Index du forum Protection et virus Anti-pourriel (Spam) Est-ce prudent d'effacer à la main une entrée de registre

Est-ce prudent d'effacer à la main une entrée de registre

Modérateurs: ExpertDuForum, insertech-mod-internes



Messages: 280
Récemment, j'ai attrapé le trojan Security toolbar 7.1. J'ai utilisé Spybot et Adaware 2008 pour nettoyer ce Security Toolbar ainsi qu'un autre virus détecté.

Cependant, XoftSpySE (un autre antispyware téléchargé) a détecté 3 entrées de registre contaminées par "adware.win32.E404.bc". Il faut acheter ce logiciel pour effacer ces entrées de registre contaminées. J'ai trouvé ces entrées de registre mais j'ai peur de toucher à cela. Puis-je vous envoyer un log de HijackThis pour m'aider à détecter et effacer le mauvais?

rene3 Expert Administrateur du Forum
Expert Administrateur du Forum

Messages: 5398
Localisation: Gatineau
ffaucher a écrit:
Récemment, j'ai attrapé le trojan Security toolbar 7.1. J'ai utilisé Spybot et Adaware 2008 pour nettoyer ce Security Toolbar ainsi qu'un autre virus détecté.

Cependant, XoftSpySE (un autre antispyware téléchargé) a détecté 3 entrées de registre contaminées par "adware.win32.E404.bc". Il faut acheter ce logiciel pour effacer ces entrées de registre contaminées. J'ai trouvé ces entrées de registre mais j'ai peur de toucher à cela. Puis-je vous envoyer un log de HijackThis pour m'aider à détecter et effacer le mauvais?


Bonjour,
tu ne parles pas du tout de ton antivirus. Lequel as-tu? As-tu fait une analyse de ton ordinateur avec ton antivirus?

Je te suggère d'abord de faire une analyse avec ton antivirus puis d'utiliser le logiciel gratuit Superantispyware. Télécharge la version gratuite:
http://www.superantispyware.com/

voir ce tutorial:
http://www.malekal.com/tutorial_SUPERAntiSpyware.html

Dans un 2e temps, si tout n'est pas réglé, applique la procédure recommandée par le forum:
procedure-pour-pre-nettoyer-votre-ordinateur-t5649.html

Marc Avatar de l’utilisateur
Expert Administrateur du Forum
Expert Administrateur du Forum

Messages: 9374
Localisation: Saint-Jean-Sur-Richelieu
Bonsoir.

je déconseille l'utilisation de XoftSpySE, utilisez plutôt Superantispyware.
Un bon avocat connait la loi, mais le meilleur lui, y connait le juge.

Image


Messages: 280
FF: J'ai l'antivirus Eset NOD32. Quand j'ai attrapé le Trojan Security Toolbar 7.1, NOD32 a mis cette barre en quarantaine et je l'ai effacée. Depuis, il n'a rien trouvé d'autre.
J'ai déjà utilisé SuperAntiSpyware qui n'a rien trouvé d'autre que des cookies.

Adaware a supprimé un virus supplémentaire.
XoftSpySE mentionne les 4 entrées de registre contaminées par Adware.win32.E404.bc. J'ai trouvé ces 4 entrées manuellement. Je me demandais s'il suffisait de les supprimer ou si habituellement un antispyware reconstruit ces entrées.


Messages: 280
FF: J'ai aussi téléchargé Spynomore et d'autres. Ils donnent tous des résultats différents. Je vais essayer encore avec Superantispyware.

rene3 Expert Administrateur du Forum
Expert Administrateur du Forum

Messages: 5398
Localisation: Gatineau
Bonjour,

dans la 2e étape recommandée, c'est à dire utiliser la procédure de pré-nettoyage du forum, tu vas désactiver la restauration système et travailler en mode sans échec avec de nouveaux logiciels.

Cette étape est importante car elle permet en vidant la restauration système de s'assurer que rien ne demeure caché à cet endroit. En travaillant ensuite en mode sans échec, elle va permettre aux logiciels de sécurité de travailler sans interférences des autres logiciels installés.

Nous recommandons Superantispyware car en plus d'être gratuit, il travaille très bien en mode sans échec.

Marc Avatar de l’utilisateur
Expert Administrateur du Forum
Expert Administrateur du Forum

Messages: 9374
Localisation: Saint-Jean-Sur-Richelieu
Bonjour.

