Procédure de décontamination tirée de http://assiste.forum.free.fr/viewtopic.php?t=2109
en mai 2008, et recommentée par GT (en marron sur fond vert)

NOTA: l'auteur de cette procédure la considère maintenant obsolète et potentiellement dangereuse, et recommande cette nouvelle procédure.

---

Procédure avant de demander de l'aide
Cette procédure s'appelait, initialement, "La Mini Manip"

Préliminaires Avant Décontamination (PAD)

Quelle que soit la raison (contamination, analyse approfondie ou simple état des lieux) qui vous conduit ici, vous serez amené à utiliser deux fois un outil appelé HijackThis. Celui-ci produit un journal (un "log" ou "rapport"). Ce journal donne la liste des contenus des emplacements utilisés par Windows lors de son démarrage et d'autres emplacements connus pour être utilisés par les parasites. Il y aura donc 2 journaux HijackThis que nous vous demandons de sauvegarder sous les noms HJT1.txt et HJT2.txt :

1. Le premier, HJT1.txt, sera à produire et sauvegarder avant l'exécution de la procédure "PAD". Nous pourrions être amenés à le consulter.
2. Le second, HJT2.txt, sera à produire et recopier sur le forum, après l'exécution de la procédure "PAD", en posant votre question, afin que nous l'analysions.

Attention ! HijackThis produit un journal de tout ce qui se lance au démarrage de Windows (et liste quelques paramètres) et uniquement cela. Il centralise en une unique liste ordonnée et méthodique des informations éparpillées un peu partout dans Windows.

• HijackThis ne porte aucun jugement sur les éléments de cette liste. Ce n'est pas du tout un outil d'analyse comme peuvent l'être un antivirus ou un anti-trojans.
• HijackThis, lors de l'établissement de son journal, ne supprime aucun fichier ni aucune entrée de la base de registre.
• HijackThis ne consulte que quelques emplacements privilégiés de votre ordinateur à l'exclusion de tout le reste. Il ne regarde pas vos disques, répertoires, fichiers etc. ...
• HijackThis produit une liste qui comporte tous les éléments complètement légitimes et totalement indispensables au fonctionnement de votre ordinateur comme les composants de Windows lui-même, votre antivirus, votre anti-trojans, votre pare-feu etc. ...

Seuls les membres entraînés et agréés de notre encadrement (les "assistants" ou, en anglais, les "Helpers") sont à même d'interpréter ces journaux et vous donner les instructions éventuelles à suivre.

Assiste.com a écrit:

N'utilisez pas la fonction de réparation ("Fix checked") de HijackThis de votre propre initiative.

Avant de nous communiquer votre second journal HijackThis nous allons vous faire exécuter plusieurs outils de décontamination et de nettoyage de votre système dont une analyse complète. Ceci est extrêmement important car, d'une part, HijackThis ne balaye pas tout votre système et, d'autre part, ceci place les personnes qui vous aident (les "Assistants") dans un contexte assurément plus sain et nettoyé d'un large spectre des parasites communs pour lesquels il existe des outils. Ainsi, les parasites simples comme les

• Adwares,
• Spywares,
• Vers,
• Chevaux de Troie,
• Virus ,
• Backdoor - Porte dérobée,
• Cookies à spywares
  
• Hijackers
  
• Etc. ...

seront déjà éliminés. Nous vous ferons également utiliser un outil de nettoyage de votre système dont le comportement améliorera les performances globales de votre ordinateur et détruira tous les fichiers et répertoires temporaires dans lesquels peuvent se cacher des infections.

Cette procédure a donc deux buts :

1. Une analyse et un nettoyage approfondis de votre système des parasites "simples" les plus communs
2. La présentation aux "Assistants" de rapports plus dépouillés, leur permettant de se concentrer uniquement sur les parasites contre lesquels les outils automatiques échouent. N'oubliez jamais que les "Assistants" sont des volontaires bénévoles qui prennent sur leur temps, leur vie de famille, leurs obligations, leur travail... pour vous aider.

Il est possible qu'après une telle procédure vous n'ayez même plus besoin de nous consulter. Dans ce dernier cas, il est vital de suivre les recommandations du Kit de Sécurité et d'implémenter les couches de protection suggérées pour maintenir dans le temps le bon état de fonctionnement de votre ordinateur et la protection de votre vie privée.

