[Dany'S]

Bonjours !
Voila mon probleme c'est que j'ai plein de virus sur mon ordi que je n'arrive pas a enlever depuis un moment et jai des spyware qui me block certaine page internet !
De plus avec tous ces virus , mon pc est au ralentis !
J'ai plusieur pub qui n'arettent pas de s'afficher !

Voila j'éspere que quelqu'un pourra rapidement me venir en aide .

Merci d'avance  

[coyotte49]

Salut !
Post nous ton log Hijackthis. C'est un logiciel de sécurité qui va nous permettre de savoir si des logiciels malveillants te côtoient quotidiennement. (raté ma vocation d'écrivain )
Télécharger (en haut à droite "Téléchargement direct") + Tuto.
_________________
« Software is like sex. It's better when it's free... » Linus Torvalds



Merci à loïc pour l'avatar et l'userbar 

[Dany'S]

Voilaaa :

Log supprimé - Service: Panda anti-virus service (PAVSRV) - Unknown owner - D:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe (file missing) 

[!aur3n7]

Bonjour,

Il y a une belle collection de faux utilitaires dans ce log.

Procédons par étape si tu veux bien mais prend bien garde de suivre l'ordre des indications données


- Une partie de cette procédure s'effectuera en mode sans échec. Je te recommande d'imprimer ce qui suit ou en faire un copier coller dans un fichier texte que tu enregistreras de façon à le retrouver facilement y compris en mode sans échec (Le bureau par exemple)
- J'attire également ton attention sur l'importance de communiquer les résultats obtenus même si les symptômes ont disparus.
* l'absence de symptômes ne confirme en rien une absence d'infection.



=> Télécharge ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
-- Met le sur ton bureau
Note: Pour augmenter l'efficacité nous l'utiliserons ultérieurement en mode sans echec


=> Télécharge jv16-powertools (Jouni Vuorio) http://telechargement.zebulon.fr/201-jv16-powertools.html
note : Cette version est la dernière qui a été distribuée gratuitement. Une version plus récente existe mais est payante après une période d'essai de 30 jours.
- Voici un tutoriel si besoin http://www.zebulon.fr/articles/base-de-registre-3.php


=> Télécharge AVG AntiSpyware .
http://www.ewido.net/en/download/
-- Installe le
* Lance AVG AntiSpyware
-- menu Mises à jour
---- Clique sur le bouton Commencer la mise à jour
-- menu analyse onglet paramètres
---- dans la catégorie Rapports coche les cases
[X] Générer un rapport après chaque analyse
[X] Uniquement en cas de menace
---- Dans la catégorie Comment réagir ? sélectionne Quarantaine
* Quitte AVG anti-spyware


Note :
AVG anti-spyware est en version d'essai de 30 jours. Il sera toujours possible de l'utiliser après cette période mais il ne disposera plus de la protection résidente ni des mises a jour automatiques. Il faudra donc lancer manuellement la mise à jour et le scan.
- Si besoin un tutoriel http://www.malekal.com/tutorial_AVG_AntiSpyware.html


=> Télécharge smitfraudfix (S!Ri) http://siri.urz.free.fr/Fix/SmitfraudFix.exe
-- Place le à la racine de ton disque dur (c:\)
* lance smitfraudfix.exe et choisis l'option 1 puis valide par la touche [Entrée]
* Un rapport sera généré sauvegarde le
Note :
- process.exe est détecté par certains antivirus comme étant un virus ce qui bien evidement n'est pas le cas mais un utilitaire destiné à mettre fin à des processus.


=> Télécharge SDFix.exe (AndyManchesta) http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
-- Met le sur ton bureau
* Lance SDFix.exe
-- Choisis Install pour extraire les fichiers



color=#FF0000]=>[/color] Redémarre ton PC en mode sans échec
-- Ce mode permet d'augmenter les chances de succès des manipulations qui vont suivre.

- Au démarrage de l'ordinateur "tapote" la touche F8 de ton clavier jusqu'à ce que les options de démarrage apparaissent.
* A l'aide des touches de ton clavier descend jusque Mode sans échec puis valide par la touche [entrée]
-- Si le choix est proposé choisis le même nom d'utilisateur qu'en mode normal.

Note :
-- Windows démarrera avec le strict minimum nécessaire. Tu ne pourras pas te connecter ou utiliser certaines fonctions ou programmes.
-- L'affichage sera inhabituel avec par exemple des icônes plus grandes.



