[RESOLU] Virus impossible à supprimer

Virus impossible à supprimer [RESOLU] - Virus/Spywares - Windows & Software

Marsh Posté le 23-12-2009 à 17:34:27    

Bonjour,
 
Je rencontre un problème actuellement sous Windows XP. De nombreux signes laissent penser que mon ordi est infecté par un virus:  
-internet explorer se lance tout seul en tache de fond
-je ne peux plus lancer mon antivirus (antivir)
-je ne peux pas non plus lancer kaspersky que j'ai installé à la place d'antivir
- hijackthis était aussi bloqué, j'ai du le renommer pour le lancer
 
j'arrive à lancer kaspersky (après renommage) uniquement en mode sans échec, en mode normal ca plante tout. En mode sans échec, le scan de kaspersky est super lent, donc pas de résultats, ca tourne depuis deux heures et c'est qu'à 1%. J'ai cependant scanné win/system32 sans résultats.
 
 
 j'ai fait une hijackthis, où il n'y a pas de croix rouge.
 
Quelqu'un pourrait me donner des conseils pour faire avancer le schimlblik? Avez-vous besoin d'infos supplémentaires?
 
Merci beaucoup!


Message édité par la vedette le 19-02-2010 à 23:33:16
Reply

Marsh Posté le 23-12-2009 à 17:34:27   

Reply

Marsh Posté le 23-12-2009 à 18:21:42    

Salut la Vedette,
 
Les symptômes que tu décris me font penser à une infection par rootkit
 
On va tenter de le confirmer si le logiciel demandé arrive à fonctionner :
 
    /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 
    • Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
    • Lance Gmer
    • Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
    • A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
    • Suis ce tutoriel pour héberger le rapport et poste le lien correspondant dans ta prochaine réponse.

Reply

Marsh Posté le 23-12-2009 à 19:00:12    

Merci pour ta réponse! Je fais ca ce soir et je poste le rapport dès que je peux :p  
 
 
autre info: quand je fais alt+tab par moment je vois que internet explorer est ouvert et à l'adresse channel.cn/......../.........
voilà si ca peut aider à identifier le virus

Reply

Marsh Posté le 23-12-2009 à 21:43:00    

Voilà j'ai scrupuleusement respecté ce que tu m'as dit de faire, je poste le rapport. J'espère que ca pourra t'aider à m'éclairer. Merci beaucoup ;)

 

le rapport :
http://www.toofiles.com/fr/oip/doc [...] pport.html

 

Bonne lecture!

 

PS: il y avait des trucs en rouge dans le rapport sur le logiciel mais qui ne le sont plus sous ce format texte.


Message édité par la vedette le 23-12-2009 à 21:59:46
Reply

Marsh Posté le 23-12-2009 à 22:26:30    

Salut,
 
L'infection par un rootkit est confirmée (les lignes en rouge).
 
Tu vas faire ceci :
 
 A l'attention de ceux qui passent sur ce sujet
 
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helper du forum qui connait bien cet outil vous l'a recommandé.
 
/!\ Désactive tous tes logiciels de protection /!\

  • Télécharge ComboFix (de sUBs) sur ton Bureau, il faut le renommer avant de le télécharger en vedette par exemple.
  • Double-clique sur ComboFix.exe afin de le lancer.
  • Il va te demander d'installer la console de récupération : accepte.
  • Ne touche à rien pendant le scan.
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.


Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix
 
Si tu n'arrive pas à le télécharger, fais le moi savoir.
 
Héberges le rapport et envoie le lien stp.
 
 
 

Reply

Marsh Posté le 23-12-2009 à 22:41:49    

Je n'arrive pas à utiliser combofix, car il me dit que Antivir est encore actif pourtant je ne peux pas le désinstaller dans le panneau de configuration, il l'est donc déjà et je ne le vois pas apparaitre dans les processus avec Alt+ctrl+suppr.
 