Il faut faire attention, à ce qu'un antispyware trouve. Xoftspy, a comme réputation de trouver des spywares, qui par d'autres logiciels du genre, ne trouvent pas. Ce sont souvent de faux spywares, et pire encore, on vous installe des cochonneries, pour ensuite vous appercevoir, que votre "nouveau anti machins" les trouve!!!! Mais pour les éliminer, vous devez acheter leurs produits... :roll: Donc avant tout, passez sur notre forum, pour nous demander, quoi on pense d'un anti machin en particulier. Moi et René, sommes assez bien informé sur le sujet. Nous sommes comme des cobaye, on essait tout, ou presque... :wink:
Un bon avocat connait la loi, mais le meilleur lui, y connait le juge.

Image


Messages: 280
[quote="rene3"]Bonjour,

Je me suis trompé et ai téléchargé Superantispyware professional au lieu du free edition. Cela fait-il l'affaire quand même? Pour la désactivation du système, cela va-t-il se replacer au même endroit lors de la réactivation?

Merci.

Marc Avatar de l’utilisateur
Expert Administrateur du Forum
Expert Administrateur du Forum

Messages: 9374
Localisation: Saint-Jean-Sur-Richelieu
ffaucher a écrit:
rene3 a écrit:
Bonjour,

Je me suis trompé et ai téléchargé Superantispyware professional au lieu du free edition. Cela fait-il l'affaire quand même? Pour la désactivation du système, cela va-t-il se replacer au même endroit lors de la réactivation?

Merci.

Bonsoir.

Ce n'est pas grave, la différence, est que cette version va expirer dans le temps, soit 15 ou 30 jours, ensuite vous pourrez télécharger la version "free". Aussi, je ne recommande absolument pas de "jouer" dans la base de registre, à moins d'y être habilité. Une simple erreur, et votre ordi, devient inutilisable. Un bon anti virus ou anti spyware fera le travail de supprimer les mauvaises clés. Tout ce qui est en quarantaine, est innofensif, et oui vous pouvez supprimer le contenu de la quarantaine. Rien ne sert de conserver des cochonneries :wink: Avant de faire un log Hijackthis faite la procédure de pré-nettoyage, elle est en bas dans ma signature. Pour le Hijackthis voiçi la procédure:

Suivre à la lettre:

Premièrement il faudra désactiver la restauration système,et ensuite la réactiver à la fin de la procédure.

Désactivation de la Restauration du système
Pour désactiver la Restauration du système, procédez comme suit : 1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.
2. Cliquez sur l'onglet Restauration du système.
3. Activez la case à cocher Désactiver la Restauration du système (ou la case à cocher Désactiver la Restauration du système sur tous les lecteurs), puis cliquez sur OK.
4. Cliquez sur Oui lorsque vous êtes invité à désactiver la Restauration du système.

Activation de la Restauration du système
Pour activer la Restauration du système, procédez comme suit : 1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.
2. Cliquez sur l'onglet Restauration du système.
3. Désactivez la case à cocher Désactiver la Restauration du système (ou la case à cocher Désactiver la Restauration du système sur tous les lecteurs), puis cliquez sur OK.

Téléchargez :
http://www.infos-du-net.com/telecharger ... 1-454.html


Créez un dossier pour y placer HijackThis. Il est important de placer ce fichier dans un dossier qui lui est réservé car ce dossier sera utilisé pour les sauvegardes réalisées par HijackThis. Si vous l'exécutez depuis un fichier compressé, comme un fichier zip, au lieu de le lancer depuis un dossier, les sauvegardes ne seront pas faites.Donc avant de télécharger le logiciel,cliquez droit dans un endroit,vide du bureau,clic sur "nouveau" puis sur "dossier".Quand vous téléchargerez,le logiciel,vous faite enregistré,et placez ce logiciel dans le dossier que vous venez de créer.

Démarrez le logiciel,clic sur "do a system scan and save a logfile"C'est le résultat de celui-ci,que vous devrez copié/collé sur le forum,et nous vous guiderons à savoir quoi supprimer.

Bonne chance.
Un bon avocat connait la loi, mais le meilleur lui, y connait le juge.