Si vous pensez, toutefois, que votre ordinateur comporte encore une infection, nous vous invitons alors à produire le second journal HijackThis et à nous consulter dans notre sous forum dédié aux analyses des journaux HijackThis.

Votre respect de cette procédure Préalable à la Décontamination ("PAD") permettra aux "Assistants" d'être plus efficaces et de gagner du temps. En conséquence, nous pourrons dépanner un plus grand nombre de demandeurs.

Assiste.com a écrit:

Les analyses de journaux faisant ressortir l'absence d'exécution de la procédure PAD seront abandonnées et les sujets de discussion fermés. Bien vouloir attendre 3 jours avant de relancer un sujet (faire un "up") si personne n'a répondu. Une charte spécifique aux analyses des journaux HijackThis doit être lue : http://assiste.forum.free.fr/viewtopic.php?p=63481

Suivez attentivement les instructions. A la moindre hésitation, au moindre besoin d'éclaircissement, consultez-nous. Nous pensons cette procédure détaillée et suffisamment didactique pour être employée même par un débutant total mais ne faites jamais rien avec hésitation et sans comprendre - vous mettriez en péril votre ordinateur et nous procureriez un surcroît de travail pour redresser votre machine. Nous n'avons peut-être pas été assez clair dans la "PAD" et votre remontée d'information nous aiderait à l'améliorer, ce dont nous vous serions reconnaissant, donc n'hésitez pas à nous consulter, à poser des questions et à demander des explications.

Nota:
De nombreux utilitaires gratuits vont être utilisés. Cette gratuité s'entend souvent dans le cadre d'un usage sur un ordinateur "domestique" (à la maison, pour un usage non professionnel, etc. ...). Les clauses et conditions de chacun de ces logiciels sont réputées avoir été lues par vous même et emportent votre compréhension et adhésion.

Allons-y !

Au vu de la longueur de la procédure, nous vous conseillons de l'imprimer ou d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur votre PC (Note: vous n'aurez pas accès à l'Internet à partir de l'étape 4).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément vous paraît obscur, demandez des explications avant de commencer la désinfection.

Il vous sera demandé à plusieurs reprises de "redémarrer en mode sans échec" - vous êtes censés savoir le faire (voir Démarrer / Redémarrer en mode "sans échec")

Description obligatoire de votre configuration matériel et logiciel
L’analyse détaillée d’un problème profond sur votre machine nécessite la description de votre configuration matériel et logiciel afin que nous puissions vous aider en connaissance de cause. Au lieu de mettre plusieurs lignes de texte dans votre signature pour décrire ceci, ce qui est déjà une première approche, souhaitable mais peu esthétique, nous avons mis en place un forum destiné à ces descriptions de configurations (avec une matrice de description qu'il vous reste à compléter). Ajoutez ensuite un lien discret vers cette description dans votre signature (voir le forum "Mes configs" à http://assiste.forum.free.fr/viewforum.php?f=111 ).

Note: Ces manipulations doivent être effectuées en ayant ouvert une session avec les droits "Administrateur", maintenant comme un peu plus tard lorsqu'il vous sera demandé de redémarrer en mode "sans échec" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)

1. Téléchargement des outils dont nous allons nous servir
   Téléchargement des dernières versions des outils dont nous allons nous servir. Ceci est fait maintenant car la suite de la procédure se déroulera sans connexion Internet.
   
   1. CCleaner (Choisissez la version "Slim" - Nous vous recommandons de conserver définitivement ce programme donc installez le à son emplacement définitif)
      
   2. VundoFix - Par un clic droit sur ce lien, enregistrer ce fichier sur le Bureau.
      
   3. VirtumundoBegone - Par un clic droit sur ce lien, enregistrer ce fichier sur le Bureau. Ce programme ne fonctionne pas sous Windows Vista.
      
   4. SmitfraudFix - Par un clic droit sur ce lien, enregistrer ce fichier sur le Bureau. NOTA: Panda security trouve le trojan Rebooter.J dans le répertoire qui se crée lors de l'utilisation de SmitfraudFix, et plus précisément dans C:\Users\mon_login\Desktop\SmitfraudFix\Reboot.exe . Dans le doute, je me suis abstenu de l'utiliser.
   5. Navilog1 - Par un clic droit sur ce lien, enregistrer ce fichier sur le Bureau.
      
