Virus Ver Win 32: Trojan-gen

Question

Bonjour à toutes et à tous,

Comme beaucoup de monde ici avant moi mon ordi est infecté par un virus ver Trojan-Gen Win 32!

J'ai fais plusieurs scan avec Avast et Malwarebytes' Anti-Malware! J'ai mistout ce p'tit monde en quarantaine! Mais, à chaque nouveau scan, c'est le retour en force!

Le scénario se répète depuis des mois, voire presque 1 an!!!!

Je suis un véritable profane en la matière et, apparement, tous les cas sont différents pour régler ce problème!

C'est pourquoi je fais appel à vous, là derrière l'écran, qui savez mieux que moi combattre ce genre de merdouille!

Merci d'avance,

iegore

jlpjlp · Answer

slt 


colle un scan rapide avec malwarebyte


puis


Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

jlpjlp · Answer

désactive le tea timer de spybot (mode puis mode avancé  puis outils puis resident) 

puis colle un scan rapide avec malwarebyte et vire tout

puis


Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)

jlpjlp · Answer

fais l'option 2 de toolbar sd et colle le rapport


_________________________


Télécharge maintenant Navilog1 depuis-ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter

en tant qu'administrateur".

Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le blocnote

jlpjlp · Answer

&#9830; Télécharge Ad-remover ( de C_XX ) sur ton bureau :

http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

&#9830; Déconnecte toi et ferme toutes applications en cours !

&#9830; clic droit sur "Ad-R.exe" en tant qu'administrateur pour lancer l'installation et laisse les paramètres d'installation par défaut .

&#9830; clic droit sur le raccourci Ad-remover en tant qu'administrateur qui est sur ton bureau pour lancer l'outil .

&#9830; Au menu principal choisis l'option "L" et tape sur [entrée] .

&#9830; Laisse travailler l'outil et ne touche à rien ...

&#9830; Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

&#9830; Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

jlpjlp · Answer

les cracks c'est pas conseillé !!!!




colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

jlpjlp · Answer

remets un rapport rsit pour vérifier

puis lance tool cleaner et vire tout ce qui est trouvé

et dis comment va ton pc













pour protéger gratos ton ordi
https://www.commentcamarche.net/telecharger/securite/

mettre un antivirus

ANTIVIR ou AVG8 ou (avast)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions :
MALWAREBYTE ANTIMALWARE + SPYBOT
+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

--------
un pare feu :
(celui de Windows) ou mieux COMODO ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

-----------

CCLEANER pour effacer les traces de surf

jlpjlp · Answer

ok il en reste vire bitdefender de ton pc . Mets à jour adobe reader avec la version 9 . Puis remets un rapport rsit . À plus

jlpjlp · Answer

Mettre a jour java:

https://javara.fr.malavida.com/


Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries.
Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)
Double-clique sur le répertoire JavaRa obtenu.
Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)
Clique sur Search For Updates.
Sélectionne Update Using jucheck.exe puis clique sur Search.
Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes.
Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions.
Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.
Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log
(c:\JavaRa.log)
Ferme l'application.

si cela ne fonctionne pas

https://www.java.com/fr/download/windows_manual.jsp?locale=fr&host=www.java.com:80

tu peux désinstaller les vieilles versions.

_______________________________


Télécharge OTM
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
(de Old_Timer) sur ton Bureau.

double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.
(attention bien mettre :files)


:processes
explorer.exe
:files
C:\WINDOWS\system32\SARP32.dll
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{222B8372-1556-430c-BB5E-0AFF73775229}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SymLnch"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Géant^Menu Démarrer^Programmes^Démarrage^Webshots.lnk]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Géant^Menu Démarrer^Programmes^Démarrage^Xinek.lnk]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0fd7fc00-eab7-11dc-99ee-00016cc70a84}]
:commands
[purity]
[emptytemp]
[start explorer]

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.


________________________________

Télécharge et install UsbFix de C_XX & Chiquitine29
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisis l'option 1 ( Recherche )

# Laisse travailler l'outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

iegore · Answer

Bonjour jlpjlp,

As tu reçu ma dernière réponse concernant tes conseils du 29/08?

Car depuis je n'ai plus de news!!!

@+

Iegore

jlpjlp · Answer

non pas de nouvelle depuis mon message 15

je ne sais pas si tu l'as fais ....

jlpjlp · Answer

refais usbfix en branchant directement tous les supports externes (mp3, disque dur ...) et choisi l'option 2 et colle le rapport

puis dis comment va le pc car depuis le temps ....

iegore · Answer

Un de mes disk dur est au boulot, dois-je qd mêm refaire UsbFix avec les support externes que j'ai sous la main?