Image


Messages: 280
[quote="Marc"][quote="ffaucher"][quote="rene3"]Bonjour,

J'ai scanné mon système avec Superantispyware et deux autres antispywares. Voici les résultats:

Superantispyware: 1 cookie

Spyware Terminator: 2 Trojan.BWS.Backer.FV

Malwarebytes' Anti-Malware 1.17: 1 infection Trojan BHO in C:\Windows\system32
12 infections Trojan ZLOB dans diverses entrées de registre.

Ces deux derniers logiciels sont des freewares et m'ont supprimé ces infections.

Marc Avatar de l’utilisateur
Expert Administrateur du Forum
Expert Administrateur du Forum

Messages: 9374
Localisation: Saint-Jean-Sur-Richelieu
Bonjour.

Vous dites "supprimés" Mais avez-vous fait ces analyses avec la restauration système désactivée? C'est important car, la plupart du temps ces cochonneries s'installent dans le restore file, et le restore file est bloqué par défaut par Windows, donc innaccessible par aucun antispy. Mais Superantispyware, lui a accès au restore file, ce qui est un plus pour lui. Souvent les antispywares, supprime un spyware, mais pas certaines entrées de régistres, c'est ce que Hijackthis fait, donc c'est pour cela, que Hijackthis doit être utilisé en dernier recours seulement.
Un bon avocat connait la loi, mais le meilleur lui, y connait le juge.

Image


Messages: 280
Bonjour,

Je vais reprendre le scan des deux derniers antispywares avec la restauration système désactivée.


Messages: 280
[quote="ffaucher"]Bonjour,

Résultat des nouveaux scans avec restauration du système désactivée:

Ad-Aware 2008: 1 infection Win32.Trojan.Spy.Banker
Malware's Anti-Malware: 0
Super AntiSpyware: 0
Spyware Terminator: 0
Spybot: 0

Je joins le fichier log de HijackThis. Vous serez gentils d'examiner ce log pour être sûrs que plus rien ne reste de malveillant et cette intervention pourra être close.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:39:29, on 2008-06-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
D:\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Program Files\Creative\MediaSource\Go\CTCMSGo.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
D:\Hijackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://classicalguitarmidi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://classicalguitarmidi.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Program Files\Creative\MediaSource\Go\CTCMSGo.exe /SCB
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.classicalguitarmidi.com
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/ ... 6238821703
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 4776193640
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O20 - Winlogon Notify: !SASWinLogon - D:\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 5734 bytes

Marc Avatar de l’utilisateur
Expert Administrateur du Forum
Expert Administrateur du Forum

Messages: 9374
Localisation: Saint-Jean-Sur-Richelieu
Bonsoir.

Les lignes suivantes sont à supprimer:

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"

O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE

O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Program Files\Creative\MediaSource\Go\CTCMSGo.exe /SCB

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Crawler Search - tbr:iemenu Si cette entrée ne vous dit rien, supprimez-là.

O15 - Trusted Zone: http://www.classicalguitarmidi.comSi cette entrée ne vous dit rien, supprimez-là.

=============================

Les lignes mentionnées, ne sont pas des infections, mais les lignes 04, sont des logiciels, qui démarrent avec Windows, et ralentissent considérablement le démarrage. Vous allez noter, une amélioration au point de vue vitesse de démarrage de Windows. La ligne 015, si ça vous dis rien, supprimez-là. Pour le reste votre log est sans infections.

Pour supprimer les lignes suggérées, vous refaites un scan Hijackthis, "scan only" ensuite vous cochez les lignes mentionnées, dans le carré à gauche, et cliquez "fix checked", refaite moi un autre scan, comme au tout début, et postez-moi le log, question de voir si tout est OK.

Merci.
Un bon avocat connait la loi, mais le meilleur lui, y connait le juge.

Image


Messages: 280
[quote="Marc"]Bonsoir.

Merci pour l'information. N'y a-t-il pas un risque à supprimer la 1ère (UpdReg): je pense qu'elle met à jour (ou sauve) la base de registre de Windows à chaque départ?

Il est vrai que mon système est moins vite depuis peu (installation de la barre Crawler à mon insu) que j'ai pourtant supprimée depuis.

Au fait, comment peut-on sauvegarder votre message du forum pour consultation ultérieure sur mon disque dur?

Merci.

Suivante

Retourner vers Anti-pourriel (Spam)