Rapport AD remover

Fermé
Carlita2 - 5 mai 2009 à 11:28
 Utilisateur anonyme - 16 nov. 2009 à 12:30
Bonjour,

Je viens de faire Ad remover qui a supprimé Funweb.
Est-ce que le rapport suivant est ok ?
Dois-je faire un Hijackthis en plus ? ( Ordinateur lent).

Par ailleurs, mes pages sautent toujours lors de l'affichage.

Par avance merci.


------- LOGFILE OF AD-REMOVER 1.0.9.3 | ONLY XP/VISTA -------

Updated by C_XX on 17/01/2009 at 12:00

Start at: 11:37:10 | Mar 05/05/2009 | Microsoft® Windows XP™ SP3 (V5.1.2600)
Boot mode: Normal
Option: SCAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Pc: SY4PUNF14
Drive(s):
- C:\ (File System: NTFS)
- D:\ (File System: NTFS)
- F:\ (File System: CDFS)
System Drive: C:\
Windows Directory: C:\WINDOWS\
System Directory: C:\WINDOWS\System32\

--- Running Processes: 29

+--------------------| Boonty/Boonty Games Elements Found :

.
.

+--------------------| Eorezo Elements Found :

.
.

+--------------------| Everest Casino/Everest Poker Elements Found :

.
.

+--------------------| Funwebproducts/Myway/Mywebsearch/Myglobalsearch Elements Found :

.
.

+--------------------| It's TV Elements Found :

.

+--------------------| Sweetim Elements Found :

.
.

