b4355826ba4ad79b02502cf3d794052150c3a0bb4a3e0599375eb66c9  
ssdeep: 192:eIVQlLnpxG5Siszv6/6JcXmNUt1p5hQWzW:sNxviszSSCXmNa1aWzW
 
PEiD..: -  
TrID..: File type identification
Win64 Executable Generic (52.5%)
UPX compressed Win32 Executable (18.7%)
Win32 EXE Yoda's Crypter (16.3%)
Win32 Executable Generic (5.2%)
Win32 Dynamic Link Library (generic) (4.6%)  
PEInfo: PE Structure information
 
( base data )
entrypointaddress.: 0x9620
timedatestamp.....: 0x4732a467 (Thu Nov 08 05:53:43 2007)
machinetype.......: 0x14c (I386)
 
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x7000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x8000 0x2000 0x1800 7.84 777b5986516ce967bb035d974ad839a3
.rsrc 0xa000 0x1000 0x600 2.62 2ec59df132f16607e3dfa1939d14d39b
 
( 1 imports )  
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
 
( 1 exports )  
ocel
 
PDFiD.: -  
RDS...: NSRL Reference Data Set
-  
packers (F-Prot): UPX  
 
 
A +++

Reply

Marsh Posté le 19-07-2009 à 16:34:37    

Bon, ce fichier semble lui aussi néfaste...
 
 
/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.
 
 
/!\ Désactive tous tes logiciels de protection /!\
 
• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Fais un clic-droit sur ComboFix.exe et choisis "Exécuter en temps qu'administrateur".
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
 
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix

Reply

Marsh Posté le 19-07-2009 à 19:53:40    

Ok, manip effectuée, voici le lien du rapport :
 
http://www.toofiles.com/fr/oip/doc [...] pport.html
 
Merci encore et bonne soirée à toi.

Reply

Marsh Posté le 19-07-2009 à 22:54:52    

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour magmong, il n'est pas transposable sur un autre ordinateur !
 
• Télécharge ce dossier magmong.zip
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination  
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.  
 
• Désactive tes logiciels de protection  
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien)
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.  
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt  
 
 
 
Ensuite, j'aurai besoin d'un rapport hijackthis pour pouvoir te donner les derniers conseils de sécurité.
Lance hijackthis (RSIT l'a installé ici C:\Program Files\Trend Micro\HijackThis\MagDav.exe)
Clique sur "Do a system scan and save a logfile"
Poste le contenu du rapport.

Reply

Marsh Posté le 20-07-2009 à 07:45:01    

Je ferai la manip ce soir mais comme une nouille j'ai supprimé combofix.exe car je m'étais dit que ça craint si quelqu'un cliquait dessus par erreur !!...et comme j'arrivais pas à le déplacer de mon bureau...
Je le retéléchargerai ce soir mais ça fera le même résultat ou faut-il relancer un scan ??? par contre j'ai gardé le rapport enregistré.
Désolée pour cette "nouillerie"!!!

Reply

Marsh Posté le 20-07-2009 à 12:44:15    

Re,
 
Du moment que Combofix.exe est sur le Bureau (même si ce n'est plus la même version qu'au début), tu peux lancer le script ;)
Il n'y a pas besoin de refaire un scan avant

Reply

Marsh Posté le 20-07-2009 à 19:06:02    

Ok , voici les résultats :
 
http://www.toofiles.com/fr/oip/doc [...] rtbis.html
 
et le rapport hijackthis :
 
http://www.toofiles.com/fr/oip/doc [...] kthis.html
 
Merci Anthony.

Reply

Marsh Posté le 21-07-2009 à 00:30:29    

Je suis désolé, j'ai oublié un élément à supprimer dans le script... On va le supprimer avec un programme spécialisé, ce sera plus simple.
On va donc devoir faire une dernière manipulation avant que je puisse te donner les derniers conseils de sécurité ;)
 
 
● Désactive ton antivirus, car il risque de faire de fausses alertes sur le programme suivant.
● Télécharge Ad-Remover (de C_XX) sur ton Bureau.
/!\ Déconnecte toi et ferme toutes les applications en cours /!\
● Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )  
● Clique sur le raccourci pour le lancer
● Au menu principal choisis l'option "L" (lancer le nettoyage)
● Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report.log)  
 
Aide en images : Installation
Aide en images : Nettoyage


Message édité par Profil supprimé le 21-07-2009 à 00:31:48
Reply

Marsh Posté le 21-07-2009 à 20:15:37    

Et voilou !!
 
http://www.toofiles.com/fr/oip/doc [...] clean.html
 
Si j'ai bien compris c'était certainement la dernière manip...??
Bon, j'attend ton verdict, merci !!!!

