Pc infecté par cyber security, de l'aide SVP

[invitedb62b290]

Après avoir utilise ATf cleaner, et RSIT pour l'analyse des pts clés du sysème en pj les rapports . Que dois-je faire après.
Merci par avance pour l'aide recue.
-----

[invitec04351b8]

Bonsoir,

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

@+

[invitedb62b290]

Merci Lyonnais 92 pour ton aide précieuse.
je te joins le rapport après l'analyse de Malwarebytes'Anti-malware.
En attendant ta réponse.
Merci par avance.

[invitec04351b8]

Re,

tu relances MBAM,

tu le mets à jour,

tu fais une analyse complète et tu postes le rapport.

@+

[A voir en vidéo sur Futura]

[invitedb62b290]

Bonsoir,
J'ai relancé MBAM en mode sans échec car sous Window xp, il ne marche pas . Quand je veux mettre à jour MBAM, j'ai une erreur code : 732 (0,0) qui s'affiche donc j'ai relancé MBAM sans MAJ, et je vous joins le rapport sur lequel il 'n'apparait aucune erreur mais le cyber security est toujours bien là.

Par avance merci pour votre aide et le temps que vous me consacrez.

[invitec04351b8]

Re,

Ouvre ce lien et télécharge ZHPDiag :

http://telechargement.zebulon.fr/zhpdiag.html
hxxp://telechargement.zebulon.fr/telecharger-zhpdiag.html

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.

@+

[invitedb62b290]

Re,
J'ai bien lancé ZHPDiag avec la loupe (sans rencontrer de difficul&s particulières "34 secondes de traitement", mais malgré cette intervention, je n'arrive pas à l'enlever dans "configuration des prog." et "Supprimer prog.", et j'ai toujours "l'écusson rouge avec une croix blanche" qui me nargue sur la barre d'outils du bas.

Si vous avez une dernière solution, je suis preneur.

Merci.

[invitec04351b8]

Re,

désolé, une ligne a sauté : "poste le rapport dans ta réponse".

Tu le trouves dans C:\ProgramFiles\ZHPDiag\ZHPDia g.txt

Avec ce rapport, je vais pouvoir te faire supprimer les éléments de cyber sécurité avec ZHPFix.

@+

[invitedb62b290]

Re,

Ci-joint le rapport ZHPDiag.txt

@+

[invitec04351b8]

Re,

il y a deux loupes.


Il faut cliquer sur celle de gauche.

Tu recommences et tu postes le nouveau rapport.

@+

[invitedb62b290]

Re,

Rapport joint,

@+

[invitedb62b290]

Re,

J'ai oublie de dire que je n'est qu'une loupe...

@ +

[invitec04351b8]

Re,

Ouvre le Bloc-Notes et copie les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C) :

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\03 6572811B10AEE34F7A01871D13AA85]

Enregistre le fichier dans le répertoire de ZHPFix (en général C:\Program Files\ZHPDiag) sous le nom fredc88.reg


Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

C:\Program Files\CSec\cs.exe
R1 - HKLM\Software\Microsoft\Intern et Explorer\Search,SearchAssistan t = http://www.crawler.com/search/ie.aspx?tb_id=60347
O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} -
O4 - HKCU\..\Run: [CSec] C:\Program Files\CSec\cs.exe
O40 - ASIC: DirectX - {3FEC4CA5-E0F1-F0E2-D6ED-AC2440FF7FBF} - (not file)
O43 - CFD:Common File Directory ----D- C:\Program Files\CSec
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\CSecUninstall
O43 - CFD:Common File Directory ----D- C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloa der
O47 - AAKE:Key Export SP - "C:\Program Files\Spyware Terminator\SpywareTerminatorUp date.exe"="C:\Program Files\Spyware Terminator\SpywareTerminatorUp date.exe:*isabled:Crawler Spyware Terminator"
O55 - MWPS:[HKCU\...\Policies\System] - "DisableTaskMgr"=1
REG:fredc88.reg

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immmédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+

[invitedb62b290]

Bonjour,

Voila la copie du rapport après la manipulation .
@+

Rapport :
ZHPFix v1.12.22 by Nicolas Coolman - Rapport de suppression du 14/11/2009 09:54:31
Fichier d'export Registre : C:\ZHPExportRegistry-14-11-2009-09-54-31.txt
Web site : http://www.premiumorange.com/zeb-hel...ss/zhpfix.html


Processus mémoire :
C:\Program Files\CSec\cs.exe => Supprimé et mis en quarantaine

Module mémoire :
(Néant)

Clé du Registre :
O40 - ASIC: DirectX - {3FEC4CA5-E0F1-F0E2-D6ED-AC2440FF7FBF} - (not file) => Clé supprimée avec succès

