Mes antivirus et spybot se ferment... Fermé

Question

Bonjour, 

après un téléchargement, la protection d'avast se stoppait seul, spybot se lançait mais fermait après quelques secondes ainsi que ccleaner.

Après quelques recherches j'ai pensé à Bagle... Du coup, j'ai suivi votre guide pour le supprimer : 1 SafeBootKeyRepair, 2 FindyKill, 3 Envoyer le rapport de FindyKill


############################## | FindyKill V5.044 |

# User : Propriétaire (Administrateurs) # JEROME-0812FCAF
# Update on 10/06/2010 by El Desaparecido
# Start at: 20:03:10 | 13/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! Antivirus 5.0.83886625 [ (!) Disabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (42,23 Go free) # NTFS
# D:\ # Disque CD-ROM # 5,48 Go (0 Mo free) [Sims3EP01] # UDF
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# H:\ # Disque fixe local # 76,68 Go (40,01 Go free) # NTFS

################## | Eléments infectieux |

D:\autorun.inf  
C:\WINDOWS\system32\srosa2.sys  
C:\Documents and Settings\Propri'taire\Application Data\drivers  
C:\Documents and Settings\Propri'taire\Application Data\drivers\downld  
C:\Documents and Settings\Propri'taire\Application Data\drivers\winupgro.exe  
C:\Documents and Settings\Propri'taire\Local Settings\Temporary Internet Files\Content.IE5\17MF3TQT\file[1].txt  
C:\Documents and Settings\Propri'taire\Local Settings\Temporary Internet Files\Content.IE5\40V6YVUX\filelist[1].txt  
C:\Documents and Settings\Propri'taire\Local Settings\Temporary Internet Files\Content.IE5\K0TEGQP6\b645360924_401565950924_1351[1].jpg  

################## | Registre |

[HKLM\SYSTEM\CurrentControlSet\Services\srosa]  
[HKLM\SYSTEM\ControlSet001\Services\srosa]  
[HKCU\Software\bisoft]  
[HKCR\ed2k]  
[HKCU\Software\Classes\ed2k]  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
[HKU\S-1-5-21-527237240-1177238915-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
[HKU\S-1-5-21-527237240-1177238915-682003330-1003\Software\bisoft]  
[HKCU\Software\Local AppWizard-Generated Applications\patch]  
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]  
[HKU\S-1-5-21-527237240-1177238915-682003330-1003\Software\Local AppWizard-Generated Applications\patch]  
[HKU\S-1-5-21-527237240-1177238915-682003330-1003\Software\Local AppWizard-Generated Applications\winupgro]  

################## | Etat |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )  
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )  

################## | ! Fin du rapport # FindyKill V5.044 ! |

4 J'ai relancé spybot et ccleaner.

Y'a t'il autre chose que je puisse faire pour être sûr que tout va bien maintenant ?

Merci pour votre réponse ^^

Configuration: Windows XP / Firefox 3.6.3

crapoulou · Answer

Salut, Tu es en effet infecté. Supprime le fichier qui t'a infecté !!! Désactive le Teatimer de Spybot : - Lance Spybot - Va dans Mode puis Mode avancé puis Outils puis Résident et décoche la case Tea timer. Exemple sur cette image : = = = =>>> ICI <<<= = = = ******* Nettoyage avec Findykill : ! Déconnecte toi et ferme toutes application en cours (Navigateur Internet compris) ! * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) * Relance "FindyKill". * Au menu principal choisis l'option "F" pour français et tape sur [Entrée]. * Au second menu choisis l'option "2" (Suppression) et tape sur [Entrée]. * Le PC va redémarrer automatiquement. => Le programme va travailler, ne touche à rien. Ton bureau ne sera pas accessible, c'est normal ! * Poste le rapport qui apparaît à la fin (le rapport est sauvegardé aussi sous C:\FindyKill.txt) /!\ Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide /!\ Aide en images (Suppression) : ICI T'as un problème ? Passe sur CCM! Il n'y a pas de problème sans solution.

moment de grace · Answer

hello crapoulou

bonne continuation

édit pour le reste...