 
EDIT: il a l'air de s'être quand même lanceé, il a redémarré l'ordi et il se passe des trucs bizarres, mais il me rappelle régulièrement un attention il ne peux pas fonctionner avec antivir.


Message édité par la vedette le 23-12-2009 à 22:46:32
Reply

Marsh Posté le 23-12-2009 à 22:47:04    

pour désactiver antivir tu fais un clique droit sur le parapluie ouvert prêt de l'horloge et tu décoches "activer antivir guard".
 
N'oublie pas de le réactiver après avoir passer combofix. ;)

Reply

Marsh Posté le 23-12-2009 à 22:49:23    

Bon maintenant, à chaque redémarrage, il me dit que j'ai un émulateur de cd qui fonctionne sur cet ordinateur et qu'il besoin de les disabler et donc il redémarre. Il redémarre en boucle :(

Reply

Marsh Posté le 23-12-2009 à 22:51:15    


 
Non mais actuellement je n'ai plus d'antivirus à cause du virus. Il y avait antivir, mais il l'empechait de se lancer, j'ai tenté d'installer kaspersky, pareil des qu'il se lancait ca faisait un bug, où on ne pouvait plsu rien faire. Je peux lancer l'antivirus qu'en mode sans échec.
 
EDIT: le scan de Combofix après trois redémarrage vient de se lancer. Desolé de te tenir au courant en direct de mon avancement. Je ferais peut être mieux de prendre du recul ;)
 
En tout cas, merci beaucoup!


Message édité par la vedette le 23-12-2009 à 22:53:27
Reply

Marsh Posté le 23-12-2009 à 23:08:10    

Voilà le rapport de Combofix, j'espere qu'il va t'éclairer ;)
 
http://www.toofiles.com/fr/oip/doc [...] 4_log.html

Reply

Marsh Posté le 23-12-2009 à 23:08:10   

Reply

Marsh Posté le 24-12-2009 à 06:52:10    

Salut,
 
Je te réponds rapidement, je n'ai pas tout analysé combofix, mais ça devrait déjà aller mieux maintenant.  
 
Comme tu le sais c'est le début des fêtes aujourd'hui et je ne serais pas présent sur les forums.
 
peux être que je passerais vite fait voir les résultats du scan que je vais te demander :
 

  • Télécharge Malwarebytes
  • Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
  • Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
  • Lance une analyse complète en cliquant sur "Exécuter un examen complet"
  • Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
  • L'analyse peut durer un bon moment.....
  • Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
  • Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
  • Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


  • Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée


 
 
Bonnes fêtes de fin d'année, je reviens dès que j'ai fini mes vacances....
   

Reply

Marsh Posté le 24-12-2009 à 12:49:51    

Je te souhaite de très bonne fête de Noël, je te remercie encore pour ton aide!
 
Voilà le copier/coller du rapport:
 
Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3423
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
 
24/12/2009 12:42:38
mbam-log-2009-12-24 (12-42-38).txt
 
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 285324
Temps écoulé: 2 hour(s), 10 minute(s), 36 second(s)
 
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 8
Fichier(s) infecté(s): 15
 
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
 
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
 
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
 
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
 
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
 
Dossier(s) infecté(s):
C:\Documents and Settings\Compaq_Propriétaire\Application Data\ShoppingReport (Adware.ShopperReports) -> Quarantined and deleted successfully.
C:\Documents and Settings\Compaq_Propriétaire\Application Data\ShoppingReport\cs (Adware.ShopperReports) -> Quarantined and deleted successfully.
C:\Documents and Settings\Compaq_Propriétaire\Application Data\ShoppingReport\cs\db (Adware.ShopperReports) -> Quarantined and deleted successfully.
C:\Documents and Settings\Compaq_Propriétaire\Application Data\ShoppingReport\cs\dwld (Adware.ShopperReports) -> Quarantined and deleted successfully.
C:\Documents and Settings\Compaq_Propriétaire\Application Data\ShoppingReport\cs\report (Adware.ShopperReports) -> Quarantined and deleted successfully.
C:\Documents and Settings\Compaq_Propriétaire\Application Data\ShoppingReport\cs\res1 (Adware.ShopperReports) -> Quarantined and deleted successfully.
C:\Program Files\BitDownload (Trojan.Swizzor) -> Quarantined and deleted successfully.
C:\Program Files\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
 
