Un programme indésirable 'TR/Fakealert.EC' [t
Résolu
avenirassur
Messages postés
13
Statut
Membre
-
avenirassur Messages postés 13 Statut Membre -
avenirassur Messages postés 13 Statut Membre -
Bonjour et merci d'avance de l'aide que vous pourrez m'apporter,
Le 20 janvier j'ai reçu un courriel d'une personne connue... j'ai ouvert le fichier (RAR) sans me méfier. Avira a détecté un "virus" et a bloqué l'accès. Cependant, j'ai eu une petite fenêtre Windows m'indiquant que je devais télécharger "internet security 2010" moyennant finances !!! Je n'ai bien sûr pas donné suite ayant eu connaissance sur divers forums qu'il ne fallait jamais.
J'ai lancé Malwarebytes qui a trouvé "beaucoup" de choses... et les a mis en quarantaine.
Je n'ai plus la petite fenêtre... mais Windows m'inonde de messages :
- Windows doit maintenant redémarrer car le service Plug and Play s'est terminé de façon inattendue
- Service lanceur de processus serveur DCOM s'est terminé de façon inatendue
- Processus hôte pour les services Windows a cessé de fonctionner et a été arrêté
puis, Windows redémarre après environ 1 minute.
J’ai pu constater également :
- que ces actions se produisent quand je suis connecté internet (pas seulement sous IE, mais dès que mon ordinateur se connecte !). Si je ne suis pas connecté… pas de redémarrage et pas de petits messages d’alerte !
- qu’après une recherche Google, lorsque je clique sur le lien choisi, je suis redirigé vers une page « autre » mais principalement vers… ebay !
En vous remerciant…. J’attends votre aide.
Action de Avira le 20/01/2010 à 08h35
Dans le fichier 'C:\Windows\System32\warning.html'
un virus ou un programme indésirable 'JS/FakeAlert.btq' [virus] a été détecté.
Action exécutée : Déplacer le fichier en quarantaine
Action de Avira le 20/01/2010 à 16h12
Dans le fichier 'C:\Users\jean-françois\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HF64XIE2\SetupIS2010[1].exe'
un virus ou un programme indésirable 'TR/Fakealert.EC' [trojan] a été détecté.
Action exécutée : Refuser l'accès
Action de Avira le 20/01/2010 à 16h43
Dans le fichier 'C:\Users\jean-françois\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HF64XIE2\SetupIS2010[1].exe'
un virus ou un programme indésirable 'TR/Fakealert.EC' [trojan] a été détecté.
Action exécutée : Supprimer le fichier
Le 20 janvier j'ai reçu un courriel d'une personne connue... j'ai ouvert le fichier (RAR) sans me méfier. Avira a détecté un "virus" et a bloqué l'accès. Cependant, j'ai eu une petite fenêtre Windows m'indiquant que je devais télécharger "internet security 2010" moyennant finances !!! Je n'ai bien sûr pas donné suite ayant eu connaissance sur divers forums qu'il ne fallait jamais.
J'ai lancé Malwarebytes qui a trouvé "beaucoup" de choses... et les a mis en quarantaine.
Je n'ai plus la petite fenêtre... mais Windows m'inonde de messages :
- Windows doit maintenant redémarrer car le service Plug and Play s'est terminé de façon inattendue
- Service lanceur de processus serveur DCOM s'est terminé de façon inatendue
- Processus hôte pour les services Windows a cessé de fonctionner et a été arrêté
puis, Windows redémarre après environ 1 minute.
J’ai pu constater également :
- que ces actions se produisent quand je suis connecté internet (pas seulement sous IE, mais dès que mon ordinateur se connecte !). Si je ne suis pas connecté… pas de redémarrage et pas de petits messages d’alerte !
- qu’après une recherche Google, lorsque je clique sur le lien choisi, je suis redirigé vers une page « autre » mais principalement vers… ebay !
En vous remerciant…. J’attends votre aide.
Action de Avira le 20/01/2010 à 08h35
Dans le fichier 'C:\Windows\System32\warning.html'
un virus ou un programme indésirable 'JS/FakeAlert.btq' [virus] a été détecté.
