Bonjour!
Tout d'abord, veuillez excuser mon ignorance en matière d'informatique (je possède un pc depuis 2 mois!).
Voilà:j'ai chopé un virus qui  modifiait l'horloge de mon ordi  à chaque allumage (elle indiquait invariablement le 12/04/2016) et supprimait mon fond d'écran. J'ai alors téléchargé Malwarebytes, puis j'ai exécuté un examen complet. Le logiciel a mis en quarantaine les éléments infectés (j'ose pas les supprimer complètement). A présent, mon pc fonctionne bien mais lorsque j'exécute un examen rapide avec Malwarebytes, il me retrouve systématiquement un fichier infecté(C:\Windows\system32\Drivers\jadwqcnu.sys (Rootkit.Agent)). Pourtant, je lui demande de le supprimer à chaque scan (d'ailleurs, dans son rapport, Malwarebytes indique au sujet de ce fichier : "quarantined and deleted successfully" ), mais il me le retrouve à chaque fois.  
 
Je sais pas quoi faire: Est-ce-que je dois demander à Malwarebytes de supprimer complètement ce fichier (et les autres avec)? Est-ce-que je dois utiliser un autre outil?...
 
Merci d'avance à ceux qui voudront bien prendre un peu de leur temps pour m'aider!
 
Pour info, voici ma configuration:
 
-PC portable avec Windows 7
-Antivirus:Avast (gratuit)
-Anti-malwares:Malwarebytes
-Pare-feu de Windows 7
 
 
 

Salut brazizil,
 
Première chose à faire, éditer ton précédent message et supprimer les rapports, sinon la modération va fermer ton sujet, ce serait dommage.
Tu peux supprimer la quarantaine de malwarebytes.
 
Ensuite, je vais te demander de faire des rapports avec un outil de diagnostic, ne postes pas les rapports sur le forum, je te donnerai la marche à suivre pour les héberger.
 
 

• Télécharge Rooter (créé par l'équipe IDN) sur ton bureau.
• /!\ Déconnecte toi d'internet et ferme toutes les applications en cours /!\
• Exécute Rooter et laisse le travailler jusqu'à l'apparition du rapport dans le bloc notes
• Ensuite poste le rapport dans ta prochaine réponse
• Ne postes pas les rapports sur le forum, la charte te l'interdit . A la place, suis ce tutoriel pour héberger le rapport ailleurs et poste le lien qui est donné stp.

Et aussi :
 

• Télécharge Random's system information tool (RSIT)  et enregistre le sur ton bureau  
• Double clique sur RSIT.exe pour lancer l'outil. (il est possible que le .exe ne soit pas visible sur ton ordinateur)
• Sous vista ,cliques droit sur le fichier et choisis "Exécuter en tant qu'administrateur".
• Clique sur  "continue"  à l'écran Disclaimer.
• Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
• Une fois le scan fini , deux rapports vont être générés, un seul va apparaitre,c'est le log.txt, le second info.txt sera ouvert mais dans la barre de tache.  

les deux rapports sont enregistrés sur ton disque dur, à la racine de C:\
 
voici les chemins d'accès=> C:\RSIT\log.txt & C:\RSIT\info.txt
 
Rappel: (CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
 
Ne postes pas les rapports sur le forum, la charte te l'interdit . A la place, suis ce tutoriel pour héberger le rapport ailleurs et poste le lien qui est donné stp.
 
On continuera à parfaire la désinfection de ton ordinateur suite à l'analyse de ses rapports.

Salut malwarebleach, et merci pour ton aide.
 
J'ai suivi tes indications, mais je rencontre 2 problèmes:
 
- Quand je veux télécharger rooter, ce message apparaît: "The bandwidth or page view limit for this site has been exceeded and the page cannot be viewed at this time. Once the site is below the limit, it will once again begin serving as normal."
 
- J'ai téléchargé RSIT. L'outil commence à se lancer mais, après l'écran "disclaimer", ce message apparaît: "Error: Variable used without being declared." En cherchant sur des forums, la solution préconisée est d'insérer le CD de Windows après avoir tapé un code (mais où le taper ou le coller? Mon CD de Windows est en fait un CD Asus de mise à niveau de Vista vers Win 7; est-ce-que ça suffit?
 
Ah les joies de l'informatique...
   
 
 

M'ouais , Rooter n'est pas disponible et la ou les infections empêche l'exécution de RSIT.
 
Pas vraiment les joies de l'informatique, mais des infections, parfois, c'est pas si simple....  
 
