Infection

steph76 -  
 timor -
Bonjour,
comment se debarrasser de :Win32:MalOb-G[Cryp] alors que j'ai essaye plusieurs anti-virus ?
Merci par avance
Configuration: Windows Vista
Firefox 3.5.2

26 réponses

  • 1
  • 2
Résumé de la discussion

La problématique centrale est la suppression de Win32:MalOb-G[Cryp], malware tenace qui persiste malgré l'utilisation de plusieurs antivirus sur une configuration Windows Vista avec Firefox 3.5.2. Des éléments de réponse privilégient Malwarebytes Anti-Malware pour analyser en profondeur le système, supprimer les éléments détectés et générer un rapport d'analyse à transmettre ensuite. En cas de traces persistantes, des outils complémentaires tels que Spybot S&D avec TeaTimer, SmitfraudFix ou RSIT sont proposés pour nettoyer les entrées de démarrage, les DNS du système et générer des rapports. Par ailleurs, des situations nécessitent le redémarrage en mode sans échec et la suppression de services ou de modules persistants, puis la réactivation progressive des protections pour prévenir les réinfections.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Bonjour,

    Sherred pour avoir un rapport plus complet :

    ▶ Télécharge Random's System Information Tool (RSIT).

    ▶ Un tutoriel est à ta disposition pour l'installer et l'utiliser correctement ici

    ▶ Double clique sur RSIT.exe pour lancer l'outil.

    ▶ Clique sur 'Continue' à l'écran Disclaimer.

    ▶ Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

    ▶ Une fois le scan fini , 2 rapports vont apparaitre. ▶ Héberge le contenu des 2 rapports.

    ( C:\RSIT\log.txt et C:\RSIT\info.txt )

    CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller

    Petite chose à faire pour les rapports générés par RSIT avant de continuer

    ▶ Vous devez fusionner les deux rapports.
    ▶ C'est-à-dire, copier/coller le contenu du rapport info.txt à la suite du rapport log.txt pour ne faire qu'un seul rapport.
    ▶ Ensuite enregistrer le rapport log.txt.

    Ensuite :

    ▶ Rendez-vous à cette adresse d'hébergement gratuit : https://www.cjoint.com/

    ▶ Cliquez sur parcourir, puis sur créer le lien cjoint

    ▶ Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
    1
    1. steph76
       
      merci bcp Primpenelle voici le lien :
      https://www.cjoint.com/?itlRvXR5FZ
      0
      1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503 > steph76
         
        Bonjour steph 76

        dans c-joint, je n'ai que le rapport info.txt, il ma manque le rapport log.txt. Merci.
        0
      2. steph76 > pimprenelle27 Messages postés 22182 Statut Contributeur sécurité
         
        bonjour Primpenelle
        je ne comprends pas impossible de fusionner les 2 fichiers
        merci
        0
      3. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503 > steph76
         
        donne moi juste simplement le rapport log.txt vu que j'ai déjà le info.txt.
        0
  2. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    ba il est beau ton rapport steph :

    2 antivirus sur le même pc ça fait pas bon ménage, ça fait conflit et après ne font pas bien leur boulot, tu va donc suppriler avast car cest une vrai passoire avec ceci et garder viruskeeper : https://www.avast.com/fr-fr/uninstall-utility

    Ensuite tu virera ceci car il n'est plus efficace et pas à jour : Ad-Aware 2007 Pro

    ensuite les infections :

    infection ask bar

    infection navipromo

    et certainement détournement de dns.

    Et certainement d'autres encore, faut vraiment faire attention avec le p2p.

    1ère chose à faire :

    ▶ Télécharge Toolbar-S&D (de Team IDN) sur ton Bureau

    ▶ Lance l'installation du programme en exécutant le fichier téléchargé.

    Sous XP : Double-clique sur le raccourci de Toolbar-S&D.

    Sous Vista : Fais un clic droit sur ToolbarSD et sélectionne "Exécuter en tant qu'administrateur".

    ▶ Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.

    ▶ Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.

