Mdm.exe ? virus ? bug ordi ?

Résolu/Fermé
gilou106 Messages postés 52 Date d'inscription lundi 23 novembre 2009 Statut Membre Dernière intervention 14 avril 2014 - 23 nov. 2009 à 23:16
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 - 2 déc. 2009 à 17:57
Bonjour,
voila j'ai un problème à cause de mdm.exe. Avast n'arrete pas de m'informer que j'ai un virus/ver et quel vien de ce fichier. chaque fois je selectionne supprimé mais il revient tout le temps et j'ai remarqué que mon ordinateur commence à bugué après que j'ai sa (il devient lent, UC utilisée 100%). j'ai cherché comment résoudre mais je ne réussi pas.
J'ai un windows 7
Pouvez-vous m'aider SVP =( ?
c'est vraiment enervant quand il me fait sa, surtout quand je parle à quelqu'un et que j'écrit je ne sais pas quoi à cause de ce bug

Merci de bien me répondre (^^)
A voir également:

69 réponses

gilou106 Messages postés 52 Date d'inscription lundi 23 novembre 2009 Statut Membre Dernière intervention 14 avril 2014
26 nov. 2009 à 01:35
sa a marché (^^)
un très grand merci Jacques
voici les 2 rapports :

-log.txt:
http://www.cijoint.fr/cjlink.php?file=cj200911/cijkXbKcJH.txt

-info.txt:
http://www.cijoint.fr/cjlink.php?file=cj200911/cijqJ66Agp.txt


merci encore
j'espere que sa pourra résoudre mon problème =S
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
26 nov. 2009 à 18:01
bonjour, tu vas passer usbfix option 2 , tu postes le rapport et tu passeras malwarebytes

tu déactives l'UAC pour t'aider : http://pagesperso-orange.fr/NosTools/uac_win7.html

tu le lanceras avec un cliques droit et en tant que administrateur


1) pour usbfix

• Telecharges et installes: https://www.ionos.fr/?affiliate_id=77097 de C_XX & Chiquitine29


(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


• Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

• choisi l'option 2 ( Suppression )

• Laisse travailler l outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html



2) pour malwarebytes

Télécharge Malwarebytes' Anti-Malware: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

. sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
. enregistres le sur le bureau
. cliques droit et " exécuter en tant que aministrateur" sur le fichier téléchargé pour lancer le processus d'installation.
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc si il le fait pas lui même
. une fois redémarré double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
0
gilou106 Messages postés 52 Date d'inscription lundi 23 novembre 2009 Statut Membre Dernière intervention 14 avril 2014
26 nov. 2009 à 20:03
salut

voila :
voici le rapport de usbfix
http://www.cijoint.fr/cjlink.php?file=cj200911/cijCLxCyNt.txt

et le rapport de malwarebytes

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3224
Windows 6.1.7100

24/11/2009 22:09:21
mbam-log-2009-11-24 (22-09-21).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 189037
Temps écoulé: 43 minute(s), 52 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
C:\Users\gilou\AppData\Roaming\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rvydhko (Trojan.Agent.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\comrepl (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\mqtgsvc (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\spool (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\dllhst (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Heuristics.Reserved.Word.Exploit) -> Data: c:\users\gilou\appdata\roaming\spoolsv.exe -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\gilou\Local Settings\Application Data\rvydhko_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\gilou\Local Settings\Application Data\rvydhko_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\gilou\Local Settings\Application Data\rvydhko.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\gilou\Local Settings\Application Data\rvydhko.exe (Adware.Navipromo.H) -> Delete on reboot.
c:\Users\gilou\AppData\Local\rvydhko.exe (Trojan.Agent.H) -> Delete on reboot.
C:\Windows\system\comrepl.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\gilou\Local Settings\Application Data\Microsoft\mqtgsvc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\gilou\AppData\Local\Temp\spoolsv.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\dllhst3g.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\gilou\AppData\Roaming\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
26 nov. 2009 à 21:11
bon , je vois que malwarebytes à bien travailler mais il a trouver des chose que l'on va vériffier pour être sur que plus rien ,mais il serait bon de voir si tu as besion de cela sur ton pc ???