On va passer tout de suite à l'artillerie lourde :
 
A l'attention de ceux qui passent sur ce sujet
 
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helper du forum qui connait bien cet outil vous l'a recommandé.
 
/!\ Désactive tous tes logiciels de protection /!\
 

• Télécharge ComboFix (de sUBs) sur ton Bureau
• j'ai volontairement renommé le programme brazizil.exe pour tenter de tromper les infections, ne change rien.
• Double-clique sur brazizil.exe afin de le lancer.
• Il va te demander d'installer la console de récupération : accepte.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. envoie moi le lien me permettant de lire le rapport. (vois le tutoriel que je t'ai donné précédemment pour t'aider à poster le lien).

Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix
 
 
 

Salut malwarebleach!
 
Voici le lien pour lire mon rapport: http://www.toofiles.com/fr/oip/doc [...] bofix.html
 
Pour info, lors du redémarrage de mon pc, le message suivant est apparu:
 
       "Problème lors du démarrage de C:\Users\Seb\App Data\Local\rasusrd8\rasusrd8.dll
        Le module spécifié est introuvable."
 
Et les raccourcis avaient disparu du bureau (de même que mon fond d'écran). Au bout du 3e redémarrage, les raccourcis sont revenus, mais pas le fond d'écran.
 
Voilà!
 
 

Salut,    
 

 
Une conséquence de l'utilisation de combofix. Pour ton fond d'écran, désolé, mais il faut le remettre manuellement.
 
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour brazizil, il n'est pas transposable sur un autre ordinateur !
 
• Télécharge ce dossier brazizil.zip
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination  
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.  
 
• Désactive tes logiciels de protection  
 
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien)
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.  
• Une fois le scan achevé, un rapport va s'afficher: envoies moi le lien de ce rapport stp.  
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt
 
A plus tard  
 

Salut malwarebleach!
 
Voici le lien pour consulter mon rapport: http://www.toofiles.com/fr/oip/doc [...] bofix.html
 
Par contre, mon pc a planté à la fin du scan et je sais pas si le rapport est complet.
 
Merci! A+!
 

Salut,  
 
ok pour le rapport.
 
L'utilisation de RSIT pose problème sur les pc équipés de windows sept, on va s'adapter et utiliser un autre logiciel de diagnostic. On y verra plus clair. Je te dirais un peu plus tard ce qui se passe sur ton ordinateur et pourquoi    
 
Suis cette procédure :
 
    Utilise ce logiciel de diagnostic :
 
    • Télécharge ZHPDiag
    • Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    • Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    • Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum. (je préfére utiliser ci-joint, si tu vois un inconvénient, reste sur toolsfiles).
 
Note : pas la peine de citer mes interventions sur tes posts    

Salut malwarebleach!
 
Voici le lien pour voir mon rapport: http://www.cijoint.fr/cjlink.php?f [...] pgttHL.txt
 
A plus tard...
 
 
 
 

Salut,
 
Excuses moi pour ce petit retard, en ce moment je fais un peu trop de chose en même temps.
 
Les raisons de tes infections sont assez variables, je pense que le sites de jeux et les jeux que tu installes sur ton ordinateur ne sont pas innocents à cet état de fait. Tu as en particulier un rootkit.
 
Le problème reste que windows 7 n'est pas encore très connus des helpers et que nos outils ne sont pas tous adaptés à ce système d'exploitation. De plus, la fait de pouvoir installer une version en 64 bits de sept ne nous facilite pas la tâche....
 
Fais ce que je te demande ci-dessous stp :
 
    • Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
    • Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    • Copie/colle les lignes suivantes et place les dans ZHPFix :
 
    ----------------------------------------------------------
 

 
    ----------------------------------------------------------
 
    • Clique sur « Tous », puis sur « Nettoyer »
    • envoie moi le lien de ci-joint dans ta prochaine réponse.
 
 
Comment se comporte ton pc ??

Salut,
 
Voici le lien cijoint:
 
http://www.cijoint.fr/cjlink.php?f [...] Pan2VZ.txt
 
Comment se comporte mon pc? Bien. Des fois, le bureau ne s'affiche pas; je redémarre une fois ou deux et il réapparaît.
 
Pas de souci pour le retard (quel retard, d'ailleurs??? )
 
 

Salut à toi,
 
peux tu faire un nouveau rapport avec ZHPDiag et m'envoyer le lien stp.
 
J'avoue que je ne suis pas encore alaise en désinfection sur windows 7, je ne pratique pas encore les yeux fermés sur ce nouvel os de windows. Mais ne t'inquiète pas, j'ai du soutien derrière.... On n'est jamais seul dans ce domaine.
 