    ▶ Poste le rapport généré. (C:\TB.txt)
    1
    1. steph76
       
      pimprenelle voici le rapport : https://www.cjoint.com/?iulaP5cmnJ
      tu conseillerais quel anti-virus car c avast que j'avais,virus keeper je l'ai juste pris pour 1 mois afin d'eradiquer justement ce virus.Merci
      0
    2. sherred Messages postés 8605 Statut Membre 351 > steph76
       
      petit conseil moins de crack = moins de virus
      0
    3. steph76 > sherred Messages postés 8605 Statut Membre
       
      desole mais c quoi un crack ?
      0
    4. sherred Messages postés 8605 Statut Membre 351 > steph76
       
      des "patches" de piratage , malheureusement qui sont souvent porteur de virus et/ou trojants
      ce n'est pas un reproche,juste un conseil, il existe de plus en plus de programmes libres et gratuit
      trés bien realisés qui non pas besoin d'etre "piraté" pour fonctionner

      mais je parasite la desinfection de pimprenelle27
      desolé
      0
    5. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503 > steph76
       
      je ne te conseille pas avast car une vrai passoire si tu ne veux pas de virus keeper, alors supprimer complètement et installe avira le meilleur dans les gratuit,

      Mais surtout ne fais rien avec avira avant d'avoir nettoyé complètement ton pc des virus ok.


      Télécharge AVIRA/ANTIVR Le meilleurs antivirus dans es gratuit.


      Tuto de configuration en vidéo (Merci Nico)
      0
  3. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Effectivement avec tout ça de crack nid à virus :

    Merci de bien vouloir supprimer tout ça et de faire ceci ensuite :

    C:\Users\INVIT~1\Documents\Iso Nero 8 Ultra Edition 8.0.3.0+Serials+Keygen
    C:\Users\INVIT~1\Documents\RealPlayer.v10.5.build.6.0.12.1698.FR.Incl-Crack
    C:\Users\INVIT~1\Documents\Iso Nero 8 Ultra Edition 8.0.3.0+Serials+Keygen\Betamaster Keygen
    C:\Users\INVIT~1\Documents\Iso Nero 8 Ultra Edition 8.0.3.0+Serials+Keygen\Nero-8.1.1.0b_ita_trial.exe
    C:\Users\INVIT~1\Documents\Iso Nero 8 Ultra Edition 8.0.3.0+Serials+Keygen\Nero.8.Ultra.Edition.v.8.0.3.0.Multilanguage.-ZWTiSO.(osloskop.net) - Raccourci.lnk
    C:\Users\INVIT~1\Documents\Iso Nero 8 Ultra Edition 8.0.3.0+Serials+Keygen\Nero.8.Ultra.Edition.v.8.0.3.0.Multilanguage.-ZWTiSO.(osloskop.net).iso
    C:\Users\INVIT~1\Documents\Iso Nero 8 Ultra Edition 8.0.3.0+Serials+Keygen\Serials nero 8.1.1.0.txt
    C:\Users\INVIT~1\Documents\Iso Nero 8 Ultra Edition 8.0.3.0+Serials+Keygen\Betamaster Keygen\keygen_update3 by Betamaster.exe
    C:\Users\INVIT~1\Documents\RealPlayer.v10.5.build.6.0.12.1698.FR.Incl-Crack\Crack
    C:\Users\INVIT~1\Documents\RealPlayer.v10.5.build.6.0.12.1698.FR.Incl-Crack\http--www.emule-paradise.com-.url
    C:\Users\INVIT~1\Documents\RealPlayer.v10.5.build.6.0.12.1698.FR.Incl-Crack\RealPlayer10-5GOLD_fr.exe
    C:\Users\INVIT~1\Documents\RealPlayer.v10.5.build.6.0.12.1698.FR.Incl-Crack\Crack\activator42.exe
    C:\Users\INVIT~1\Pictures\stephane\AUTOCAD\KEYGEN
    C:\Users\INVIT~1\Pictures\stephane\AUTOCAD\KEYGEN\legends.nfo

    tool bar :

    ▶ Relance Toolbar-S&D.

    ▶ Tape sur "2" puis valide en appuyant sur "Entrée".

    /!\ Ne ferme pas la fenêtre lors de la suppression /!\

    ▶ Un rapport sera généré, poste son contenu ici.

    NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
    Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."
    Tape explorer puis valide.

    Ce qu'il faut savoir sur les toolbars (barres d'outils)
    1
    1. steph76
       
      bernarleg connais pas...
      par contre tu me dis supprimer "tout ca ", c quoi tout ca ?
      et la suite c dans le dos ?
      merci
      0
    2. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503 > steph76
       
      tout est marqué mais il faut savoir lire la suite c'est tool bar option 2 pour la suppression, ensuite tout ça c'est tout les cracks qu'il y en dessous. MErci.
      0
    3. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503 > steph76
       
      Et les carcjs je ne veux plus en voir un dans le prochain scan.

