Problème avec un virus

Résolu
bart44 Messages postés 330 Statut Membre -  
crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour bonjour ;

Alors voila, un gros virus plutôt embêtant circule actuellement sur msn, celui-ci vous demande d'aller voir une image et de la télécharger, mais moi, j'ai fait la gaffe d'aller voir cette image, et je l'ai télécharger, mon antivirus par bonheur, l'a détecté, et m'a alerter, j'ai donc fait un scan pour supprimer ce virus, et plus aucunes traces.
Le lendemain (en le rallument), surprise, Windows me propose d'exécuter un fichier, je ne savais pas trop ce que c'était, je l'ai donc exécuter sans réfléchir, mais voila les même problème reviennent et je ne peut plus contrôler msn, un robot à pris possession de mon adresse msn et envoi ce message à tout mes contactes qui sont connectés :

Alors je refait un scan avec mon antivirus, et encore ce virus ! Il le supprime et plus aucunes traces et je reprend possession de m'on adresse msn sans problème...
Je redémarre donc mon PC, mais whoa, le rebelle, il me redemande d'exécuter se même fichier, je regarde donc dans le fichier qu'il veut exécuter mais aucunes traces de ce fichier.
Alors je ne sait pas du tout quoi faire, pour arrêter ce virus plutôt embêtant de se présenter à chaque allumage de mon PC...

Aidez moi s'il vous plait !!
Merci d'avance ;)

12 réponses

Résumé de la discussion

Virus actif circulait via des liens image sur MSN, entraînant une exécution involontaire de fichier et la prise de contrôle de la messagerie, avec réapparitions à chaque démarrage. Plusieurs réponses recommandent d’identifier le fichier problématique, notamment crss.exe, et d’utiliser des outils de sécurité comme Malwarebytes' Anti-Malware pour analyser, quarantainer et supprimer les éléments détectés, y compris des hijacks et trojans. L’examen des rapports révèle des suppressions touchant des entrées de registre et des redirections de start page, ainsi que des fichiers infectés et des barres d’outils supprimés. En parallèle, des approches complémentaires évoquées incluent l’analyse sur un autre poste et la vérification des paramètres de sécurité, afin de prévenir une réinfection et de réparer les éléments compromis.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. seuya
     
    ok,quel est le nom du fichier en question stp?
    0
  2. bart44 Messages postés 330 Statut Membre
     
    Le non du fichier en question s'appelle crss.exe
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. bart44 Messages postés 330 Statut Membre
     
    Cool...mais c'est pas gratuit, il ne corrige que quelques erreurs en version gratuite =/
    0
  5. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Salut,

    Télécharge Malwarebytes' Anti-Malware
    = = = = >>> En cliquant ici <<< = = = =

    - Enregistre le sur le bureau
    - Double clique sur le fichier téléchargé pour lancer le processus d'installation
    - Lorsqu'il te le sera demandé, mets à jour Malwarebytes anti malware
    - Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
    - Une fois la mise à jour terminée, ferme Malwarebytes
    - Double-clique sur l'icône de malwarebytes pour le relancer
    - Dans l'onglet, Recherche, probablement ouvert par défaut,
    - Sélectionne Exécuter un examen complet
    - Clique sur Rechercher
    - Le scan démarre
    - A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    - Clique sur Ok pour poursuivre.
    - Si des malwares ont été détectés, cliques sur Afficher les résultats
    - Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    - Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    - Rends toi dans l'onglet rapport/log
    - Tu clique dessus pour l'afficher.
    - Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout
    - Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
    - Tu clique droit dans le cadre de la réponse et coller

    Si tu as besoin d'aide regarde ce tutorial https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    T'as un problème ? Passe sur CCM!
    Il n'y a pas de problème sans solution.
    0
  6. bart44 Messages postés 330 Statut Membre
     
    Merci, je vais essayer en espérant qu'il fasse chassé cette antivirus...
    Merci ;)
    0
    1. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
       
      Poste bien le rapport dès que c'est fini ;-).
      0
    2. bart44 Messages postés 330 Statut Membre
       
      Oui oui t'inquiète pas ;)
      0
    3. bart44 Messages postés 330 Statut Membre
       
      Cool, je suis enfin débarrasser de ce virus, après l'allumage j'ai finalement exécuter le fichier, j'ai donc été supprimer ensuite le fichier du virus sur le disque dur, et j'ai fait un scan ensuite avec malwarebytes et plus aucunes trace de se virus, merci quand même ;)
      Et merci pour l'explication du copier/coller -_-'
      0
    4. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
       