   6. HijackThis
      Téléchargement et installation de HijackThis
      Téléchargez HijackThis version 2.0.2 de Trend .
      Prendre plutôt sur http://www.trendsecure.com/portal/fr/tools/security_tools/hijackthis/download  la version "exécutable seul" et la mettre dans un répertoire de son choix (éventuellement la laisser sur le bureau).
      A la question "Please choose the path you would like HijackThis installed to" (Choisissez le répertoire où installer HijackThis), installez-le :
      
      1. dans un répertoire NON Temporaire (afin de conserver les sauvegardes qu'il fait)
         
      2. en le renommant en ce que vous voulez (vazyjack.exe etc. ...) car certains parasites (dont Virtumundo) détectent l'exécution de HijackThis et suspendent leur exécution pour se rendre indétectables (pour le parasite Virtumundo, des lignes des sections O2 et O20 du rapport HijackThis manqueraient).
      Avis aux assistants (helpers) : Ne pas faire utiliser régulièrement le même nom et ne pas utiliser de convention de nommage (ne pas faire utiliser le "login" de l'internaute, par exemple).
   
   
   
2. Assurez-vous de bien voir tous les fichiers et tous les répertoires
   Consultez cette page et, selon votre version de Windows, faites ce qui est préconisé.
   http://assiste.com/p/comment/comment_voir_les_fichiers_et_repertoires_caches.html
   
   
3. Première exécution de HijackThis
   Votre ordinateur est démarré normalement (ne pas démarrer en mode "sans échec") et vous êtes sous un compte avec droits administratifs (ne pas utiliser le profil d'utilisateur (le compte) appelé "Administrateur" (que l'on peut voir lorsque l'on démarre en mode "sans échec") qui est un compte spécial). Exécutez HijackThis afin de produire un journal préliminaire que vous conserverez sous le nom de HJT1.txt.
   
   
4. Identifiez tous les programmes suspects
   Allez dans :
   Démarrer > Panneau de configuration > Ajouter ou supprimer des programmes
   Identifiez (ne désinstallez pas maintenant - ne désinstallez pas tant que vous êtes connectés au Net) tous les programmes suspects.
   Pour vous aider à prendre une décision, vous pouvez consulter les bases de données suivantes :
   http://forums.majorgeeks.com/showthread.php?t=79754
   http://assiste.com/p/craptheque/craptheque.html
   http://www.bleepingcomputer.com/uninstall/ 
   Le mieux est de loin de copier le log de HijackThis dans la fenêtre de http://www.hijackthis.de/index.php?langselect=french, et d'attendre un instant le résultat de l'analyse.
   
   
5. Couper toute connexion avec le Net
   Le plus sûr et le plus simple est de débrancher le câble.
   
6. Désactivez tous les modules de surveillance temps réel
   Certains utilitaires de sécurité que vous avez peut-être installés disposent de modules de protection (surveillance des modifications apportées à la base de registre, surveillance des ajouts / modifications / suppressions de fichiers dans les répertoires système etc. ...) fonctionnant en temps réel (souvent appelés "boucliers temps réel"). Ces modules vont interférer avec les manipulations suivantes. Ils doivent être désactivés (pensez à les ré-activer ensuite). Parmi ces utilitaires comportant des "boucliers temps réel", on trouve :
   
   • SpyBot Search & Destroy (module appelé "Tea Timer")
     
   • Ad-aware version commerciale (module appelé "Ad-watch")
     
   • AVG Anti-Spyware (bouclier résident, version payante)
     
   • SpywareGuard
     
   • PrevX
     
   • ProcessGuard
     
   • Windows Defender
     
   • SpySweeper
     
   • Gardien de RogueRemover Pro
     
   • ScriptBlocking de Norton
     
   • RegFreeze
     
   • CounterSpy
     
   • RegProt
     
   • System Safety Monitor
     
   • InVircible
     
   • Abtrusion Protector
     
   • Viguard
     
   • Etc. ... dont tous les "contrôleurs d'intégrité"
   Si vous ne savez pas comment procéder pour désactiver ces fonctions, consultez-nous.
   Egalement, certains pare-feux disposent de fonctions similaires.
   