Fichier(s) infecté(s):
C:\Program Files\Trend Micro\HijackThis\backups\backup-20091223-152530-864.dll (Adware.Shopper) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\H8SRTctvlxquupp.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\H8SRTlhonkeprwq.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\H8SRTvryonhwhwh.sys.vir (Malware.Packer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP951\A0264408.sys (Malware.Packer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP951\A0264409.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP951\A0264410.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Compaq_Propriétaire\Application Data\ShoppingReport\cs\Config.xml (Adware.ShopperReports) -> Quarantined and deleted successfully.
C:\Documents and Settings\Compaq_Propriétaire\Application Data\ShoppingReport\cs\db\Aliases.dbs (Adware.ShopperReports) -> Quarantined and deleted successfully.
C:\Documents and Settings\Compaq_Propriétaire\Application Data\ShoppingReport\cs\db\Sites.dbs (Adware.ShopperReports) -> Quarantined and deleted successfully.
C:\Documents and Settings\Compaq_Propriétaire\Application Data\ShoppingReport\cs\dwld\WhiteList.xip (Adware.ShopperReports) -> Quarantined and deleted successfully.
C:\Documents and Settings\Compaq_Propriétaire\Application Data\ShoppingReport\cs\report\aggr_storage.xml (Adware.ShopperReports) -> Quarantined and deleted successfully.
C:\Documents and Settings\Compaq_Propriétaire\Application Data\ShoppingReport\cs\report\send_storage.xml (Adware.ShopperReports) -> Quarantined and deleted successfully.
C:\Documents and Settings\Compaq_Propriétaire\Application Data\ShoppingReport\cs\res1\WhiteList.dbs (Adware.ShopperReports) -> Quarantined and deleted successfully.
C:\Documents and Settings\David\Local Settings\Temp\H8SRT359d.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.

Reply

Marsh Posté le 24-12-2009 à 16:21:52    

Salut,
 
Je reviens un peu tout de même pour te donner quelques directives avant les fêtes :
 
Tu peux supprimer la quarantaine de malwarebytes.
 
Ensuite fais ceci :  
 
 

  • Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://forum-aide-contre-virus.be/ [...] mover.html
  • Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
  • Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
  • Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"
  • Au menu principal choisi l'option "L" et tape sur [entrée] .
  • Laisse travailler l'outil et ne touche à rien ...
  • Poste le rapport qui apparait à la fin.

 
 
    ( le rapport est sauvegardé aussi sous C:\Ad-report.log )
 
    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
 
    Note :
 
    Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

 
   
Ensuite Tu vas désinstaller combofix :
 

  • appuies simultanément sur les touches windows + R
  • Dans la fenêtre "Exécuter" qui vient de s'ouvrir tapes ou copie/colle cette ligne de commande :  


combofix /uninstall
 

  • cliques ensuite sur ok pour valider et exécuter la commande.


Fais un nouveau rapport RSIT, et envoie moi le lien, tu n'auras qu'un rapport log.txt qui va apparaître c'est normal
 
Bonnes fêtes et à bientôt pour la suite.
 

Reply

Marsh Posté le 25-12-2009 à 18:15:27    

Joyeux Noël, ci desous le rapport Ad remover:
 
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_F | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 24.12.2009 à 13:08
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 18:03:17, 25/12/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 3 v5.1.2600
Nom du PC: PCTRICHET | Utilisateur actuel: admin
 
Bonnes fêtes de fin d'année à vous tous :)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
 
C:\WINDOWS\Installer\{D9BBFA60-4514-4F08-A78F-91957F957495}  
C:\Program Files\Mozilla FireFox\Components\AskSearch.js  
C:\Program Files\AskSearch  
C:\Program Files\Macrogaming  
C:\Program Files\Viewpoint  
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Viewpoint  
C:\Windows\Installer\153b73c.msi  
C:\Windows\Installer\153b742.msi  
 
(!) -- Fichiers temporaires supprimés.
 