      Ensuite l'infection navipromo :


      Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

      * Va dans démarrer puis panneau de configuration
      * Double Clique sur l'icône "Comptes d'utilisateurs"
      * Clique ensuite sur désactiver et valide.
      * Redémarre le PC


      Ton PC est infecté par l'ad-aware Navipromo/Magic Control qui affiche des publicités intempestives.
      Il s'installe via certains programmes, dont ceux-ci :

      ● Funky Emoticons
      ● go-astro
      ● GoRecord
      ● HotTVPlayer / HotTVPlayer & Paris Hilton
      ● Live-Player
      ● MailSkinner
      ● Messenger Skinner
      ● Instant Access
      ● InternetGameBox
      ● Officiale Emule (Version d'Emule modifiée)
      ● Original Solitaire
      ● SuperSexPlayer
      ● Speed Downloading
      ● Sudoplanet
      ● Webmediaplayer

      /!\ Fais attention de ne pas faire la même erreur, donc évite ces programmes /!\


      ▶ Télécharge sur le bureau Navilog1

      *Si ton antivirus s'affole , le désactiver
      sous vista : Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisis "Exécuter en tant qu'administrateur"
      Sous XP : double-clic dessus pour l'installer et le lancer


      ▶ Quand installé
      ▶ taper F
      ▶ Appuyer sur une touche jusqu' arriver aux options
      ▶ Choisir Recherche ( = taper 1 )

      ▶ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

      ▶un rapport : fixnavi.txt dans ==> C:

      ▶le copier et le coller dans la réponse
      0
    4. steph76 > pimprenelle27 Messages postés 22182 Statut Contributeur sécurité
       
      ce n'est pas le meme rapport ? https://www.cjoint.com/?iusFi8Q8DY
      navilog me demande d'appuyer sur une touche pour redemarrer/ai-je rate une etape ?
      0
  4. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    ils sont parti bizarre ça , il reste encore une chose ceci, qu'il faut arriver à corriger :

    O17 - HKLM\System\CCS\Services\Tcpip\..\{290597DA-CBE6-4F36-8EFE-4A29F2CA9E6F}: NameServer = 85.255.112.142;85.255.112.221
    O17 - HKLM\System\CS1\Services\Tcpip\..\{290597DA-CBE6-4F36-8EFE-4A29F2CA9E6F}: NameServer = 85.255.112.142;85.255.112.221

    Je vais voir ça et te tiens au courant demain.
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    tu vas me tester ça pour demain :

    Pour les utilisateurs de Spybot Search and Destroy :

    * Si vous avez TeaTimer (le résident de Spybot S&D), désactivez-le sinon il va gêner la désinfection en empêchant la modification des BHO et la réparation du registre.
    o Démarrez Spybot, cliquez sur Mode, cochez Mode avancé
    o A gauche, cliquez sur Outils, puis sur Résident
    o Décochez la case devant Résident "TeaTimer" puis quittez Spybot :

    Note importante :
    Une fois la désinfection terminée ( et pas avant ), réactiver le " TeaTimer " .
    /!\ Mais attention :
    à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection ) -> il faudra alors les accepter toutes sans exeptions !

    Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .

    Ensuite :

    Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    ▶ Clique sur Démarrer puis sur panneau de configuration
    ▶ Double Clique sur l'icône "Comptes d'utilisateurs"
    ▶ Clique ensuite sur désactiver et valide.
    ▶ Redémarre le PC.

    Option 1 - Recherche :

    ▶ télécharge smitfraudfix et enregistre le sur le bureau

    Sous XP : Double clique sur smitfraudfix puis exécuter

    sous vista : Clic-droit sur SmitfraudFix présent sur le bureau et choisis "Exécuter en tant qu'administrateur"

    ▶ Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

    (attention : N utilises pas l option 2 si je ne te l ai pas demandé !!)

    ▶ copier/coller le rapport dans la réponse.

    Voici un tutoriel sonore et animé en cas de problème d'utilisation

    (Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool".
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains,
    cet utilitaire pourrait arrêter des logiciels de sécurité.)
    1
    1. steph76
       
      Bonjour Pimprenelle voici le rapport de smitfraudix :
      SmitFraudFix v2.423

      Scan done at 10:33:51,62, 24/08/2009
      Run from C:\Users\Invit‚\Desktop\SmitfraudFix
      OS: Microsoft Windows [version 6.0.6001] - Windows_NT
      The filesystem type is NTFS
      Fix run in normal mode

      »»»»»»»»»»»»»»»»»»»»»»»» Process


      »»»»»»»»»»»»»»»»»»»»»»»» hosts


      »»»»»»»»»»»»»»»»»»»»»»»» C:\


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Invit‚


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Users\INVIT~1\AppData\Local\Temp


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Invit‚\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Start Menu


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Users\INVIT~1\FAVORI~1


      »»»»»»»»»»»»»»»»»»»»»»»» Desktop


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


      »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



      »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
      !!!Attention, following keys are not inevitably infected!!!

      o4Patch
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri



      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
      !!!Attention, following keys are not inevitably infected!!!

      IEDFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri



      »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
      !!!Attention, following keys are not inevitably infected!!!

      Agent.OMZ.Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» VACFix
      !!!Attention, following keys are not inevitably infected!!!

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
      !!!Attention, following keys are not inevitably infected!!!

      404Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, following keys are not inevitably infected!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, following keys are not inevitably infected!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"=""
      "LoadAppInit_DLLs"=dword:00000000


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
      !!!Attention, following keys are not inevitably infected!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit"="C:\\Windows\\system32\\userinit.exe,"

      »»»»»»»»»»»»»»»»»»»»»»»» RK

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]




      »»»»»»»»»»»»»»»»»»»»»»»» DNS



      »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


      »»»»»»»»»»»»»»»»»»»»»»»» End
      0
    2. steph76
       
      crois-tu qu'il faut que je garde rsit,otm,navilog,toolbarsd,smitfraud ?
      0
  7. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Pour le détournement de DNS tu va me faire ceci :

    ▶ Télécharge http://pc-system.fr/ sur ton bureau :

    ▶ Puis crée ce dossier > C:\WORT

    -> Va dans poste de travail / clique sur ton disque C / puis clique droit dans cette fenêtre et choisis "créer"> "nouveau dossier" > nomme le exactement ainsi WORT

    ▶ Double clique sur WORT.exe pour lancer l'installation de l'outil .
    ▶ Ouvre le dossier WORT , clique sur WareOut_Removal_Tool.bat pour lancer l'outil et laisse toi guider ...

    ▶ Choisis l'option 1 et laisse travailler l'outil ...

    Une fois terminé,

    ▶ poste le rapport obtenu.

    Il sera enregistré dans C:\WORT\WORT_report.txt

    ( Il te sera proposé d'éxécuter le fichier WORTregfix.reg, accepte. )
    1
  8. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    il reste des traces de ça :

    Ad-Aware 2007-->MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF} => Lavasoft Ad-Aware
    avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup => Alwil Avast! Antivirus

    on essayer de refaire otm pour 2 fichiers :

    ▶ Télécharge OTM (de Old_Timer) sur ton Bureau

    ▶ Double-clique sur OTM.exe pour le lancer.

    ▶ Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

    ▶ Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

    -----------------------------------------------------------------------------

    :Processes

    :services

    :reg

    :files
    c:\program files\asktbar\bar\1.bin\asktbar.dll
    C:\Windows\system32\tmp.txt


    :Commands
    [purity]
    [emptytemp]
    [Reboot]


    -----------------------------------------------------------------------------

    ▶ clique sur MoveIt! pour lancer la suppression.

    ▶ Le résultat apparaitra dans le cadre "Results".

    ▶ Clique sur Exit pour fermer.

    ▶ Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    ▶ Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
    1
  9. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    il m'énerve ce ask bar, on va essayer de virer les dernières traces avec malware :

    ▶ Télécharge malwarebyte's anti-malware

    ▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.

    ▶ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

    ▶ Lance une analyse complète en cliquant sur "Exécuter un examen complet"

    ▶ Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

    ▶ L'analyse peut durer un bon moment.....

    ▶ Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

    ▶ Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

    ▶ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
    1
    1. steph76
       
      je suis en train de faire l'analyse (....longue)
      compte tenu de ce tu sais de ma config.,du type de sites que je visite (jeux,sex,telechargement..)
      que me conseilles-tu en anti-virus (toujours antivir ?) et peut etre un firewall ?
      0
    2. steph76
       
      enfin, elimination de 15 elements :

      Malwarebytes' Anti-Malware 1.40
      Version de la base de données: 2693
      Windows 6.0.6001 Service Pack 1

      25/08/2009 13:13:26
      mbam-log-2009-08-25 (13-13-26).txt

      Type de recherche: Examen complet (C:\|D:\|)
      Eléments examinés: 309109
      Temps écoulé: 1 hour(s), 12 minute(s), 10 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 9
      Valeur(s) du Registre infectée(s): 2
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 4

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CLASSES_ROOT\CLSID\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\Typelib\{e24211b3-a78a-c6a9-d317-70979ace5058} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\SaveKeep (Rogue.SaveKeep) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SaveKeep (Rogue.SaveKeep) -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\Windows\System32\sb9pwoqw.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      C:\_OTM\MovedFiles\08232009_191703\users\invité\appdata\local\temp\b.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      D:\logiciel\tele inter\gigatribe_setup.exe (Rogue.Antivirus) -> Quarantined and deleted successfully.
      C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
      0
  10. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Ask bar ni y est pas,

    ensuite tu va me faire ceci pour voir si tu n'as pas de spyware :

    Télécharge Superantispyware (SAS)

    Choisis "enregistrer" et enregistre-le sur ton bureau.

    Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

    Créé une icône sur le bureau.

    Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

    - Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
    - Sous Configuration and Préférences, clique sur le bouton "Préférences"
    - Clique sur l'onglet "Scanning Control "
    - Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

    Close browsers before scanning (Fermer Navigateur avant le scan)

    Scan for tracking cookies (Scan pour dépister les cookies)

    Terminate memory threats before quarantining (Terminez les menaces de mémoire avant de mettre en quarantaine)

    - Laisse les autres lignes décochées.

    - Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

    - Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

    Dans la colonne de gauche, coche C:\Fixed Drive.

    Dans la colonne de droite, sous "Complète scan", clique sur "Perform Complète Scan"

    Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

    A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

    Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

    Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

    Pour recopier les informations sur le forum, fais ceci :

    - après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
    - Clique sur "Préférences" puis sur l'onglet "Statistics/Logs ".
    - Dans "scanners logs", double-clique sur SuperAntiSpyware Scan Log.

    - Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

    - Copie son contenu dans ta réponse.

    Regarde bien le tuto SuperAntiSpyware il est très bien expliqué.
    1
    1. steph76
       
      bonjour
      est-ce normal la duree de l'analyse de superantispyware(5h30) d'autant que l'analyse de hier soir est reste bloquee sur des fichiers ?
      0
  11. sherred Messages postés 8605 Statut Membre 351
     
    BONJOUR
    télécharge hijackthis http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
    >> enregistre la cible sous .... "le bureau" renomme HJTInstall.exe en par exemple HJT.exe

    >> Fais un double-clic sur "HJT.exe" afin de lancer l'installation

    >> Clique sur Install ensuite sur "I Accept"

    >> Clique sur" Do a scan system and save log file"

    >> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse

    http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
    0
  12. sherred Messages postés 8605 Statut Membre 351
     
    steph76 suit les instruction de pimprenelle27 ce sera plus complet

    merci
    0
  13. steph76
     
    merci aussi a Sherred Mais que dois-je faire maintenant que j'ai le lien ?
    0
  14. sherred Messages postés 8605 Statut Membre 351
     
    copy et colle sur ta reponse ce rapport C:\RSIT\log.txt
    0
    1. steph76
       
      c'etait deja fait.Tu parles bien de la reponse ,sur ce forum , a Primpenelle ou a toi ?
      (Desole je decouvre un peu le fonctionnement)

      Merci encore a vous 2
      0
      1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503 > steph76
         
        steph 76 il faut que tu me donne ce rapport ci : C:\RSIT\log.txt

        car avec c-joint, je n'ai que le rapport info.txt. Merci.
        0
  15. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Merci sherred
    0
  16. bernardleg
     
    sll l autre j our j avais 8 win 32 j ai traité avec a-squared free j ais rescanne impec plus rien bye
    0
    1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
       
      bernardleg es tu steph 76 sinon oui on a pas fini.
      0
  17. sherred Messages postés 8605 Statut Membre 351
     
    content pour toi
    0
  18. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    attends c'est pas fini je demande un renseignement et je reviens.
    0
  19. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    tu peut me refaire maintenant un rapport RSIT complet. Merci.
    0
  20. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    fais moi ceci à la place alors si ça beug désinstalle SAS avant :

    Télécharge List&Kill'em (par Gen-Hackman) et enregistre l'exécutable sur ton bureau.

    ! Désactive ton antivirus le temps de la manip ainsi que ton Pare-feu si présent !

    ! Déconnecte toi ferme toutes tes applications en cours !

    ▶ Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "exécuter en tant qu'administrateur").

    ▶ Choisis la langue souhaitée et valide par "entrée".

    ▶ Au second menu choisis l'option 1 : Mode Recherche

    ▶ Laisse travailler l'outil.

    ▶ Une fois le scan Terminé ,un rapport s'ouvre .

    Ensuite héberger le rapport :

    ▶ Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

    ▶ Cliquez sur parcourir, puis sur créer le lien cjoint

    ▶ Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
    0
    1. steph76
       
      bonjour
      http://www.cijoint.fr/cjlink.php?file=cj200908/cijkDMEwkD.txt
      0
  • 1
  • 2