   
7. Utilisez Ccleaner
   
   • Installez CCleaner Slim dans un dossier spécifique, par exemple C:\ccleaner
     
   • Lancez le programme.
     Note: il est inutile de modifier les paramètres autres que ceux indiqués ci-dessous:
     Si nécessaire, allez dans Options et choisir le langage: Français.
     
     • Dans le menu Nettoyeur - onglet Windows, cochez:
       Internet Explorer: Fichiers Internet Temporaires, Cookies
       Système: Videz la Poubelle, Fichiers Temporaires, Presse-papiers
       Avancé: Vieilles données du Prefetch
       
     • Dans le menu Options - sous-menu Avancé, décochez:
       Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
       
     • Dans le menu Nettoyeur - onglet Applications, cochez:
       Internet: Sun Java
       
     • Si cela est possible, dans le menu Nettoyeur - onglet Applications, cochez:
       Firefox/Mozilla: Cache Internet, Cookies
   • Cliquez sur Analyse
     
   • Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que vous voulez absolument conserver.
     
   • Dans le menu Nettoyeur, cliquez sur le bouton Lancer le nettoyage.
     
   • Fermez le programme.
   
   
   
8. Pour les victimes du parasite Virtumundo (Vundo, Virtumonde, VBStat, MSEvents) uniquement
   Pour ceux ayant installé, à leur insu ou volontairement, l'un des logiciels listés sur cette page (soit : WinAdBlocker, WinAntiSpam, WinAntiSpy, WinAntiSpyware, WinAntiSpyware Pro, WinAntiVirus, WinAntiVirus Pro, WinContentFilter, WinDriveCleaner, WinFireWall, WinFixer, WinNanny, WinPopupGuard, WinPrivacyGuard, Error Safe...), exécutez la procédure d'éradication de Virtumundo. Cette procédure éradiquera le parasite implanté par ces logiciels crapuleux (les logiciels crapuleux eux-mêmes pouvant généralement être supprimés par la procédure standard de Windows "Ajout/Suppression de programmes").
   
   Etes-vous infesté par Virtumundo ?
   
   
   • Symptômes exécutifs pouvant faire penser à une contamination par Virtumundo (Vundo) :
     Nota : l'instabilité d'un système n'est pas un symptôme suffisant.
     
     • L'un des logiciels Winmachin... listé ci-dessus est installé ou tout logiciel ayant une consonance proche
       
     • Fenêtres publicitaires de type pop-up pour des prétendus logiciels de sécurité
       
     • Toute allusion (liens URLs...) au domaine Amaena.com
     
     
   • Symptômes déductifs pouvant faire penser à une contamination par Virtumundo (Vundo) :
     
     • Présence simultanée dans le journal HijackThis d'une paire de lignes de type O2 et O20 comportant le même nom aléatoire de fichier de type .dll. Exemple :
       O2 - BHO: (no name) - {2D81C3CA-5A42-4D14-B119-CCFD483CAE09} - C:\WINDOWS\system32\ljjkhhe.dll
       O20 - Winlogon Notify: ljjkhhe - ljjkhhe.dll
       
       Le BHO, dans cette paire de lignes, pouvant être de l'un des types suivants :
       O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINNT\system32\nnlij.dll (file missing)
       O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINDOWS\System32\mlljk.dll
       O2 - BHO: MFCOptimizeClass Object - {C25FA7CE-23EA-4271-A66D-06C4D5C22F78} - C:\WINDOWS\System32\hggef.dll
       O2 - BHO: (no name) - {2D81C3CA-5A42-4D14-B119-CCFD483CAE09} - C:\WINDOWS\system32\ljjkhhe.dll
       
       
     • Variante CIEPl Object - Autre cas de figure dans un journal HijackThis
       
       • Le nom de la dll est "moins" aléatoire et semble légitime (service.dll, tdev.dll, msvmon.dll etc...)
         
