Malekal's forum

[akabaka]

bonjour;
on m'a donné un ordinateur portable infecté par??"Please wait while connection is being established "
ci joint le rapport otl:
http://pjjoint.malekal.com/files.php?id ... e5t7q11p11
je ne sais plus vraiment quoi faire.
d'avance merci

[hackinginterdit]

Bonjour

Redemarre sur reatogo • une fois le bureau de reatogo chargé , tu lances OTLPE , l'icone jaune

sous Custom Scan/fixes copie_colle le contenu du cadre ci dessous depuis Rien et clic RUNFIX

rien
:OTL
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [B64Fu7wxCKTba7x] C:\Users\Whitee\AppData\Roaming\ArchiverforWin.exe ()
O4 - HKU\Whitee_ON_C..\Run: [B64Fu7wxCKTba7x] C:\Users\Whitee\AppData\Roaming\ArchiverforWin.exe ()
O4 - HKU\Whitee_ON_C..\Run: [cacaoweb] C:\Users\Whitee\AppData\Roaming\cacaoweb\cacaoweb.exe ()
O7 - HKU\Whitee_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Whitee_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Whitee_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (C:\Users\Whitee\AppData\Roaming\ArchiverforWin.exe) - C:\Users\Whitee\AppData\Roaming\ArchiverforWin.exe ()
O20 - HKLM Winlogon: UserInit - (C:\Users\Whitee\AppData\Roaming\ArchiverforWin.exe) - C:\Users\Whitee\AppData\Roaming\ArchiverforWin.exe ()
O20 - HKU\Whitee_ON_C Winlogon: Shell - (C:\Users\Whitee\AppData\Roaming\ArchiverforWin.exe) - C:\Users\Whitee\AppData\Roaming\ArchiverforWin.exe ()
O20 - HKU\Whitee_ON_C Winlogon: UserInit - (C:\Users\Whitee\AppData\Roaming\ArchiverforWin.exe) - C:\Users\Whitee\AppData\Roaming\ArchiverforWin.exe ()
MsConfig - StartUpFolder: C:^Users^Whitee^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^DesktopVideoPlayer.LNK - C:\Program Files\vghd\vghd.exe - (Totem Entertainment)
MsConfig - StartUpFolder: C:^Users^Whitee^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Gangsters2Setup.lnk - - File not found
MsConfig - StartUpReg: MyWebSearch Plugin - hkey= - key= - File not found
MsConfig - StartUpReg: nfbzlq - hkey= - key= - File not found
MsConfig - StartUpReg: NvCplDaemon - hkey= - key= - File not found
MsConfig - StartUpReg: NVHotkey - hkey= - key= - File not found
MsConfig - StartUpReg: NvMediaCenter - hkey= - key= - File not found
MsConfig - StartUpReg: SigmatelSysTrayApp - hkey= - key= - File not found
MsConfig - StartUpReg: SiteVacuum - hkey= - key= - File not found
MsConfig - StartUpReg: Windows Defender - hkey= - key= - File not found
[2008/05/31 09:30:55 | 000,435,102 | ---- | C] () -- C:\Users\Whitee\AppData\Local\nfbzlq_nav.dat
[2008/05/31 09:30:55 | 000,005,065 | ---- | C] () -- C:\Users\Whitee\AppData\Local\nfbzlq.dat
[2008/05/31 09:30:55 | 000,000,323 | ---- | C] () -- C:\Users\Whitee\AppData\Local\nfbzlq_navps.dat
:Files
@Alternate Data Stream - 76 bytes -> C:\Users\Whitee\Desktop\Metro 2033 Crack Only-Razor1911:Roxio EMC Stream
:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"Shell"="explorer.exe"

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, surtout ne pas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt << poste le

Vérifie que windows démarre.
Si tes icones de Bureau ont disparues , clic droit sur le bureau \ réorganiser les icones par \ coche afficher les éléments du bureau


Internet Explorer (Version = 7.0.6001.18000) = faille de sécurité donc à mettre a jour via windows update

Désinstalle via programmes et fonctionnalités
Ask toolbar
DAEMON Tools Toolbar

• Sur cette page AdwCleaner de Xplode , clique sur Télécharger et enregistre le fichier sur ton Bureau
  
• Ferme toutes les applications, y compris ton navigateur
  
• Relance AdwCleaner par un double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
  
• A la fin du scan, un rapport AdwCleaner.txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner.txt

[akabaka]

Merci de m'accompagner pour ce cas et pour la réponse rapide.

L'ordi a bien redemarre en mode normal, par contre j'ai mis du temps a faire toutes les mises a jour, car il n'y avait pas que IE 7 a mettre a jour, vista était encore en sp1...

Voici donc le rapport de scan OTL : http://pjjoint.malekal.com/files.php?id ... 13l6b13i10 et celui de adw cleaner : http://pjjoint.malekal.com/files.php?id ... 14p14s13q9

Par contre, le pc est toujours tres lent, 10 min pour lancer Firefox...

Cordialement.

[hackinginterdit]

Bonjour,

Il ne faut qu'un antivirus par PC là je vois Avast 5 si tu conserves avast mettre la version 7 pas a jour et McAfee, supprimes en 1
Et spybot qui est obsolète tu peux le supprimer
Firefox est à jour? on en est à la version 13 pour voir quel version tu as : http://

En ce qui concerne : aide Please wait while connection is being established

C'est OK !

===> supprime c:\_OTL

===>> Relance le programme adwcleaner.exe situé sur ton Bureau.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
Dans la fenêtre principal, choisis l'option Désinstallation, et valide avec "Oui"
Supprime ensuite le fichier adwcleaner.exe sur ton bureau.

Il faut lire ces instructions sinon ça reviendra !!!!

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash

Java: http://www.java.com/fr/download/installed.jsp

Adobe reader : http://get.adobe.com/fr/reader/
Décoche la case Oui, installer McAfee Security Scan Plus (facultatif) (0,98 MO)

Adobe flash Player: http://get.adobe.com/fr/flashplayer/
Décoche la case Oui, installer McAfee Security Scan Plus (facultatif) (0,98 MO)

filtrer les publicités avec Ad-Block par exemple, pour le navigateur WEB, se reporter au billet :
Sécuriser Firefox

Lire les toolbars c'est pas obligatoire: les-toolbars-est-pas-obligatoire-t6173.html

Télécharge TFC par OldTimer sur ton Bureau à utiliser régulierement :

* Fais un double clic (clic droit executer en tant qu'administrateur avec vista\7) sur TFC.exe pour le lancer.
* L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que tu as sauvegardé tout ton travail en cours avant de commencer.
* Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
* Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système; sinon redemarre manuellement

bon week-end