      Poste bien le rapport dès que c'est fini ;-).
      => Oui oui t'inquiète pas ;)

      Envoie-le, comme promis...
      0
    5. bart44 Messages postés 330 Statut Membre
       
      Oké dac, le voici :
      Malwarebytes' Anti-Malware 1.45
      www.malwarebytes.org

      Version de la base de données: 4043

      Windows 6.1.7600
      Internet Explorer 8.0.7600.16385

      28/04/2010 19:07:17
      mbam-log-2010-04-28 (19-07-17).txt

      Type d'examen: Examen complet (C:\|D:\|E:\|Q:\|)
      Elément(s) analysé(s): 340889
      Temps écoulé: 1 heure(s), 21 minute(s), 53 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
  7. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Tu as téléchargé un logiciel ou quelque chose sur le site Eorezo !
    C'est une infection, ne retourne plus sur ce site.
    Tu as probablement encore des traces de l'infection.

    Fais ce qui suit :

    Suppression avec AD-R :

    Télécharge AD-R (de C_XX ) sur ton bureau :
    = = = =>>> En cliquant ici <<<= = = =

    /!\ Déconnecte-toi et ferme toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\

    * Exécute AD-R.
    * Au menu principal clique sur le bouton "Nettoyer".
    * Poste le rapport qui apparaît à la fin.
    (Le rapport est sauvegardé aussi sous Ad-Report-CLEAN[1].txt)
    0
    1. bart44 Messages postés 330 Statut Membre
       
      Voici le rapport :

      .
      ======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
      .
      Mis à jour par C_XX le 07/05/10 à 16:50
      Contact: AdRemover.contact@gmail.com
      Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
      .
      Lancé à: 12:49:18 le 14/05/2010 | Mode normal | Option: CLEAN
      Exécuté de: C:\Ad-Remover\ADR.exe
      SE: Microsoft® Windows 7(TM) HomePremium - X64
      Nom du PC: CORENTIN-PC (Hewlett-Packard Compaq Presario CQ61 Notebook PC)
      Utilisateur actuel: Corentin
      .
      ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
      .
      .
      C:\Program Files (x86)\Games-Attack
      C:\Program Files (x86)\Iminent
      C:\Program Files (x86)\Soft2PC
      C:\ProgramData\Games-Attack
      C:\ProgramData\Iminent
      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games-Attack
      C:\Users\Corentin\AppData\Local\ircpald.bat
      C:\Users\Corentin\AppData\Local\Soft2PC
      C:\Users\Corentin\AppData\Roaming\Soft2PC
      C:\Windows\Installer\{E1B94435-241E-4519-B1C3-C4DD9EB352A2}