Je cherche beaucoup...et maintenant je trouve !  
(sourire)

Jerquest · Answer

Voilà des nouvelles...

J'ai lancé FindaKill une première fois pendant près de 24 heures, je l'ai arrêté pour supprimer openoffice (ça n'a pas marché...) sur lequel il bloquait puis j'ai fini par enlever ce que j'ai pu à la main. J'ai aussi fait un tour en express sur internet (pas longtemps, il n'a même pas vraiment eu le temps de se lancer) et je vous envoie le rapport maintenant (là, je rame dur : 5 minutes pour arriver à cette page...)

J'espère ne pas avoir laisser le virus se promener pendant ce temps mais vous serez plus à même de me dire ce qu'il en est.

############################## | FindyKill V5.044 |

# User : Propriétaire (Administrateurs) # JEROME-0812FCAF
# Update on 10/06/2010 by El Desaparecido
# Start at: 22:33:28 | 14/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! Antivirus 5.0.83886625 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (42,3 Go free) # NTFS
# D:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# H:\ # Disque fixe local # 76,68 Go (40,01 Go free) # NTFS

################## | Eléments infectieux |


################## | MD5 ... |


################## | CRC32 ... |


################## | Registre | 

Supprimé ! [HKCU\Software\bisoft]  
Supprimé ! [HKCR\ed2k]  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\patch]  
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]  

################## | Etat |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | Fichiers corrompus  |

... OK !  

################## | Upload |

Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_JEROME-0812FCAF.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution . 

################## | ! Fin du rapport # FindyKill V5.044 ! |

crapoulou · Answer

Salut à toi moment de grâce. ################## | Upload | Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_JEROME-0812FCAF.zip : https://www.ionos.fr/?affiliate_id=77097 Merci pour votre contribution . L'as-tu fait ? *********** Pour établir un diagnostic plus en profondeur de ton PC : Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur le Bureau. = = = = >>> En cliquant ici <<< = = = = * Double clique sur RSIT.exe pour le lancer. * Une première fenêtre s'ouvre, clique alors sur Continue (Disclaimer). * Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence. * Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes). * Poste le contenu de log.txt.

Jerquest · Answer

Ah OK, le voilà ^^ Je fais le RSIT.exe et je l'envoie juste après.

############################## | FindyKill V5.044 |

# User : Propriétaire (Administrateurs) # JEROME-0812FCAF
# Update on 10/06/2010 by El Desaparecido
# Start at: 22:33:28 | 14/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! Antivirus 5.0.83886625 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (42,3 Go free) # NTFS
# D:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# H:\ # Disque fixe local # 76,68 Go (40,01 Go free) # NTFS

################## | Eléments infectieux |


################## | MD5 ... |


################## | CRC32 ... |


################## | Registre | 

Supprimé ! [HKCU\Software\bisoft]  
Supprimé ! [HKCR\ed2k]  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\patch]  
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]  

################## | Etat |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | Fichiers corrompus  |

... OK !  

################## | Upload |

Jerquest · Answer

Voilà, c'est fait.

crapoulou · Answer

Envoie le log ici et donne moi l'URL :
http://cijoint.fr/

Jerquest · Answer

C'est fait.

Jerquest · Answer

Ah, voilà.
http://www.cijoint.fr/cjlink.php?file=cj201006/cij8HnsZoK.txt

crapoulou · Answer

Parfait.
Je bosse là donc quand je serai chez moi je regarderai ça.
A ce soir.
Si je t'oublie, fais moi signe ;-).

Jerquest · Answer

J'étais parti bosser aussi ^^
Pas de souci. Merci de m'aider en tout cas ^^

crapoulou · Answer

Suppression avec AD-R : Télécharge AD-R (de C_XX ) sur ton bureau : = = = =>>> En cliquant ici <<<= = = = /!\ Déconnecte-toi et ferme toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\ * Exécute AD-R. * Au menu principal clique sur le bouton "Nettoyer". * Poste le rapport qui apparaît à la fin. (Le rapport est sauvegardé aussi sous Ad-Report-CLEAN[1].txt) ******************** Analyse ces fichiers : C:\gPotato.eu C:\WINDOWS\savegame.INI C:\WINDOWS\w9xabc.INI Sur le site de Virustotal : https://www.virustotal.com/gui/ Parcourir > Sélectionne ton fichier > Analyser, patiente que l'analyse soit terminée. Poste bien les rapports en indiquant le fichier analysé à chaque fois ! (Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant).

