Bonjour,
 
J'ai un soucis avec mon netbook, il y a 1 mois j'ai chopé le virus pendrive sur ma clé usb. Je l'ai viré en supprimant le fichier autorun.inf en ligne de commande, mais il n'arrête pas de revenir!
Au lancement de windows après quelques secondes sur le bureau j'ai plusieurs messages "packagefortheweb error - bad or missing header information" (erreur qui survient aussi quand j'ouvre ma clé usb avec le virus pendrive) suivis d'un plantage de firefox (que je n'ai pas lancé). Ensuite si je termine le processus firefox qui ne devrait pas être la, le processus explorer.exe devient tout fou et s'exécute plusieurs fois jusqu'à que mon pc soit bloqué.
 
Commet faire pour résoudre tous ces problèmes?
 
 
mon log hijackthis

ce post va être modéré si tu laisses le rapport visible héberge  le sur http://www.cijoint/fr et ne poste que le lien

ce log hijackthis n'est pas suffisant pour détecter une éventuelle infection par et de support amovibles
en conséquence voici ce que tu vas faire:
 

• Télécharge Random's system information tool  ,(RSIT) et enregistre le sur ton bureau.
• Sauvegarde tout travail en cours et fermes toutes les fenêtre actives avant de lancer RSIT  
• Double clique sur RSIT.exe pour lancer l'outil. (il est possible que le .exe ne soit pas visible sur ton ordinateur)  
• Sous vista ,clique droit sur le fichier et choisis "Exécuter en tant qu'administrateur".  
• Clique sur "continue" à l'écran Disclaimer.
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.  
• Une fois le scan fini , deux rapports vont être générés, un seul va apparaitre,c'est le log.txt, le second info.txt sera ouvert mais dans la barre des tâches.  

les deux rapports sont enregistrés sur ton disque dur, à la racine de C:\
 
voici les chemins d'accès=> C:\RSIT\log.txt & C:\RSIT\info.txt
 
héberge les sur ci-joint.fr et poste moi le/les liens
 
ne poste pas les rapports sur ce forum.
 
Rappel: (CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )  

info.txt
 
log.txt
 
Voila!

nous allons commencer par faire une recherche avec usbFix
 
Ferme toutes tes applications et enregistre le travail en cours.
 
Munis toi de tous tes supports amovibles (clés usb,disque durs externes,etc...)
 

• Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau
• tutoriel recherche
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d'avoir été infectés sans les ouvrir
• Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
• Choisi l'option 1 (recherche)
• Laisse travailler l'outil
• Ensuite héberge  le rapport UsbFix.txt qui apparaîtra sur ce site et poste moi le lien qui te sera fourni
• Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

Ferme toutes tes applications et enregistre le travail en cours.
 
Important: Ne poste pas le rapport directement sur ce forum
 
    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
              Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
              Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
 

Merci de ton aide : voici le usbfix.txt
 
Tu devrais faire un topic expliquant tout ca, c'est tout le temps la même chose, ca t'éviterait de te répéter tout le temps! Ça doit être chiant a force!

contrairement à ce que tu crois ce n'est pas toujours la même chose,même si ce sont souvent les mêmes outils qui sont utilisés
au début d'une désinfection c'est toujours simple mais cela se corse souvent, chaque PC est différent et ce qui est vrai ou bon pour l'un ne l'est pas forcément pour l'autre.
les rapports sont différents et les infections se cachent
d'ailleurs le tien est intéressant à ce sujet
 
en ce qui concerne les textes rassure toi je ne retape pas tout à chaque fois ,surtout que je pratique également sur d'autres forums,je suis sur hardware.fr que depuis ce week-end pour donner un coup de main à des amis qui sont en vacances  
 
quand aux topics d'explication il en existe déjà de nombreux sur la toile,mais faut croire que les internautes aiment bien être guidés.
 