=> Lance smitfraudfix
* choisis l'option 2 puis valide par la touche [entrée]
-- A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) pour supprimer les clés de démarrage de l'infection.
* Le fix déterminera si le fichier wininet.dll est infecté.
-- A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu.
-- A la fin du scan, sauvegarder le rapport (Fichier/Enregistrer sous...) sur le Bureau.
-- Fais un copier coller du contenu de ce rapport dans ta prochaine réponse

Note:
-- Cette étape élimine les fichiers infectieux détectés à l'étape #1
-- Important : l'option 2 de l'outil supprime le fond d'écran !



=> Lance ATF-Cleaner :
* Sous l'onglet Main, choisis : Select All
* Clique sur le bouton Empty Selected


* Sous l'onglet Firefox (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected

* Sous l'onglet Opéra (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
* Quitte ATF-Cleaner


=> Lance jv16-powertools
* Clique à gauche sur Preferences ensuite sur Language choisis French(français) clique sur Ok et Ok
* Clique sur Outil registre en haut sur Outils - Nettoyeur de registre
* Clique sur Continuer et Démarrer
* Le scan fini clique en haut sur Sélectionner >>> Sélection spéciale et Eléments qui peuvent être supprimés sans riques
* Clique en bas sur Supprimer puis Fermer
* quitte Jv16


=> Lance AVG AntiSpyware
* Menu analyse
-- Onglet Analyser
* clique sur analyse complète du système pour lancer le scan
* Le scan fini clique sur Appliquer toutes les actions
-- Clique sur Enregistrer le rapport >>> Enregistrer le rapport sous enregistre ce rapport sur ton bureau
* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse


=> Lance SDFIX
-- Rend toi dans le dossier sdfix
* Lance le fichier RunThis.bat
-- Tape Y pour lancer le scan
* Un message s'affichera lorsque le scan sera terminé, Appuies sur une touche pour rédémarrer

* Au redémarrage cet utilitaire effectuera encore quelques opérations.
-- Il affichera ce message Finished, press any key to end the script and load your desktop icons.
-- Le rapport s'affichera. Ce rapport est sauvegardé par défaut dans le dossier SDFIX et sera nommé Report.txt.
* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse.


=> Résultat
- Post les différents rapports obtenus
-- SDFIX
-- AVG Anti-spyware
-- Les 2 rapports smitfraudfix
-- Un nouveau log Hijackthis (fait en mode normal)
-- Toutes questions, remarques, complément d'information et si une amélioration est constatée. 

[Dany'S]

Alors voila j'ai plusieur rapport a mettre :

---------------------------------------------------------
Log supprimé).
D:\WINDOWS\system32\ielo32.exe -> Trojan.Agent.bi : Nettoyé et s 

[Kane 13]

Ca c'est de la page ...
_________________

 

[!aur3n7]

Bonsoir Dany's

Il en manque pas mal.
Si les rapports sont vraiment trop long tu peux les mettre sur ci-joint et donner les liens (ca sera plus lisible comme ca)

http://www.cijoint.fr/ 

[Dany'S]

ok !
Apres avoir tout effectué deja c'est mieu jai plus de pub et aucun spyware ne mempeche daller sur certain site .
Par contre pour , je sais pas ce quil manque comme rapport parceque jai que cela . 

[Dany'S]

Voila jai tout mis par lien :

http://www.cijoint.fr/cij9355302352748.txt

http://www.cijoint.fr/cij7721638622730.txt 

[!aur3n7]

Bonjour Dany's

Quelques infections sont encore présentes voici donc la suite des évennements

1 Peux tu confirmer avoir passé L'option 2 de Smitfraudfix ?


Ensuite


=> Télécharge rustbfix.exe (ejvindh) http://www.uploads.ejvindh.net/rustbfix.exe
...met sur ton Bureau.

Double clique rustbfix.exe pour le lancer
Si l'infection est confirmée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordinateur.
Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages se succèdent. (ca se fera automatiquement)

Une fois terminé 2 rapports s'afficheront : (c:\avenger.txt et c:\rustbfix\pelog.txt).