       • La paire O2 et O20 fait apparaître ce nom
         
       • Une infection additionnelle de type O20 - AppInit_DLLs: est ajoutée avec un nom de dll manifestement aléatoire
         
       • Le CLSID est toujours F85E86D8-F796-4C97-AAA2-26664A98A42C
       
       Exemple
       O2 - BHO: CIEPl Object - {F85E86D8-F796-4C97-AAA2-26664A98A42C} - C:\WINDOWS\system32\tdev.dll
       O20 - AppInit_DLLs: C:\WINDOWS\System32\jekofzbc.dll
       O20 - Winlogon Notify: service - C:\WINDOWS\SYSTEM32\tdev.dll
     
     
   Si vous êtes infesté par Virtumundo :
   
   
   • Utilisez VundoFix (de Atribune)
     Mettez le fichier VundoFix.exe, que nous avons téléchargé préalablement, sur votre Bureau Windows.
     Fermez tous vos programmes car il va y avoir arrêt du PC.
     Lancez le programme en faisant un double clic sur VundoFix.exe (vous devez avoir les droits administratifs sinon les accès dont à besoin VundoFix.exe lui seront refusés)
     Cliquez sur le bouton Scan for Vundo
     Lorsque le balayage (scan) est terminé, cliquez sur le bouton Remove Vundo
     S'il y a infection, cliquez sur Yes sur l'invite de demande de suppression de fichiers
     Le Bureau va disparaître un moment lors de la suppression des fichiers
     Une fenêtre annonce que le PC va redémarrer: cliquez sur OK
     
     Note:
     Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage. Il faut simplement suivre les instructions ci-dessus, à partir de "Cliquez sur le bouton Scan for Vundo".
     
     
   • Utiliser VirtumundoBegone (de secured2k)
     Ce programme ne fonctionne pas sous Windows Vista.
     Mettez le fichier VirtumundoBeGone.exe, que nous avons téléchargé préalablement, sur votre Bureau Windows.
     Fermez toutes les fenêtres, tous les programmes, pas de connexion ouverte: il va y avoir redémarrage du PC.
     Lancez le programme en faisant un double clic sur VirtumundoBeGone.exe
     Suivez les instructions (Cliquez sur Run si demandé, cliquez sur Start, puis sur Yes).
     Lorsque l'outil a terminé, redémarrez.
     Ne pas s'inquiéter s'il y a un message "Erreur fatale" avec Ecran bleu (BSOD), c'est normal et attendu. Redémarrez.
   
   
   
9. Pour les victimes du parasite Smitfraud uniquement
   Pour ceux ayant installé, à leur insu ou volontairement, l'un des logiciels listés sur cette page (soit : AdwarePunisher, AdwareSheriff, AlphaCleaner, AntiSpyware Soldier, AntiVermeans, AntiVermins, AntiVerminser, AntiVirus Gold, AntiVirusGold, AntivirusGolden, AVGold, Brain Codec, BraveSentry, DirectVideo, EliteCodec, eMedia Codec, FreeVideo, Gold Antivirus, Gold Codec, GoldAntivirus, HQ Codec, iCodecPack, Image ActiveX Object, iMediaCodec, IntCodec, iVideoCodec, JPEG Encoder, Key Generator, LiveProtect, Malware Alarm, MalwareAlarm, MalwaresWipeds, MalwareWipe, MalwareWiped, MalwareWipePro, MalwareWiper, MediaCodec, Media-Codec, MMediaCodec, MovieCommander, MPCODEC, Mr. AntiSpy, My Pass Generator, PCODEC, Perfect Codec, PestCapture, PestTrap, PornMag Pass, PornPass Manager, PowerCodec, PrivateVideo, PSGuard, QualityCodec, quicknavigate.com, Registry Cleaner, Security iGuard, Silver Codec, SiteEntry, SiteTicket, Smitfraud, Spy Locked, Spy Sheriff, SpyAxe, SpyCrush, SpyDown, SpyFalcon, SpyGuard, SpyHeal, SpyHeals, SpyLocked, SpyMarshal, SpyMarshall, SpySheriff, SpySherrif, SpySoldier, Spyware Locked, Spyware Soft Stop, Spyware Vanisher, SpywareKnight, SpywareLocked, SpywareQuake, SpywareSheriff, SpywareStrike, Startsearches.net, strCodec, Super Codec, TitanShield AntiSpyware, TrueCodec, Trust Cleaner, UpdateSearches.com, VidCodecs, Video Access ActiveX Object, Video ActiveX Object, VideoAccess, VideoBox, VideoCompressionCodec, VideoKeyCodec, VideosCodec, Virtual Maid, VirusBlast, VirusBurst, Win32.puper, WinAntiSpyPro, WinHound, WinMediaCodec, X Password Generator, X Password Manager, ZipCodec...) exécutez la procédure d'éradication de Smitfraud
   
   Utilisez SmitfraudFix (de S!ri)
   Etape 1 : Recherche
   
   • Mettez le fichier SmitfraudFix.exe, que nous avons téléchargé préalablement, sur votre Bureau Windows.
     