+--------------------| Added Scan :

~~~~ INTERNET EXPLORER VERSION 7.0.5730.11 ~~~~

+--[HKEY_CURRENT_USER\..\INTERNET EXPLORER\MAIN]

Start page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

+--[HKEY_LOCAL_MACHINE\..\INTERNET EXPLORER\MAIN]

Start page : hxxp://fr.msn.com/

+---------------------------------------------------------------------------+

[~1877 BYTES] - "C:\AD-REPORT-CLEAN-05.05.2009.LOG"
[~2732 BYTES] - "C:\AD-REPORT-CLEAN-19.01.2009.LOG"
[~1489 BYTES] - "C:\AD-REPORT-SCAN-05.05.2009.LOG"
[~3594 BYTES] - "C:\AD-REPORT-SCAN-19.01.2009.LOG"

End at: 11:38:02 | 05/05/2009 - Time elapsed: 79.0 seconds

+---------------------------------------------------------------------------+
+------------------------------- [ E.O.F - 70 Lines ]
+---------------------------------------------------------------------------+

171 réponses

sherred Messages postés 8345 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 4 avril 2019 350
25 sept. 2009 à 12:33
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
-->Double clique sur SDFix.exe

-->choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
-->Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

--> Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\

-->double clique sur RunThis.bat pour lancer le script.

--> Appuie sur une touche pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
--> Appuie sur une touche pour redémarrer le PC.

• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

--> Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

--> Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
0
Bonjour et merci beaucoup !

Voici le rapport ci-dessous. Que fais-je maintenant ?

Par avance, merci !






[b]SDFix: Version 1.240 [/b]
Run on 28/09/2009 at 14:21

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-28 14:29:49
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"="C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare"
"C:\\Program Files\\ma-config.com\\maconfservice.exe"="C:\\Program Files\\ma-config.com\\maconfservice.exe:LocalSubNet:Enabled:maconfservice"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"="C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Mon 7 Sep 2009 1,570,648 A..H. --- "C:\Program Files\Spybot - Search & Destroy\advcheck.dll"
Mon 26 Jan 2009 1,740,632 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 26 Jan 2009 5,365,592 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Sep 2009 0 A..H. --- "C:\WINDOWS\Temp\av4.tmp"
Sun 16 Aug 2009 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

[b]Finished![/b]
0
Utilisateur anonyme
2 oct. 2009 à 05:11
;)
0
sherred Messages postés 8345 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 4 avril 2019 350
2 oct. 2009 à 05:37
plus de message 162 ?
0
Carlita2 > sherred Messages postés 8345 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 4 avril 2019
2 oct. 2009 à 10:33
REbonjour,

Voici le rapport Superantispyware que j'ai enfin su trouver, merci beaucoup par avance !

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 10/01/2009 at 02:09 PM

Application Version : 4.29.1002

Core Rules Database Version : 4137
Trace Rules Database Version: 2069

Scan type : Complete Scan
Total Scan Time : 00:29:23

Memory items scanned : 603
Memory threats detected : 0
Registry items scanned : 4890
Registry threats detected : 0
File items scanned : 15677
File threats detected : 1

Adware.Vundo/Variant-MSFake
C:\SYSTEM VOLUME INFORMATION\_RESTORE{0D57509F-FC11-4C6B-A0FD-095774AD7175}\RP206\A0283451.EXE
0
CArlita2 > sherred Messages postés 8345 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 4 avril 2019
2 oct. 2009 à 23:07
Bonsoir

Comme ça bloquait encore, je viens de faire malwarebytes version courte qui a trouvé un worm : voici le rapport. Par avance, merci beaucoup.
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2896
Windows 5.1.2600 Service Pack 3

02/10/2009 23:05:36
mbam-log-2009-10-02 (23-05-36).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 148846
Temps écoulé: 36 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{0D57509F-FC11-4C6B-A0FD-095774AD7175}\RP206\A0285807.sys (Worm.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0D57509F-FC11-4C6B-A0FD-095774AD7175}\RP206\A0285816.sys (Worm.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0D57509F-FC11-4C6B-A0FD-095774AD7175}\RP207\A0291123.sys (Worm.Agent) -> Quarantined and deleted successfully.
0
Bonjour Gen et Sherred,
Que fais-je maintenant ?
Par avance, merci beaucoup !
0
Utilisateur anonyme
2 oct. 2009 à 23:13
je laisse sherred continuer et finir avec toi :)

au plaisir
0
Bonne soirée Gen, et merci de ton petit coucou :o).
0
sherred Messages postés 8345 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 4 avril 2019 350
5 oct. 2009 à 09:27
mais ce dllcache a surement une extention ?
0
Bonjour Sherred, merci de ton message.

Donc, afin de voir, si j'ai exécuté la bonne démarche :

- j'ai cliqué sur :
- le lien Virus total, et ensuite parcourir
- puis mon nom
- puis c :
- puis windows32
- puis dllcache car il n'y a PAS de dllcache.exe dans windows32;
je n'ai pas vu de dllcache.exe dans dllcache ; dans dllcache, il y a des exe, mais qui ont un autre nom.
==) Elles peuvent s'appeler comment les extensions ?

Me suis-je trompée dans la manière de faire ?

Par avance, merci beaucoup.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