=> Télécharge gmer : http://www.gmer.net/gmer.zip
-- Décompresse le sur ton bureau

Ferme toutes les applications non indispensables
- Lance Gmer.exe
* Onglet "rootkit"
-- Controle que la case [ ] "show all" soit bien décochée
* clique sur Scan
* une fois le scan terminé, clique sur "copy"
- Ouvre le bloc-note (Démarrer > tous les programmes > accessoire)
* Clique sur Edition puis choisis coller
* Enregistre ce fichier sur ton bureau
* Fais un copier coller de son contenu dans ta prochaine réponse

Note:
Il se peut que ton antivirus émet une alerte concernant Gmer, Ignore la et continu tout de même.


Refais egalement un nouveau log Hijackthis s'il te plait.

Si les rapports sont trop logs utilise la même méthode avec Ci-joint.

Bonne journée 

[Dany'S]

euh..j'avais oublier ce rapport
http://www.cijoint.fr/cij424049862716.txt

Et mercii beaucoup pour ton aide ! 

[Dany'S]

Voila pour les rapport :

http://www.cijoint.fr/cij7779108792706.txt

http://www.cijoint.fr/cij4788631112730.txt

http://www.cijoint.fr/cij4325628022731.txt

http://www.cijoint.fr/cij1899663872735.rtf

Encore mercii pour l'atttention que tu porte a mon probleme . 

[!aur3n7]

Bon on va reprendre,

Les infections les plus difficiles (théoriquement) à enlever ont été nettoyées c'est donc en de très bonne voie
D'apres le rapport Hijackthis une infection par Lop.com est présente dont on va s'occuper et repasser Smitfraudfix option 2 afin de nettoyer des traces encore présentes.

Pour ce suit ces indications dans l'ordre.


/!\ Hijackthis est mal employé.
Il faut décompresser le fichier dans un dossier qui lui sera dédié (qu'importe ou se trouve ce dossier mais pas dans un dossier temporaire)


=> Redémarre ton PC en mode sans échec


=> Désinstalle ces programmes
Via ajout suppression de programme recherhe et désinstalle

MyWebSearch

MSN+ Attention : Ne désinstalle pas complétement mais uniquement les sponsors (la question devrait être posée des le début de la désinstallation



=> Lance Hijackthis
-- Clique sur Do a system scan only
---- Coche les cases correspondant à ces lignes

O2 - BHO: (no name) - {3F8BADEC-9447-D5F5-20F2-0286AF6C18BA} - D:\WINDOWS\system32\nkoaitk.dll
O2 - BHO: (no name) - {F417F632-E37F-7004-7508-CDF94820481B} - D:\DOCUME~1\Dany3\Application Data\Stupiddebug\OwnsKnob.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [nkoaitk.dll] D:\WINDOWS\system32\rundll32.exe D:\WINDOWS\system32\nkoaitk.dll,wgbzzaf
O4 - HKLM\..\Run: [Ultimate Cleaner] D:\Program Files\Ultimate Cleaner\App.exe
O4 - HKLM\..\Run: [DVD LOAD ISO WAY] D:\Documents and Settings\All Users\Application Data\typeskipdvdload\plus bits.exe
O4 - HKCU\..\Run: [blahiso] D:\DOCUME~1\Dany3\Application Data\RULE REMOTE SEND\Glue Clock.exe
O4 - Startup: .protected
O4 - Global Startup: MyWebSearch Email Plugin.lnk = D:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O16 - DPF: {77538FC7-CE52-4704-9865-494FE92BC320} (LaunchUBO.Ulit) - http://www.ultimatebaseballonline.com/myubo/launchubo.OCX
O20 - Winlogon Notify: wineij32 - wineij32.dll (file missing)


---- Clique sur Fix cheked
-- Quitte Hijackthis


=> Recherche et supprime ce(s) dossier(s)

[Dany'S]

Bonjours !
désolé pour le retard...
Voila les deux rapports :
http://www.cijoint.fr/cij1026370443436.txt

http://www.cijoint.fr/cij385646723422.txt 

[!aur3n7]

Bonjour,

Relance Hijackthis, coche les cases correspondantes à ces lignes

O4 - HKLM\..\Run: [PSPVideo9] C:\logiciel\pspvideo9\pspVideo9.exe -t

O4 - HKCU\..\Run: [blahiso] D:\DOCUME~1\Dany3\Application Data\RULE REMOTE SEND\Glue Clock.exe

O4 - Startup: .protected

Toutes les lignes 018 de type