Action exécutée : Déplacer le fichier en quarantaine
Action de Avira le 20/01/2010 à 16h12
Dans le fichier 'C:\Users\jean-françois\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HF64XIE2\SetupIS2010[1].exe'
un virus ou un programme indésirable 'TR/Fakealert.EC' [trojan] a été détecté.
Action exécutée : Refuser l'accès
Action de Avira le 20/01/2010 à 16h43
Dans le fichier 'C:\Users\jean-françois\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HF64XIE2\SetupIS2010[1].exe'
un virus ou un programme indésirable 'TR/Fakealert.EC' [trojan] a été détecté.
Action exécutée : Supprimer le fichier
A voir également:
- Un programme indésirable 'TR/Fakealert.EC' [t
- Programme demarrage windows - Guide
- Liste numéro indésirable - Guide
- Courrier indésirable gmail - Accueil - Mail
- Mettre en veille un programme - Guide
- Cette action ne peut pas être réalisée car le fichier est ouvert dans un autre programme - Guide
23 réponses
Bonjour
• Télécharge [https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ZHPDiag ( de Nicolas coolman ).
• Laisse toi guider lors de l'installation
• Il se lancera automatiquement à la fin de l'installation
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
• Télécharge [https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ZHPDiag ( de Nicolas coolman ).
• Laisse toi guider lors de l'installation
• Il se lancera automatiquement à la fin de l'installation
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
Bonsoir et merci de votre aide.
Voilà donc le lien demandé :
http://www.cijoint.fr/cjlink.php?file=cj201001/cijQjjzLoc.txt
Bonne soirée
Voilà donc le lien demandé :
http://www.cijoint.fr/cjlink.php?file=cj201001/cijQjjzLoc.txt
Bonne soirée
• Télécharge:https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3
• !! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !!
• Double-cliques sur l'.exe pour lancer l'installe et laisses toi guider
• Une fois fait, cliques sur le raccourci créé sur ton bureau pour lancer l'outil .
• Choisis l'option 1 ( "recherche") et tapes "entrée" .
• Une fois le scan finit , un rapport va apparaître, copie/colles l'intégralité de son contenu dans ta prochaine réponse ...
• ( le rapport est en outre sauvegardé ici -> C:\TB.txt )
• Tuto :[ https://sites.google.com/site/toolbarsd/aideenimages toolbarSD]
• !! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !!
• Double-cliques sur l'.exe pour lancer l'installe et laisses toi guider
• Une fois fait, cliques sur le raccourci créé sur ton bureau pour lancer l'outil .
• Choisis l'option 1 ( "recherche") et tapes "entrée" .
• Une fois le scan finit , un rapport va apparaître, copie/colles l'intégralité de son contenu dans ta prochaine réponse ...
• ( le rapport est en outre sauvegardé ici -> C:\TB.txt )
• Tuto :[ https://sites.google.com/site/toolbarsd/aideenimages toolbarSD]
Donc voilà le rapport de ToolBar :
-----------\\ ToolBar S&D 1.2.9 XP/Vista
Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Turion(tm) 64 X2 Mobile Technology TL-50 )
BIOS : PhoenixBIOS 4.0 Release 6.1
USER : jean-françois ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:51 Go (Free:29 Go)
D:\ (Local Disk) - NTFS - Total:51 Go (Free:31 Go)
E:\ (CD or DVD)
G:\ (USB)
"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [1] ( 24/01/2010|18:15 )
[ UAC => 0 ]
-----------\\ Recherche de Fichiers / Dossiers ...
-----------\\ [..\Internet Explorer\Main]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\Windows\\system32\\blank.htm"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Start Page"="https://www.google.fr"
"SearchMigratedDefaultURL"="https://search.yahoo.com/web{searchTerms}&ei=utf-8&fr=b1ie7"
"Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
"Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"
"Url"="http://go.microsoft.com/fwlink/?LinkId=75720"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://fr.yahoo.com/"
"Default_Page_URL"="https://fr.yahoo.com/"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Local Page"="C:\\Windows\\System32\\blank.htm"
--------------------\\ Recherche d'autres infections
Aucune autre infection trouvée !