sherred Messages postés 8345 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 4 avril 2019 350
5 oct. 2009 à 19:36
tu n'a visiblement plus d'infection
0
Bonjour Sherred !

Et merci beaucoup pour tout le temps que tu m'as accordé ! C'est très gentil.

J'ai cependant encore des fenêtres publicitaires qui s'ouvrent. Et un *msnfix qui reste sur l'ordinateur. Comment remédier à cela ?

Et mon ordinateur se bloque encore : ce serait dû à des problèmes autres que virus ? Dois-je ouvrir un autre sujet concernant le matériel ou les logiciels ?

Merci par avance !!!
0
sherred Messages postés 8345 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 4 avril 2019 350
6 oct. 2009 à 07:27
ha c'est donc pour ca que l'analyses de virus total , n'a rien revelé
merci
0
Utilisateur anonyme
8 oct. 2009 à 20:48
hello fais une recherche sur ton pc avec la touche F3 et marque msnfix , puis supprime ;)
0
Hello Gen, merci de ton mail.

Mon ordinateur je crois est fichu. Je t'écris en effet d'un autre ordinateur.

Je l'allume, l'écran montre le logo de windows, et puis l'écran devient noir, des lignes d'écritures se marquent, cela saute entre démarrer normalement et démarrer en mode sans échec, cela va de l'un à l'autre sans s'arrêter.
Ensuite c'est marqué : no primary slave. ( Mais il y en a un de secondary).

Et ensuite, c'est marqué sur un écran bleu reboot config default : endommagé ou inexistant .

Je ne me rappelle plus trop de tous les mots.

J'ai appelé un magasin qui m'a dit qu'il ne fallait plus toucher à rien et qu'il pouvait faire des tests pour voir ce qui était abîmé.

Serait-ce le disque dur ?

Par avance, merci.
0
Utilisateur anonyme
9 oct. 2009 à 17:06
j'en ai bien peur

tu n'as que ces deux choix qui permutent ? ben c est ballot ca !!

aucune possibilité d'avoir la main en aucun cas ?
0
Bah, ça file de l'un à l'autre très vite sur l'écran noir....
Peut-être en utilisant les commandes claviers ? Mais le type du magasin disait qu'il ne fallait toucher à rien de crainte de tout abîmer davantage.

Faire une restauration peut-être ? Car j'avais commencé un nettoyage avec un logiciel et je l'avais arrêté au milieu.
C'est quelle commande clavier pour la restauration ?

Mais bon il est clair que mon ordinateur continuait à constamment bloquer. Ceci dit c'est peut-être dû à Zone Alarm, certains disent que ZA leur bloquait tout.
Par avance, MERCI !
0
Utilisateur anonyme
9 oct. 2009 à 17:18
oui ca m est arrivé que ZA me plante des pc

completement figés les trucs

si tu pouvais demarrer en mode sans echec , on pourrait faire quelque chose mais s il ne demarre pas du tout....

remarque c'est tentable avec la console de recuperation,si c est juste le boot qui a sauté , il est reconstructible
0
Et il faudrait faire quoi ?

BAh si c'est le premier slave qui est fichu, comment faire pour utiliser le deuxième ? Je dis des choses comme ça, je ne sais rien du tout !
0
Utilisateur anonyme
9 oct. 2009 à 17:29
donc la tu es sur un deuxieme pc ?

tu peux graverr ?
0
Merci de ta réponse rapide.
OUi, je peux graver.


Merci beaucoup.
0
Utilisateur anonyme
9 oct. 2009 à 17:35
ok tu as NERO d installé ?
0
Non, il est payant je crois ?
Je suis dans un cyber.
0
Oui ils ont nero. Ils peuvent graver. 4 euros.
Mais ils me proposent d'acheter une clé USB. 2 giga 12 euros, 4 giga 18 euros.
0
Utilisateur anonyme
9 oct. 2009 à 17:54
non il faut graver pour demarrer le pc mort sur le cd

sur l usb il bootera pas

au fait le pc en question est bien sous XP ?
0
OUi tout à fait, le pc est sous XP
Je grave quoi ? :o)
0
Utilisateur anonyme
9 oct. 2009 à 17:58
http://sd-1.archive-host.com/membres/up/829108531491024/cdr.iso

double clic dessus , nero s ouvrira tout seul

tu peux faire les manips en direct ?
0
En fait ils veulent que ce soit eux qui gravent. Mais je peux les guider selon tes indications ou leur demander de le faire avec moi peut-être.
0
Utilisateur anonyme
9 oct. 2009 à 18:05
y a juste a double cliquer dessus et nero fera le reste

quand je disais faire les manips en direct je parlais de ton pc a toi
0
J'ai double-cliqué que le lien que tu m'as donné.
Et maintenant je fais quoi ?

Je ne sais pas ce que je peux faire chez moi en fait avec mon pc, puisqu'il ne démarrait pas.
0
Utilisateur anonyme
9 oct. 2009 à 18:14
en fait j esperais te faire demarrer sur le cd que je t ai demandé de graver , afin de verifier si le fichier boot n'aurait pas ete altéré

ce cd permet de faire des manips pour recuperer(peut-etre) windows en etat de fonctionnement

sinon si tu as un cd de windows , ben tu peux aussi l installer sur l autre disque et voir si tu peux rentrer dans celui qui semble defaillant
0
Donc je demande aux gens du cyber de me graver le fichier du lien que tu m'as envoyé sur un CD et je vais mettre lde CD dans mon ordi ?
0
Oui le rebbot a été altéré ou est absent, c'est le message qui était écrit sur mon ordi, comme je te disais.


Alors je fais quoi ?

Par avance, merci.
0
Utilisateur anonyme
9 oct. 2009 à 18:19
oui mais ca va pas etre evident car il faudrait que tu fasses les manips en meme temps sur ton pc pendant que je t ecris........tu ne peux vraiment pas te faire preter un cd de windows ? un ami ou parent qui ne l'aurait installé qu'un fois ou deux maaxi ?
0
BAh je dois avoir le CD de windows, bien sûr.
0
Utilisateur anonyme
9 oct. 2009 à 18:20
tu sais rentrer dans le bios de ton ordi ? (touche F2) à tapoter au demarrage
0