Reply

Marsh Posté le 22-07-2009 à 15:53:38    

Ok, à l'avenir évite de réinstaller SweetIM, et fais attention aux logiciels de jeux de poker que tu utilises, certains sont néfastes (Ad-Remover en a supprimé)
 
Poste un dernier rapport hijackthis stp, et ensuite je te donnerai des conseils pour sécuriser ton ordinateur ;)

Reply

Marsh Posté le 22-07-2009 à 18:09:27    

Ok, voici le rapport hijackthis :
 
http://www.toofiles.com/fr/oip/doc [...] this3.html
 
D'accord avec toi pour les logiciels de jeu...je ferai passer le message à qui de droit !!
Merci Anthony.

Reply

Marsh Posté le 23-07-2009 à 15:31:05    

Ton ordinateur n'est plus infecté ;)
 
Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;)  Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (7).
 
 
 
1) Les barres d'outils
 
Souvent installées avec d'autres logiciels sans que l'utilisateur y fasse attention, les barres d'outils se multiplient sur les ordinateurs et ont deux résultats : ralentir les ordinateurs et provoquer des bugs des navigateurs.
Je te conseille de désinstaller les tiennes, tu en as 3 !  (barre d'outil Windows Live, Yahoo, Secured_eMule).
Pour ça, ferme ton navigateur, puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle la Yahoo Toolbar, la Secured_eMule Toolbar et la Windows Live Toolbar.
 
 
 
2) Sécurise ton ordinateur
 
Anti-virus :
Norton est lourd, cher, et malgré tout inefficace ! Je te conseille vivement de le supprimer et d’utiliser un antivirus plus efficace (Antivir, Kaspersky...). Il en existe des gratuits qui sont excellents aussi (Antivir ou AVG).
Pour supprimer Norton : Vide la quarantaine, puis désactive la protection résidente. Ensuite, clique sur Menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> désinstalle tous les produits Norton et Symantec. Puis, utilise ceci pour supprimer les traces : Outil de désinstallation Norton
 
Si tu choisis Antivir gratuit, télécharge le ici.
Pour Antivir payant, c'est ici
Pour Kaspersky, c'est ici
 
Anti-spyware :
* Désinstalle Ad-Aware qui est inutile (pas de protection résidente, un scan médiocre, et une consommation de mémoire permanente malgré tout...)  
* Installe Spybot (décoche le TeaTimer lors de l'installation). Mets le à jour une fois par semaine, et fais les vaccinations à chaque fois.
* En complément, garde MalwareBytes pour son scan de nettoyage performant.
 
• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.
 
• Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : http://java.com/fr/
 
• Vérifie les mises à jour de tes autres programmes régulièrement à l'aide de ce petit programme (choisis la version sans installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)
 
 
 
3) Relance Hijackthis (pour la dernière fois), choisis "scan system only" et coche les lignes suivantes qui sont inutiles (j'ai intégré les barres d'outils dans cette liste) :  
 
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll    
O2 - BHO: Secured_eMule Toolbar - {1d1b60fd-b21f-4b9a-8a5f-64e8544828d7} - C:\Program Files\Secured_eMule\tbSec1.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll    
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll    
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll    
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll    
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll    
O3 - Toolbar: Secured_eMule Toolbar - {1d1b60fd-b21f-4b9a-8a5f-64e8544828d7} - C:\Program Files\Secured_eMule\tbSec1.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll    
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe    
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime    
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe    
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe    
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')    
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')    
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE    
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
 
Coche également toutes les lignes commençant par 016 puis clique sur "Fix checked"  
 
 
 
4) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le puis clique sur Recherche et patiente pendant le scan. A la fin, clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.
 
 
 
5) Télécharge et installe CCleaner, puis lance le.  
Clique sur Option → avancé → décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre → corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.
 
(Tu peux garder ce logiciel et l'utiliser régulièrement).
 