Jerquest · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 15/06/10 à 20:40
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 22:11:50 le 15/06/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
Propriétaire, JEROME-0812FCAF ( ) 
 
============== ACTION(S) ==============


0,Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskSearch.js
0,Dossier supprimé: C:\Program Files\AskSearch
0,Dossier supprimé: C:\Documents and Settings\Propriétaire\Application Data\EoRezo
0,Dossier supprimé: C:\Program Files\Letmin

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Propriétaire\Application Data\Mozilla\FireFox\Profiles\gf0khnh9.default\Prefs.js --
-- Fichier Fermé --
 

1,Clé supprimée: HKLM\Software\Classes\CLSID\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
0,Clé supprimée: HKLM\Software\EoRezo
0,Clé supprimée: HKCU\Software\EoRezo
0,Clé supprimée: HKCU\Software\Winsudate
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
0,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Search
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D}
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA}
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25560540-9571-4D7B-9389-0F166788785A}
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3DC201FB-E9C9-499C-A11F-23C360D7C3F8}
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9FF05104-B030-46FC-94B8-81276E4E27DF}
0,Clé supprimée: HKLM\Software\Microsoft\Code Store Database\Distribution Units\CabBuilder
0,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll
0,Clé supprimée: HKLM\Software\Microsoft\Multimedia\WMPlayer\Schemes\f3pss
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\MyWebSearch bar Uninstall

0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{C94E154B-1459-4A47-966B-4B843BEFC7DB}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.3 (fr)] **

-- C:\Documents and Settings\Propriétaire\Application Data\Mozilla\FireFox\Profiles\gf0khnh9.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\Propriétaire\Bureau
browser.search.defaultenginename, Ask
browser.startup.homepage, hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
browser.startup.homepage_override.mstone, rv:1.9.2.3
keyword.URL, hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 14 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 15/06/2010 (919 Octet(s)) 

Fin à: 22:12:43, 15/06/2010 
 
============== E.O.F ==============

crapoulou · Answer

Très bien pour AD-R.
Tu peux passer à la suite.

Jerquest · Answer

Je ne peux pas analyser gpotato.eu, il n'y a rien.

Là, c'est l'analyse de savegame.ini

Antivirus  	Version  	Dernière mise à jour  	Résultat
a-squared	5.0.0.26	2010.06.15	-
AhnLab-V3	2010.06.15.01	2010.06.15	-
AntiVir	8.2.2.6	2010.06.15	-
Antiy-AVL	2.0.3.7	2010.06.11	-
Authentium	5.2.0.5	2010.06.15	-
Avast	4.8.1351.0	2010.06.15	-
Avast5	5.0.332.0	2010.06.15	-
AVG	9.0.0.787	2010.06.15	-
BitDefender	7.2	2010.06.15	-
CAT-QuickHeal	10.00	2010.06.15	-
ClamAV	0.96.0.3-git	2010.06.15	-
Comodo	5112	2010.06.15	-
DrWeb	5.0.2.03300	2010.06.15	-
eSafe	7.0.17.0	2010.06.15	-
eTrust-Vet	36.1.7636	2010.06.15	-
F-Prot	4.6.0.103	2010.06.15	-
F-Secure	9.0.15370.0	2010.06.15	-
Fortinet	4.1.133.0	2010.06.15	-
GData	21	2010.06.15	-
Ikarus	T3.1.1.84.0	2010.06.15	-
Jiangmin	13.0.900	2010.06.15	-
Kaspersky	7.0.0.125	2010.06.15	-
McAfee	5.400.0.1158	2010.06.15	-
McAfee-GW-Edition	2010.1	2010.06.15	-
Microsoft	1.5802	2010.06.15	-
NOD32	5199	2010.06.15	-
Norman	6.04.12	2010.06.15	-
nProtect	2010-06-15.02	2010.06.15	-
Panda	10.0.2.7	2010.06.15	-
PCTools	7.0.3.5	2010.06.15	-
Prevx	3.0	2010.06.15	-
Rising	22.51.06.01	2010.06.13	-
Sophos	4.54.0	2010.06.15	-
Sunbelt	6451	2010.06.15	-
Symantec	20101.1.0.89	2010.06.15	-
TheHacker	6.5.2.0.299	2010.06.15	-
TrendMicro	9.120.0.1004	2010.06.15	-
TrendMicro-HouseCall	9.120.0.1004	2010.06.15	-
VBA32	3.12.12.5	2010.06.15	-
ViRobot	2010.6.14.3884	2010.06.15	-
VirusBuster	5.0.27.0	2010.06.15	-
Information additionnelle
File size: 142 bytes
MD5...: 8ec746575e84eb42d2d1b76a6fec6743
SHA1..: ca1f39ae1859e7033ac3bfcc1d00d9c15b8d89b0
SHA256: 865186688b07d7f7f27f49ac02b98186be6246f61ccf7f78ecb3a6ac8cf8cc06
ssdeep: 3:SQVF6NMchnm/gI7chavJEa7chJyMNI7ch8mv+7chTvn:5V4OchbI7chaBEa7ch
QeI7ch8mv+7chj
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic INI configuration (100.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Jerquest · Answer

