TSR BOOT avec Nod 32 Résolu

Question

Bonjour,
voila je suis sous vista basique et tout le temp aux moin une fois par jour nod 32 me metter un message en rouge avec TSR BOOT ...... virus probablement inconnu ... 
J'ai formater mon pc 
et il se trouve que j'ai encore ce message 
qu'est que je dois faire??
merci de m aider

pimprenelle27 · Accepted Answer

Pour information les désinfection en se font pas en MP merci. Et de toute façon il peut très bien avoir d'autres infections sur sont Pc à vérifier avant de le laisser partir.

Utilisateur anonyme · Answer

C'est une infection ..

balboa59 · Answer

colombo je c'est que sais une infection mais ce que je veux savoir c'est comment y remedier
merci

Ches · Answer

Salut,

Plusieurs possibilités :
1. mise à jour de NOD32 et analyse avec tous les réglages au max.
2. Si cela ne marche pas :
Avec la version 4 de NOD32 tu as la possibilité de créer un CD/clef USB Sysrescue. elle te permet de faire une analyse au démarrage (en bootant dessus). Tu as toute la procédure dans NOD32 dans la partie Outils )> sysrescue.

Après si cela ne marche pas non pus... contactes le support ESET (www.eset-nod32.fr)

Bon courage à toi.

balboa59 · Answer

merci a colombo pour m'avoir aider

Utilisateur anonyme · Answer

;-))

pimprenelle27 · Answer

Bonjour,

Pour faire avancer les choses :  je t'ai déjà dit colombo pas la peine de poster tu n'y connais rien en désinfection.

Me faire ceci pour un examen complet de ton PC.

&#x25B6; Télécharge Random's System Information Tool (RSIT).

&#x25B6; Un tutoriel est  à ta disposition pour l'installer et l'utiliser correctement ici

&#x25B6; Double clique sur RSIT.exe pour lancer l'outil.

&#x25B6; Clique sur 'Continue' à l'écran Disclaimer.

&#x25B6; Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

&#x25B6; Une fois le scan fini , 2 rapports vont apparaitre. &#x25B6; Héberge le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller


Petite chose à faire pour les rapports générés par RSIT avant de continuer

&#x25B6; Vous devez fusionner les deux rapports.
&#x25B6; C'est-à-dire, copier/coller le contenu du rapport info.txt à la suite du rapport log.txt  dans un bloc note pour ne faire qu'un seul rapport.
&#x25B6; Ensuite enregistrer le rapport log.txt.

 Ensuite : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir,  puis sur créer le lien cjoint

&#x25B6; Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

Utilisateur anonyme · Answer

pimprenelle27 va te cacher le problème a déjà été réglé ;-)) ..

pimprenelle27 · Answer

Et tu là aidé comment en lui disant c'est une infection. quel aide.

Utilisateur anonyme · Answer

En message privé ^^

Utilisateur anonyme · Answer

depuis un bon moment tu me casse les couilles pour suivre la formation sur ce site, en mp tu me casse ma tête et sur ces discussions...t'es payé combien pour leur faire la pub?

pimprenelle27 · Answer

rien du tout justement je ne fais pas de pub du tout je ne te demande pas là de faire de formation juste de savoir mener correctement une désinfection et de reconnaitre les infections, ce que tu ne sais pas faire du tout.

balboa59 · Answer

voila j'ai fait ce que tu ma dit 
voila le lien  http://www.cijoint.fr/cjlink.php?file=cj200908/cijbKWE430.txt

pimprenelle27 · Answer

il te reste éffectivement un infection ce qui va clouer le bec à colombo, de n'avoir pas voulu regarder plus pour voir s'il restait encore quelque chose : 

tu vas me faire ceci : 

* Sous Vista : &#x25B6; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

* Clique sur Démarrer puis sur panneau de configuration
* Double Clique sur l'icône "Comptes d'utilisateurs"
* Clique ensuite sur désactiver et valide.
* Redémarre le PC


&#x25B6; Télécharge et enregistre le fichier d installation sur ton bureau :

  http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

&#x25B6; tutoriel installation

&#x25B6; Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( le bureau )

&#x25B6; Ouvre le dossier Ad-remover présent sur ton bureau

&#x25B6; Double clique sur Ad-remover.bat.

* Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"

&#x25B6; Au menu principal choisi l'option "L" et tape sur [entrée] .

&#x25B6; Laisse travailler l'outil et ne touche à rien ...

&#x25B6; Poste le rapport qui apparait à la fin.

( le rapport est sauvegardé aussi sous C:\Ad-report.log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

balboa59 · Answer

okok 
je precise que hier j'avais nod 32 mais je l'ai remplacer par antivir 
nod 32 tout les jours me detecter TSR boot    et il etait impossible a nettoyer et apré avoir fait tout ce que colombo ma dit  plus tard j'ai encore eu ce message de la part de nod 32 donc ce virus n'est toujours pas parti
sa me soule je veux qu'il parte ce virus.

pimprenelle27 · Answer

donc tu me dit que tu as 2 antivirus sur le même pc qu'est ce que ta fait faire colombo ?



Il faut que tu supprime complètement avira ou nod 32 qui sont très bien tout les 2

Ensuite me faire ce que j'ai marqué plus haut.

balboa59 · Answer

non j'ai desinstaller nod 32  
colombo ma fait fait un scan avec hijackthis  ensuite un scan avec malwarebyte et il ma dit de mettre AVG free

Utilisateur anonyme · Answer

Non je lui est pas dis de faire sa ...

Je lui est dis qu'il fallait qu'il désinstalle Nod32 !

pimprenelle27 · Answer

ton rapport indique que tu as avira en antivirus que tu as spybot surement téléchargé à la demande de colombo et que tu as comodo en parfeu, faudrait savoir là . tu as fait un scan en ligne nod 32 alors?

Alors je croyais que c'était réglé colombo?

balboa59 · Answer

ben oui j'ai avira  spybot ( colombo ma di de le mettre) et comodo (seulement le pare-feu que colombo ma di de mettre)

ps: je suis entrain de faire le scan

balboa59 · Answer

non j'avais nod 32 depuis un moment et tout les jour sans faire de scan il me mettait un message en rouge TSR boot...MBR ...probablement inconnue impossible a nettoyer

balboa59 · Answer

======= RAPPORT D'AD-REMOVER 1.1.4.5_Q | UNIQUEMENT XP/VISTA/SEVEN =======
.
Mit à jour par C_XX le 26/08/2009 à 6:37 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 17:38:28, 29/08/2009 | Mode Normal | Option: SCAN
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows Vista™   v6.0.6001
Nom du PC: PC-DE-VINCENT | Utilisateur actuel: Vincent
.
. 
============== ÉLÉMENT(S) TROUVÉ(S) ============== 
.
.
HKCU\Software\Grand Virtual 
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\EoWiki_is1 
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker 
.
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Everest Poker 
C:\Program Files\Everest Poker 
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.2 *
.
 Nom du profil: okj0901c.default (Vincent)
.
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://www.neufportail.fr/"); 
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.1.2"); 
.
.
.
* Internet Explorer Version 7.0.6001.18000 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://homepage.emachines.com/rdr.aspx?b=ACEW&l=040c&s=1&o=vb32&d=0809&m=el1300
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://homepage.emachines.com/rdr.aspx?b=ACEW&l=040c&s=1&o=vb32&d=0809&m=el1300
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://homepage.emachines.com/rdr.aspx?b=ACEW&l=040c&s=1&o=vb32&d=0809&m=el1300
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.msn.com/
. 
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS] 
.
.
===================================
.
1871 Octet(s) - C:\Ad-Report-SCAN.log 
.
67 Fichier(s) - C:\Users\Vincent\AppData\Local\Temp 
23 Fichier(s) - C:\Windows\Temp 
.
0 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE
.
Fin à: 17:52:12 | 29/08/2009
.
============== E.O.F ==============
.

pimprenelle27 · Answer

• Relance Ad-remover,
 
• Au menu principal choisis l'option "L" et tape sur [entrée] .

• Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé sous C:\Ad-report-clean.log )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

balboa59 · Answer

.
======= RAPPORT D'AD-REMOVER 1.1.4.5_Q | UNIQUEMENT XP/VISTA/SEVEN =======
.
Mit à jour par C_XX le 26/08/2009 à 6:37 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 18:06:00, 29/08/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows Vista™   v6.0.6001
Nom du PC: PC-DE-VINCENT | Utilisateur actuel: Vincent
.
. 
============== ÉLÉMENT(S) NEUTRALISÉ(S) ============== 
.
.
HKCU\Software\Grand Virtual
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker
.
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Everest Poker\Uninstall Everest Poker.lnk 
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Everest Poker 
C:\Program Files\Everest Poker\casino.exe 
C:\Program Files\Everest Poker\CStart.exe 
C:\Program Files\Everest Poker\data 
C:\Program Files\Everest Poker\Everest Poker.exe 
C:\Program Files\Everest Poker\gvbase.dll 
C:\Program Files\Everest Poker\gvcrt.dll 
C:\Program Files\Everest Poker\gvgfx-dib.dll 
C:\Program Files\Everest Poker\gvgfx.dll 
C:\Program Files\Everest Poker\gvmain.dll 
C:\Program Files\Everest Poker\gvmain.exe 
C:\Program Files\Everest Poker\gvnetwork.dll 
C:\Program Files\Everest Poker\gvsound.dll 
C:\Program Files\Everest Poker\init.ini 
C:\Program Files\Everest Poker\log.dat 
C:\Program Files\Everest Poker\settings.ini 
C:\Program Files\Everest Poker	oc_fr.ini 
C:\Program Files\Everest Poker\data\fonts 
C:\Program Files\Everest Poker\data\mp-lobby 
C:\Program Files\Everest Poker\data\mp-poker 
C:\Program Files\Everest Poker\data\shared 
C:\Program Files\Everest Poker\data\startup 
C:\Program Files\Everest Poker\data\fonts\kgp-en.ttf 
C:\Program Files\Everest Poker\data\mp-lobby\fr.gvt 
C:\Program Files\Everest Poker\data\mp-lobby\shared.gvt 
C:\Program Files\Everest Poker\data\mp-poker\background 
C:\Program Files\Everest Poker\data\mp-poker\fr 
C:\Program Files\Everest Poker\data\mp-poker\shared.gvt 
C:\Program Files\Everest Poker\data\mp-poker\background\default.gvt 
C:\Program Files\Everest Poker\data\mp-poker\fr\bitmaps.gvt 
C:\Program Files\Everest Poker\data\mp-poker\fr\mp-poker_strings.txt 
C:\Program Files\Everest Poker\data\mp-poker\fr\mp-poker_tutorial.txt 
C:\Program Files\Everest Poker\data\shared\fr 
C:\Program Files\Everest Poker\data\shared\shared 
C:\Program Files\Everest Poker\data\shared\fr\country.txt 
C:\Program Files\Everest Poker\data\shared\fr\language.txt 
C:\Program Files\Everest Poker\data\shared\fr\ordinal.txt 
C:\Program Files\Everest Poker\data\shared\shared\bitmaps 
C:\Program Files\Everest Poker\data\shared\shared\sounds 
C:\Program Files\Everest Poker\data\shared\shared\bitmaps\btn_scroll.gvt 
C:\Program Files\Everest Poker\data\shared\shared\bitmaps\check.art 
C:\Program Files\Everest Poker\data\shared\shared\bitmaps\chips.art 
C:\Program Files\Everest Poker\data\shared\shared\sounds\button.ogg 
C:\Program Files\Everest Poker\data\shared\shared\sounds\carddeal.ogg 
C:\Program Files\Everest Poker\data\shared\shared\sounds\cardflip.ogg 
C:\Program Files\Everest Poker\data\shared\shared\sounds\chipclick.ogg 
C:\Program Files\Everest Poker\data\startup\en 
C:\Program Files\Everest Poker\data\startup\fr 
C:\Program Files\Everest Poker\data\startup\shared 
C:\Program Files\Everest Poker\data\startup\en\startup_strings.txt 
C:\Program Files\Everest Poker\data\startup\fr\cstart.txt 
C:\Program Files\Everest Poker\data\startup\fr\startup_strings.txt 
C:\Program Files\Everest Poker\data\startup\shared\bitmaps 
C:\Program Files\Everest Poker\data\startup\shared\icons 
C:\Program Files\Everest Poker\data\startup\shared\sounds 
C:\Program Files\Everest Poker\data\startup\shared\bitmaps\splash_poker.art 
C:\Program Files\Everest Poker\data\startup\shared\icons\ep.ico 
C:\Program Files\Everest Poker\data\startup\shared\sounds\alert.ogg 
C:\Program Files\Everest Poker 