      (!) -- Fichiers temporaires supprimés.
      .
      HKCU\Software\Freeze.com
      HKCU\Software\Games-Attack
      HKCU\Software\Iminent
      HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
      HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
      HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
      HKCU\Software\soft2PC
      HKLM\Software\Classes\AppID\{AB67D16D-3824-4683-B81A-D66DBA61B1AF}
      HKLM\Software\Classes\AppID\Soft2PCBHO.DLL
      HKLM\Software\Classes\CLSID\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
      HKLM\Software\Classes\Installer\Products\53449B1EE14291541B3C4CDDE93B252A
      HKLM\Software\Classes\Interface\{CC883F50-95BB-4A25-9DBF-B801506F1BC4}
      HKLM\Software\Classes\SoftwareBHO.SOFT2PCBHO
      HKLM\Software\Classes\SoftwareBHO.SOFT2PCBHO.1
      HKLM\Software\Classes\TypeLib\{B52F3553-49FA-4599-81A4-F98951E0B53B}
      HKLM\Software\Freeze.com
      HKLM\Software\Games-Attack
      HKLM\Software\iAvatars.com
      HKLM\Software\Iminent
      HKLM\Software\Loader
      HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
      HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}
      HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Soft2PC_is1
      HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Software_is1
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\tsaxljq
      HKLM\Software\soft2PC
      HKLM\Software\Microsoft\Windows\CurrentVersion\Run|soft2PC
      HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files (x86)\Iminent\MMServer\Iminent.MMPlayer.swf
      HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files (x86)\Iminent\MMServer\Iminent.MMServer.exe
      HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files (x86)\Iminent\MMServer\Iminent.MMServer.WinTracker.dll
      HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files (x86)\Iminent\MMServer\Iminent.MMServerPS.dll
      .
      (Orpheline) HKLM,Run - UCam_Menu - C:\Program Files (x86)\CyberLink\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\2.0" (Fichier manquant)
      (Orpheline) HKLM,Run - UpdatePRCShortCut - C:\Program Files (x86)\Hewlett-Packard\Recovery" UpdateWithCreateOnce "Software\CyberLink\PowerRecover" (Fichier manquant)
      (Orpheline) BHO: {02478D38-C3F9-4efb-9B51-7695ECA05670} (CLSID manquant)
      .
      ============== SCAN ADDITIONNEL ==============
      .
      * Mozilla FireFox Version 3.6 (fr) *
      .
      C:\Users\Corentin\..\rbne9g1x.default\prefs.js - browser.download.lastDir: C:\\Users\\Corentin\\Documents
      C:\Users\Corentin\..\rbne9g1x.default\prefs.js - browser.search.defaultenginename: OfferBox Search
      C:\Users\Corentin\..\rbne9g1x.default\prefs.js - browser.search.defaulturl: hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q={searchTerms}
      C:\Users\Corentin\..\rbne9g1x.default\prefs.js - browser.search.selectedEngine: free-downloads.net Customized Web Search
      C:\Users\Corentin\..\rbne9g1x.default\prefs.js - browser.startup.homepage: hxxp://search.conduit.com/?ctid=CT1098640&SearchSource=13
      C:\Users\Corentin\..\rbne9g1x.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2
      C:\Users\Corentin\..\rbne9g1x.default\prefs.js - keyword.URL: hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&q=
      C:\Users\Céline\..\lz7e8ssv.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2
      .
      .
      * Internet Explorer Version 8.0.7600.16385 *
      .
      [HKCU\Software\Microsoft\Internet Explorer\Main]
      .
      Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Do404Search: 0x01000000
      Enable Browser Extensions: yes
      Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
      Show_ToolBar: yes
      Start Page: hxxp://fr.msn.com/
      Use Search Asst: no
      .
      [HKLM\Software\Microsoft\Internet Explorer\Main]
      .
      AutoHide: yes
      Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Enable Browser Extensions: yes
      Search bar: hxxp://search.msn.com/spbasic.htm
      Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Start Page: hxxp://fr.msn.com/
      Use Search Asst: no
      .
      [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
      .
      Tabs: res://ieframe.dll/tabswelcome.htm
      Blank: res://mshtml.dll/blank.htm
      .
      ========================================
      .
      C:\Ad-Remover\Quarantine: 30 Fichier(s)
      C:\Ad-Remover\Backup: 14 Fichier(s)
      .
      C:\Ad-Report-CLEAN[1].txt - 5634 Octet(s)
      .
      Fin à: 12:57:07, 14/05/2010
      .
      ============== E.O.F - CLEAN[1] ==============
      0
    2. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
       
      Comme quoi, il y en avait encore des infections !!
      Relance AD Remover et choisis l'option désinstaller.
      0
    3. bart44 Messages postés 330 Statut Membre
       
      Oué j'avoue qu'il y en avait des pas mal ! Mais dit moi comment tu fait pour analyser les virus et tout pas toi même ? (car je pense que je vais faire pareille sur mes autres PC)
      Merci ;)
      0
    4. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
       
      J'ai suivi une formation sur Internet qui prend beaucoup de temps et énormément d'investissement pour apprendre.
      Après, on est habitué, on revoit toujours la même chose.
      Exemple :
      Sur le rapport MBAM : Rogue.Eorezo
      Et Eorezo se vire avec AD-R

      Si tu veux, je peux t'aider pour les autres PC : il y en a combien ?
      0
    5. bart44 Messages postés 330 Statut Membre
       
      Ah oké dac ! Bein j'ai un autre PC, qui détecte des virus, je viens de lancer l'analyse avec Malwarebytes' Anti-Malware et je t'envoi la rapport et du m'aide dac ?
      Merci pour ton aide ;)
      0
  8. bart44 Messages postés 330 Statut Membre
     
    Voici le rapport :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4099

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    14/05/2010 16:22:59
    mbam-log-2010-05-14 (16-22-59).txt

    Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|)
    Elément(s) analysé(s): 476407
    Temps écoulé: 2 heure(s), 7 minute(s), 58 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 2
    Dossier(s) infecté(s): 6
    Fichier(s) infecté(s): 35