je ne te cache pas que la partie la plus intéressante pour nous est celle qui ne se voit pas,l'analyse des rapports, l'étude des infections et leurs évolution, la recherche , la formation
 
bien ,sur ce passons à la suppression
 
l'infection a bien été repérée => tu dois maintenant relancer UsbFix pour supprimer l'infection sur tous les supports et les vacciner:
 

• tutoriel nettoyage
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau
• choisi l'option 2 ( Suppression )
• Ton bureau disparaîtra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
• ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
•  /!\ UsbFix te proposera d'uploader un dossier compressé à cette adresse : http://chiquitine.changelog.fr/Sample/Upload.php
• Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
• Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
• Il faut sélectionner "UsbFix" dans le menu déroulant
• Merci d'avance pour ta contribution !!

usbfix.txt
 
Voila c'est fait! J'ai pas eu de message d'erreur au démarrage de windows et le virus pendrive semble être supprimé (bien que le fichier autorun.inf soit toujours present)!
 
Merci de ton aide!

j'ai parlé trop vite... j'ai plus pendrive mais j'ai toujours le message d'erreur packagefortheweb error!

Tu as une autre infection sur ton système il s'agit d'une toolbar infectieuse "searchsettings" =>dealiotoolbar  
 
Pour info tu pourras lire cet article
 
Passe cet outil pour la supprimer: le scan peut être long et il progresse lentement ,si tu n'arrives pas à le lancer après l'avoir téléchargé tu désactiveras ton antivirus et ton pare-feu avant de le relancer
 

•  Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX)  
• Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
• Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
• Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"
• Au menu principal choisi l'option "L" et tape sur [entrée] .
• Laisse travailler l'outil et ne touche à rien ...
• heberge le rapport qui apparait à la fin surci-joint.fr et poste moi le lien qui te sera fourni.

( le rapport est sauvegardé aussi sous C:\Ad-report.log ) mets le au format *.txt en l'ouvrant avec le bloc note
 
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
 
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

ad-report-clean
 
J'ai toujours les messages d'erreurs au démarrage...

bonjour

normal,c'est le vaccin fait par UsbFix
 
à ce stade j'ai besoin d'un nouveau rapport rsit  
relance rsit par son raccourci sur le bureau et poste moi le lien pour le rapport généré
je n'ai besoin que du log.txt

Le nouveau log.txt !

Ad remover a fait son travail mais un intrus est encore présent
=>il faut maintenant utiliser un logiciel plus généraliste dans la suppression de malwares
    - le fameux "Malwarebytes Antimalware" que tu pourras conserver sur ton ordi et utiliser régulièrement.
 

• Télécharge Malwarebytes
• Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
• Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
• Lance une analyse complète en cliquant sur "Exécuter un examen complet"
• Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
• L'analyse peut durer un bon moment.....
• Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
• Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
• Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

   
    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

(Aucun élément nuisible détecté)
 
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2467r0ic-dw13-1r52-lw2o-ct58y50b62fm} (Generic.Bot.H) -> Quarantined and deleted successfully.
 
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hklm (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Agent) -> Quarantined and deleted successfully.
 
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
 
Dossier(s) infecté(s):
C:\WINDOWS\system32\system32 (Trojan.Agent) -> Delete on reboot.
 
Fichier(s) infecté(s):
C:\WINDOWS\system32\system32\explorer.exe (Generic.Bot.H) -> Delete on reboot.
C:\Documents and Settings\Remi\Application Data\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Remi\Local Settings\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Remi\Local Settings\Temp\XxX.xXx (Malware.Trace) -> Delete on reboot.

ben nickel j'ai plus le message d'erreur!
 