[ UAC => 1 ]
1 - "C:\ToolBar SD\TB_1.txt" - 24/01/2010|18:16 - Option : [1]
-----------\\ Fin du rapport a 18:17:00,08
Encore merci.
-----------\\ ToolBar S&D 1.2.9 XP/Vista
Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Turion(tm) 64 X2 Mobile Technology TL-50 )
BIOS : PhoenixBIOS 4.0 Release 6.1
USER : jean-françois ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:51 Go (Free:29 Go)
D:\ (Local Disk) - NTFS - Total:51 Go (Free:31 Go)
E:\ (CD or DVD)
G:\ (USB)
"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [1] ( 24/01/2010|18:15 )
[ UAC => 0 ]
-----------\\ Recherche de Fichiers / Dossiers ...
-----------\\ [..\Internet Explorer\Main]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\Windows\\system32\\blank.htm"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Start Page"="https://www.google.fr"
"SearchMigratedDefaultURL"="https://search.yahoo.com/web{searchTerms}&ei=utf-8&fr=b1ie7"
"Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
"Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"
"Url"="http://go.microsoft.com/fwlink/?LinkId=75720"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://fr.yahoo.com/"
"Default_Page_URL"="https://fr.yahoo.com/"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Local Page"="C:\\Windows\\System32\\blank.htm"
--------------------\\ Recherche d'autres infections
Aucune autre infection trouvée !
[ UAC => 1 ]
1 - "C:\ToolBar SD\TB_1.txt" - 24/01/2010|18:16 - Option : [1]
-----------\\ Fin du rapport a 18:17:00,08
Encore merci.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
• Telecharge et install UsbFix par El Desaparecido
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
• Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 2 " et tape sur [entrée]
• Laisse travailler l outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.
• Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
• Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 2 " et tape sur [entrée]
• Laisse travailler l outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.
• Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
Bon, j'ai eu quelques difficultés de téléchargement avec les redémarrages intempestifs de Windows.
Pour éviter quelques bêtises de ma part...Merci de me confirmer le choix 2 (suppression) et non 1 (Recherche)
Cordialement
Pour éviter quelques bêtises de ma part...Merci de me confirmer le choix 2 (suppression) et non 1 (Recherche)
Cordialement
Bonjour,
J'ai donc procédé selon vos conseils. Cependant, au cours du scan effectué par UsbFix une page bleue est apparue avec un texte en anglais que je n'ai pas eu le temps de lire... et Windows a redémarré !
Toutefois, un rapport semble avoir été établi :
############################## | UsbFix V6.078 |
User : jean-françois (Administrateurs) # PC-DE-JEAN-FRAN
Update on 23/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 07:30:38 | 25/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
AMD Turion(tm) 64 X2 Mobile Technology TL-50
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled
C:\ -> Disque fixe local # 51,99 Go (29,7 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 51,98 Go (31,86 Go free) [ACERDATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 1,92 Go (1,31 Go free) # FAT32
G:\ -> Disque amovible
############################## | Processus actifs |
C:\Windows\System32\smss.exe 412
C:\Windows\system32\csrss.exe 488
C:\Windows\system32\csrss.exe 540
C:\Windows\system32\wininit.exe 548
C:\Windows\system32\services.exe 588
C:\Windows\system32\lsass.exe 600
C:\Windows\system32\lsm.exe 608
C:\Windows\system32\winlogon.exe 636
C:\Windows\system32\svchost.exe 816
C:\Windows\system32\svchost.exe 904
C:\Windows\System32\svchost.exe 952
C:\Windows\System32\svchost.exe 1040
C:\Windows\System32\svchost.exe 1084
C:\Windows\system32\svchost.exe 1160
C:\Windows\system32\svchost.exe 1268
C:\Windows\system32\SLsvc.exe 1304
C:\Windows\system32\svchost.exe 1360
C:\Windows\system32\svchost.exe 1592
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe 1768