Bizarre cette histoire de bureau qui rechigne à s'afficher !? Il est probable que ton système soit devenu instable suite à tes infections, pourtant, je n'ai pas vu de suppression de fichier système !?  
 
J'attends le lien pour le rapport et on continue si tu veux bien.

Salut,
 
Mon nouveau rapport:
 
http://www.cijoint.fr/cjlink.php?f [...] wJYZwz.txt
 
Merci, à plus...
 
P.s.: Ce soir encore, quand j'ai allumé mon PC, je n'avais pas le bureau; j'ai redémarré et il est revenu.  
 

Salut,
 
Tu vas refaire la même manip avec les lignes à supprimer avec ZHPFix, le fait d'avoir utilisé les balises code, sur mon post a ajouté des numéros devant chaque ligne qui ont eu pour effet de ne pas les supprimer.  
Il faut que je me fasse à ce forum, je suis nouveau ici. J'apprends et j'essaie de m'adapter.
 
    • Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
    • Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    • Copie/colle les lignes suivantes et place les dans ZHPFix :
 
    ----------------------------------------------------------
O42 - Logiciel: Jeux.fr Toolbar
O44 - LFC:Last File Created 05/01/2010 - 20:45:02 ---A- C:\Windows\System32\drivers\jadwqcnu.sys
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfc005.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfc006.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfc008.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfc009.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfc00A.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfc00B.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfc00C.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfc00D.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfc00E.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfc010.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfc011.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfc012.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfc013.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfc014.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfc015.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfc019.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfc01D.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfc01F.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfh005.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfh006.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfh008.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfh009.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfh00A.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfh00B.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfh00C.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfh00D.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfh00E.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfh010.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfh011.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfh012.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfh013.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfh014.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfh015.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfh019.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfh01D.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\perfh01F.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\prfc0404.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\prfc0416.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\prfc0816.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\prfh0404.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\prfh0416.dat
O44 - LFC:Last File Created 03/01/2010 - 20:43:08 ---A- C:\Windows\System32\prfh0816.dat
O58 - SDL:System Drivers List - C:\Windows\system32\drivers\jadwqcnu.sys
 
 
    ----------------------------------------------------------
 
    • Clique sur « Tous », puis sur « Nettoyer »
    • envoies moi le lien du rapport stp
 
Bon week-end !

Salut!
 
Voici le lien du nouveau rapport:
 
http://www.cijoint.fr/cjlink.php?f [...] I5fCU6.txt
 
Bon week-end à toi aussi!
 

Salut,
 
Ok, c'est bien mieux, peux tu me faire un nouveau rapport avec ZHPDiag stp.
 
Pour ton problème d'affichage du bureau au démarrage, pour le moment, je n'ai pas d'idée, on verra cela par la suite.

Salut!
 
Voilà le lien de mon dernier rapport:
 
http://www.cijoint.fr/cjlink.php?f [...] pS7uS1.txt
 
P.S.: Par rapport à mon problème d'affichage du bureau, en fait, c'est l'option "afficher les éléments du bureau" qui s'était décochée toute seule (ce qui est bizarre, c'est qu'elle se rétablit toute seule en redémarrant une fois ou deux... Mais bon, c'est pas méchant, il me suffit de recocher l'option... Ceci dit, lors des derniers rallumages de mon PC, pas de souci, le bureau s'est affiché normalement).
 
A plus!
 
 
 

Salut Brazizil,  
 
Je reviens vers toi, j'ai reçu la notification de ta réponse, mais elle a été noyée dans mes emails   .
 
Bon écoute, il ne reste quasiment rien à faire. On va essayer de faire un nouveau rapport avec un autre outil pour supprimer deux petites lignes :
 
 
 

• Télécharges HijackThis
• Installes le programme
• lances HijackThis (sous vista/7 clique droit et Exécuter en tant qu'administrateur)
• Cliques sur "Do a system scan and save a logfile"
• le bloc-notes va s'ouvrir, envoies moi le lien de ci-joint me permettant de lire ce rapport.

Salut malwarebleach,
 
J'ai fait le nouveau rapport avec HijackThis, mais je ne peux pas l'héberger chez ci-joint ou toofiles (un message s'affiche: "les fichiers avec une extension .log ne peuvent pas être déposés" ).
 
  ...
 
 

Salut,  
 
Content de te revoir.  
 
Tentes d'héberger le fichier ici ==> http://www.cijoint.fr/

Salut (désolé pour le retard   ),
 
En fait, c'est justement ça le problème: je ne peux pas déposer un fichier .log sur cijoint (ni sur toofiles).  
 