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe (Adware.DoubleD) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\{5617ECA9-488D-4BA2-8562-9710B9AB78D2} (Adware.DoubleD) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.nixud.com/) Good: (http://www.google.com) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.nixud.com/) Good: (http://www.google.com) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    D:\Documents and Settings\LE CUE\Local Settings\Application Data\DoubleD (Adware.DoubleD) -> Quarantined and deleted successfully.
    D:\Documents and Settings\LE CUE\Local Settings\Application Data\DoubleD\Desktop Smiley Toolbar (Adware.DoubleD) -> Quarantined and deleted successfully.
    D:\Documents and Settings\LE CUE\Local Settings\Application Data\DoubleD\Desktop Smiley Toolbar\4.2.7.25320 (Adware.DoubleD) -> Quarantined and deleted successfully.
    D:\Documents and Settings\LE CUE\Local Settings\Application Data\DoubleD\Desktop Smiley Toolbar\4.2.7.25320\bin (Adware.DoubleD) -> Quarantined and deleted successfully.
    D:\Documents and Settings\LE CUE\Local Settings\Temporary Internet Files\{5617ECA9-488D-4BA2-8562-9710B9AB78D2} (Adware.DoubleD) -> Quarantined and deleted successfully.
    D:\Documents and Settings\LE CUE\Local Settings\Temporary Internet Files\{5617ECA9-488D-4BA2-8562-9710B9AB78D2}\Data (Adware.DoubleD) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\Documents and Settings\Philippe\Local Settings\Temp\Antiphishing Component Update 1 (Trojan.BHO) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Philippe\Local Settings\Temporary Internet Files\Content.IE5\JK0LKUIR\setup[1].exe (Trojan.BHO) -> Quarantined and deleted successfully.
    C:\Program Files\PlayMP3z\PlayMP3.exe (Adware.BHO) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{0F7572AF-D1C4-43D7-B821-BC4FF3F8480C}\RP462\A0159175.dll (Trojan.BHO) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{0F7572AF-D1C4-43D7-B821-BC4FF3F8480C}\RP487\A0168977.dll (Trojan.BHO) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{0F7572AF-D1C4-43D7-B821-BC4FF3F8480C}\RP492\A0170300.dll (Trojan.BHO) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{0F7572AF-D1C4-43D7-B821-BC4FF3F8480C}\RP500\A0171864.dll (Trojan.BHO) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{0F7572AF-D1C4-43D7-B821-BC4FF3F8480C}\RP508\A0174799.exe (Adware.AdRotator) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{0F7572AF-D1C4-43D7-B821-BC4FF3F8480C}\RP513\A0177746.exe (Adware.NaviPromo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{0F7572AF-D1C4-43D7-B821-BC4FF3F8480C}\RP518\A0184439.exe (Trojan.BHO) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{0F7572AF-D1C4-43D7-B821-BC4FF3F8480C}\RP470\A0160422.dll (Trojan.BHO) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{0F7572AF-D1C4-43D7-B821-BC4FF3F8480C}\RP472\A0160482.dll (Trojan.BHO) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{0F7572AF-D1C4-43D7-B821-BC4FF3F8480C}\RP473\A0161463.dll (Trojan.BHO) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{0F7572AF-D1C4-43D7-B821-BC4FF3F8480C}\RP475\A0164593.dll (Trojan.BHO) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{0F7572AF-D1C4-43D7-B821-BC4FF3F8480C}\RP478\A0165664.dll (Trojan.BHO) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{0F7572AF-D1C4-43D7-B821-BC4FF3F8480C}\RP481\A0166739.dll (Trojan.BHO) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{0F7572AF-D1C4-43D7-B821-BC4FF3F8480C}\RP482\A0167781.dll (Trojan.BHO) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{0F7572AF-D1C4-43D7-B821-BC4FF3F8480C}\RP485\A0168873.dll (Trojan.BHO) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{40A3BA96-CC3A-4976-8535-A0BAFEFBE544}\RP133\A0138450.exe (Adware.PlayMP3) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{40A3BA96-CC3A-4976-8535-A0BAFEFBE544}\RP133\A0138451.exe (Adware.NaviPromo) -> Quarantined and deleted successfully.
    C:\WINDOWS\Rzisusikunosesox.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\dxva232.dll (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\56110915-0c9c-a67f-eaee-fff9f2a12da4.dll (Trojan.BHO) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\u_fkylubeldkxharig.dll.exe (Trojan.BHO) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\fkylubeldkxharig.dll-uninst.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    D:\Documents and Settings\LE CUE\Local Settings\Temp\mia3BD.tmp\OFFLINE\mFileBagIDE.dll\bag\stbterm.exe (Adware.ColorSoft) -> Quarantined and deleted successfully.
    D:\Documents and Settings\LE CUE\Local Settings\Application Data\DoubleD\Desktop Smiley Toolbar\4.2.7.25320\bin\stbup.exe (Adware.DoubleD) -> Quarantined and deleted successfully.
    D:\Documents and Settings\LE CUE\Local Settings\Temporary Internet Files\{5617ECA9-488D-4BA2-8562-9710B9AB78D2}\bg.jpg (Adware.DoubleD) -> Quarantined and deleted successfully.
    D:\Documents and Settings\LE CUE\Local Settings\Temporary Internet Files\{5617ECA9-488D-4BA2-8562-9710B9AB78D2}\CurrentVersion.xml (Adware.DoubleD) -> Quarantined and deleted successfully.
    D:\Documents and Settings\LE CUE\Local Settings\Temporary Internet Files\{5617ECA9-488D-4BA2-8562-9710B9AB78D2}\icon.ico (Adware.DoubleD) -> Quarantined and deleted successfully.
    D:\Documents and Settings\LE CUE\Local Settings\Temporary Internet Files\{5617ECA9-488D-4BA2-8562-9710B9AB78D2}\productinfo.dll (Adware.DoubleD) -> Quarantined and deleted successfully.
    D:\Documents and Settings\LE CUE\Local Settings\Temporary Internet Files\{5617ECA9-488D-4BA2-8562-9710B9AB78D2}\Setup.exe (Adware.DoubleD) -> Quarantined and deleted successfully.
    D:\Documents and Settings\LE CUE\Local Settings\Temporary Internet Files\{5617ECA9-488D-4BA2-8562-9710B9AB78D2}\stbup.exe (Adware.DoubleD) -> Quarantined and deleted successfully.
    D:\Documents and Settings\LE CUE\Local Settings\Temporary Internet Files\{5617ECA9-488D-4BA2-8562-9710B9AB78D2}\tdf.dat (Adware.DoubleD) -> Quarantined and deleted successfully.
    D:\Documents and Settings\LE CUE\Local Settings\Temporary Internet Files\{5617ECA9-488D-4BA2-8562-9710B9AB78D2}\Data\ProductInfo.mx (Adware.DoubleD) -> Quarantined and deleted successfully.
    0
    1. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
       