C:\Windows\system32\Dwm.exe 1808
C:\Windows\Explorer.EXE 1856
C:\Windows\System32\spoolsv.exe 1908
C:\Windows\system32\taskeng.exe 1932
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1988
C:\Windows\system32\svchost.exe 2012
C:\Windows\system32\taskeng.exe 196
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1516
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe 468
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe 1620
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe 1784
C:\Acer\Empowering Technology\eNet\eNet Service.exe 2088
C:\ProgramData\EPSON\EPW!3 SSRP\E_S30RP1.EXE 2136
C:\Program Files\Google\Update\GoogleUpdate.exe 2172
c:\Program Files\Common Files\LightScribe\LSSrvc.exe 2212
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE 2260
C:\Acer\Mobility Center\MobilityService.exe 2360
C:\Program Files\CyberLink\Shared Files\RichVideo.exe 2468
C:\Windows\system32\svchost.exe 2540
C:\Windows\System32\TUProgSt.exe 2608
C:\Windows\System32\svchost.exe 2672
C:\Windows\system32\DRIVERS\xaudio.exe 2696
C:\Windows\system32\WUDFHost.exe 2732
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe 2744
C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe 2824
C:\Acer\Empowering Technology\ePower\ePowerSvc.exe 2876
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe 2972
C:\Windows\system32\wbem\wmiprvse.exe 3124
C:\Windows\system32\wbem\wmiprvse.exe 3140
C:\Windows\system32\wbem\unsecapp.exe 3244
C:\Windows\system32\runonce.exe 3448
C:\Windows\system32\PresentationSettings.exe 3620
################## | Elements infectieux |
Supprimé ! C:\$Recycle.Bin\S-1-5-18
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3623136210-3339324036-2068823087-1000
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3623136210-3339324036-2068823087-500
Supprimé ! D:\$Recycle.Bin\S-1-5-18
Supprimé ! D:\$Recycle.Bin\S-1-5-21-3623136210-3339324036-2068823087-1000
################## | Registre |
Je ne sais s'il est complet.
Je voulais vous signaler également qu'il semble que les redémarrages intempestifs de Windows ne surviennent que lorsque je suis connecté à internet... simplement connecté. J'avais débranché le cable ethernet hier soir et il n'y a eu aucun redémarrage pendant la nuit. (J'avais affiché un fichier .doc, et il était toujours affiché ce matin)
Je vous souhaite une bonne journée.
J'ai donc procédé selon vos conseils. Cependant, au cours du scan effectué par UsbFix une page bleue est apparue avec un texte en anglais que je n'ai pas eu le temps de lire... et Windows a redémarré !
Toutefois, un rapport semble avoir été établi :
############################## | UsbFix V6.078 |
User : jean-françois (Administrateurs) # PC-DE-JEAN-FRAN
Update on 23/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 07:30:38 | 25/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
AMD Turion(tm) 64 X2 Mobile Technology TL-50
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled
C:\ -> Disque fixe local # 51,99 Go (29,7 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 51,98 Go (31,86 Go free) [ACERDATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 1,92 Go (1,31 Go free) # FAT32
G:\ -> Disque amovible
############################## | Processus actifs |
C:\Windows\System32\smss.exe 412
C:\Windows\system32\csrss.exe 488
C:\Windows\system32\csrss.exe 540
C:\Windows\system32\wininit.exe 548
C:\Windows\system32\services.exe 588
C:\Windows\system32\lsass.exe 600
C:\Windows\system32\lsm.exe 608
C:\Windows\system32\winlogon.exe 636
C:\Windows\system32\svchost.exe 816
C:\Windows\system32\svchost.exe 904
C:\Windows\System32\svchost.exe 952
C:\Windows\System32\svchost.exe 1040
C:\Windows\System32\svchost.exe 1084
C:\Windows\system32\svchost.exe 1160
C:\Windows\system32\svchost.exe 1268
C:\Windows\system32\SLsvc.exe 1304
C:\Windows\system32\svchost.exe 1360
C:\Windows\system32\svchost.exe 1592
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe 1768
C:\Windows\system32\Dwm.exe 1808
C:\Windows\Explorer.EXE 1856
C:\Windows\System32\spoolsv.exe 1908