 
 
 

Salut,  
 
Envoies moi le rapport entier par copier/coller par messag privé   (j'aurais dû y penser plus tôt)

Salut,  
 
Pour finaliser tu vas faire un scan généraliste avec malwarebytes :
 

• Télécharge Malwarebytes
• Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
• Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
• Lance une analyse complète en cliquant sur "Exécuter un examen complet"
• Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
• L'analyse peut durer un bon moment.....
• Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
• Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
• Un rapport va s'ouvrir dans le bloc-notes... envoies moi le lien du rapport.

• Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée[/list]

Salut,
 
Le lien de mon rapport malwarebytes:
 
http://www.cijoint.fr/cjlink.php?f [...] PEmZea.txt
 
J'ai ensuite fait un scan rapide avec malwarebytes:RAS  

Salut,  
 
Malwarebytes a trouvé des infections dans la quarantaine des outils que tu as utilisé pour les supprimer, donc rien à signaler.
Tu peux supprimer la quarantaine de malwarebytes. Conserves et utilises ce programme régulièrement, penses juste à le mettre à jour avant de le lancer.
 
Pour finaliser fais ceci :
 

• lances à nouveau HijackThis
• cette fois-ci cliques sur "Do a system scan only"
• tu vas cocher sur la gauche les cases correspondant aux lignes que je te désigne ci-dessous :

 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSo [...] =CT2456781
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.shareware.pro/?lang=fr
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O15 - Trusted Zone: *.line6.net
 

• Une fois toutes ces lignes cochées, cliques sur "Fix checked"

Il ne te reste plus qu'à désinstaller HijackThis, ZHPDiag.

Tu vas aussi purger ta restauration système et créer un nouveau point de restauration manuellement. Cette manip permet de supprimer les éventuels malwares qui seraient logés dans la restauration système.
Je sais que cette opération est simple sur sept, mais je n'ai pas ce système d'exploitation sur mon pc. Je vais te donner une manip connue sous vista et valable pour sept :
 
 
Il faut désactiver et réactiver la restauration système :
 
- appuies sur les touches windows + pause simultanément.
- dans la fenêtre qui s'ouvre clique sur la gauche sur "Protection du système"
- dans la nouvelle fenêtre choisis l'onglet "protection du système", c'est par défaut le premier onglet qui est sélectionné à l'ouverture de cette fenêtre.
- tu vas maintenant décocher toutes les cases des disques qui sont surveillés et cliquer sur "OK".
 
Réactives ta restauration système en faisant l'opération inverser c'est à dire re-cocher les cases et cliquer  sur "OK".
 
Tu vas maintenant créer un point de restauration :
 
Retourne sur le même fenêtre où tu as réactivé la restauration du système, en bas de cette fenêtre clique sur créer un point de restauration. Donne un nom facilement identifiable à ce point de restauration comme par exemple : suite à la désinfection.
 
A lire pour éviter de te faire à nouveau infecter et revenir sur ce forum :  
 
Information :
 
Depuis 2006 le nombre de malwares et les technologies ont évolué de manière sensible toujours pour servir l'économie souterraine lucrative qui sert les auteurs de malwares.
A ce jour, il n'existe pas de technologies capables de protéger efficacement votre ordinateur si l'internaute n'est pas instruit sur les risques encourus sur la toile. Ce transfert de connaissances est indispensable pour construire l'Internet.
 
C'est pour cela que je t'invite à lire ce fichier PDF qui traite de la sécurité informatique. Ce fichier est issu du forum de malekal_morte, qui a mis en place un Projet Antimalware pour sensibiliser l'opinion publique et les politiques sur les dangers des malwares. J'adhère à 100% sur ce projet. N'hésites pas à le diffuser autour de toi pour que le maximum de personnes soient prévenues.
 
 
 
Pour moi la désinfection de ton ordinateur s'arrête là.
 
Bonne route sur le web et fais attention à ce que tu fais avec cet outil parfois très dangereux pour les pc's.
 

Ok malwarebleach, j'ai suivi tes dernières consignes. Je te remercie pour tout le temps que tu m'as consacré et pour ta pédagogie.
 
Une dernière question: est-ce-que la restauration du système doit être activée pour les 2 parties du disque dur (C et D)?
 
Merci encore!    
 
 

Salut,
 

 
C'est à toi de voir, par défaut il faut au moins laisser la restauration sur le partition système en général (C
 
bonne continuation et fais attention à ton comportement vis à vis d'internet, ce n'est pas un monde virtuel.