Celui-là, c'est w9xabc

Antivirus  	Version  	Dernière mise à jour  	Résultat
a-squared	5.0.0.26	2010.06.15	-
AhnLab-V3	2010.06.15.01	2010.06.15	-
AntiVir	8.2.2.6	2010.06.15	-
Antiy-AVL	2.0.3.7	2010.06.11	-
Authentium	5.2.0.5	2010.06.15	-
Avast	4.8.1351.0	2010.06.15	-
Avast5	5.0.332.0	2010.06.15	-
AVG	9.0.0.787	2010.06.15	-
BitDefender	7.2	2010.06.15	-
CAT-QuickHeal	10.00	2010.06.15	-
ClamAV	0.96.0.3-git	2010.06.15	-
Comodo	5112	2010.06.15	-
DrWeb	5.0.2.03300	2010.06.15	-
eSafe	7.0.17.0	2010.06.15	-
eTrust-Vet	36.1.7636	2010.06.15	-
F-Prot	4.6.0.103	2010.06.15	-
F-Secure	9.0.15370.0	2010.06.15	-
Fortinet	4.1.133.0	2010.06.15	-
GData	21	2010.06.15	-
Ikarus	T3.1.1.84.0	2010.06.15	-
Jiangmin	13.0.900	2010.06.15	-
Kaspersky	7.0.0.125	2010.06.15	-
McAfee	5.400.0.1158	2010.06.15	-
McAfee-GW-Edition	2010.1	2010.06.15	-
Microsoft	1.5802	2010.06.15	-
NOD32	5199	2010.06.15	-
Norman	6.04.12	2010.06.15	-
nProtect	2010-06-15.02	2010.06.15	-
Panda	10.0.2.7	2010.06.15	-
PCTools	7.0.3.5	2010.06.15	-
Prevx	3.0	2010.06.15	-
Rising	22.51.06.01	2010.06.13	-
Sophos	4.54.0	2010.06.15	-
Sunbelt	6451	2010.06.15	-
Symantec	20101.1.0.89	2010.06.15	-
TheHacker	6.5.2.0.299	2010.06.15	-
TrendMicro	9.120.0.1004	2010.06.15	-
TrendMicro-HouseCall	9.120.0.1004	2010.06.15	-
VBA32	3.12.12.5	2010.06.15	-
ViRobot	2010.6.14.3884	2010.06.15	-
VirusBuster	5.0.27.0	2010.06.15	-
Information additionnelle
File size: 1020 bytes
MD5...: e7b640df096bd5e478120d36df105b50
SHA1..: ea89a86093c5a9c23a883aa0998f3da8e9c3e4f0
SHA256: 51fbc65bb435397b11892d563e23140df1edb9fa08f5f5e7a132b5278775b998
ssdeep: 24:wHPGocCWy9PzzN6IMGAoi93Vq9FZGEoKRPYBSBhYpwt:aGoPzHMemq9FJ0SBW
pq
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic INI configuration (100.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

crapoulou · Answer

Rends-toi à cette adresse :
https://www.ionos.fr/?affiliate_id=77097

Sélectionne dans la liste déroulante USBFix et envoie ce fichier :
C:\gpotato.eu

Jerquest · Answer

Mais il n'y pas de fichiers... C'est un dossier (vide en plus) et je ne peux pas l'uploader...

Y'a t'il autre chose que je puisse faire ?

Jerquest · Answer

Oui, je viens de le faire. Il est toujours dans la corbeille.

Serais-je sorti d'affaire ? ^^

crapoulou · Answer

Non, tu n'es pas sorti d'affaire encore. Supprime le de la corbeille. ************ Télécharge Malwarebytes' Anti-Malware = = = = >>> En cliquant ici <<< = = = = - Enregistre le sur le bureau - Double clique sur le fichier téléchargé pour lancer le processus d'installation - Lorsqu'il te le sera demandé, mets à jour Malwarebytes anti malware - Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes - Une fois la mise à jour terminée, ferme Malwarebytes - Double-clique sur l'icône de malwarebytes pour le relancer - Dans l'onglet, Recherche, probablement ouvert par défaut, - Sélectionne Exécuter un examen complet - Clique sur Rechercher - Le scan démarre - A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. - Clique sur Ok pour poursuivre. - Si des malwares ont été détectés, cliques sur Afficher les résultats - Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. - Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. - Rends toi dans l'onglet rapport/log - Tu clique dessus pour l'afficher. - Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout - Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse - Tu clique droit dans le cadre de la réponse et coller Si tu as besoin d'aide regarde ce tutorial https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Jerquest · Answer

La suite de nos aventures ^^

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4203

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16/06/2010 19:23:15
mbam-log-2010-06-16 (19-23-15).txt

Type d'examen: Examen complet (C:\|H:\|)
Elément(s) analysé(s): 248053
Temps écoulé: 1 heure(s), 6 minute(s), 43 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0JKL4567\gibcom[1].dll (Adware.Gibmedia) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0JKL4567\gibidl[1].dll (Adware.Gibmedia) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\QRABCVWX\gibupt[1].exe (Adware.Gibmedia) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\QRABCVWX\gibusr[1].exe (Adware.Gibmedia) -> Quarantined and deleted successfully.
C:\Program Files\Windows Live\Messenger\riched20.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.

crapoulou · Answer

Vide la quarantaine de MBAM.
Comment va le PC globalement ?
Envoie un nouveau rapport RSIT stp.
(Seul le log.txt sera généré).

Jerquest · Answer

Le PC fonctionne pas trop mal mais je n'ai pas osé utiliser les applications, jeux et autres...

Je n'arrive pas à uploader le log de rsit....

Où puis-je te l'envoyer ??

Jerquest · Answer

https://www.cjoint.com/?gqxjKaWdcJ

Et voilà ^^

crapoulou · Answer

Je te laisse pour ce soir, pas mal d'orages chez moi ;-).
En attendant, mets à jour Avast et fais une analyse complète du système.
Comment va le PC ?

Jerquest · Answer

Bien merci ^^
Attention à la foudre alors ^^
Merci

Jerquest · Answer

Tout tourne sans accroc à priori et Avast n'a rien trouvé.

Cela veut-il dire qu'on s'approche de la vérité ?

crapoulou · Answer

La vérité... difficile à dire On va passer en effet à la fin de désinfection, étape importante. ******** Lance Hijackthis. Il se situe ici : C:\Program Files rend micro\Propriétaire.exe Clique sur "Do a system scan only". Coche ces lignes : R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ? O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') Clique ensuite sur fix checked. Ferme Hijackthis. *************** Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : Télécharge Toolscleaner sur ton Bureau = = = =>>> En cliquant ici <<<= = = = * Double-clique sur ToolsCleaner2.exe et laisse le travailler * Clique sur Recherche et laisse le scan se terminer. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options facultatives. * Clique sur Quitter, pour que le rapport puisse se créer. * Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse. ********************* Tu peux garder Malwarebytes anti malware en tant qu'anti malware, il est très efficace. (Même s'il ne résout pas tous les problèmes, bien entendu ... !) Par contre, il n'a pas de scan résident en mode gratuit ! Il faut donc pour l'utiliser le lancer, faire les mises à jour et faire un scan complet après. ********************* Je vois que tu as un logiciel d'échange de fichiers via le P2P (peer-to-peer). Je ne sais pas si tu crack des logiciels et cela ne me regarde pas mais je te conseille de lire ce qui suit quelque soit l'utilisation que tu fasses avec ce logiciel. En plus d'être illégaux, les cracks sont souvent bourrés d'infection (Bagle, rogues par exemple) et certaines très coriaces (Virut, Mabezat par exemple). Voici le lien d'une vidéo montrant les effets d'une infection Bagle : https://www.youtube.com/watch?v=nqLoz4XCY60 Je te conseille de lire cet article concernant le danger des cracks (merci à Malekal) : http://forum.malekal.com/ftopic893.php ********************* * Télécharge Ccleaner Slim : = = = = >>> En cliquant ici <<< = = = = * Installe le. * Choisis l'onglet Nettoyeur Quitte ton navigateur Internet avant de le lancer, décoche la dernière case (Avancé si elle est cochée) puis clique sur "lancer le nettoyage" quand il aura terminé le scan cliques en bas à droite sur "lancer le nettoyage" et accepte par oui. Attention, il risque de vider ta corbeille : si tu veux récupérer des fichiers effacés par erreur, mieux vaut le faire maintenant. * Choisis l'onglet Registre - Clique sur Chercher des erreurs - Une fois la recherche terminée, clic sur Réparer les erreurs sélectionnées (par défaut, tout est sélectionné, laisse comme ça) - Au message Voulez-vous sauvegarder les changements faits dans le registre, réponds Oui et enregistre le fichier au format « .reg » en le nommant par la date par exemple en le mettant sur le bureau. Puis continue. - A la fenêtre qui s'ouvre ensuite, clique sur Corriger toutes les erreurs sélectionnées puis OK - Recommence jusqu'à ce qu'aucune erreur n'apparaisse (ou une seule récurrente). - Ferme Ccleaner. * Tutoriel en images ICI si besoin. Note : La sauvegarde utilisée permet de remettre tel que la base était avant la manipulation au cas où il y aurait des soucis mais cela ne m'est jamais arrivé ! Il vaut mieux prendre des précautions, c'est tout. ;-)

Jerquest · Answer

Voilà, voilà. Merci pour tes bons conseils et je suis bien conscient des dangers du P2P... Le pouvoir corrompt, le pouvoir absolu corrompt absolument... Mais j'en tiens compte ^^

Comment c'est ?

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Rsit: trouvé !
C:\Documents and Settings\Propriétaire\Mes documents\Téléchargements\Rsit.exe: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\Ad-Remover\Backup\Ad-R.exe: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files\Ad-Remover\Backup\Ad-R.exe: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Documents and Settings\Propriétaire\Mes documents\Téléchargements\Rsit.exe: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Rsit: supprimé !
C:\Program Files\Ad-remover: supprimé !

crapoulou · Answer

Supprime Toolscleaner et C:\TCleaner.txt.

Jerquest · Answer

Voilà.

crapoulou · Answer

Supprime ce fichier :
C:\FindyKill_Upload_Me_JEROME-0812FCAF.zip

C'est tout bon :D

Jerquest · Answer

C'est fini pour de vrai ? ^^

Merci beaucoup alors.

Ça me semble insuffisant "merci" mais je ne vois pas comment je pourrais t'exprimer ma gratitude...

crapoulou · Answer

Un merci ça suffit ;-).
Bonne soirée et bonne continuation.
Sois vigilent !

Mes antivirus et spybot se ferment...

34 réponses

Discussions similaires