################## | Cracks / Keygens / Serials |

"C:\Program Files\EA SPORTS\LFP MANAGER 10\Crack\Manager10.exe"  
27/10/2009 18:22 |Size 15724544 |Crc32 7e858c09 |Md5 17779988d5725fff98a5818c07f2f207  
 
"C:\Users\gilou\AppData\Roaming\IMVUClient\GeckoBin\TestPlainTextSerializer.exe"  
26/10/2009 19:09 |Size 9728 |Crc32 3bae3044 |Md5 6ae5d434716dfff2d6e1ee0ced0e74eb  
 
"C:\Users\gilou\Jeux PC\Les.Sims.3.Fr-Hedy80\The.Sims.3.Crack\rld-sim3.exe"  
16/05/2009 18:56 |Size 8192 |Crc32 9e4592e6 |Md5 42173a315cd5cb97ee2bdb1269c8f683  
 
"C:\Users\gilou\Jeux PC\Les.Sims.3.Fr-Hedy80\The.Sims.3.Crack\TS3.exe"  
17/05/2009 18:28 |Size 29761224 |Crc32 c01afd0c |Md5 ee52c5a22080e20858da01d91fc0f7c3  
 
"C:\Users\gilou\Jeux PC\star wars\Crack\SWTFU.exe"  
30/10/2009 22:56 |Size 16207872 |Crc32 70d21c8d |Md5 9367d8817fbe8d8d2af24585ec081372  
 
"C:\Users\gilou\Logiciel\Microsoft.Office.Professional.2007.Francais + Key la bonne par sergio Crack (OK).rar" 
-> contain :  SaveAsPDFandXPS.exe

"C:\Users\gilou\Logiciel\Microsoft.Office.Professional.2007.Francais + Key la bonne par sergio Crack (OK).rar" 
-> contain :  SETUP.EXE

"C:\Users\gilou\Logiciel\Microsoft.Office.Professional.2007.Francais + Key la bonne par sergio Crack (OK).rar" 
-> contain :  OFFICE.FR-FR\DW20.EXE

"C:\Users\gilou\Logiciel\Microsoft.Office.Professional.2007.Francais + Key la bonne par sergio Crack (OK).rar" 
-> contain :  OFFICE.FR-FR\DWTRIG20.EXE

"C:\Users\gilou\Logiciel\Microsoft.Office.Professional.2007.Francais + Key la bonne par sergio Crack (OK).rar" 
-> contain :  PROPLUS.WW\OSE.EXE


qui sont des sources de réinfectionss !! mais bon c'est ton pc !!

sinon comme malwarebytes nous montre
Adware.Navipromo.H


je préfèrerais que tu passes navilog pour être sur que rien ne reste consernant cette infection pour écarter tout risque de réinfections, donc tu fais navilog et tu relancera RSIT pour poster le log.txt pour contrôle , merci


1) passes navilog option 1

assure toi que l'UAC est bien déactivé !!

Télécharge maintenant Navilog1 depuis-ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.

Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter en tant qu'administrateur".

Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le blocnote
Le rapport cleannavi.txt est en outre sauvegardé dans C:(cleannavi.txt)

pour comprendre: http://www.malekal.com/Adware.Magic_Control.php


tuto : https://kerio.probb.fr/t3324-tuto-navilog


2) relances RSIT en tant que administrateur et postes le nouveau log.txt
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
gilou106 Messages postés 52 Date d'inscription lundi 23 novembre 2009 Statut Membre Dernière intervention 14 avril 2014
26 nov. 2009 à 22:15
voila (^^):

1)Navilog

Fix Navipromo version 4.0.5 commencé le 26/11/2009 22:08:23,70

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 10.11.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows 7 Édition Intégrale ( v6.1.7100 )
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 5000+ )
BIOS : BIOS Date: 12/04/07 17:40:55 Ver: 08.00.12
USER : gilou ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:148 Go (Free:52 Go)
D:\ (CD or DVD)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (CD or DVD)


Recherche executée en mode normal


[b]Aucune Infection Navipromo/Egdaccess trouvée/b



*** Scan terminé 26/11/2009 22:08:47,78 ***

2)Rsit

http://www.cijoint.fr/cjlink.php?file=cj200911/cijuKhCgWx.txt

Merci beaucoup (^^)
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
26 nov. 2009 à 22:51
bon il me reste ces lignes la
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\Users\gilou\AppData\Local\Temp\dllhst3g.exe /waitservice     
O4 - HKCU\..\Policies\Explorer\Run: [MqtgSVC] C:\Users\gilou\AppData\Roaming\mqtgsvc.exe /waitservice     
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [rsvp] C:\Users\gilou\LOCALS~1\APPLIC~1\rsvp.exe /waitservice (User 'Système')     
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [rsvp] C:\Users\gilou\LOCALS~1\APPLIC~1\rsvp.exe /waitservice (User 'Default user')     


pour moi sont pas bonne mais comme tu est avec seven et que cet os est tout nouveau et que perso je le connais pas trop bien , je vais contacter plus compétant pour savoir si néfaste ou pas , je reviens dés que j'ai la réponse , merci de ne rien modiffier sur le pc en attendant !!
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
27 nov. 2009 à 11:58
bonjour,

tu va fixer les lignes donnés avec hijackthis il est présent sur ton pc puisque RSIT le télécharge pour créer le log.txt .
tu le trouvera ici: C:\Program Files\trend micro\gilou.exe

moi pendant ce temps je vais faire valider un script pour OTM afin d'être sur que c'est bon