Valeur du Registre :
O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} - => Valeur supprimée avec succès
O4 - HKCU\..\Run: [CSec] C:\Program Files\CSec\cs.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Program Files\Spyware Terminator\SpywareTerminatorUp date.exe"="C:\Program Files\Spyware => Valeur absente
O55 - MWPS:[HKCU\...\Policies\System] - => Valeur absente

Elément de données du Registre :
(Néant)

Dossier :
C:\Program Files\CSec => Supprimé et mis en quarantaine
C:\Program Files\Fichiers Communs\CSecUninstall => Supprimé et mis en quarantaine
C:\Documents and Settings\All Users\Application => Dossier absent

Fichier :
c:\program files\csec\cs.exe => Fichier absent

Logiciel :
(Néant)

Script Registre :
REG:fredc88.reg => Script de registre fusionné

Autre :
R1 - HKLM\Software\Microsoft\Intern et Explorer\Search,SearchAssistan t = => Format Non supporté
http://www.crawler.com/search/ie.aspx?tb_id=60347" => Format Non supporté
Data\Microsoft\Network\Downloa der => Format Non supporté
Terminator\SpywareTerminatorUp date.exe:*isabled:Crawler Spyware Terminator" => Format Non supporté
"DisableTaskMgr"=1 => Format Non supporté


Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 1
Valeur du Registre : 4
Elément de données du Registre : 0
Dossier : 3
Fichier : 1
Logiciel : 0
Autre : 5
Script Registre : 1


End of the scan

[invitec04351b8]

Bonjour,

tout ne s'est pas passé aussi bien que prévu parce que je n'ai pas utilisé la bonne balise.

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60347
O43 - CFD:Common File Directory ----D- C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader
O47 - AAKE:Key Export SP - "C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe"="C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe:*:Disabled:Crawler Spyware Terminator"
O55 - MWPS:[HKCU\...\Policies\System] - "DisableTaskMgr"=1

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immmédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+

[invitedb62b290]

Re,

Voila le resultat de la manip :

ZHPFix v1.12.22 by Nicolas Coolman - Rapport de suppression du 14/11/2009 11:16:38
Fichier d'export Registre : C:\ZHPExportRegistry-14-11-2009-11-16-38.txt
Web site : http://www.premiumorange.com/zeb-hel...ss/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
O47 - AAKE:Key Export SP- "C:\Program Files\Spyware Terminator\SpywareTerminatorUp date.exe"="C:\Program Files\Spyware Terminator\SpywareTerminatorUp date.exe:*:Disabled:Crawler Spyware => Valeur absente
O55 - MWPS:[HKCU\...\Policies\System] - "DisableTaskMgr"=1<BR> => Valeur supprimée avec succès

Elément de données du Registre :
R1 - HKLM\Software\Microsoft\Intern et Explorer\Search,SearchAssistan t = http://www.crawler.com/search/ie.aspx?tb_id=60347" => Donnée supprimée avec succès

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
043- CFD:Common File Directory ----D- C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloa der => Format Non supporté
Terminator" => Format Non supporté


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 2
Elément de données du Registre : 1
Dossier : 0
Fichier : 0
Logiciel : 0
Autre : 2


End of the scan

@+

[invitec04351b8]

Re,

où en es tu de ton souci de départ ?

Télécharge SystemLook sur ton Bureau à partir d'un des liens ci-dessous.
Miroir de téléchargement #1
Miroir de téléchargement #2

• Double-clique sur SystemLook.exe pour le lancer.
• Clic droit|Copier le contenu du cadre ci-dessous et clic droit|Coller dans la zone texte de SystemLook :
  
  Code:

  :dir
  C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader

• Clique sur le bouton Look pour démarrer l'examen.
• A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.

Nota Bene : Le rapport peut aussi être trouvé sur ton Bureau sous le nom SystemLook.txt

[invitedb62b290]

Re,

Ci-joint le resultat de SystemLook :

SystemLook v1.0 by jpshortstuff (29.08.09)
Log created at 16:39 on 14/11/2009 by Nadège (Administrator - Elevation successful)

========== dir ==========

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloa der - Parameters: "(none)"

---Files---
qmgr0.dat --a--- 4232 bytes [16:59 24/03/2009] [15:22 14/11/2009]
qmgr1.dat --a--- 5821 bytes [16:59 24/03/2009] [15:22 14/11/2009]

---Folders---
None found.

-=End Of File=-

@+

[invitec04351b8]

Re,

ouvre l'Explorateur Windows et cherche

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader

Fais un clic droit et choisis Supprimer.

Fais redémarrer l'ordi et vérifie qu'il n'a pas réapparu.

===

Refais tourner ZHPDiag et poste le rapport (en pièce jointe stp).