C:\Windows\system32\taskeng.exe 1932
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1988
C:\Windows\system32\svchost.exe 2012
C:\Windows\system32\taskeng.exe 196
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1516
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe 468
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe 1620
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe 1784
C:\Acer\Empowering Technology\eNet\eNet Service.exe 2088
C:\ProgramData\EPSON\EPW!3 SSRP\E_S30RP1.EXE 2136
C:\Program Files\Google\Update\GoogleUpdate.exe 2172
c:\Program Files\Common Files\LightScribe\LSSrvc.exe 2212
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE 2260
C:\Acer\Mobility Center\MobilityService.exe 2360
C:\Program Files\CyberLink\Shared Files\RichVideo.exe 2468
C:\Windows\system32\svchost.exe 2540
C:\Windows\System32\TUProgSt.exe 2608
C:\Windows\System32\svchost.exe 2672
C:\Windows\system32\DRIVERS\xaudio.exe 2696
C:\Windows\system32\WUDFHost.exe 2732
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe 2744
C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe 2824
C:\Acer\Empowering Technology\ePower\ePowerSvc.exe 2876
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe 2972
C:\Windows\system32\wbem\wmiprvse.exe 3124
C:\Windows\system32\wbem\wmiprvse.exe 3140
C:\Windows\system32\wbem\unsecapp.exe 3244
C:\Windows\system32\runonce.exe 3448
C:\Windows\system32\PresentationSettings.exe 3620
################## | Elements infectieux |
Supprimé ! C:\$Recycle.Bin\S-1-5-18
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3623136210-3339324036-2068823087-1000
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3623136210-3339324036-2068823087-500
Supprimé ! D:\$Recycle.Bin\S-1-5-18
Supprimé ! D:\$Recycle.Bin\S-1-5-21-3623136210-3339324036-2068823087-1000
################## | Registre |
Je ne sais s'il est complet.
Je voulais vous signaler également qu'il semble que les redémarrages intempestifs de Windows ne surviennent que lorsque je suis connecté à internet... simplement connecté. J'avais débranché le cable ethernet hier soir et il n'y a eu aucun redémarrage pendant la nuit. (J'avais affiché un fichier .doc, et il était toujours affiché ce matin)
Je vous souhaite une bonne journée.
Bonjour
* Télécharge OtmoveIT (de Old_Timer) sur ton Bureau
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/ (de OldTimer) sur ton Bureau
* Double-clique sur OTMoveIt.exe pour le lancer.
* copie la liste en gras ci-dessous et colle la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.
:processes
explorer.exe
:files
c:\program files\shoppingbarreebuyclub\tbcore3.dll
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]
[-HKEY_CLASSES_ROOT\CLSID\{B00A2A69-AEB9-4466-A3D3-D965CCF868B6}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B00A2A69-AEB9-4466-A3D3-D965CCF868B6}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B00A2A69-AEB9-4466-A3D3-D965CCF868B6}"=-
:commands
[emptytemp]
[purity]
[start explorer]
[reboot]
-----------------------------
* clique sur MoveIt! pour lancer la suppression.
* Le résultat apparaitra dans le cadre "Results".
* Clique sur Exit pour fermer.
* Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
* Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
* Télécharge OtmoveIT (de Old_Timer) sur ton Bureau
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/ (de OldTimer) sur ton Bureau
* Double-clique sur OTMoveIt.exe pour le lancer.
* copie la liste en gras ci-dessous et colle la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.
:processes
explorer.exe
:files
c:\program files\shoppingbarreebuyclub\tbcore3.dll
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]
[-HKEY_CLASSES_ROOT\CLSID\{B00A2A69-AEB9-4466-A3D3-D965CCF868B6}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B00A2A69-AEB9-4466-A3D3-D965CCF868B6}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B00A2A69-AEB9-4466-A3D3-D965CCF868B6}"=-
:commands
[emptytemp]
[purity]
[start explorer]
[reboot]
-----------------------------
* clique sur MoveIt! pour lancer la suppression.