.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux
.rends toi dans program files dans le dossier trend micro
.Lances HijackThis ou pour toi gilou.exe avec un clique droit et en tant que administrateur
.Cliques sur "Do a system scan only"
.Tu coches les lignes suivantes :
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\Users\gilou\AppData\Local\Temp\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [MqtgSVC] C:\Users\gilou\AppData\Roaming\mqtgsvc.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [rsvp] C:\Users\gilou\LOCALS~1\APPLIC~1\rsvp.exe /waitservice (User 'Système')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [rsvp] C:\Users\gilou\LOCALS~1\APPLIC~1\rsvp.exe /waitservice (User 'Default user')
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Users\gilou\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe


.Tu cliques sur "Fix Checked"
.Tu fermes HijackThis

des expliquations en images : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm

0
gilou106 Messages postés 52 Date d'inscription lundi 23 novembre 2009 Statut Membre Dernière intervention 14 avril 2014
27 nov. 2009 à 12:47
voila
c'est fait (^^)
c'est bon ?
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
27 nov. 2009 à 17:36
ok je suis en cour de validation pour le script je te le donne dés que j'ai l'accord !!
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
27 nov. 2009 à 18:01
bon je viens d'avoir l'accord pour le script avec en prime du supplement que j'avais pas vu tu fais ce qui suit pour OTM , tu posteras le rapport , et tu relanceras RSIT et tu posteras le log.txt pour contrôle , Merci

1) déactive l'UAC


2) fais OTM

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/


fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".





:files
C:\Users\gilou\AppData\Roaming\MICROS~1\cisvc.exe
C:\Users\gilou\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe
C:\Users\gilou\AppData\Local\Temp\dllhst3g.exe
C:\Users\gilou\AppData\Roaming\mqtgsvc.exe
C:\Users\gilou\LOCALS~1\APPLIC~1\rsvp.exe

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"ClipSrv"=-
"DllHst"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"MqtgSVC"=-

:commands
[emptytemp]
[Reboot]



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTM\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.



3) relances RSIT en tant que administrateur et postes le nouveau log.txt
0
gilou106 Messages postés 52 Date d'inscription lundi 23 novembre 2009 Statut Membre Dernière intervention 14 avril 2014
27 nov. 2009 à 22:16
voici le OTM :

All processes killed
========== FILES ==========
C:\Users\gilou\AppData\Roaming\MICROS~1\cisvc.exe moved successfully.
C:\Users\gilou\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe moved successfully.
C:\Users\gilou\AppData\Local\Temp\dllhst3g.exe moved successfully.
C:\Users\gilou\AppData\Roaming\mqtgsvc.exe moved successfully.
File/Folder C:\Users\gilou\LOCALS~1\APPLIC~1\rsvp.exe not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\\ClipSrv deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\\DllHst not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\\MqtgSVC not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: gilou
->Temp folder emptied: 9373732 bytes
->Temporary Internet Files folder emptied: 24708672 bytes
->Java cache emptied: 18310345 bytes
->FireFox cache emptied: 83186710 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 10740 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 129,34 mb


OTM by OldTimer - Version 3.1.2.0 log created on 11272009_215326

Files moved on Reboot...
C:\Users\gilou\AppData\Local\Temp\~DF48B8F14340E25709.TMP moved successfully.
File move failed. C:\Windows\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

et le rsit

http://www.cijoint.fr/cjlink.php?file=cj200911/cij9Lqj4gn.txt
0
gilou106 Messages postés 52 Date d'inscription lundi 23 novembre 2009 Statut Membre Dernière intervention 14 avril 2014
27 nov. 2009 à 23:53
voila Jacques (^^) :

SEAF
http://www.cijoint.fr/cjlink.php?file=cj200911/cijDB9tkMv.txt
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
28 nov. 2009 à 00:07
bon désolé mais j'attend de savoir ce que en pense Anthony5151 à qui j'ai demandé de venir voir, ton seven c'est un 32 ou 64 bits ?? pour savoir regarde https://www.commentcamarche.net/informatique/windows/169-32-bits-ou-64-bits-comment-savoir/

bon moi dodo on voit cela demain en espérant avoir des nouvelle de anthony5151
0
gilou106 Messages postés 52 Date d'inscription lundi 23 novembre 2009 Statut Membre Dernière intervention 14 avril 2014
28 nov. 2009 à 00:17
Système d'exploitation 32bits

Bonne nuit Jacques et merci à toi et Anthony5151
prenné votre temps (^^)
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
28 nov. 2009 à 11:46
gilou106 bonjour, je n'ai pas de nouvelle de anthony, en attendant tu fais une analyse avec DR weeb