 
 
6) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés) : pour ça, suis ce tutoriel stp.
 
 
 
7) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet
 
 
 
 
Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

Reply

Marsh Posté le 23-07-2009 à 19:44:25    


Reply

Marsh Posté le 23-07-2009 à 19:47:52    

Désolée pour cette erreur qui a reposté ton propre message : j'ai pas capté ce qui s'est passé....
Bref, je vais suivre tes bons conseils et je te dis un grand merci d'avoir pris la peine de te pencher sur mon soucis, c'est super sympa.
Bonne continuation et encore MERCIIII !!!
A +++
Mag

Reply

Marsh Posté le 24-07-2009 à 02:00:58    

De rien :)
 
Bonne continuation

Reply

Marsh Posté le 25-07-2009 à 18:02:21    

PPPffff, j'ai les boules....j'étais en train de m'atteler à ta petite liste de tache....juste avant de supprimer norton, il m'a de nouveau détecté le virus gampass.infostealer....: rien entre le 14/07 et le 23/07 et il ressurgit le 24 et 25/07 !!
Du coup, je l'ai viré quand même (norton) et installé Antivir et lui m'a trouvé 29 fichiers infectés...donc mise en quarantaine puis suppression...mais je crois pas que tout est passé à la trappe.
J'ai refait un ptit rapport Hijackthis pour voir, mais bien sur, j'y comprend pas grand chose!!
Je te le poste, ne sait-on jamais...
http://www.toofiles.com/fr/oip/doc [...] 5juil.html
J'suis Dèg de chez dèg.
A +++

Reply

Marsh Posté le 26-07-2009 à 02:46:05    

magmong a écrit :

juste avant de supprimer norton, il m'a de nouveau détecté le virus gampass.infostealer....: rien entre le 14/07 et le 23/07 et il ressurgit le 24 et 25/07 !!
Du coup, je l'ai viré quand même (norton) et installé Antivir et lui m'a trouvé 29 fichiers infectés...donc mise en quarantaine puis suppression...


Ce qui serait intéressant, c'est que tu me dises où étaient situés les fichiers détectés. Il est possible que ce ne soit que des archives de la restauration du système, qui sont inactives, et qui seront supprimées en faisant l'étape 5 de ce que je t'ai indiqué dans mon dernier message.
 
Peux-tu faire un scan avec AntiVir et poster le rapport stp ?
 
 

magmong a écrit :

J'ai refait un ptit rapport Hijackthis pour voir, mais bien sur, j'y comprend pas grand chose!!
Je te le poste, ne sait-on jamais...
http://www.toofiles.com/fr/oip/doc [...] 5juil.html


Le rapport ne montre pas d'infection, par contre tu n'as pas désinstallé l'ancienne version de Java comme indiqué ;)

Reply

Marsh Posté le 26-07-2009 à 10:07:53    

Salut Anthony,
 
Pourtant si, hier j'ai désinstallé 4 ou 5 version de Java par le biais d"ajjout/supprimer des programmes" puis j'ai réinstallé de suite Java en suivant ton lien, alors je comprend pas.
 
Là dans ma liste ajout/suppres de pgrme, j'en ai  2 :  
Java (TM) 6 Update 13 et Java (TM) 6 Update 14 : c'est ce que j'ai installé hier, j'en voit pas d'autre ??
 
Ce que je n'ai pas fait pour le moment c'est de purger la restauration système et utiliser firefox.
J'ai téléchargé spybot mais je comprend pas tout niveau fonctionnement...
 
Voici le lien du rapport antivir d'hier avec les infections :
http://www.toofiles.com/fr/oip/doc [...] port1.html
 
Merci et bonne journée ensoleillée...!!

Reply

Marsh Posté le 26-07-2009 à 14:01:40    

Beaucoup de choses correspondant à la quarantaine des outils de désinfection qu'on a utilisé, et aux archives de la restauration du système. Les étapes 4, 5 et 6 de mon message de conseils un peu plus haut devraient régler ces problèmes.
Pour le reste, AntiVir a supprimé ce qui semblait infecté.
 