* Le résultat apparaitra dans le cadre "Results".
* Clique sur Exit pour fermer.
* Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
* Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
Merci. Je suis aveuglement vos instructions car tout çà.... me dépasse.
Donc le rapport OTM :
All processes killed
========== PROCESSES ==========
Process explorer.exe killed successfully!
========== FILES ==========
c:\program files\shoppingbarreebuyclub\tbcore3.dll moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}\ deleted successfully.
Registry key HKEY_CLASSES_ROOT\CLSID\{B00A2A69-AEB9-4466-A3D3-D965CCF868B6}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B00A2A69-AEB9-4466-A3D3-D965CCF868B6}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B00A2A69-AEB9-4466-A3D3-D965CCF868B6}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B00A2A69-AEB9-4466-A3D3-D965CCF868B6}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{B00A2A69-AEB9-4466-A3D3-D965CCF868B6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B00A2A69-AEB9-4466-A3D3-D965CCF868B6}\ deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: jean-françois
->Temp folder emptied: 90492204 bytes
->Temporary Internet Files folder emptied: 34337273 bytes
->Java cache emptied: 47413040 bytes
->Google Chrome cache emptied: 10407071 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 39330408 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 66007 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 322 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 212,00 mb
OTM by OldTimer - Version 3.1.6.0 log created on 01252010_103501
Files moved on Reboot...
Registry entries deleted on Reboot...
Donc le rapport OTM :
All processes killed
========== PROCESSES ==========
Process explorer.exe killed successfully!
========== FILES ==========
c:\program files\shoppingbarreebuyclub\tbcore3.dll moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}\ deleted successfully.
Registry key HKEY_CLASSES_ROOT\CLSID\{B00A2A69-AEB9-4466-A3D3-D965CCF868B6}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B00A2A69-AEB9-4466-A3D3-D965CCF868B6}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B00A2A69-AEB9-4466-A3D3-D965CCF868B6}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B00A2A69-AEB9-4466-A3D3-D965CCF868B6}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{B00A2A69-AEB9-4466-A3D3-D965CCF868B6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B00A2A69-AEB9-4466-A3D3-D965CCF868B6}\ deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: jean-françois
->Temp folder emptied: 90492204 bytes
->Temporary Internet Files folder emptied: 34337273 bytes
->Java cache emptied: 47413040 bytes
->Google Chrome cache emptied: 10407071 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 39330408 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 66007 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 322 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 212,00 mb
OTM by OldTimer - Version 3.1.6.0 log created on 01252010_103501
Files moved on Reboot...
Registry entries deleted on Reboot...
Merci. Malheureusement, rien de changé...
Le lien pour le rapport ZHP :
http://www.cijoint.fr/cjlink.php?file=cj201001/cijxW0i0mh.txt
Le lien pour le rapport ZHP :
http://www.cijoint.fr/cjlink.php?file=cj201001/cijxW0i0mh.txt
Désactive toutes tes protections.(Antivirus etc....)
• Télécharger : http://www.gmer.net#files
• Dézipper le programme.
• Double cliquer sur Gmer.exe
• Le programme se lance et fait un auto scan (il s'agit de l'onglet : Rootkit/Malware).
=> Des lignes rouges doivent apparaitre en cas d'infection :
• sur ces lignes rouges:
o Services: Clique droit puis delete service
o Process: Clique droit puis kill process
o Adl, file: Clique droit puis delete files
• Copie le contenu et colle le dans ta réponse.
• Télécharger : http://www.gmer.net#files
• Dézipper le programme.
• Double cliquer sur Gmer.exe
• Le programme se lance et fait un auto scan (il s'agit de l'onglet : Rootkit/Malware).
=> Des lignes rouges doivent apparaitre en cas d'infection :
• sur ces lignes rouges:
o Services: Clique droit puis delete service
o Process: Clique droit puis kill process
o Adl, file: Clique droit puis delete files
• Copie le contenu et colle le dans ta réponse.
