virus qui m'ouvre les mauvaises pages - Virus/Spywares - Windows & Software
Marsh Posté le 24-08-2010 à 10:40:29
Bonjour,
Peux-tu utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :
• Télécharge ZHPDiag (de Nicolas Coolman)
• Laisse toi guider lors de l'installation
• Il se lancera automatiquement à la fin de l'installation
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Ne le poste pas directement ici (une règle de ce forum l'interdit) ! Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
Marsh Posté le 25-09-2010 à 00:09:14
Bonjour,
Un ami m'a laissé la charge de nettoyer son PC de tous les virus et autres malwares qui l'ont contaminé.
Après avoir pas mal galéré, j'ai un PC à peu près propre. J'ai utilisé tour à tour Malwarebyte, SmitfraudFix, BitDefender, Avira (qui n'arrêtait pas de me signaler toujours le même trojan sans pouvoir le supprimer). Il me reste cependant une redirection fréquente sur Goméo, un IE extrêmement lent et un Security Suite dont je n'arrive pas à me débarasser...
Suivant vos conseils, j'ai executé ZHPDiag. J'y ai rajouté Combofix.
Les rapports sont là :
http://www.cijoint.fr/cjlink.php?f [...] OKyAlM.txt
http://www.cijoint.fr/cjlink.php?f [...] nWwIWW.txt
J'espère qu'il se trouvera quelqu'un pour m'indiquer la marche à suivre.
Merci pour vos conseils.
Marsh Posté le 25-09-2010 à 10:37:07
Bonjour
Utiliser des outils au hasard comme tu l'as fait ne sert à rien (par exemple, SmitFraudFix n'est plis mis à jour depuis + d'un an, il ne détecte plus rien)...
Je peux t'aider, mais ne fais que ce que je te dis et reviens jusqu'à ce que je te confirme que la désinfection est terminée stp
1) Ce script va cibler certains éléments à supprimer :
• Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
• Lance ZHPFix à partir du raccourci sur ton Bureau
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix.
• Clique sur « Tous », puis sur « Nettoyer »
• Copie/colle la totalité du rapport dans ta prochaine réponse.
2) Je voudrais que tu analyses deux fichiers :
• Rends toi sur le site http://www.virustotal.com/fr/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : C:\WINDOWS\system32\drivers\cgqthztd.sys
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.
Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.
Fais la même analyse pour ce fichier : C:\WINDOWS\system32\drivers\kqbrzcol.sys
Marsh Posté le 25-09-2010 à 11:26:03
Bonjour et un énorme merci pour tes conseils et le temps que tu me consacres !
Ci-joint le liens pour le rapport ZHPFix :
http://www.cijoint.fr/cjlink.php?f [...] Lmttp9.txt
Pour le fichier cgqthztd.sys, le scan complet par avira que j'ai lancé cette nuit (désolé, avant de prendre connaissance de tes consignes) l'a effacé. J'ai retrouvé sa trace dans le rapport.
Je ne trouve pas non plus l'autre objet.
Je ne touche plus au PC en attendant tes autres instructions !
Merci encore pour ton expertise.
Marsh Posté le 25-09-2010 à 16:25:45
Fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag stp
Marsh Posté le 26-09-2010 à 15:18:08
Voici qui est fait :
http://www.cijoint.fr/cjlink.php?f [...] z5fafz.txt
Marsh Posté le 26-09-2010 à 16:30:07
/!\ ATTENTION /!\
Le script proposé ici a été écrit spécialement pour mailomaniac, il n'est pas transposable sur un autre ordinateur !
/!\ Désactive tous tes logiciels de protection et ferme tous tes programmes /!\
• Télécharge The Avenger (de Swandog46) sur le Bureau → Lance le → Un avertissement en anglais va s'afficher concernant la dangerosité de cet outil → lis le et clique sur OK.
• Clique sur ce lien. Copie le script qu'il contient, et colle le dans le cadre « Input script here » de The Avenger.
• Vérifie que la case « Scan for rootkits » est cochée et que « Automatically disable any rootkits found » est décochée, puis clique sur Execute. Ne touche à rien pendant que le programme travaille !
• A la fin, il te demandera de redémarrer ("reboot" ), accepte en cliquant sur Oui. Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le Bureau, ceci est normal.
• Après le redémarrage, un rapport va s'ouvrir (il est aussi sauvegardé ici : C:\avenger.txt) → Copie/colle ce rapport dans ta prochaine réponse stp.
Ensuite utilise ce nouveau script avec ZHPFix :
O53 - SMSR:HKLM\...\startupreg\*coreaclaudio.exe [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\André\Application Data\coreaclaudio.exe
O64 - Services: CurCS - (.not file.) - cgqthztd (cgqthztd) .(.Pas de propriétaire - Pas de description.) - LEGACY_CGQTHZTD
Puis fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag
Marsh Posté le 26-09-2010 à 17:42:59
Voici les rapports :
http://www.cijoint.fr/cjlink.php?f [...] tYljbS.txt
http://www.cijoint.fr/cjlink.php?f [...] 5BMzfo.txt
J'ai refait le ZPHDiag ce matin car je trouve que le disque dur travaille beaucoup au démarrage. J'ai également souvent l'info bulle sur l'icône du bouclier Windows qui me dit "aucun pare-feu n'est activé actuellement, cliquez ici pour résoudre le problème". Je clique, et là, il apparait comme étant activé. Je ne sais pas si c'est normal.