Merci pour ton aide!

ok, tu dois redémarrer pour que toutes les suppressions soient effectuées.
 
reposte moi ensuite un log.txt de rsit,n'oublie pas de l'héberger sur cijoint.fr
 
je sais ça fait beaucoup,désolé, mais c'est le seul moyen pour moi de constater le résultat obtenu

log.txt

je te confirme avec plaisir que ton PC est désormais exempt de malwares  
 
pour parfaire la désinfection et eviter de le réinfecter il nous reste quelques manips à faire
 
des logiciels sensibles ne sont pas à jour sur ton système,ceci est une faille de sécurité:
tu utilises une ancienne version de Adobe reader (8.1.7) la dernière est la 9.3.1  
je t'invite à désinstaller ton ancienne version par ajout/suppression du panneau de config et à installer la nouvelle
ce site  
sur Attention : avant le téléchargement, un programme optionnel est proposé (barre d'outil Google ou antivirus McAfee), n'hésitez pas à décocher ces programmes inutiles avant de cliquer sur télécharger.
 
de même des anciennes versions de Java sont présente sur ton ordi,tu dois toutes les désinstaller et installer la dernière 6 update 18. sur ce site
pense aussi à décocher la barre google proposée.
 
_______________________________________________________________________________________________
 
 
pour optimiser le demarrage de ton ordinateur rends toi sur
C:\Program Files\Trend Micro\HijackThis\Remi.exe
clique sur "Remi.exe"
Hijackthis va se lancer

• clique sur "do a system scan only"
• coche les cases devant les lignes ci-dessous:

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"    
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE    => Realtek Semiconductor®HD Audio Sound Effect Manager
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe  
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')    
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')  
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')      
O4 - Global Startup: BTTray.lnk = ?
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
 

• clique ensuite sur fix checked

_______________________________________________________________________________________________
 
nettoie le registre et les fichiers temp en te servant de ccleaner
 

• Télécharges et installes  C Cleaner :  

• Lance C Cleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures".
• Dans le menu nettoyeur , clique sur "Analyse.
• Ensuite clique sur le bouton "Lancer le nettoyage" et laisse le faire.
• Maintenant dans l'onglet "Registre" , clique sur "Chercher des erreurs"
• Réponds a OUI a la question qui te sera posée.
• Enfin , répare les erreurs en cliquant sur " Réparer les erreurs sélectionnés "
• recommence la recherche et la suppression des erreurs jusqu'à ce qu'il ne reste plus rien.
• un  tutoriel pour t'aider : <http://www.libellules.ch/phpBB2/ccleaner-t30432.html>

• Tu peux conserver ce logiciel et l'utiliser régulièrement.[/list]

 
_______________________________________________________________________________________________
 
Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :
 
 

• Télécharge Toolscleaner sur ton Bureau  
• Double-clique sur ToolsCleaner2.exe et laisse le travailler
• Clique sur Recherche et laisse le scan se terminer.
• Clique sur Suppression pour finaliser.
• Tu peux, si tu le souhaites, te servir des Options facultatives.
• Clique sur Quitter, pour que le rapport puisse se créer.
• Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta prochaine réponse

_______________________________________________________________________________________________
 
TRES IMPORTANT
 
Pour éviter de re-infecter ton ordinateur, tu vas maintenant supprimer les points de restauration et en créer un nouveau , pour cela:
 

• Il faut désactiver et réactiver la restauration système suis ce tutoriel pour t'aider.
• Il faut ensuite créer un point de restauration manuellement, pour t'aider suis celui-là

_______________________________________________________________________________________________
 
Enfin je t'invite à lire ce fichier pdf sur la sécurité sur Internet
il fait parti d'un projet anti malware et je t'invite à le diffuser autour de toi
 
Voilà ,fais tout cela calmement,rien ne presse,poste moi le lien vers le rapport de suppression de toolscleaner
et si tu es satisfait tu éditeras ton premier message pour modifier le titre et rajouter[RESOLU]
 
A+  
 

c'est tout bon, par contre j'ai pas de rapport toolcleaner.... mais je pense pas que ca soit très important!
 
Encore merci pour ton aide, et bonne continuation!

l'essentiel est qu'il ait supprimé les outils utilisés sauf "ccleaner" et" Malwarebytes" bien sûr
sinon tu les vires à la main ,rien ne sert de les garder car ils sont régulièrement mis à jour.
 
Salut