      DoubleD se greffe de partout !
      Vide la quarantaine de MBAM.

      Tu veux faire une analyse plus en profondeur du PC ??
      0
    2. bart44 Messages postés 330 Statut Membre
       
      Avec mon antivirus ?
      0
    3. bart44 Messages postés 330 Statut Membre
       
      Comment je fait pour vider la quarantaine ?
      Merci =)
      0
    4. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
       
      Avec mon antivirus ?
      Non, avec des rapport de diagnostic (RSIT, ...)

      *********

      Comment je fait pour vider la quarantaine ?
      > Lance MBAM.
      > Onglet Quarantaine
      > Tout supprimer.
      0
    5. bart44 Messages postés 330 Statut Membre
       
      J'ai pas trop compris comment faire une analyse en profondeur ?
      J'ai supprimer tout les fichiers dans la quarantaine.
      0
  9. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Pour établir un diagnostic plus en profondeur de ton PC :
    Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur le Bureau.
    = = = = >>> En cliquant ici <<< = = = =

    * Double clique sur RSIT.exe pour le lancer.
    * Une première fenêtre s'ouvre, clique alors sur Continue (Disclaimer).
    * Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.
    * Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes).
    * Poste le contenu de log.txt.
    0
  10. bart44 Messages postés 330 Statut Membre
     
    Voici le rapport :
    http://corentin.lecue.free.fr/log.txt (je l'ai up pour que ce soir plus pratique.
    0
    1. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
       
      Tu as bien fait.
      Je regarde ça.
      0
  11. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Lance Hijackthis.
    Il se situe ici :
    D:\Program Files\trend micro\LE CUE.exe

    Clique sur "Do a system scan only".
    Coche ces lignes :
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE

    Clique ensuite sur fix checked.

    *******

    Supprime RSIT et désinstalle Hijackthis.
    0
    1. bart44 Messages postés 330 Statut Membre
       
      Oké, merci j'ai supprimer tout ces fichiers merci ;)
      0
    2. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
       
      C'est tout bon alors ...!
      0
    3. bart44 Messages postés 330 Statut Membre
       
      Normalement oui mon PC est au top, merci ;)
      Je comprend maintenant pourquoi il y avait de la pub à s'ouvrir toute seul sur mon 1er PC !
      0
    4. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
       
      Ouais...
      Bonne soirée et bonne continuation.
      0
    5. bart44 Messages postés 330 Statut Membre
       
      Merci, toi aussi ;)
      0