   • Faites un double clic sur SmitfraudFix.exe pour lancer l'outil.
     
   • Après l'affichage du menu, tapez 1 puis faites "Entrée" pour rechercher les fichiers responsables de l'infection. Le rapport se trouve à la racine de la partition système (en général il s'agit de C: ) dans le fichier rapport.txt
     
   • Renommez le fichier rapport.txt en rapport1.txt
   
   Etape 2 : Nettoyage:
   
   • Redémarrez l'ordinateur en mode sans échec (au démarrage de l'ordinateur, après le test du matériel par le BIOS, alors que l'écran est noir, tapotez sur la touche de fonction F8 (ou F5 dans certains cas))
     
   • Double cliquez sur SmitfraudFix.exe
     
   • Sélectionnez 2 et pressez Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
     
   • A la question: Voulez-vous nettoyer le registre ? répondez O (oui) et pressez "Entrée" afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
     
   • Le correctif déterminera si le fichier wininet.dll est infecté. A la question: "Corriger le fichier infecté ?" répondez O (oui) et pressez "Entrée" pour remplacer le fichier corrompu.
     
   • Un redemarrage sera peut être nécessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine de la partition système (en général il s'agit de C: ) dans le fichier rapport.txt
   
   Notes:
   1/ Il faut autoriser l'exécution de l'intégralité du script Visual Basic (fichier de type vbs) une seule fois en cas d'alerte par votre antivirus (pas d'interruption).
   2/ process.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. Site officiel
   NOTA: Panda security trouve le trojan Rebooter.J dans le répertoire qui se crée lors de l'utilisation de SmitfraudFix, et plus précisément dans C:\Users\mon_login\Desktop\SmitfraudFix\Reboot.exe . Dans le doute, je me suis abstenu de l'utiliser.
   
   
10. Désinstallez tous les programmes suspects
    Vous pouvez maintenant désinstaller complètement tous les programmes suspects ainsi que toutes les barres d'outils et de recherches d'Internet Explorer autres que celle de Google (ou MSN, Yahoo! ou AOL).
    
    
11. Ré-activez tous les modules de surveillance temps réel
    
    
12. Rétablissez votre connexion Internet
    Re-branchez le câble et attendez un instant que la synchronisation avec votre fournisseur d'accès à l'Internet (FAI) se rétablisse.
    
    
13. Exécutez une analyse antivirus / anti-spyware gratuite en ligne avec décontamination
    Redémarrez en mode sans échec avec prise en charge du réseau et utilisez :
    
    KAV - Kaspersky Online Scanner (sous Internet Explorer et avec la technologie ActiveX autorisée)
    http://assiste.com/p/antivirus_gratuits_en_ligne/kaspersky_kav_antivirus_full.html
    
    Si vous n'arrivez pas à utiliser KAV (vous avez désactivé la technologie ActiveX et ne savez plus comment la ré-activer...), utilisez alors
    HouseCall - Trend Micro (sous Internet Explorer ou, de préférence, sous Firefox. Technologie Java autorisée)
    http://assiste.com/p/antivirus_gratuits_en_ligne/trend_micro_housecall_antivirus_gratuit_en_ligne.html
    
    Ou encore Panda ActiveScan:
    http://assiste.com.free.fr/p/antivirus_gratuits_en_ligne/panda_active_scan_antivirus_gratuit_en_ligne.html
    
    
14. Fin de la procédure PAD
    Si vous avez pu suivre toutes ces étapes, c'est ici que se termine la procédure PAD. Travaillez normalement et observez le comportement de votre ordinateur.
    
    
    • Si votre PC n'est plus infecté
      
      
      • Supprimez les outils utilisés (VundoFix, VirtumundoBeGone, SmitfraudFix, Navilog1, HijackThis) mais conservez CCleaner
        
        
      • Supprimer tous les points de restauration et en recréer un
        Des parasites peuvent traîner dans les points de restauration du système (ce sont les fichiers infectés signalés dans les répertoires inaccessibles "System Volume Information"). Ils sont sans danger tant que l'on ne fait pas une restauration du système. Lire ceci pour comprendre pourquoi cela peut arriver et pourquoi les antivirus et anti-trojans ne peuvent en venir à bout "naturellement" :
        http://assiste.com.free.fr/p/comment/les_antivirus_et_les_points_de_restauration.html.
        