(!) -- Fichiers temporaires supprimés.

.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.2 *
.
 Nom du profil: okj0901c.default (Vincent)
.
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://www.neufportail.fr/"); 
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.1.2"); 
.
.
.
* Internet Explorer Version 7.0.6001.18000 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
. 
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS] 
.
.
===================================
.
5301 Octet(s) - C:\Ad-Report-CLEAN.log 
2187 Octet(s) - C:\Ad-Report-SCAN.log 
.
36 Fichier(s) - C:\Users\Vincent\AppData\Local\Temp 
9 Fichier(s) - C:\Windows\Temp 
.
20 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
16 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE
.
Fin à: 18:12:10 | 29/08/2009
.
============== E.O.F ==============

balboa59 · Answer

ya kelkun ??

pimprenelle27 · Answer

Tu pourrait me faire voir le rapport malware que ta fait passer colombo, tu le retrouvera dans l'onglet rapport de malware.

balboa59 · Answer

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2708
Windows 6.0.6001 Service Pack 1

28/08/2009 17:35:30
mbam-log-2009-08-28 (17-35-30).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 201097
Temps écoulé: 41 minute(s), 25 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\partner service (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\partner service (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\partner service (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\kt_bho.KettleBho (Trojan.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\ProgramData\Partner\partner.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\ProgramData\Partner\partner.exe (Trojan.BHO) -> Quarantined and deleted successfully.

pimprenelle27 · Answer

ok tu as vidé la quarantaine de mlaware?


Ensuite ceci : 


Première Méthode en utilisant Gmer

Gmer est un détecteur de rootkits puissant.

Utilisation :

    * Télécharger Gmer
    * Dézipper le programme.
    * Double cliquer sur Gmer.exe
    * Le programme se lance et fait un auto scan (il s'agit de l'onglet : Rootkit/Malware).


=> Des lignes rouges doivent apparaitre en cas d'infection :

    * sur ces lignes rouges:
          o Services: Clique droit puis delete service
          o Process: Clique droit puis kill process
          o Adl, file: Clique droit puis delete files

balboa59 · Answer

oui je l'ai vider.


okok je vais le faire

balboa59 · Answer

c bon c fait mais ya rien eu en rouge

pimprenelle27 · Answer

Fait moi celui ci alors je te dis à demain il est tard : 

&#x25B6; Télécharge mbr.exe de Gmer sur le Bureau : http://www2.gmer.net/mbr/mbr.exe

&#x25B6; Désactive toutes tes protections et coupe la connexion.