.
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}  
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}  
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A0AADCD-3A72-4B5F-900F-E3BB5A838E2A}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}
HKCU\software\SWEETIE
HKLM\software\classes\AxMetaStream.MetaStreamCtl
HKLM\software\classes\AxMetaStream.MetaStreamCtl.1
HKLM\software\classes\AxMetaStream.MetaStreamCtlSecondary
HKLM\software\classes\AxMetaStream.MetaStreamCtlSecondary.1
HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKLM\Software\Classes\CLSID\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}
HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKLM\Software\Classes\CLSID\{82AC53B4-164C-4B07-A016-437A8388B81A}
HKLM\Software\Classes\CLSID\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}
HKLM\software\classes\installer\Products\06AFBB9D415480F47AF81959F7594759
HKLM\software\classes\MgMediaPlayer.GifAnimator
HKLM\software\classes\MgMediaPlayer.GifAnimator.1
HKLM\software\classes\SWEETIE.IEToolbar
HKLM\software\classes\SWEETIE.IEToolbar.1
HKLM\software\classes\SWEETIE.SWEETIE
HKLM\software\classes\SWEETIE.SWEETIE.1
HKLM\software\classes\ToolBand.SWEETIE
HKLM\software\classes\ToolBand.SWEETIE.1
HKLM\Software\Classes\TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19}
HKLM\software\Macrogaming
HKLM\software\MetaStream
HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}  
HKLM\software\microsoft\shared tools\msconfig\startupreg\SweetIM
HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\SweetIM.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\07D5290CDBDAE4242926B8E6CA650501
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\08E33F7B61DEFF24BB9673ED7D467636
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\0E3D8A5B48622A445A7DF73FEFF32C3F
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\1AC67655DD68F8240B2860F2D511EBD8
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\4318DF19719275242801CBE292063A4C
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\45FC115D1FEAEF849A4E1610D6EC8BF0
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\46A5861A389ADB844AF89E31BC9DF0A1
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\4CCCAC049F34D0540AAC13011398BEDB
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\5C4389D0BFB302C479DE4178BD5D9EBA
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\5D2B09BDEF4FE54418E6F3373CDBC7AC
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\61B65D3397A1FBF4CB1571B5E4F6B5B0
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\68E8A05C60DD9254591DBD16C94EDDBF
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\697E782CF574CC34CBB9566440BA12BC
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6AE27A8613CF7EA4782F2886F67295E5
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\7CE172051F585E04187BCB97570BFA74
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\86A901BA5265452499DCBF719C378EE3
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\88ABD1CD5C40EC84789A7F6EF86DAC5E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\9A4B7EF3789F871419D9302583B20C15
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A6C53B0F76C44004A8F36716213017DB
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B59F2D8189784CC46A4597F2842480B0
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\BD746FB95FB8E5B45BF66BE54D5FD91F
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\CCF399FCD6D2D3F46BF02A1378654FC9
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\D149C1355C98DE24E82CEFBD996FE06A
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\DB8DAD19CFBCC2049A4477183787E8C5
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\06AFBB9D415480F47AF81959F7594759
HKLM\software\microsoft\windows\currentversion\uninstall\{D9BBFA60-4514-4F08-A78F-91957F957495}
HKLM\software\microsoft\windows\currentversion\uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481}
HKLM\software\microsoft\windows\currentversion\uninstall\ViewpointMediaPlayer
HKLM\software\Viewpoint
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.6 [fr] *
.
 Nom du profil: wrf5h5bz.default (admin)
.
(ADMIN~1.PCT, prefs.js) Extensions.enabledItems, {AF8637B0-18E3-44D3-86B7-55E09D9C4261}:8.0,{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}:6.0.02,{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}:6.0.03,{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}:6.0.05,{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,{20a82645-c095-46ed-80e3-08825760534b}:1.1,jqs@sun.com:1.0,linkfilter@kaspersky.ru:9.0.0.736,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.6
.  
.
* Internet Explorer Version 6.0.2900.5512 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
8184 Octet(s) - C:\Ad-Report-CLEAN[1].log  
.
0 Fichier(s) - C:\DOCUME~1\ADMIN~1.PCT\LOCALS~1\Temp  
1 Fichier(s) - C:\WINDOWS\Temp  
8 Fichier(s) - C:\WINDOWS\Prefetch  
.
17 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
153 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE  
.
Fin à: 18:08:54 | 25/12/2009 - CLEAN[1]
.
============== E.O.F ==============
.