Pour ce qui est de la santé de mon pc:
-il rame de plus en plus de manière générale
-lorsque je le démarre une fenêtre apparait me disant que PowerPoint "a rencontré 1 pb et doit fermer...", je clique alors "ne pas envoyer le rapport d'erreur", PowerPoint s'ouvre et je le ferme. Ceci dit, peut être que ce pb vient de mes options de démarrage automatiq du pc? Dq penses tu?

dans l'attente,

Iegore

iegore · Answer

J'oubliais: j'ai un max de fenêtres publicitaires intempestives qui apparaissent lorsque je navigue sur le net! je n'avais pas ça auparavant!

jlpjlp · Answer

Un de mes disk dur est au boulot, dois-je qd mêm refaire UsbFix avec les support externes que j'ai sous la main? 

oui

___________________________

puis colle un rapport RSIT

iegore · Answer

Le rapport UsbFix:

############################## | UsbFix V6.023 |

User : Géant () # ACER-E0C1F33C8C
Update on 29/08/09 by Chiquitine29, C_XX & Chimay8
Start at: 17:51:32 | 16/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Athlon(tm) 64 Processor 3200+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : Antivirus BitDefender  12.0 [ (!) Disabled | Updated ]
AV : avast! antivirus 4.8.1169 [VPS 090731-0] 4.8.1169 [ Enabled | (!) Outdated ]
FW : Pare-feu BitDefender [ (!) Disabled ]12.0

C:\ -> Disque fixe local # 72,87 Go (37,83 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 73,23 Go (26,83 Go free) [ACERDATA] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible # 474,63 Mo (8,58 Mo free) # FAT
K:\ -> Disque CD-ROM
L:\ -> Disque fixe local # 298,09 Go (101,24 Go free) [New Volume] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\documents and settings\géant\local settings\application data\khkptpta.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
C:\Documents and Settings\Géant\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Wireless 802.11g Monitor\WLService.exe
C:\Program Files\Wireless 802.11g Monitor\WLanCfgG.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Présent ! C:\WINDOWS\system32\autorun.ini  

################## | Suspect ! ... | https://www.virustotal.com/gui/ |


################## | Registre # Clés Run infectieuses |

Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )  

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{32bd6e9d-c0be-11db-97e1-000e8e0808cd}
Shell\AutoRun\command =J:\ReadMe.exe 

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.023 ! |

Et le rapport RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Géant at 2009-10-16 17:53:02
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 39 GB (52%) free of 75 GB
Total RAM: 511 MB (54% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:53:13, on 16/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\documents and settings\géant\local settings\application data\khkptpta.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
C:\Documents and Settings\Géant\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Wireless 802.11g Monitor\WLService.exe
C:\Program Files\Wireless 802.11g Monitor\WLanCfgG.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32
otepad.exe
C:\Documents and Settings\Géant\Bureau\RSIT.exe
C:\Documents and Settings\Géant\Bureau\Géant.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*https://fr.search.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Family Safety\fsui.exe" -autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [khkptpta] "c:\documents and settings\géant\local settings\application data\khkptpta.exe" khkptpta
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Notification de cadeaux MSN.lnk = ?
O4 - Global Startup: Device Detector 3.lnk = C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O22 - SharedTaskScheduler: boob - {01b55afa-f451-474b-9e91-c35b24d02641} - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: R54G Wireless Service - Unknown owner - C:\Program Files\Wireless 802.11g Monitor\WLService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

jlpjlp · Answer

pour usbfix j'avais mis de faire l'option de nettoyage (option 2)  alors refais !!!!


puis


Télécharge maintenant Navilog1 depuis-ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.


Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le blocnote

iegore · Answer

J'ai fais le nettoyage avec UsbFix

Voici le bloc note navilog:

Fix Navipromo version 4.0.3 commencé le 16/10/2009 18:29:25,26

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 13.10.2009 à 19h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3200+ )
BIOS : )Phoenix - Award WorkstationBIOS v6.00PG
USER : Géant ( Administrator )
BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1169 [VPS 090731-0] 4.8.1169 (Activated)
Firewall  : Pare-feu BitDefender  12.0 (Not Activated)

C:\ (Local Disk) - NTFS - Total:72 Go (Free:37 Go)
D:\ (Local Disk) - FAT32 - Total:73 Go (Free:26 Go)
E:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (USB) - FAT - Total:474 Mo (Free:0 Go)
K:\ (CD or DVD)
L:\ (Local Disk) - NTFS - Total:298 Go (Free:101 Go)


Recherche executée en mode normal 

Nettoyage exécuté au redémarrage de l'ordinateur


c:\docume~1\gant~1\locals~1\applic~1\khkptpta.exe supprimé !
c:\docume~1\gant~1\locals~1\applic~1\khkptpta.dat supprimé !
c:\docume~1\gant~1\locals~1\applic~1\khkptpta_nav.dat supprimé !
c:\docume~1\gant~1\locals~1\applic~1\khkptpta_navps.dat supprimé !


Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\G‚ant\locals~1\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok




*** Scan terminé 16/10/2009 18:33:46,93 ***

Dans l'attente,

Iegore

jlpjlp · Answer

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 2. Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt) 

______________________

vire un des deux antivirus: soit avast soit bitdefender sinon l'ordi va ramer et planter!


______________________
encore des soucis???

iegore · Answer

Voici le rapport ToolBar S&D:

 -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3200+ )
   BIOS : )Phoenix - Award WorkstationBIOS v6.00PG
   USER : Géant ( Administrator )
   BOOT : Normal boot
   Antivirus : avast! antivirus 4.8.1169 [VPS 090731-0] 4.8.1169 (Activated)
   Firewall  : Pare-feu BitDefender  12.0 (Not Activated)
   C:\ (Local Disk) - NTFS - Total:72 Go (Free:37 Go)
   D:\ (Local Disk) - FAT32 - Total:73 Go (Free:26 Go)
   E:\ (CD or DVD)
   F:\ (USB)
   G:\ (USB)
   H:\ (USB)
   I:\ (USB)
   K:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [2] ( 16/10/2009|19:51 )

   -----------\ SUPPRESSION

   Supprime! - C:\Program Files\AskBarDis\bar
   Supprime! - C:\Program Files\AskBarDis\PopSwatter
   Supprime! - C:\Program Files\AskBarDis\unins000.dat
   Supprime! - C:\Program Files\AskBarDis\unins000.exe
   Supprime! - C:\Program Files\AskBarDis

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (G‚ant) - {19503e42-ca3c-4c27-b1e2-9cdb2170ee34} => flashgot
   (G‚ant) - {E9A1DEE0-C623-4439-8932-001E7D17607D} => ajtoolbar


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Search 

Page"="http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*http://fr.search.yaho

o.com"
   "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?

prd=ie&pver=6&ar=msnhome"
   "Start Page Redirect Cache"="https://www.msn.com/fr-fr?ocid=iehp"
   "Default_search_url"="http://www.microsoft.com/isapi/redir.dll?

prd=ie&ar=iesearch"
   "Search bar"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?

prd=ie&pver=6&ar=msnhome"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?

prd=ie&ar=iesearch"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.msn.com/fr-fr/"
   "Search bar"="http://www.bing.com/spresults.aspx"


   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !


   1 - "C:\ToolBar SD\TB_1.txt" - 27/08/2009|12:30 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 27/08/2009|16:25 - Option : [2]
   3 - "C:\ToolBar SD\TB_3.txt" - 27/08/2009|16:45 - Option : [2]
   4 - "C:\ToolBar SD\TB_4.txt" - 27/08/2009|20:36 - Option : [1]
   5 - "C:\ToolBar SD\TB_5.txt" - 16/10/2009|19:52 - Option : [2]

   -----------\  Fin du rapport a 19:52:36,76

Je voulais virer BitdefBitdefenderje ne le trouve pas sur "ajout/suppression de programme"!

@ +, là je dois partir!

Bonne nuit et merci!

jlpjlp · Answer

scan avec malwarebyte , fais un scan rapide et colle le rapport obtenu et vire ce qui est trouvé:


https://www.malekal.com/tutoriel-malwarebyte-anti-malware/­

______________________ 

colle un scan en ligne avec un des deux suivants

bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

iegore · Answer

J'ai fais le scan Malwarebytes!

Une infect° trouvée:

Voici le rapport :

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2697
Windows 5.1.2600 Service Pack 3

17/10/2009 08:24:33
mbam-log-2009-10-17 (08-24-33).txt

Type de recherche: Examen rapide
Eléments examinés: 91722
Temps écoulé: 5 minute(s), 23 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates\TrustedPublisher\Certificates\93eb9fd3ea40f221e990e3e71343e6d47d3fa0c0 (Trojan.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Je vais faire le scan avec Bitdefender!

Dans l'attente,

Iegore

jlpjlp · Answer

ok . On verra avec bitdefender et dis si encore des soucis

iegore · Answer

En fait, j'ai fait le scan avec la version d'essai de Kaspersky (le scan enligne étant momentanément HS)!