En outre, Windows me propose actuellement la mise à jour SP3. Je suppose que je dois attendre ton aval avant de le faire ?
Marsh Posté le 27-09-2010 à 23:04:59
Utilise ce script ZHPFix :
OPT:O53 - SMSR:HKLM\...\startupreg\QuickTime Task [Key] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask
OPT:O4 - HKLM\..\Run: [SoundMan] . (.Realtek Semiconductor Corp. - Realtek Sound Manager.) -- C:\Windows\SOUNDMAN.EXE
Fais redémarrer l'ordi et poste un dernier rapport ZHPDiag, je vais te donner les conseils de finition
Marsh Posté le 28-09-2010 à 12:29:01
Chouette, c'est bientôt fini !
A noter quand même que j'ai encore eu le message concernant le pare-feu et que j'ai eu 3 écrans bleus successifs pendant la phase d'analyse par ZHPDiag. J'ai fait une mise à jour du logiciel ZHPDiag et (est-ce lié?) j'ai enfin pu finir le scan.
Ci-joint les rapports :
http://www.cijoint.fr/cjlink.php?f [...] 977nbV.txt
http://www.cijoint.fr/cjlink.php?f [...] 61hw87.txt
Marsh Posté le 30-09-2010 à 20:52:56
Bon, je sais qu'Anthony est très actif sur le forum mais je me demande s'il ne m'a pas un peu oublié...
Je guette 3 fois par jour s'il y a une réponse et mon copain commence à se demander ce que je fais avec son PC !
C'est la dure loi des forum... "Patience et longueur de temps..."
Marsh Posté le 01-10-2010 à 00:55:50
Désolé pour le délai... Voici les conseils de finition :
1) Sécurise ton ordinateur
• Logiciels de protection :
Garde un antivirus (AntiVir dans ton cas) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. Ni plus, ni moins.
• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.
• Windows n'est pas à jour, c'est une grosse faille de sécurité ! Tu peux maintenant télécharger le SP3, ainsi que toutes les mises à jour de sécurité qui te seront proposées par Windows.
• Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java (n'installe pas la barre d'outil proposée lors de l'installation)
• Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 ActiveX et Adobe Flash Player 10 Plugin. Ensuite, utilise ces deux liens pour installer la dernière version : Celui-ci pour l'ActiveX et celui-ci pour le plugin.
• Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce petit programme (décoche « run at startup » lors de l'installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)
• Vaccine tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) → lance l'installation avec les paramètres par défaut → Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3, appareils photos numériques etc...) sans les ouvrir → Double clique sur le raccourci USBFix sur ton Bureau → Au menu principal, choisis l'option 3 (Vaccination).
2) Optimisation :
* Télécharge Ccleaner. Installe le et lance le. Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.
* Télécharge Defraggler. Installe le (décoche l'installation de la barre d'outil Yahoo qui est proposée lors de l'installation) puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".
3) Il faut supprimer tous les outils que nous avons utilisés : Lance ZHPFix → clique sur le « A » rouge (Nettoyeur de Tools) → clique sur « Nettoyer »
Tutoriel pour t'aider
4) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés) : pour ça, suis ce tutoriel stp.
5) Prévention : Je te conseille vivement de lire cet article qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet
6) Précautions Pour finir, je t'invite à changer tous tes mots de passe importants (banque, ebay, paypal...), car certaines infections les récupèrent... De même, fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Ici, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.
Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin
Marsh Posté le 03-10-2010 à 21:16:19
Merci pour tous ces conseils et pour ton aide précieuse. J'ai pu remettre enfin le PC propre à mon ami après lui avoir écrit un fichier de consignes !
Je te souhaite une bonne continuation en te disant peut-être à une autre fois (même si ce n'est pas bon signe généralement !)
P.S. As-tu une idée sur le message du centre de sécurité qui continuait d'envoyer de temps en temps un message sur l'absence de pare-feu (pourtant démarré!) ?
Merci encore.
Marsh Posté le 03-10-2010 à 22:06:22
ReplyMarsh Posté le 04-10-2010 à 00:24:47
Vraiment sympa de prendre ton temps pour aider mailomaniac, anthony5151.
Marsh Posté le 04-10-2010 à 08:26:44
J'allais le dire !
Pour le centre de sécurité, je vais communiquer l'astuce au propriétaire du PC.
Pour info, le plugin WOT que j'ai installé signale le site "ténèbres" comme ayant une fiabilité Médiocre.
Ce qui ne m'empèche pas de te remercier à nouveau...
Marsh Posté le 04-10-2010 à 15:28:48
De rien
Le site a une note médiocre car il hérite en partie de celle de son hébergeur (skynetblogs.be), rien de bien grave.
Marsh Posté le 22-08-2010 à 16:25:42
Bonjour à tous,
Voila depuis quelques jours, quand je fait une recherche par google ou yahoo et que je souhaite ouvrir la page, il m'envoi directement sur une page qui n'a rien a voir, je tombe très souvent sur sois disant un moteur de recherche gomeo, et des pages de pubs s'ouvrent toutes seules. J'ai fait un scan Find kill, qui me met ce message à un moment " le programme QGRDP a du fermer", j'ai fait un scan CCleaner, Spybotsd, Malwarebytes et rien a faire, rien a changer, je sais plus vraiment quoi faire :s.
Dc j'aimerais savoir si quelqu'un avait une solution ?
Merci d'avance