        Pour nettoyer ces zones il va falloir les supprimer complètement. Il faut réunir deux conditions simultanées, sinon ne le faites pas. En effet, il est préférable de conserver un point de restauration infecté que pas de point de restauration du tout.
        
        Si, et seulement si
        
        • votre PC est entièrement décontaminé (hormis les parasites qui traînent dans les points de restauration du système)
          
        • des parasites sont signalés dans les points de restauration du système
        faites ce qui suit :
        
        • Désactiver la restauration système (ce qui a pour effet de détruire tous les points de restauration antérieurs)
          
        • Réactivez la restauration système
          
        • Provoquer la création d'un point de restauration
          Lire : http://assiste.com.free.fr/p/comment/comment_activer_desactiver_les_points_de_restauration.html
        
        
        
      • Considérez les recommandations de réglages et d'implémentation de couches et outils de sécurité pour que cela ne se reproduise plus (mises à jour, désactivation de la technologie ActiveX, de WSH, navigation sous Firefox, courrier sous Thunderbird etc. ...)
        Kit de Sécurité
        
        
      • Considérez de faire une donation
        Donation
      
      
      
    • Si votre PC est encore infecté
      
      
      • Seconde exécution de HijackThis
        Dito la première utilisation (Ordinateur démarré normalement et sous un compte avec droits administratifs). Exécutez HijackThis afin de produire un second journal que vous conserverez sous le nom de HJT2.txt.
        
        
      • Utilisez Navilog1 (de IL-MAFIOSO), Option 1
        Fermer toutes les applications actives.
        Faire un double clic sur navilog1.exe pour lancer l'installation.
        Une fois l'installation terminée, l'outil s'exécutera automatiquement.
        (Si ce n'est pas le cas, faire un double clic sur le raccourci Navilog1 présent sur le Bureau).
        
        Suivre les indications affichées.
        Sur le menu principal, choisir l'option 1 et valider.
        (ne pas choisir les options 2,3 ou 4 sans notre avis/accord)
        
        Attendre jusqu'au message :
        *** Analyse Termine le ..... ***
        Appuyer sur une touche comme demandé, le Bloc-notes va s'ouvrir.
        Note: Dans le Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
        Enregistrer ce fichier sous le nom navi1.txt
        Copier l'intégralité du contenu de la fenêtre du Bloc-notes en réponse.
        Fermer le Bloc-notes.
        Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
        
        
      • Envoyez vos rapports pour une demande d'analyse
        Envoyez le contenu du second rapport HijackThis (HJT2.txt)
        Envoyez le contenu du rapport Navilog1 (navi1.txt)
    
    
    

28.11.2004 : Modification
09.07.2006 : Liens mis à jour (V4)
22.07.2006 : Liens mis à jour (V4)
30.08.2006 : Renommer l'exécutable (fichier HijackThis.exe)
16.03.2007 : Annulation de la modif précédente
28.03.2007 : Correction des liens vers Assiste.com
23.08.2007 : Refonte complète
25.08.2007 : Petits ajustements et ajout alernative HouseCall de Trend à l'usage de Kaspersky Online Scanner
26.08.2007 : Ajout lien vers charte du forum d'analyses HJT et rappel de l'obligation de décrire sa config hard et soft
09.10.2007 : Ajout le § "Assurez-vous de bien voir tous les fichiers et tous les répertoires"
09.10.2007 : Remplacement de F-Secure BlackLight par Navilog1 (de IL-MAFIOSO)
15.10.2007 : Corrigé une "trace" de BlackLite" - Merci à Arka pour sa lecture pointilleuse
15.10.2007 : Ajouté une procédure conditionnelle de nettoyage des points de restauration
02.03.2008 : CCleaner Slim
02.03.2008 : Mise en garde VirtumundoBegone incompatible avec Windows Vista
28.05.2008 : Suppression de AVG Anti-Spyware (qui n'existe plus)

_________________
Pierre (aka Terdef)