Bonjour,
J'ai eu quelques difficultés à désactiver Windows Defender... heureusement les forums sont là avec des spécialistes.
Aucune lignes rouges !!!
Le rapport GMER :
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-01-26 07:46:21
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: C:\Users\JEAN-F~1\AppData\Local\Temp\ugrcypog.sys
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
Device -> \Driver\nvstor32 \Device\Harddisk0\DR0 857F0856
---- Files - GMER 1.0.15 ----
File C:\Windows\system32\drivers\nvstor32.sys suspicious modification
---- EOF - GMER 1.0.15 ----
Merci de vous occuper de mon problème avec tant de constance.
Bonne journée
J'ai eu quelques difficultés à désactiver Windows Defender... heureusement les forums sont là avec des spécialistes.
Aucune lignes rouges !!!
Le rapport GMER :
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-01-26 07:46:21
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: C:\Users\JEAN-F~1\AppData\Local\Temp\ugrcypog.sys
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
Device -> \Driver\nvstor32 \Device\Harddisk0\DR0 857F0856
---- Files - GMER 1.0.15 ----
File C:\Windows\system32\drivers\nvstor32.sys suspicious modification
---- EOF - GMER 1.0.15 ----
Merci de vous occuper de mon problème avec tant de constance.
Bonne journée
• Bonjour
• Télécharge et installe : Malwarebyte’s Anti-Malware
• (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
• Si tu as besoin d’aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
• Télécharge et installe : Malwarebyte’s Anti-Malware
• (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
• Si tu as besoin d’aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Bonjour,
Voilà donc le rapport Malwarebytes effectués hier soir (rien trouvé apparemment) :
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3640
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882
26/01/2010 18:16:41
mbam-log-2010-01-26 (18-16-41).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 250622
Temps écoulé: 1 hour(s), 19 minute(s), 38 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Comme je l'ai précisé dans mon premier post, j'avais déjà utilisé Malwarebytes. Pour votre information voilà les rappports des 20 et 21 février 2010 :
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3601
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865
20/01/2010 09:23:59
mbam-log-2010-01-20 (09-23-59).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 251142
Temps écoulé: 1 hour(s), 24 minute(s), 47 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 7
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Adware.Ecobar) -> Not selected for removal.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Adware.Ecobar) -> Not selected for removal.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smss32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\jean-françois\Desktop\emoticons\ScroundSave Setup.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
C:\Users\jean-françois\AppData\Roaming\mvhgkr.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Windows\System32\helper32.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\Windows\System32\Winlogon32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\System32\41.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\jean-françois\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rarype32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\jean-françois\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Windows\System32\IS15.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3607
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865
21/01/2010 09:20:47
mbam-log-2010-01-21 (09-20-47).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 249161
Temps écoulé: 1 hour(s), 21 minute(s), 22 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Adware.Ecobar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Adware.Ecobar) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Voilà donc le rapport Malwarebytes effectués hier soir (rien trouvé apparemment) :
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3640
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882
26/01/2010 18:16:41
mbam-log-2010-01-26 (18-16-41).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 250622
Temps écoulé: 1 hour(s), 19 minute(s), 38 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Comme je l'ai précisé dans mon premier post, j'avais déjà utilisé Malwarebytes. Pour votre information voilà les rappports des 20 et 21 février 2010 :
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3601
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865
20/01/2010 09:23:59
mbam-log-2010-01-20 (09-23-59).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 251142
Temps écoulé: 1 hour(s), 24 minute(s), 47 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 7
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Adware.Ecobar) -> Not selected for removal.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Adware.Ecobar) -> Not selected for removal.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smss32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\jean-françois\Desktop\emoticons\ScroundSave Setup.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
C:\Users\jean-françois\AppData\Roaming\mvhgkr.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Windows\System32\helper32.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\Windows\System32\Winlogon32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\System32\41.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\jean-françois\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rarype32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\jean-françois\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Windows\System32\IS15.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3607
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865
21/01/2010 09:20:47
mbam-log-2010-01-21 (09-20-47).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 249161
Temps écoulé: 1 hour(s), 21 minute(s), 22 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Adware.Ecobar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Adware.Ecobar) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Comme je l'ai précisé dans mon premier post, j'avais déjà utilisé Malwarebytes. Pour votre information voilà les rappports des 20 et 21 février 2010 :
c'est surtout pour voir si aucune infection est détecté par Mbam.