Reply

Marsh Posté le 25-12-2009 à 18:19:22    

Une petite question: qu'entends tu par: "Tu peux supprimer la quarantaine de malwarebytes. " ?

 


Le rapport RSIT:

 

le fichier info : http://www.toofiles.com/fr/oip/doc [...] _info.html
Le log : http://www.toofiles.com/fr/oip/doc [...] 0_log.html

 

Sinon je peux tenter de réinstaller un antivirus maintenant ca va marcher? Lequel faut-il mieux que je réinstalle?

 

EDIT2: Combofix desinstallé.


Message édité par la vedette le 25-12-2009 à 20:43:28
Reply

Marsh Posté le 26-12-2009 à 00:08:55    

Salut,
 
Pour supprimer la quarantaine de malwarebytes :
 

  • lance malwarebytes
  • clique sur l'onglet quarantaine
  • sélectionne tout et clique sur tout supprimer


Tu peux tenter l'installation d'avira antivir, l'un des meilleurs antivirus gratuit du moment.  
 
En téléchargement ici : http://www.free-av.fr/
 
Mets le à jour et fais un scan complet de l'ensemble de ton ordinateur et de tes support amovibles.
 
Je part demain en vacances, je reviens dans une semaine.
 
Je reprendrai la désinfection de ton ordinateur à mon retour. Il reste un peu de travail, je ne peux pas continuer sans un minimum de suivi.
 
Je te souhaite donc de bonnes fêtes de fin d'année, fais un UP vers le 02/01 pour me rappeler de venir t'aider.
 
Bonne année 2010.

Reply

Marsh Posté le 26-12-2009 à 09:28:43    

Merci beaucoup! Je te souhaite de bonnes vacances!
 
EDIT: antivir réinstallé, il a détecté et supprimé 10 fichiers malveillants.


Message édité par la vedette le 26-12-2009 à 15:06:36
Reply

Marsh Posté le 01-01-2010 à 15:34:54    

Je te souhaite une très bonne année malwarebleach!!  
Comme prévu un petit up! ;)
 
Comme convenu tu m'avais indiqué de faire un petit up après les fêtes pour terminer la procédure de désinfection^^
 
Il y a encore un peu de boulot car j'ai une fenêtre de malware defense qui s'affiche encore de temps en temps en pop up alors que mozilla ou ie n'est même pas ouvert et une fausse fenêtre de malware defense copiant le security center :-(
 

Reply

Marsh Posté le 02-01-2010 à 14:33:21    

Salut, ;)  
 
Tous mes meilleurs vœux pour cette nouvelles année. :jap:  
 
Tu as bien fait de faire un UP, on va continuer la désinfection, penses comme l'année dernière à faire héberger les rapports des outils  de désinfection  :whistle:  
 
Tu l'as bien compris, malware defense est à l'origine de tous tes problèmes.
 