 
Pour Java, il ne faut garder que la version 6 Update 14.
Tu peux désinstaller la version Java (TM) 6 Update 13, et pour l'autre version plus ancienne qu'on voit sur Hijackthis (java 5), désinstalle tout ce qui commence par "J2SE Runtime Environment" ;)


Message édité par Profil supprimé le 26-07-2009 à 14:02:36
Reply

Marsh Posté le 26-07-2009 à 14:13:33    

Ok je vais faire ça..
Mais je ne peux plus jouer aux jeux sur france2.fr, effectivemment, je crois qu'il y avait 1 truc par rapport à ça sur hijackthis (1 truc en 016) que j'ai supprimé...
Comment faire pour pouvoir re-jouer stp?
Bon sinon pour toi tout à l'air ok niveau infections? enfin je le comprend comme ça.
Merci vraiment pour tout, ça m'a bien aidé et appris des trucs....je vais également finir de suivre tes conseils, mais c'est vrai que ça prend du temps tout ça!!!
Allez, à +++ et encore merciii.

Reply

Marsh Posté le 26-07-2009 à 14:29:52    

Je ne trouve rien qui commence par J2SE Runtime Environment : ni dans "ajout/suppr de prgm", ni dans la liste hijackthis...????

Reply

Marsh Posté le 26-07-2009 à 15:34:28    

Pour Java, si tu as encore RSIT :
Menu démarrer --> Exécuter --> Tape "%userprofile%\bureau\RSIT.exe" /info
Puis poste les deux rapports.
 
 
"je ne peux plus jouer aux jeux sur france2.fr, effectivemment, je crois qu'il y avait 1 truc par rapport à ça sur hijackthis (1 truc en 016) que j'ai supprimé...
Comment faire pour pouvoir re-jouer stp? "
Si c'était une ligne 016, ça correspond à un ActiveX. Il va alors te demander de le réinstaller quand tu te rendras sur la page ;)

Reply

Marsh Posté le 26-07-2009 à 17:26:37    

Voilà les rapports rsit :
 
http://www.toofiles.com/fr/oip/doc [...] rsit1.html
et
http://www.toofiles.com/fr/oip/doc [...] orsit.html
 
Pour ce qui est des jeux, y a rien qui marche et ça ne me propose pas d'installer un active X. Je peux aller sur le site mais qd je clique sur le jeu, je ne peux y accéder (pour 1 des jeux : "tout le monde veut prendre sa place" )...pour l'autre ("4ème duel" )je peux me connecter mais je ne peux plus cliquer sur "jouer" car ça n'apparait pas.

Reply

Marsh Posté le 26-07-2009 à 20:01:46    


Ok, c'est bon pour Java ;)
 
 
 

magmong a écrit :

Pour ce qui est des jeux, y a rien qui marche et ça ne me propose pas d'installer un active X. Je peux aller sur le site mais qd je clique sur le jeu, je ne peux y accéder (pour 1 des jeux : "tout le monde veut prendre sa place" )...pour l'autre ("4ème duel" )je peux me connecter mais je ne peux plus cliquer sur "jouer" car ça n'apparait pas.


As-tu essayé avec Internet Explorer et avec Firefox, pour voir s'il y avait une différence ?

Reply

Marsh Posté le 26-07-2009 à 20:06:08    

Voui , j'ai essayé tout à l'heure justement, mais ça n'y fait rien...un truc en plus : ça me dit de télécharger le plug-in adobe reader mais qd je suit la manip ça me dit de fermer firefox pour pouvoir l'installer alors que je l'ai déjà fermé!!
Tu crois pas que c'est qqpart dans la sécurité d'option internet, une case à cocher ou décocher??

Reply

Marsh Posté le 26-07-2009 à 20:08:45    

c'est adobe flash player pas adobe reader!!!

Reply

Marsh Posté le 26-07-2009 à 20:17:14    

C'est booonnnn!!
J'ai pu télécharger adobe flash player avec firefox et là ça marche!!
C'est trop coool!!
Bon, ben tout est nickel alors
Je vais m'en faire mon navigateur par défaut, c'est vrai que ça chamboule pas à mort la façon de faire et c sympatoche.
Bon, Anthony, excuses moi de t'avoir re-embêté avec mes problèmes....!!
Merci beaucoup, t'es super sympa en tous cas.
Merciiiii, byyyyye !!!!

Reply

Marsh Posté le 27-07-2009 à 11:14:57    

De rien ;)
Tant mieux si tout refonctionne normalement :)
 
Je te souhaite une bonne continuation !

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed