Problème de redirection sur sites de pub
Résolu
ildan
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
J'ai un problème génant de redirection sur des sites de pub (genre ask.com).. J'ai suivi quelques méthodes pour avoir des rapport que vous pouvez trouver ci dessous cependant je ne sais pas les exploiter seul...
Merci de votre aide!
PS : cependant je vais bientot partir donc ne vous inquiétez pas si je ne réponds pas desuite.
Merci encore :)
Rapport ZHPDiag
http://www.cijoint.fr/cjlink.php?file=cj201005/cijc4zrvUt.txt
Ensuite quand je fais netsh int ip reset all
Il me dit echec de la réinitialisation de requête d écho, accès refusé (je suis pourtant admin)
sinon réini de interface ok.
netsh winsock reset est par contre ok.
USBFix : rapport ici http://www.cijoint.fr/cjlink.php?file=cj201005/cijZgnCfTn.txt
Voilà ^pour navilog
Fix Navipromo version 4.0.8 commencé le 09/05/2010 12:40:54,09
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
Outil exécuté depuis C:\navilog1
Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO
Microsoft® Windows Vista(TM) Édition Familiale Premium ( v6.0.6000 )
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual-Core Processor TK-53 )
BIOS : Version 1.0
USER : minette et nounou ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 10.0.1.44 (Activated)
Firewall : Norton 360 2007 (Activated)
C:\ (Local Disk) - NTFS - Total:66 Go (Free:5 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
F:\ (CD or DVD)
Recherche executée en mode normal
Nettoyage exécuté au redémarrage de l'ordinateur
C:\Windows\prefetch\GACUTIL.EXE-FD4A00E3.pf supprimé !
Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\MINETT~1\AppData\Local\Temp effectué !
*** Sauvegarde du Registre vers dossier Safebackup ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
*** Scan terminé 09/05/2010 12:46:41,01 ***
J'ai un problème génant de redirection sur des sites de pub (genre ask.com).. J'ai suivi quelques méthodes pour avoir des rapport que vous pouvez trouver ci dessous cependant je ne sais pas les exploiter seul...
Merci de votre aide!
PS : cependant je vais bientot partir donc ne vous inquiétez pas si je ne réponds pas desuite.
Merci encore :)
Rapport ZHPDiag
http://www.cijoint.fr/cjlink.php?file=cj201005/cijc4zrvUt.txt
Ensuite quand je fais netsh int ip reset all
Il me dit echec de la réinitialisation de requête d écho, accès refusé (je suis pourtant admin)
sinon réini de interface ok.
netsh winsock reset est par contre ok.
USBFix : rapport ici http://www.cijoint.fr/cjlink.php?file=cj201005/cijZgnCfTn.txt
Voilà ^pour navilog
Fix Navipromo version 4.0.8 commencé le 09/05/2010 12:40:54,09
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
Outil exécuté depuis C:\navilog1
Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO
Microsoft® Windows Vista(TM) Édition Familiale Premium ( v6.0.6000 )
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual-Core Processor TK-53 )
BIOS : Version 1.0
USER : minette et nounou ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 10.0.1.44 (Activated)
Firewall : Norton 360 2007 (Activated)
C:\ (Local Disk) - NTFS - Total:66 Go (Free:5 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
F:\ (CD or DVD)
Recherche executée en mode normal
Nettoyage exécuté au redémarrage de l'ordinateur
C:\Windows\prefetch\GACUTIL.EXE-FD4A00E3.pf supprimé !
Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\MINETT~1\AppData\Local\Temp effectué !
*** Sauvegarde du Registre vers dossier Safebackup ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
*** Scan terminé 09/05/2010 12:46:41,01 ***
A voir également:
- Problème de redirection sur sites de pub
- Sites de telechargements - Accueil - Outils
- Bloqueur de pub youtube - Accueil - Streaming
- Sites de vente d'occasion - Guide
- Site de partage de photos - Guide
- Stop pub gratuit - Télécharger - Divers Utilitaires
30 réponses
bonjour,
tu es victime d'un détournement de DNS vers un site en ukraine !
* /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Télécharge Smitfraudfix : (merci a S!RI pour ce petit programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
/!\Utilisateur de Vista : Clique droit sur le logo de smithfarudfix, « exécuter en tant qu'Administrateur »
Exécute le, Double click sur Smitfraudfix.exe choisit l'option 5,
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
il va générer un rapport : copie/colle le sur le poste stp.
Tuto:http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm
Note :
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
tu es victime d'un détournement de DNS vers un site en ukraine !
* /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Télécharge Smitfraudfix : (merci a S!RI pour ce petit programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
/!\Utilisateur de Vista : Clique droit sur le logo de smithfarudfix, « exécuter en tant qu'Administrateur »
Exécute le, Double click sur Smitfraudfix.exe choisit l'option 5,
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
il va générer un rapport : copie/colle le sur le poste stp.
Tuto:http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm
Note :
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
Voilà le rapport
SmitFraudFix v2.424
Scan done at 19:21:14,92, 09/05/2010
Run from C:\Users\minette et nounou\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» DNS Before Fix
Description: NVIDIA nForce Networking Controller
DNS Server Search Order: 192.168.1.1
Description: Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter
DNS Server Search Order: 93.188.163.217
DNS Server Search Order: 93.188.166.55
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4297EFAE-B650-4D28-8CC6-C15B65CDDAB6}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4D8B6925-E4CD-4AFA-AB54-53BE5E6846DF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4297EFAE-B650-4D28-8CC6-C15B65CDDAB6}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4D8B6925-E4CD-4AFA-AB54-53BE5E6846DF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4297EFAE-B650-4D28-8CC6-C15B65CDDAB6}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4D8B6925-E4CD-4AFA-AB54-53BE5E6846DF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=93.188.163.217,93.188.166.55
»»»»»»»»»»»»»»»»»»»»»»»» DNS After Fix
Description: NVIDIA nForce Networking Controller
DNS Server Search Order: 192.168.1.1
Description: Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter
DNS Server Search Order: 93.188.163.217
DNS Server Search Order: 93.188.166.55
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4297EFAE-B650-4D28-8CC6-C15B65CDDAB6}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4D8B6925-E4CD-4AFA-AB54-53BE5E6846DF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4297EFAE-B650-4D28-8CC6-C15B65CDDAB6}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4D8B6925-E4CD-4AFA-AB54-53BE5E6846DF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4297EFAE-B650-4D28-8CC6-C15B65CDDAB6}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4D8B6925-E4CD-4AFA-AB54-53BE5E6846DF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=93.188.163.217,93.188.166.55
Désolé je viens à peine de rentrer :)
Merci à toi
SmitFraudFix v2.424
Scan done at 19:21:14,92, 09/05/2010
Run from C:\Users\minette et nounou\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» DNS Before Fix
Description: NVIDIA nForce Networking Controller
DNS Server Search Order: 192.168.1.1
Description: Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter
DNS Server Search Order: 93.188.163.217
DNS Server Search Order: 93.188.166.55
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4297EFAE-B650-4D28-8CC6-C15B65CDDAB6}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4D8B6925-E4CD-4AFA-AB54-53BE5E6846DF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4297EFAE-B650-4D28-8CC6-C15B65CDDAB6}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4D8B6925-E4CD-4AFA-AB54-53BE5E6846DF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4297EFAE-B650-4D28-8CC6-C15B65CDDAB6}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4D8B6925-E4CD-4AFA-AB54-53BE5E6846DF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=93.188.163.217,93.188.166.55
»»»»»»»»»»»»»»»»»»»»»»»» DNS After Fix
Description: NVIDIA nForce Networking Controller
DNS Server Search Order: 192.168.1.1
Description: Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter
DNS Server Search Order: 93.188.163.217
DNS Server Search Order: 93.188.166.55
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4297EFAE-B650-4D28-8CC6-C15B65CDDAB6}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4D8B6925-E4CD-4AFA-AB54-53BE5E6846DF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4297EFAE-B650-4D28-8CC6-C15B65CDDAB6}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4D8B6925-E4CD-4AFA-AB54-53BE5E6846DF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4297EFAE-B650-4D28-8CC6-C15B65CDDAB6}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4D8B6925-E4CD-4AFA-AB54-53BE5E6846DF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6294A85E-B83A-4350-882B-0D8136D9BA9F}: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=93.188.163.217,93.188.166.55
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=93.188.163.217,93.188.166.55
Désolé je viens à peine de rentrer :)
Merci à toi
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
* /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Télécharge WareOut Removal Tool (par dj QUIOU & la team sécurité MH) sur ton bureau :
http://pc-system.fr/
Lance le fichier WareOut_Removal_Tool.bat
/!\Utilisateur de Vista : Clique droit sur le logo de WareOut, « exécuter en tant qu'Administrateur »
choisis l'option n°4 pour mettre à jour l'outil,
une fois la mise à jour términée, lance l'outil en option 4, mise à jour, puis option 1
Patiente (une à deux minutes maximum) pendant que le programme sauvegarde le registre
Lis bien attentivement les instructions qui te seront données
A la fin de l'analyse, un rapport va s'ouvrir, poste le dans ta prochaine réponse.
tuto : http://pc-system.fr/
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Télécharge WareOut Removal Tool (par dj QUIOU & la team sécurité MH) sur ton bureau :
http://pc-system.fr/
Lance le fichier WareOut_Removal_Tool.bat
/!\Utilisateur de Vista : Clique droit sur le logo de WareOut, « exécuter en tant qu'Administrateur »
choisis l'option n°4 pour mettre à jour l'outil,
une fois la mise à jour términée, lance l'outil en option 4, mise à jour, puis option 1
Patiente (une à deux minutes maximum) pendant que le programme sauvegarde le registre
Lis bien attentivement les instructions qui te seront données
A la fin de l'analyse, un rapport va s'ouvrir, poste le dans ta prochaine réponse.
tuto : http://pc-system.fr/
Je pense que c est bon ..
===== Rapport WareOut Removal Tool =====
version 3.6.2
analyse effectuée le 09/05/2010 à 19:41:47,77
Résultats de l'analyse :
========================
~~~~ Recherche d'infections dans C:\ ~~~~
C:\autorun.inf trouvé!
C:\autorun.inf suppression impossible
~~~~ Recherche d'infections dans C:\Program Files\ ~~~~
~~~~ Recherche d'infections dans C:\Windows\system\ ~~~~
~~~~ Recherche d'infections dans C:\Windows\system32\ ~~~~
~~~~ Recherche d'infections dans C:\Windows\system32\drivers\ ~~~~
~~~~ Recherche d'infections dans C:\Users\minette et nounou\AppData\Roaming\ ~~~~
~~~~ Recherche d'infections dans C:\Users\minette et nounou\Bureau\ ~~~~
~~~~ Recherche de détournement de DNS ~~~~
~~~~ Recherche de Rootkits ~~~~
_______________________________________________________________________
catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-09 19:42:51
Windows 6.0.6000 NTFS
scanning hidden files ...
scan completed successfully
hidden files: 0
_______________________________________________________________________
~~~~ Recherche d'infections dans C:\Users\MINETT~1\AppData\Local\Temp\ ~~~~
~~~~ Recherche d'infections dans C:\Users\minette et nounou\Start Menu\Programs\ ~~~~
~~~~ Nettoyage du registre ~~~~
~~~~ Tentative de réparation des entrées suivantes: ~~~~
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] = "System"
[HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service]
~~~~ Vérification: ~~~~
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System REG_SZ
_________________________________
développé par http://pc-system.fr
_________________________________
===== Rapport WareOut Removal Tool =====
version 3.6.2
analyse effectuée le 09/05/2010 à 19:41:47,77
Résultats de l'analyse :
========================
~~~~ Recherche d'infections dans C:\ ~~~~
C:\autorun.inf trouvé!
C:\autorun.inf suppression impossible
~~~~ Recherche d'infections dans C:\Program Files\ ~~~~
~~~~ Recherche d'infections dans C:\Windows\system\ ~~~~
~~~~ Recherche d'infections dans C:\Windows\system32\ ~~~~
~~~~ Recherche d'infections dans C:\Windows\system32\drivers\ ~~~~
~~~~ Recherche d'infections dans C:\Users\minette et nounou\AppData\Roaming\ ~~~~
~~~~ Recherche d'infections dans C:\Users\minette et nounou\Bureau\ ~~~~
~~~~ Recherche de détournement de DNS ~~~~
~~~~ Recherche de Rootkits ~~~~
_______________________________________________________________________
catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-09 19:42:51
Windows 6.0.6000 NTFS
scanning hidden files ...
scan completed successfully
hidden files: 0
_______________________________________________________________________
~~~~ Recherche d'infections dans C:\Users\MINETT~1\AppData\Local\Temp\ ~~~~
~~~~ Recherche d'infections dans C:\Users\minette et nounou\Start Menu\Programs\ ~~~~
~~~~ Nettoyage du registre ~~~~
~~~~ Tentative de réparation des entrées suivantes: ~~~~
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] = "System"
[HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service]
~~~~ Vérification: ~~~~
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System REG_SZ
_________________________________
développé par http://pc-system.fr
_________________________________
j ai refait ca avait l air bizarre la 1ere fois
===== Rapport WareOut Removal Tool =====
version 3.6.2
analyse effectuée le 09/05/2010 à 20:14:33,49
Résultats de l'analyse :
========================
~~~~ Recherche d'infections dans C:\ ~~~~
C:\autorun.inf trouvé!
C:\autorun.inf suppression impossible
~~~~ Recherche d'infections dans C:\Program Files\ ~~~~
~~~~ Recherche d'infections dans C:\Windows\system\ ~~~~
~~~~ Recherche d'infections dans C:\Windows\system32\ ~~~~
~~~~ Recherche d'infections dans C:\Windows\system32\drivers\ ~~~~
~~~~ Recherche d'infections dans C:\Users\minette et nounou\AppData\Roaming\ ~~~~
~~~~ Recherche d'infections dans C:\Users\minette et nounou\Bureau\ ~~~~
~~~~ Recherche de détournement de DNS ~~~~
~~~~ Recherche de Rootkits ~~~~
_______________________________________________________________________
catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-09 20:14:43
Windows 6.0.6000 NTFS
scanning hidden files ...
scan completed successfully
hidden files: 0
_______________________________________________________________________
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System REG_SZ
~~~~ Recherche d'infections dans C:\Users\MINETT~1\AppData\Local\Temp\ ~~~~
~~~~ Recherche d'infections dans C:\Users\minette et nounou\Start Menu\Programs\ ~~~~
~~~~ Nettoyage du registre ~~~~
~~~~ Tentative de réparation des entrées suivantes: ~~~~
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] = "System"
[HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service]
~~~~ Vérification: ~~~~
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System REG_SZ
_________________________________
développé par http://pc-system.fr
_________________________________
===== Rapport WareOut Removal Tool =====
version 3.6.2
analyse effectuée le 09/05/2010 à 20:14:33,49
Résultats de l'analyse :
========================
~~~~ Recherche d'infections dans C:\ ~~~~
C:\autorun.inf trouvé!
C:\autorun.inf suppression impossible
~~~~ Recherche d'infections dans C:\Program Files\ ~~~~
~~~~ Recherche d'infections dans C:\Windows\system\ ~~~~
~~~~ Recherche d'infections dans C:\Windows\system32\ ~~~~
~~~~ Recherche d'infections dans C:\Windows\system32\drivers\ ~~~~
~~~~ Recherche d'infections dans C:\Users\minette et nounou\AppData\Roaming\ ~~~~
~~~~ Recherche d'infections dans C:\Users\minette et nounou\Bureau\ ~~~~
~~~~ Recherche de détournement de DNS ~~~~
~~~~ Recherche de Rootkits ~~~~
_______________________________________________________________________
catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-09 20:14:43
Windows 6.0.6000 NTFS
scanning hidden files ...
scan completed successfully
hidden files: 0
_______________________________________________________________________
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System REG_SZ
~~~~ Recherche d'infections dans C:\Users\MINETT~1\AppData\Local\Temp\ ~~~~
~~~~ Recherche d'infections dans C:\Users\minette et nounou\Start Menu\Programs\ ~~~~
~~~~ Nettoyage du registre ~~~~
~~~~ Tentative de réparation des entrées suivantes: ~~~~
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] = "System"
[HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service]
~~~~ Vérification: ~~~~
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System REG_SZ
_________________________________
développé par http://pc-system.fr
_________________________________
ok, on va verifier si ceci a été supprimé :
* /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
* /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Bonjour ^^
Voilà le rapport :)
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4052
Windows 6.0.6000
Internet Explorer 7.0.6000.17037
10/05/2010 11:31:31
mbam-log-2010-05-10 (11-31-31).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 244422
Temps écoulé: 1 heure(s), 39 minute(s), 1 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 93.188.163.217,93.188.166.55 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4297efae-b650-4d28-8cc6-c15b65cddab6}\NameServer (Trojan.DNSChanger) -> Data: 93.188.163.217,93.188.166.55 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{6294a85e-b83a-4350-882b-0d8136d9ba9f}\NameServer (Trojan.DNSChanger) -> Data: 93.188.163.217,93.188.166.55 -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Voilà le rapport :)
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4052
Windows 6.0.6000
Internet Explorer 7.0.6000.17037
10/05/2010 11:31:31
mbam-log-2010-05-10 (11-31-31).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 244422
Temps écoulé: 1 heure(s), 39 minute(s), 1 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 93.188.163.217,93.188.166.55 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4297efae-b650-4d28-8cc6-c15b65cddab6}\NameServer (Trojan.DNSChanger) -> Data: 93.188.163.217,93.188.166.55 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{6294a85e-b83a-4350-882b-0d8136d9ba9f}\NameServer (Trojan.DNSChanger) -> Data: 93.188.163.217,93.188.166.55 -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
bonjour,
mbam n'a rie supprimé, tu as du oublié de tout cocher :
No action taken.
rappel :
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
mbam n'a rie supprimé, tu as du oublié de tout cocher :
No action taken.
rappel :
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
Bizarre .. Je viens de refaire et il me dit ca :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4052
Windows 6.0.6000
Internet Explorer 7.0.6000.17037
10/05/2010 19:02:48
mbam-log-2010-05-10 (19-02-48).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 247412
Temps écoulé: 1 heure(s), 43 minute(s), 45 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Ca a donc du etre effacé..
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4052
Windows 6.0.6000
Internet Explorer 7.0.6000.17037
10/05/2010 19:02:48
mbam-log-2010-05-10 (19-02-48).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 247412
Temps écoulé: 1 heure(s), 43 minute(s), 45 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Ca a donc du etre effacé..
non,
on recommence , tu vas y arriver, j'en suis sur :-)
lis attentivement ce qui suis :
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
.Relance MBAM
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
on recommence , tu vas y arriver, j'en suis sur :-)
lis attentivement ce qui suis :
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
.Relance MBAM
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Je pense avoir tout fait bon la 1ere fois... j'avais bien tout coché, bien fait supprimer.. Et comme il ne me les a pas retrouvé la 2eme fois, je suppose que c'est vraiment supprimé...
Par contre je ne vois pas comment retrouver le rapport .. En fait j'avais déjà ce logiciel et j'ai effacé tous les rapports, j'en avais une bonne trentaire..
:-/
Par contre je ne vois pas comment retrouver le rapport .. En fait j'avais déjà ce logiciel et j'ai effacé tous les rapports, j'en avais une bonne trentaire..
:-/
MBAM n'est pas à jour,
on est à la version 4089
il faut le relancer, pour le rapport, je t'indiquerai ou il se trouve :-)
on est à la version 4089
il faut le relancer, pour le rapport, je t'indiquerai ou il se trouve :-)
J'ai eu un problème comme le tien, mais je l'ai résolu moi-même car ni AVG ni MalwareBytes ne voient rien. Pour commencer, vérifions que tu es victime du même problème que moi, survenu ces jours-ci (une menace récente je pesne). Utilise le logiciel de Microsoft Procmon.exe pour visualiser la liste des processus. Télécharge-le sur :
http://technet.microsoft.com/en-us/sysinte...s/bb896645.aspx
Lance Procmon, clique sur l'icône Filter et rajoute un filtre en spécifiant les éléments suivants dans les listes déroulantes :
"Operation", "is", "RegCreateKey", "include"
Valide et observe ce que Procmon génère comme liste. Observes-tu une répétition infinie de RegCreateKey (création de clés dans la base de registres) de la forme :
15:23:04,4614730 lsass.exe 752 RegCreateKey HKLM\SYSTEM\CurrentControlSet\Control\Lsa SUCCESS Desired Access: All Access
15:23:04,4615392 lsass.exe 752 RegCreateKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SUCCESS Desired Access: Read/Write
15:23:04,4617068 lsass.exe 752 RegCreateKey HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SUCCESS Desired Access: Read/Write
Si c'est le cas, c'est que tu es victime du même virus que moi. Le virus réside dans des DLL qu'il génère sous un nom aléatoire de 6 caractères. Par exemple : nnkifc.dll. La première étape, c'est d'identifier ces DLL. C'est assez simple, car le virus crée dans la base de registres les entrées précédentes pour demander à être chargé au démarrage de Windows. Dans le menu Démarrer, clique sur Exécuter et tape msconfig.exe. Sélectionne l'onglet Démarrage et recherche des entrées suspectes telles que :
rundll32.exe "nnkifc.dll",DllRegisterServer
Cette DLL est un fichier caché qui doit se trouver dans C:\windows\system32.
Note le nom des DLL suspectes et redémarre en mode Sans échec. Le virus est malin : chaque fois que tu supprimes sa DLL, il la recrée derrière. Pour le supprimer, il va falloir en fait utiliser une astuce. Ouvre le Bloc-notes et saisis n'importe quoi, comme "dehors le virus" et sauvegarde le fichier à l'endroit où se trouve la DLL, sous le même nom. De la sorte, tu écrases le virus et ce dernier ne détectant pas de suppression de sa DLL, il ne la recrée pas derrière.
Redémarre Windows normalement. Au chargement, il t'indiquera qu'il n'est pas parvenu à charger ces DLL. Dès lors, le virus n'a pas pu être chargé. Utilise Procmon de nouveau pour le vérifier. La dernière étape consiste à nettoyer la base de registres. Dans le menu Démarrer, clique sur Exéctuer et tape regedit.exe. Recherche des clés utilisant le nom des DLL impliquées. Il te faut supprimer des clés Run telles que :
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\vtrsqrsys=rundll32.exe "nnkifc.dll",DllRegisterServer
Par ailleurs, le virus s'installe aussi comme un package d'authentification. Tu en trouveras la trace dans une clé telle que :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Authentication Packages=msv1_0 nnkifc.dll
*Ne supprime pas cette clé*, mais modifie-la pour supprimer la mention à la DLL dans la liste des packages d'authentification. A la fin, la clé doit devenir :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Authentication Packages=msv1_0
Il ne reste plus qu'à supprimer les fichiers DLL que tu avais écrasés avec du texte.
http://technet.microsoft.com/en-us/sysinte...s/bb896645.aspx
Lance Procmon, clique sur l'icône Filter et rajoute un filtre en spécifiant les éléments suivants dans les listes déroulantes :
"Operation", "is", "RegCreateKey", "include"
Valide et observe ce que Procmon génère comme liste. Observes-tu une répétition infinie de RegCreateKey (création de clés dans la base de registres) de la forme :
15:23:04,4614730 lsass.exe 752 RegCreateKey HKLM\SYSTEM\CurrentControlSet\Control\Lsa SUCCESS Desired Access: All Access
15:23:04,4615392 lsass.exe 752 RegCreateKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SUCCESS Desired Access: Read/Write
15:23:04,4617068 lsass.exe 752 RegCreateKey HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SUCCESS Desired Access: Read/Write
Si c'est le cas, c'est que tu es victime du même virus que moi. Le virus réside dans des DLL qu'il génère sous un nom aléatoire de 6 caractères. Par exemple : nnkifc.dll. La première étape, c'est d'identifier ces DLL. C'est assez simple, car le virus crée dans la base de registres les entrées précédentes pour demander à être chargé au démarrage de Windows. Dans le menu Démarrer, clique sur Exécuter et tape msconfig.exe. Sélectionne l'onglet Démarrage et recherche des entrées suspectes telles que :
rundll32.exe "nnkifc.dll",DllRegisterServer
Cette DLL est un fichier caché qui doit se trouver dans C:\windows\system32.
Note le nom des DLL suspectes et redémarre en mode Sans échec. Le virus est malin : chaque fois que tu supprimes sa DLL, il la recrée derrière. Pour le supprimer, il va falloir en fait utiliser une astuce. Ouvre le Bloc-notes et saisis n'importe quoi, comme "dehors le virus" et sauvegarde le fichier à l'endroit où se trouve la DLL, sous le même nom. De la sorte, tu écrases le virus et ce dernier ne détectant pas de suppression de sa DLL, il ne la recrée pas derrière.
Redémarre Windows normalement. Au chargement, il t'indiquera qu'il n'est pas parvenu à charger ces DLL. Dès lors, le virus n'a pas pu être chargé. Utilise Procmon de nouveau pour le vérifier. La dernière étape consiste à nettoyer la base de registres. Dans le menu Démarrer, clique sur Exéctuer et tape regedit.exe. Recherche des clés utilisant le nom des DLL impliquées. Il te faut supprimer des clés Run telles que :
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\vtrsqrsys=rundll32.exe "nnkifc.dll",DllRegisterServer
Par ailleurs, le virus s'installe aussi comme un package d'authentification. Tu en trouveras la trace dans une clé telle que :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Authentication Packages=msv1_0 nnkifc.dll
*Ne supprime pas cette clé*, mais modifie-la pour supprimer la mention à la DLL dans la liste des packages d'authentification. A la fin, la clé doit devenir :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Authentication Packages=msv1_0
Il ne reste plus qu'à supprimer les fichiers DLL que tu avais écrasés avec du texte.
Non pas de trace de Isass.. Je l'avais déjà eu mais ce coup si apparament c'est pas ca! Merci quand même :)
Concernant Malware, encore 0 résultat... Je suis passé à la version 4089 et j'ai relancé!
A plus tard!
Concernant Malware, encore 0 résultat... Je suis passé à la version 4089 et j'ai relancé!
A plus tard!
J'ai une question, il est utile de mettre vista à jour?? Il prend de plus en plus de place et ca commence à devenir envahissant !!
Et une autre question, j'ai ce driver pour ma carte 3D : je dois le mettre à jour..?
nVidia Corporation G86 [GeForce 8600M GS]
Drivers installés:
Constructeur: nVidia Corporation | Fichier INF: oem3.inf | Classe: display | Version: 7.15.11.149 | Date: 20/07/2007
Drivers disponibles:
Nvidia GeForce Go 7 (drivers 179.48 WHQL bêta)
Constructeur: NVIDIA | Fichier INF: nvac.inf | Classe: display | Version: 7.15.11.7948 | Date: 30/01/2009 | Date de publication: 13/02/2009
J'ai pas tendance à mettre à jour un truc qui marche bien... ^^
Voilà le rapport
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4089
Windows 6.0.6000
Internet Explorer 7.0.6000.17037
11/05/2010 12:52:21
mbam-log-2010-05-11 (12-52-21).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 249621
Temps écoulé: 2 heure(s), 15 minute(s), 5 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Merci pour ta présence !! :)
Et une autre question, j'ai ce driver pour ma carte 3D : je dois le mettre à jour..?
nVidia Corporation G86 [GeForce 8600M GS]
Drivers installés:
Constructeur: nVidia Corporation | Fichier INF: oem3.inf | Classe: display | Version: 7.15.11.149 | Date: 20/07/2007
Drivers disponibles:
Nvidia GeForce Go 7 (drivers 179.48 WHQL bêta)
Constructeur: NVIDIA | Fichier INF: nvac.inf | Classe: display | Version: 7.15.11.7948 | Date: 30/01/2009 | Date de publication: 13/02/2009
J'ai pas tendance à mettre à jour un truc qui marche bien... ^^
Voilà le rapport
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4089
Windows 6.0.6000
Internet Explorer 7.0.6000.17037
11/05/2010 12:52:21
mbam-log-2010-05-11 (12-52-21).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 249621
Temps écoulé: 2 heure(s), 15 minute(s), 5 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Merci pour ta présence !! :)