Le voici:


État : Absent   (événements : 1)	
17/10/2009 11:27:17	Introuvable	virus HEUR:Trojan.Win32.Generic	C:\System Volume Information\_restore{B9D0E5F6-E511-4444-9DC5-6BB00D18522D}\RP1307\A0260415.exe//UPX//Tools\KF.exe		
État : Supprimés   (événements : 12)	
17/10/2009 09:54:23	Supprimés	cheval de Troie Trojan-Downloader.Win32.Zlob.bcl	C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\2A870674.exe		
17/10/2009 09:54:23	Supprimés	virus not-a-virus:FraudTool.Win32.VirusBurst.c	C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3C0B352E.exe		
17/10/2009 09:54:23	Supprimés	virus not-a-virus:FraudTool.Win32.VirusBurst.c	C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3C0B352E.exe//CryptFF		
17/10/2009 09:54:23	Supprimés	virus not-a-virus:FraudTool.Win32.VirusBurst.c	C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3C0B352E.exe//CryptFF//Armadillo		
17/10/2009 09:54:23	Supprimés	cheval de Troie Trojan-Downloader.Win32.Zlob.bcl	C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\2A870674.exe//CryptFF		
17/10/2009 11:26:33	Supprimés	logiciel publicitaire not-a-virus:AdWare.Win32.Rabio.qm	C:\Program Files\FairUse Wizard 2\FairUseWizardUpdate.exe		
17/10/2009 10:25:15	Supprimés	cheval de Troie Trojan-Downloader.Win32.Zlob.bcl	C:\System Volume Information\_restore{B9D0E5F6-E511-4444-9DC5-6BB00D18522D}\RP1371\A0274762.exe		
17/10/2009 10:25:15	Supprimés	cheval de Troie Trojan-Downloader.Win32.Zlob.bcl	C:\System Volume Information\_restore{B9D0E5F6-E511-4444-9DC5-6BB00D18522D}\RP1371\A0274762.exe//CryptFF		
17/10/2009 10:25:15	Supprimés	virus not-a-virus:FraudTool.Win32.VirusBurst.c	C:\System Volume Information\_restore{B9D0E5F6-E511-4444-9DC5-6BB00D18522D}\RP1371\A0274763.exe		
17/10/2009 10:25:15	Supprimés	virus not-a-virus:FraudTool.Win32.VirusBurst.c	C:\System Volume Information\_restore{B9D0E5F6-E511-4444-9DC5-6BB00D18522D}\RP1371\A0274763.exe//CryptFF		
17/10/2009 10:25:15	Supprimés	virus not-a-virus:FraudTool.Win32.VirusBurst.c	C:\System Volume Information\_restore{B9D0E5F6-E511-4444-9DC5-6BB00D18522D}\RP1371\A0274763.exe//CryptFF//Armadillo		
17/10/2009 11:00:23	Supprimés	cheval de Troie Trojan.Win32.Agent2.rh	D:\MOVIES\LOGICIELS\installer programmes divers\Norton AntiVirus 2009 v16.0.0.125 [Final]\NAV2009_16.0.0.125_OEM90.exe		
État : Sain   (événements : 4)	
17/10/2009 11:51:16	Sain	virus HEUR:Trojan.Win32.Generic	C:\Documents and Settings\Géant\Application Data\Mozilla\Firefox\Profiles\1xxduq6d.Utilisateur par défaut\Cache\3EE206A7d01		
17/10/2009 11:51:16	Sain	virus HEUR:Trojan.Win32.Generic	C:\Documents and Settings\Géant\Application Data\Mozilla\Firefox\Profiles\1xxduq6d.Utilisateur par défaut\Cache\3EE206A7d01//UPX		
17/10/2009 11:51:16	Sain	virus HEUR:Trojan.Win32.Generic	C:\Documents and Settings\Géant\Application Data\Mozilla\Firefox\Profiles\1xxduq6d.Utilisateur par défaut\Cache\3EE206A7d01//UPX//Tools\KF.exe		
17/10/2009 11:51:16	Sain	virus HEUR:Trojan.Win32.Generic	C:\UsbFix\Tools\KF.exe		

Le virus Trojan "introuvable"; cela veut-il dire kil est tjr là?

Dans l'attente,

Iegore

jlpjlp · Answer

vire kaspersky

puis


Désactive ta restauration systeme puis redemarre ton ordi puis réactive là comme ceci:
https://www.informatruc.com

puis dis si encore des soucis avec ton pc

jlpjlp · Answer

ok tu diras . Lance le logiciel toolscleaner pour virer ce qui à été utilisé et non nécessaire

Virus Ver Win 32: Trojan-gen

25 réponses

Votre réponse

Discussions similaires

Newsletters