Supprime la quarantaine de malwarebyte et fais un nouveau scan, mets le à jour avant de faire l'analyse. Envoies moi le lien du rapport
 
Ensuite fais un nouveau rapport RSIT et envoies moi le lien uniquement du rapport log.txt qui va apparaitre.


Message édité par Profil supprimé le 02-01-2010 à 16:16:06
Reply

Marsh Posté le 02-01-2010 à 23:15:43    

J'ai fait la mise à jour et tout supprimer. Voilà le rapport de Malwarebytes.
http://www.toofiles.com/fr/oip/doc [...] 09-14.html
 
EDIT: et ci-dessous le rapport RSIT :
 
http://www.toofiles.com/fr/oip/doc [...] 6_log.html
 
 
Merci beaucoup pour le temps que tu passes à m'aider. J'espère que la procédure est pratiquement terminé, car je repars demain à Toulouse pour mes études et le PC est à Nantes et je ne vais pas rentrer avant un bon bout de temps. Donc je ne serai plus très réactif, faudra que j'explique à ma petite soeur qui est là le weekend quoi faire ;)
 
 


Message édité par la vedette le 02-01-2010 à 23:22:45
Reply

Marsh Posté le 03-01-2010 à 13:02:56    

Salut,
 
Malheureusement non, on n'en a pas fini avec ton pc. :sarcastic:  
 
fais des ups quand tu es dispo (ou tout autre personne qui utilise ce pc), pour finir cette désinfection.
 
Il reste un peu de boulot ainsi que du nettoyage et les mises à jour de sécurité. C'est à la portée de tous, à partir du moment ou les recommandations sont suivies à la lettre. Pas la peine d'être un pro... :D  
 
Je reste en veille et en attente des notifications de réponse.
 
A plus tard. :hello:

Reply

Marsh Posté le 04-01-2010 à 19:00:57    

Bon je vais tacher de guider la fin de la décontamination du PC, car c'est trop balot de s'arreter en si bonne voie. :)
Que doit-on faire maintenant?

Reply

Marsh Posté le 04-01-2010 à 19:25:39    

Salut,
 
Par sécurité, fais ceci :
 
 

  • Télécharge ToolbarSD (de Team IDN) sur ton Bureau
  • Lance l'installation du programme en exécutant le fichier téléchargé.
  • Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
  • Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
  • Poste le rapport généré. (C:\TB.txt)


 
Envoies moi le lien pour le rapport.

Reply

Marsh Posté le 04-01-2010 à 20:49:36    

Reply

Marsh Posté le 04-01-2010 à 21:52:43    

okay,
 
Télécharge rkill.com

  • Exécute le, une fenêtre noire va apparaitre puis disparaitre, c'est normal.
  • Continue la procédure


Mets à jour malwarebytes, supprimes la quarantaine (s'il y a lieu) et fais un nouveau scan en mode complet.
 
envoies le lien du rapport que s'il est positif.
Fais aussi un scan avec avira antivir et envoies le rapport.
 
Fais un nouveau rapport RSIT à l'issu de ce scan et envoies le lien stp.
 
On va voir s'il faut approfondir. ;)

Reply

Marsh Posté le 11-01-2010 à 23:38:36    

J'ai lancé rkill, cela n'a rien fait de particulier.
 
 
voilà le rapport pour malwerbytes:
http://www.toofiles.com/fr/oip/doc [...] 04-11.html
 
Antivir est en train de faire un scan complet là :)
 
Sinon il n'y plus aucun symptomes de malware defense ou de virus quelconques.
 
 
Desolé pour le manque de réactivité, c'est pas vraiment de ma faute :p Merci encore pour ta grande aide!

Reply

Marsh Posté le 12-01-2010 à 21:44:49    

Salut la vedette, ;)  
 
Envoies les scans suivants demandés dès que tu le peux, mais je pense sincèrement que le plus dur est passé. Tu as évité un formatage en bon et du forme, c'est déjà ça de gagné. :ange:  
 
Il restera en final à faire du nettoyage, de la sécurisation de ton ordinateur et un peu de prévention pour te donner les informations qui vont te permettre d'éviter d'être à nouveau infecté.

