Your PC is infected ! Gironde

[invite1b83d77d]

Bonjour ce matin, mon ordinateur a eu un problème important. Un programme s’est ouvert ( PC Tool) en scannant la machine dans laquelle il a trouvé 38 problèmes. Dans le même temps, l’image du bureau a disparu, remplacée par un message en rouge « YOUR PC IS INFECTED ! » et d’autres détails en anglais. Ce programme me proposait de l’acheter pour régler les erreurs. La machine a redémarré toute seule en donnant toujours les mêmes scans et informations. A ce moment, seuls les fichiers sur le disque dur s’ouvraient encore et toutes les applications refusaient de démarrer ( Word, Excel, le FAI, les jeux, etc..). Il me semble avoir vu que le fichier AvastSys.exe était infecté. J’ai arrêté la machine.
Plus tard, je l’ai démarré à nouveau et c’était toujours en défaut. Windows a fait un redémarrage d’urgence. Sur fond bleu, j’ai eu le temps de lire que le fichier NTFS.SYS avait un problème (si je ne me trompe pas !). Puis la machine a fini par repartir. Actuellement j’ai lancé Avast en scan et à 47 % du total, il a déjà trouvé 5 fichiers infectés.
Merci de votre aide
-----

[invite4c6c2965]

Salut,
Télécharge et installe Malwarebytes' Anti-Malware
Fait un scan Complet à la fin clique sur Supprimer la sélection
Accepte le reboot de l'ordi pour le nettoyage, puis poste le rapport final en P-J

NB: sur le tuto c'est le scan Rapide, faire le scan Complet
Aide en images.


Ensuite applique cette procédure Un malware ? Premiers gestes...
Ferme tes navigateurs pour le nettoyage ATF-Cleaner.

[invite1b83d77d]

Voici le rapport final.
De plus, quand j'ai redémarré la machine, le message suivant est apparu dans un encart RUNDLL :
"Erreur de chargement de C:\WINDOWS\wmgpihpc.dll
Le module spécifié est introuvable OK "

[invite1b83d77d]

Voici maintenant les messages Log et Info

[A voir en vidéo sur Futura]

[invite4c6c2965]

Désactive ton antivirus, car il risque de faire de fausses alertes sur le programme suivant.
Télécharge Ad-Remover (de C_XX) sur ton Bureau.
/!\ Ferme toutes les fenêtres actives, navigateur y compris /!\
Double clique sur le programme d'installation , et installe le dans son emplacement par défaut: ( C:\Program files )
Clique sur le raccourci pour le lancer
Au menu principal choisis l'option (Nettoyer)
Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report.log)

[invite1b83d77d]

J'ai exécuté ces instructions mais, au double clic, une fenêtre "Sous-système MS-DOS 16 bits" est apparue avec le message suivant :
" C:\DOCUME~1\MICHEL\Bureau\AD-R_2~1.EXE
Le processeur NTVDM a rencontré une instruction non autorisée.
CS:0745 IP:020a OP:65 63 68 61 72 Choisissez ‘Fermer’ pour mettre fin à l’application"
Sachant qu'ignorer ne donne rien, j'ai donc du fermer.

[invite4c6c2965]

Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.
Double-clique sur OTM.exe pour le lancer.
Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les
sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C
(ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

Code:

FS
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.msn.com"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7FF99715-3016-4381-84CE-E4E4C9673020}]
[-HKEY_CLASSES_ROOT\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}]
[-HKEY_CLASSES_ROOT\CLSID\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{7FF99715-3016-4381-84CE-E4E4C9673020}"=-
[-HKEY_CLASSES_ROOT\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"DATAMNGR"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=-
[HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
 
:Services
Bandoo Coordinator
 
:Files
c:\progra~1\wi9130~1
C:\Documents and Settings\MICHEL\Application Data\searchqutb     
C:\Documents and Settings\MICHEL\Application Data\Bandoo     
C:\Program Files\Windows Searchqu Toolbar     
C:\Documents and Settings\All Users\Application Data\Bandoo     
C:\Program Files\Bandoo     
 
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
[Reboot]

Ferme ton navigateur ainsi que les applications ouvertes sauf OTM.
Retourne dans la fenêtre de OTM, fais un clic droit dans la zone puis Coller.

Clique sur le bouton rouge
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\*******_******.log


NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes. (Quoi qu'il en soit redémarre l'ordi)

[invite1b83d77d]

A la fermeture de Windows, la machine ne réagissait plus au bout de 5 mn ; je l'ai donc relancé sans problème.
Voici le rapport joint.

[invite4c6c2965]

essaye de relancer AD-Remover comme indiqué plus haut.
puis relance RSIT et poste le nouveau rapport log.txt

[invite1b83d77d]

Le problème de ce matin 09h37 était en partie de ma faute. La version de Ad Remover était défaillante ; je l’ai donc téléchargé de nouveau à partir d’un autre site.
Puis j’ai relancé RSIT donc voici le résultat.

[invite4c6c2965]

ou est le rapport de AD-Remover ?

[invite1b83d77d]

Désolé j'avais mal compris la consigne.
Ce matin, j'ai donc relancé Ad-Remover mais curieusement le rapport n'est pas là où il devrait être.( J'ai essayé 2 fois et la ligne Ad-Remover disparait). Au cas où, je joins le document Sti qui a été généré par la machine à ce moment là.
Par ailleurs, j'ai relancé RSIT et voici le nouveau rapport Log.

[invite4c6c2965]

Ouvre le bloc-notes et fais un copier-coller de ce qui est en citation ci-dessous (copie tout d'un trait) :

Code:

REGEDIT4
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7FF99715-3016-4381-84CE-E4E4C9673020}] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]    
"AppInit_DLLs"=""
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7FF99715-3016-4381-84CE-E4E4C9673020}]
[-HKEY_CLASSES_ROOT\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}]
[-HKEY_CLASSES_ROOT\CLSID\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}]

Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

L'icône de fix.reg doit ressembler à cela
quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message
"voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui".

Ceci va supprimer les outils ayant servi à la procédure:
Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

NB: Pour Vista/Seven l'utilisation de l'outil nécessite de faire Clic-droit Exécuter en tant qu'administrateur.

[invite1b83d77d]

Voici le rapport ToolsCleaner.

2 questions pratiques : jusqu'à maintenant, j'utilisais SpyBot S&D ainsi que Spyware Terminator ; puis-je le ( ou les ) remplacer par malwarebytes Anti malware ?
Quand ces opérations en cours seront terminées, puis je supprimer ATF, Ad-remover, Fix et ToolsCleaner ?

Encore merci de ton aide et meilleurs voeux pour cette nouvelle année

[invite4c6c2965]

tu peux supprimer ToolsCleaner, les autres ont été supprimé par lui. Sauf ATF-Cleaner
tu peux te servir de ce dernier pour nettoyer les fichiers temporaires et le cache
des navigateurs tous les jours.
Si tu veux utiliser MBAM avec les fonctions de protections en temps réel il faudra prendre la version payante.
La gratuite ne sert qu'a nettoyer les infections, pas à les stopper en direct.

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P

Avoir une image disque pour faire un backup en cas de crash ou autres gros soucis

Bonne année et @+