• Télécharge: ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe sur ton bureau.
• clique droit sur drweb-cureit.exe et " exécuter en tant que admininstrateur "
. clique sur Commencer le scan.
• Si il trouve des processus infectés, clique sur le bouton Oui pour Tout à l'invite.
• Lorsque le scan rapide est terminé, clique sur Options > Changer la configuration.
• Choisis l'onglet Scanner, et décoche Analyse heuristique.
• De retour à la fenêtre principale : choisis Analyse complète.
• Clique la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, ferme-la.
• Clique Oui pour Tout si un fichier est détecté.
• A la fin du scan, si des infections sont trouvées, clique sur Tout sélectionner, puis sur Désinfecter.
• Si la désinfection est impossible, clique sur Quarantaine.
• Au menu principal de l'outil, en haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport.
• Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv.
• Ferme Dr.Web CureIt!
• /!\ Important /!\ Redémarre ton ordinateur car certains fichiers peuvent être déplacés/réparés au redémarrage.
• Après le redémarrage, fais un copié/collé du rapport dans ta prochaine réponse
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
28 nov. 2009 à 14:41
gilou106 bon anthony5151 va surement prendre le relai car il va utiliser un outil et des scripts que persoje ne maîtrise pas , donc il attent que tu est fais DR weeb et il te proposera son aide , je vais suivre et apprendre encore !!
0
gilou106 Messages postés 52 Date d'inscription lundi 23 novembre 2009 Statut Membre Dernière intervention 14 avril 2014
28 nov. 2009 à 19:43
Voici le résultat (desolé d'avoir pris du temp, j'étaie occupé en plus le scan dans l'analyse complet sa a duré longtemp, désolé)

SEAF.exe\data007;C:\Documents and Settings\gilou\Downloads\SEAF.exe;Adware.Urlblazer.origin;

SEAF.exe;C:\Documents and Settings\gilou\Downloads;L'archive contient des éléments infectés;Quarantaine.;

UsbFix.exe\Tools\Kill_P.exe;C:\Documents and Settings\gilou\Downloads\UsbFix.exe;Tool.Prockill;

UsbFix.exe;C:\Documents and Settings\gilou\Downloads;L'archive contient des éléments infectés;Quarantaine.;

ScanReg.exe;C:\Program Files\SEAF;Adware.Urlblazer.origin;Irréparable.Supprimé.;

Kill_P.exe;C:\UsbFix\Tools;Tool.Prockill;Irréparable.Supprimé.;


merci Jacques pour ton aide
et merci à toi aussi anthony
(^^)
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
28 nov. 2009 à 19:55
bon sur ce que tu nous donnes rien d'inquiettant ce qu'il nous montre c'est des choses qui sont lié au outils utilisé, bon j'espère que anthony va passer , je vais l'avancer dans ce qu'il fera on va nettoyer le pc en supprimant les outils utilisé car l'outil que va te faire utiliser anthony les détecteraient aussi comme des menace et cela pourra aider dans un gain de temp de l'analyse et surtout dans la lecture du rapport .

tu vas utiliser toolscleaner pour cela, tu passeras ccleaner et puis je pense que anthony sera dans les parrages

1) Télécharge toolscleaner sur ton Bureau : http://bibou0007.com/outils-specifiques-f78/tutorial-toolscleaner-2-t375.htm

si le lien ne marche pas essais avec celui ci https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

. cliques droit et en tant que administrateur sur ToolsCleaner2.bat et laisse le travailler
. Cliques sur Recherche et laisse le scan se terminer.
. Cliques sur Suppression pour finaliser.
. Tu peux, si tu le souhaites, te servir des Options facultatives.
. Clique sur Quitter, pour que le rapport puisse se créer.
. Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse


2) fais un nettoyage avec ccleaner


télécharges Ccleaner à partir de cette adresses

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/


.enregistres le sur le bureau
.cliques droit et exécuter en tant que administrateur sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur intaller
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.cochesla première case vieilles données du perfetch que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vériffis en relancant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner

pour aider si besion tutoriel: https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

ou plus ici: http://www.lescofofides.fr/forum/viewtopic.php?f=30&t=96

0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
28 nov. 2009 à 20:11
Bonjour à vous deux,


gilou106
Une fois que tu auras utilisé ToolsCleaner et CCleaner comme Jacques te l'a indiqué ici, fais ce qui suit stp



/!\ Attention /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.


/!\ Désactive tous tes logiciels de protection /!\

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

0
gilou106 Messages postés 52 Date d'inscription lundi 23 novembre 2009 Statut Membre Dernière intervention 14 avril 2014
28 nov. 2009 à 20:18
en faite
Ccleaner je l'ai sur mon ordi depuis très longtemps et des fois je fait le nettoyage (1 fois/semaine) et meme chercher les erreurs dans registre
Vous voulez que je fasse toujours comme Jacques l'a dit ?
0