Reply

Marsh Posté le 14-01-2010 à 00:06:13    

Voilà le rapport d'Antivir :
 
http://www.toofiles.com/fr/oip/doc [...] virus.html
 
le rapport RSIT:
 
http://www.toofiles.com/fr/oip/doc [...] 9_log.html
 
 
Voilà, écoute je suis très content que le problème ne semble plus présent. Merci beaucoup de m'avoir éviter de formater! Dis moi si j'ai encore d'autres choses à fair ;)

Reply

Marsh Posté le 15-01-2010 à 15:53:05    

Salut la vedette, ;)  
 
Je viens de lire tes rapports, il reste des traces d'un faux logiciel de P2P (bitorent fast tool), on va essayer un outil de désinfection.  
 
Si ça ne passe pas, on fera une suppression par un script de nettoyage.
 

  • Télécharge et enregistre lopSD sur ton bureau
  • Double-clic Lop S&D
  • Faire l'installation
  • Fermer toutes les applications
  • Le lancer par un double-clic sur le raccourci qui est sur le bureau
  • Taper F pour français , puis presser entrée
  • Taper 1
  • Presser Entrée
  • Le PC va redémarrer


    * Note= si l'antivirus annonce une infection dans TEMP , l'ignorer
 

  • Attendre l'apparition du rapport
  • envoies le lien du rapport dans ta prochaine réponse

   
    * le rapport se trouve aussi à C:\lopR

Reply

Marsh Posté le 17-01-2010 à 11:28:06    

Bonjour malwarebleach,
 
Voici le lien du rapport, le programme n'a pas fait redemarré l'ordi pour info:
 
http://www.toofiles.com/fr/oip/documents/txt/lopr.html

Reply

Marsh Posté le 17-01-2010 à 11:45:30    

Salut la vedette, ;)  
 
Pas grave pour le redémarrage, mais merci de l'avoir précisé.
 
Continue avec ce programme :
 
 

  • Relance Lop S&D
  • Choisis cette fois-ci l'option 2 (Suppression)
  • Ne ferme pas la fenêtre lors de la suppression !
  • Poste le lien du rapport généré (C:\lopR.txt)

 
    * (Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide)

Reply

Marsh Posté le 23-01-2010 à 14:18:35    

Reply

Marsh Posté le 23-01-2010 à 19:56:42    

Salut la vedette,
 
Excuses moi pour le retard, pas trop dispo en ce moment je n'ai plus trop le temps de suivre les désinfections.
 
Pour ton problème, envoies moi un lien pour un nouveau rapport log.txt de RSIT,  on ne doit pas être trop loin de la fin de la désinfection maintenant.
 
A plus  ;)

Reply

Marsh Posté le 24-01-2010 à 17:17:24    

Voilà le log en ésperant qu'il n'y a plus de problèmes : http://www.toofiles.com/fr/oip/doc [...] 12010.html
 
Ne t'excuse pour pas pour le retard, en plus tu ne l'étais pas, et c'est extrêmement gentil de ta part de me donner un coup de main.
Bonne soirée!!

Reply

Marsh Posté le 25-01-2010 à 20:03:27    

Salut la vedette,  ;)  
 
Je reviens vers toi après ce week-end qui, je l'espère a été bon pour toi.
 
Il reste sur ton pc un service infectieux (musbehco) que tu vas supprimer, suis ces instructions :
 
Clique sur Menu Démarrer --> Exécuter.
Fais un copier/coller des lignes suivantes les unes après les autres (appuie sur entrée entre chacune d'elles pour les valider) :
 
sc stop "musbehco"

sc delete "musbehco"
 
A l'issu de cette suppression fais à nouveau un rapport log.txt avec RSIT que je puisse vérifier si tout c'est bien passé.  
 
A plus tard!