&#x25B6; Double clique sur mbr.exe et laisse l'outil travailler : un rapport nommé mbr.log sera généré

&#x25B6; Poste son rapport dans ta prochaine réponse stp

balboa59 · Answer

ok bonne nuit a demain

pimprenelle27 · Answer

où où tu es encore là.

balboa59 · Answer

j'ai fait ce que vous m aviez dit avec mbr  
mais sa a rien fait de speciale

pimprenelle27 · Answer

tu as un rapport à me donner?

balboa59 · Answer

c pas vraiment un rapport ya 4ligne avec  successfuul ....

pimprenelle27 · Answer

y a quoi de marqué sur ces 4 lignes?

balboa59 · Answer

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

pimprenelle27 · Answer

ok on va faire la suite on va vérifeir que tu n'ai pas de spyware : 

Télécharge Superantispyware (SAS)



Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Préférences, clique sur le bouton "Préférences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning  (Fermer Navigateur avant le scan)

Scan for tracking cookies  (Scan pour dépister les cookies)

Terminate memory threats before quarantining (Terminez les menaces de mémoire avant de mettre en quarantaine)

- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complète scan", clique sur "Perform Complète Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Préférences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SuperAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SuperAntiSpyware il est très bien expliqué.

balboa59 · Answer

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 09/02/2009 at 07:48 PM

Application Version : 4.27.1002

Core Rules Database Version : 4082
Trace Rules Database Version: 2022

Scan type       : Quick Scan
Total Scan Time : 00:23:17

Memory items scanned      : 748
Memory threats detected   : 0
Registry items scanned    : 427
Registry threats detected : 0
File items scanned        : 18670
File threats detected     : 8

Adware.Tracking Cookie
	C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Cookies\vincent@serving-sys[1].txt
	C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Cookies\vincent@bouyguestelecom.solution.weborama[2].txt
	C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Cookies\vincent@windowslivemessenger.solution.weborama[1].txt
	C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Cookies\vincent@lorealparis.solution.weborama[2].txt
	C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Cookies\vincent@bs.serving-sys[1].txt
	C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Cookies\vincent@weborama[1].txt
	C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Cookies\vincent@msnportal.112.2o7[1].txt
	C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Cookies\vincent@imrworldwide[2].txt

pimprenelle27 · Answer

ok tu peux supprimer ce qu'il à trouver qui doit être en quarantaine, ensuite un scan en ligne pour vérifier s'il reste encore des virus : 


Fais un scan en ligne avec Internet explorer
Rend toi sur ce site : http://www.bitdefender.fr/scan_fr/scan8/ie.html

balboa59 · Answer

sa me di impossible de charger le scanner en ligne

pimprenelle27 · Answer

bon ba esssaye celui ci : 

Fais un scan en ligne avec Internet explorer
Rend toi sur ce site : https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan

Voici un tutoriel

balboa59 · Answer

il ma rien trouver de special 
je croi que rien ne va marcher pour enlever ce virus

est ce que restaurer le MBR  va peut etre l'enlever? 
parce que ce virus  est ecri  secteur MBR de 0.Disque physique

pimprenelle27 · Answer

tu peux me mettre le rapport quand même on en est pas à la restauration encore, nous avons encore des choses à faire.

balboa59 · Answer

j ai pas de rapport il ma rien trouver et apres il ma di de l'acheter
j'ai fait 50truque, j ai formater mon pc  , j'ai installer 50 logiciel et ce virus est toujours la

pimprenelle27 · Answer

bon ensuite tu va me faire ceci je sais que ça fait beaucoup de logicielle et de fix à passer mais bon ssi au bout du compte le virus est partis à la fin c'est mieux quand même que de formater et peut être le virus sera toujours là: 


Télécharge List&Kill'em (par Gen-Hackman) et enregistre l'exécutable sur ton bureau.

! Désactive ton antivirus le temps de la manip ainsi que ton Pare-feu si présent !

! Déconnecte toi ferme toutes tes applications en cours !

&#9654; Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "exécuter en tant qu'administrateur").

&#9654; Choisis la langue souhaitée et valide par "entrée".

&#9654; Au second menu choisis l'option 1 : Mode Recherche

&#9654; Laisse travailler l'outil.

&#9654; Une fois le scan Terminé ,un rapport s'ouvre .

 Ensuite héberger le rapport : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir,  puis sur créer le lien cjoint

&#x25B6; Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

balboa59 · Answer

http://www.cijoint.fr/cjlink.php?file=cj200909/cijct1YRqD.txt

pimprenelle27 · Answer

! Déconnecte toi ferme toutes tes applications en cours !