@+

[invitedb62b290]

Re,

Après la manip de cette après-midi avec systemLook, cyber security a disparu de la barre d'outil en bas de l'écran, et dans "ajout/supp. de prog.", je n'ai eu qu'à supprimer la ligne car pas de ko en face et lors de la suppression de la ligne, un message m'indiqua que le cyber security avait dèjà été supprimé.

Par contre, dans le message precedent, tu me demande de supprimer c:\.....\*dowloader, mais je n'ai que deux fichier, le premier "gmgr0.dat 5ko" et le second "gmgr1.dat 6ko".
Je dois supprimer ces deux fichiers ? car quand je veux le faire, un message s'affiche comme quoi un autre utilisateur utilise la source et que cela est donc impossible.

je te joins le rapport après diag.par ZHPDiag.

Merci pour tous tes conseils, ta patience, tes explications claires pour un novice de l'informatique comme moi.

Un grand merci à toi et tous tes collegues, vous faites du super boulot.

[invitec04351b8]

Re,

OK.


Télécharge et installe UsbFix de Chiquitine29 sur ton Bureau.

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisis l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le Bureau .

# Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

==

Démarre en mode sans échec

( Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).)

ouvre l'Explorateur Windows et cherche

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloa der

Fais un clic droit et choisis Supprimer.

Fais redémarrer l'ordi en mode normal et vérifie qu'il n'a pas réapparu.

@+

[invitedb62b290]

Re,

La manip.UsbFix est faîte, je te joins le rapport.

Je redemare en mode sans echec pour supprimer le dowloader.

@ +

[invitec04351b8]

Bonjour,

il faut que tu mettes à jour java.


Télécharge JavaRa.zip de Paul McLain et Fred de Vries.


* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

===
Tu as plusieurs Toolbars. Je te conseille de les désinstaller. Elles servent souvent à transmettre des informations sur les habitudes de surf.

Ta protection antivirale n'est pas excellente. Je te conseille de changer d'antivirus. Si tu en es d'accord je te dirai quoi faire.

Il vaudrait mieux que tu installes un parefeu contrôlant les connexions sortantes. Mon conseil est Online Armor. Tutoriel et lien de téléchargement ici :

http://www.malekal.com/tutorial_Online_Armor.php

@+

[invitedb62b290]

Re,

A première vuen ma version de java est à jour, je te poste le rapport.

Pour l'antivirus, si tu dispose d'un meilleur antivirus ( j'ai avast), je suis preneur.

@+

[invitec04351b8]

Re,

ma préférence va à Antivir :

http://www.malekal.com/tutorial_antivir.php

Je te donne un lien pour désinstaller proprement Avast :

http://www.avast.com/fre/avast-uninstall-utility.html

N'oublie pas que tu es vulnérable pendant ces opérations.

Déconnecte toi quand c'est possible.

Ne surfe que sur les sites nécessaires aux opérations.

Quand tu as terminé, tu fais redémarrer l'ordi et tu postes un nouveau rapport ZHPDiag.

@+

[invitedb62b290]

Bonjour,

je vous poste le rapport ZHPDiag après l'installation d'Antivir et la desinstallation d'Avast.

par contre, pour la version d'Antivir, j'ai installe Md5 : 5f57c07e08dec0fb93a612f708b710 31e de 32.45mb (et non pas md5 :89ac74081dd8087f45c3dd2629ecf 334 de 35.11mb).

Pourriez-vous me confirmer mon pc est sain, et que j'ai la bonne version d'Antivir.

Encore merci pour votre aide.

[invitec04351b8]

Re,

je ne peux pas voir la version de Antivir dans le rapport.

J'ai la version 9.0.0.70

Tu vois ça en ouvrant le Control Center (dans ta barre des tâches, le parapluie rouge) et en cliquant sur Aide, A propos ..., Informations de version.

Tu as une option Mise à jour, dont mise à jour du produit.

Tu as aussi la possibilité de lancer une mise à jour manuelle de la base virale.

Ne t'inquiète pas si tu as un peu de mal, c'est un des rares problèmes d'Antivir.

Quand tu auras la version à jour, lance un scan de ton poste de travail.

@+

[invitedb62b290]

Re,

Je poste le rapport de scan d'Antivir.

Merci.

[invitec04351b8]

Bonsoir,

ce rapport n'est pas inquiétant.

Vide la quarantaine de Antivir.

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

===

Télécharge ATF Cleaner par Atribune.
Double-clique ATF-Cleaner.exe afin de lancer le programme.

• Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

C'est un programme à utiliser tous les jours.

===
Ouvre ce lien :

http://service1.symantec.com/SUPPORT...20830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.

==
A moins que tu ais encore des soucis (ou des questions), on en a fini.

@+