Mbam et ton dernier rapport son propre.Fait ce scan online.Attention le scan peux durer plusieurs heures.
• Télécharge: ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe sur ton bureau.
• Double-clique sur drweb-cureit.exe et clique sur Commencer le scan.
• Si il trouve des processus infectés, clique sur le bouton Oui pour Tout à l'invite.
• Lorsque le scan rapide est terminé, clique sur Options > Changer la configuration.
• Choisis l'onglet Scanner, et décoche Analyse heuristique.
• De retour à la fenêtre principale : choisis Analyse complète.
• Clique la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, ferme-la.
• Clique Oui pour Tout si un fichier est détecté.
• A la fin du scan, si des infections sont trouvées, clique sur Tout sélectionner, puis surDésinfecter.
• Si la désinfection est impossible, clique sur Quarantaine.
• Au menu principal de l'outil, en haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport.
• Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv.
• Ferme Dr.Web CureIt!
• /!\ Important /!\ Redémarre ton ordinateur car certains fichiers peuvent être déplacés/réparés au redémarrage.
• Après le redémarrage, fais un copié/collé du rapport dans ta prochaine réponse
c'est surtout pour voir si aucune infection est détecté par Mbam.
Mbam et ton dernier rapport son propre.Fait ce scan online.Attention le scan peux durer plusieurs heures.
• Télécharge: ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe sur ton bureau.
• Double-clique sur drweb-cureit.exe et clique sur Commencer le scan.
• Si il trouve des processus infectés, clique sur le bouton Oui pour Tout à l'invite.
• Lorsque le scan rapide est terminé, clique sur Options > Changer la configuration.
• Choisis l'onglet Scanner, et décoche Analyse heuristique.
• De retour à la fenêtre principale : choisis Analyse complète.
• Clique la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, ferme-la.
• Clique Oui pour Tout si un fichier est détecté.
• A la fin du scan, si des infections sont trouvées, clique sur Tout sélectionner, puis surDésinfecter.
• Si la désinfection est impossible, clique sur Quarantaine.
• Au menu principal de l'outil, en haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport.
• Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv.
• Ferme Dr.Web CureIt!
• /!\ Important /!\ Redémarre ton ordinateur car certains fichiers peuvent être déplacés/réparés au redémarrage.
• Après le redémarrage, fais un copié/collé du rapport dans ta prochaine réponse
Bonsoir et merci de ce nouvel outil !
Je vais procéder à ce scan en ligne... j'espère qu' en restant connecté car je suppose qu'il faut rester connecté... windows ne redémarrera pas de manière intempestive au cours de cet examen.
Je poste le rapport dès que c'est fini. Merci
Je vais procéder à ce scan en ligne... j'espère qu' en restant connecté car je suppose qu'il faut rester connecté... windows ne redémarrera pas de manière intempestive au cours de cet examen.
Je poste le rapport dès que c'est fini. Merci
Bonjour,
J'ai été obligé de me déconnecter pour effectuer ce scan "drweb". J'espère que ce n'est pas grave.
Comme je ne sais pas copier/coller ce fichier au format Excel j'ai voulu vous envoyer le fichier avec le site "cijoint" mais il n'accepte pas de format .csv.
Pouvez-vous m'indiquer comment fairez ?
Merci
J'ai été obligé de me déconnecter pour effectuer ce scan "drweb". J'espère que ce n'est pas grave.
Comme je ne sais pas copier/coller ce fichier au format Excel j'ai voulu vous envoyer le fichier avec le site "cijoint" mais il n'accepte pas de format .csv.
Pouvez-vous m'indiquer comment fairez ?
Merci
• Héberge le rapport DrWeb.csv sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