&#9654; Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "Exécuter en tant qu'administrateur").

&#9654; Choisis la langue souhaitée et valide par "entrée".

&#9654; Choisis cette fois ci l'option 2 : Mode Destruction

&#9654; Laisse travailler l'outil.

&#9654; Une fois Terminé , poste le contenu du 2éme rapport qui s'ouvre dans ta prochaine réponse.

Note: le Rapport sur trouve en outre a cet emplacement: C:\Kill'em.txt

balboa59 · Answer

Kill'em by g3n-h@ckm@n 1.0.3.0 

updated on 03.09.2009 ::::: 0.25 


Microsoft Windows [version 6.0.6001]
 

05/09/2009    22:31:01,50 

Fichiers analysés : 
================= 
 

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : 

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"  
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"  
"C:\Windows\system32\prntvpt.dll"  
 
 
¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers : 
  
Quarantaine : 

guard32.dll.Kill'em

¤¤¤¤¤¤¤¤¤¤ Verification : 
 

 
Infections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : 

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"  
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"  
"C:\Windows\system32\prntvpt.dll"  
 
¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes : 

 
¤¤¤¤¤¤¤¤¤¤ C:\Windows\Prefetch : 

AgAppLaunch.db
AgCx_SC1.db
AgCx_SC1.db.trx
AgCx_SC2.db
AgGlFaultHistory.db
AgGlFgAppHistory.db
AgGlGlobalHistory.db
AgGlUAD_P_S-1-5-21-3486969725-562248662-1988643148-1000.db
AgGlUAD_S-1-5-21-3486969725-562248662-1988643148-1000.db
AgRobust.db
Layout.ini
NTOSBOOT-B00DFAAD.pf
PfSvPerfStats.bin
ReadyBoot
REG.EXE-E7E8BD26.pf
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

pimprenelle27 · Answer

Tu peux me faire un scan complet avec Avira et me poster le rapport Merci.

balboa59 · Answer

j'en ai fait un il n'y a pas tres longtemp et il ne me trouve rien du tout 
et je n'ai plus avira j'ai remis nod 32 car il n'y a que lui qui me detecte ce virus

balboa59 · Answer

2h28 message de nod 32
ce virus est toujours la !
que faire ?

Utilisateur anonyme · Answer

Salut,

prens contacte avec le support, ils pourront t'aider à te désinfecter et faire neutraliser ce virus :
https://www.eset.com/

balboa59 · Answer

je resume

j'avais nod 32 et tout les jour il me mettait ce message de virus

j ai desinstaller nod 32 pour avira 

avira ne me mettait aucun message 

pour voir si j'avais encore ce virus j'ai enlever avira et remi nod 32 

et j ai encore ce virus

titimorti · Answer

C'est peut être un faux positif

pimprenelle27 · Answer

Il va falloir quand même que tu arête de jouer avec les antivirus.à force il ne vont plus rien comprendre, c'était pas la peine de désinstaller avira il suffisait de faire un scan en ligne nod 32.

Tu va essayer de me faire ceci : 

Télécharge GenProc sur ton bureau afin de voir ce qu'il à ton pc.

Double-clique sur GenProc.exe

et poste le contenu du rapport qui s'ouvre à la suite de la question êtes vous aider par quelqu'un, répondre oui. Merci.

Si pas de rapport .txt, regarder sur le bureau, il doit y avoir une icône Genproc qui renvoie sur internet avec la procédure.


Voir  comment utiliser GenProc

Pour ceux qui ont Vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

IMPORTANT : Poste la procédure Genproc et ne fais rien d'autre pour l'instant ( souvent il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement )

Vive FC.barca · Answer

moi aussi j ai le meme prob avec ce virus meme j ai formater mon ordi svp j ai besoin d aide merci bcp.

TSR BOOT avec Nod 32

58 réponses

Votre réponse

Discussions similaires

Newsletters