Reply

Marsh Posté le 15-02-2010 à 01:41:34    

J'ai bien lancé les commandes ci dessus et voilà le log de RSIT:
http://www.toofiles.com/fr/oip/doc [...] 8_log.html
 
Excuse moi pour mon grand manque de réactivité, mais j'ai pas accès à l'ordinateur ;)
Encore merci pour ton aide précieuse!

Reply

Marsh Posté le 15-02-2010 à 18:04:13    

Salut,
 
Le service est toujours présent  :heink:  
 
Fais ceci stp :
 
    Utilise ce logiciel de diagnostic :
 
    • Télécharge ZHPDiag
    • Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    • Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    • Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Reply

Marsh Posté le 15-02-2010 à 20:25:03    

Bonjour,je fais un repost après avoir créé un sujet là dessus, mais la modération me signale qu'il y a déjà des sujets à ce propos (je n'ai pas trouvé [:spamafote]
 
J'ai un problème assez étrange sur mon pc depuis ce matin, de manière soudaine mon écran a été assailli de messages d'alertes très alarmistes de la part d'un ''logiciel'' nommé ''antivirus vista 2010'', que je ne me souvenais pas avoir installé, m'indiquant que l'ordinateur est très gravement infecté (après un soi-disant scan il me liste une bonne centaine de programmes très dangereux) et m'enjoignant à faire immédiatement un scan complet et une élimination de la menace(avec installation d'un programme..).. Le truc est vraiment très bien fait et ressemble comme deux gouttes d'eau à un vrai antivirus, mais déjà j'ai trouvé étrange que mon antivirus norton n'ait de son coté absolument rien détecté (ok norton n'est pas une flèche mais bon en principe il signale quand meme les menaces critiques quoi [:tinostar]  ), et certaines fautes d'orthographe faisaient tache aussi..    
 
Donc bon ça a l'air d'etre une saloperie qui essaie de me faire installer un logiciel pirate ou espion sous le coup de la panique en se faisant passer pour une mise à jour de l'antivirus windows vista, le problème c'est que ça bloque meme mon accès à internet, une fenetre s'ouvre disant que c'est très dangereux et que le pc risque plus ou moins de rendre l'ame si je lance IE, et conseillant d'installer leur daube pour y remédier, seulement quand je clique sur ''continuer quand meme'' ça reste sur leur pub à la con :fou:
 
Bon je suis pas très calé en informatique et là je suis un peu dans la merde car j'ai quand meme bien besoin de mon pc pour le taf en ce moment, quelqu'un aurait-il une piste pour remédier à ça? :sweat:
 

Reply

Marsh Posté le 16-02-2010 à 11:33:35    

Voilà le lien, j'ai suivi la procédure :
http://www.toofiles.com/fr/oip/doc [...] pdiag.html
 
A plus,
 
Merci à toi

Reply

Marsh Posté le 16-02-2010 à 16:27:23    

Salut,
 
Fais ceci stp :
 
    • Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
    • Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    • Copie/colle les lignes suivantes et place les dans ZHPFix :
 
    ----------------------------------------------------------
 
O64 - Services: - C:\DOCUME~1\ADMIN~1.PCT\LOCALS~1\Temp\musbehco.sys - musbehco (musbehco)  .(.Pas de propriétaire - Pas de description.) - LEGACY_MUSBEHCO  
O64 - Services: - C:\DOCUME~1\ADMIN~1.PCT\LOCALS~1\Temp\musbehco.sys - musbehco (musbehco)  .(.Pas de propriétaire - Pas de description.) - LEGACY_MUSBEHCO  
O64 - Services: - C:\DOCUME~1\ADMIN~1.PCT\LOCALS~1\Temp\musbehco.sys - musbehco (musbehco)  .(.Pas de propriétaire - Pas de description.) - LEGACY_MUSBEHCO  
 
    ----------------------------------------------------------
 
    • Clique sur « Tous », puis sur « Nettoyer »
    • Envoies le lien du rapport stp.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed