Virus ernel32.dll
Polonwn
Messages postés
11676
Date d'inscription
Statut
Contributeur
Dernière intervention
-
Polonwn Messages postés 11676 Date d'inscription Statut Contributeur Dernière intervention -
Polonwn Messages postés 11676 Date d'inscription Statut Contributeur Dernière intervention -
Bonjour à tous
je déprime, j'ai pris un virus je sais même pas comment cet enfoiré a réussi à se pointer :s
j'ai essayé plusieurs truc mais impossible de m'en débarrasser et vu que je suis aux states j'ai pas toute ma panoplie de cd de nettoyage et j'ai rien pour graver ici autant dire que je suis démuni là.
Bon petit récapitulatif:
Nom du virus à la base antimalware doctor
suppression manuel par l'intermédiaire de la base de registre
suppression des option de démarrage
analyse avec antivir
analyse avec kaspersky
analyse avec malwarebyte
analyse avec ad aware
à noter que gros problèmes impossible (sauf pour antivir) de dl les bases de donnée d'antivirus ou antimalware message d'erreur me souvient pas des messages d'erreur dsl
maintenant les problèmes qui persiste :
un fichier système ernel32.dll persiste en temps que virus (j'ai essayé de le supprimer en mode sans échec no problem, mais en mode normal si je le supprime il revient au démarrage suivant) et il y a un cadenas sur le fichier
autre problème pc lent (pas nouveau ça après infection)
dernier problème lorsque je vais sur internet la plus part du temps je suis redirigé sur des page avec le démarrage http://results5.google.fr/
je ne peux pas formatter car j'ai rien pour save mes données
merci pour l'aide apporté
je déprime, j'ai pris un virus je sais même pas comment cet enfoiré a réussi à se pointer :s
j'ai essayé plusieurs truc mais impossible de m'en débarrasser et vu que je suis aux states j'ai pas toute ma panoplie de cd de nettoyage et j'ai rien pour graver ici autant dire que je suis démuni là.
Bon petit récapitulatif:
Nom du virus à la base antimalware doctor
suppression manuel par l'intermédiaire de la base de registre
suppression des option de démarrage
analyse avec antivir
analyse avec kaspersky
analyse avec malwarebyte
analyse avec ad aware
à noter que gros problèmes impossible (sauf pour antivir) de dl les bases de donnée d'antivirus ou antimalware message d'erreur me souvient pas des messages d'erreur dsl
maintenant les problèmes qui persiste :
un fichier système ernel32.dll persiste en temps que virus (j'ai essayé de le supprimer en mode sans échec no problem, mais en mode normal si je le supprime il revient au démarrage suivant) et il y a un cadenas sur le fichier
autre problème pc lent (pas nouveau ça après infection)
dernier problème lorsque je vais sur internet la plus part du temps je suis redirigé sur des page avec le démarrage http://results5.google.fr/
je ne peux pas formatter car j'ai rien pour save mes données
merci pour l'aide apporté
A voir également:
- Virus ernel32.dll
- Virus mcafee - Accueil - Piratage
- Advapi32.dll ccleaner - Forum Windows 7
- Softonic virus ✓ - Forum Virus
- Faux message virus iphone ✓ - Forum Virus
- Xinput1_3.dll - Forum Windows
28 réponses
slt
colle nous le rapport d'antivir et malwarebyte
puis
Télécharge ici :
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Clique Continue à l'écran Disclaimer.
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
colle nous le rapport d'antivir et malwarebyte
puis
Télécharge ici :
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Clique Continue à l'écran Disclaimer.
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
Salut jlpjilp
voila pour malwarebyte
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 3930
Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385
15/07/2010 03:07:44
mbam-log-2010-07-15 (03-07-44).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 191513
Temps écoulé: 42 minute(s), 59 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3cb0f5e5-0edd-4689-8e6a-9f9b35e6254b}\DhcpNameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3cb0f5e5-0edd-4689-8e6a-9f9b35e6254b}\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{efd9e731-f2e8-483d-9cac-022dc140cf6b}\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\polo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\polo\Desktop\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\polo\AppData\Roaming\Microsoft\Windows\Start Menu\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
Sinon j'ai reussi je crois à supprimer le fichier ernel32 il est pas revenu
j'ai pas les log pour antivir par contre mais il me dis plus rien
sinon toujours le problème des redirections qui a empiré
voila les autres rapports
en premier log
et après info
voila pour malwarebyte
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 3930
Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385
15/07/2010 03:07:44
mbam-log-2010-07-15 (03-07-44).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 191513
Temps écoulé: 42 minute(s), 59 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3cb0f5e5-0edd-4689-8e6a-9f9b35e6254b}\DhcpNameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3cb0f5e5-0edd-4689-8e6a-9f9b35e6254b}\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{efd9e731-f2e8-483d-9cac-022dc140cf6b}\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\polo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\polo\Desktop\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\polo\AppData\Roaming\Microsoft\Windows\Start Menu\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
Sinon j'ai reussi je crois à supprimer le fichier ernel32 il est pas revenu
j'ai pas les log pour antivir par contre mais il me dis plus rien
sinon toujours le problème des redirections qui a empiré
voila les autres rapports
en premier log
et après info
Info
http://www.cijoint.fr/cjlink.php?file=cj201007/cijB82gP3G.txt
log
http://www.cijoint.fr/cjlink.php?file=cj201007/cij9jIAMr9.txt
http://www.cijoint.fr/cjlink.php?file=cj201007/cijB82gP3G.txt
log
http://www.cijoint.fr/cjlink.php?file=cj201007/cij9jIAMr9.txt
rapport malware byte
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 3930
Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385
15/07/2010 03:07:44
mbam-log-2010-07-15 (03-07-44).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 191513
Temps écoulé: 42 minute(s), 59 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3cb0f5e5-0edd-4689-8e6a-9f9b35e6254b}\DhcpNameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3cb0f5e5-0edd-4689-8e6a-9f9b35e6254b}\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{efd9e731-f2e8-483d-9cac-022dc140cf6b}\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\polo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\polo\Desktop\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\polo\AppData\Roaming\Microsoft\Windows\Start Menu\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 3930
Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385
15/07/2010 03:07:44
mbam-log-2010-07-15 (03-07-44).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 191513
Temps écoulé: 42 minute(s), 59 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3cb0f5e5-0edd-4689-8e6a-9f9b35e6254b}\DhcpNameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3cb0f5e5-0edd-4689-8e6a-9f9b35e6254b}\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{efd9e731-f2e8-483d-9cac-022dc140cf6b}\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\polo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\polo\Desktop\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\polo\AppData\Roaming\Microsoft\Windows\Start Menu\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
télécharge OTM
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
(de Old_Timer) sur ton Bureau.
double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.
:processes
explorer.exe
:files
C:\Windows\Ghikya.exe
C:\Users\polo\AppData\Roaming\52B310BFA0094320F77A3EFFA4F0BAF1
C:\Users\polo\AppData\Roaming\cedf3ae0-9fd5-49f5-b4f3-ba51c752dd99_44.avi
C:\Windows\tasks\0ae30c23.job
C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
C:\Windows\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"cedf3ae0-9fd5-49f5-b4f3-ba51c752dd99_44"=-
:commands
[purity]
[emptytemp]
[start explorer]
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
______________________
puis
mets à jour malwarebyte et colle un rapport avec d'analyse rapide
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
(de Old_Timer) sur ton Bureau.
double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.
:processes
explorer.exe
:files
C:\Windows\Ghikya.exe
C:\Users\polo\AppData\Roaming\52B310BFA0094320F77A3EFFA4F0BAF1
C:\Users\polo\AppData\Roaming\cedf3ae0-9fd5-49f5-b4f3-ba51c752dd99_44.avi
C:\Windows\tasks\0ae30c23.job
C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
C:\Windows\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"cedf3ae0-9fd5-49f5-b4f3-ba51c752dd99_44"=-
:commands
[purity]
[emptytemp]
[start explorer]
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
______________________
puis
mets à jour malwarebyte et colle un rapport avec d'analyse rapide
rapport otm
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
C:\Users\polo\AppData\Roaming\cedf3ae0-9fd5-49f5-b4f3-ba51c752dd99_44.avi moved successfully.
C:\Windows\tasks\0ae30c23.job moved successfully.
C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job moved successfully.
C:\Windows\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\cedf3ae0-9fd5-49f5-b4f3-ba51c752dd99_44 deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: LogMeInRemoteUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: polo
->Temp folder emptied: 470433 bytes
->Temporary Internet Files folder emptied: 53472034 bytes
->Java cache emptied: 13822012 bytes
->FireFox cache emptied: 38493538 bytes
->Flash cache emptied: 6622 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 101,00 mb
OTM by OldTimer - Version 3.1.14.0 log created on 07152010_094819
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
C:\Users\polo\AppData\Roaming\cedf3ae0-9fd5-49f5-b4f3-ba51c752dd99_44.avi moved successfully.
C:\Windows\tasks\0ae30c23.job moved successfully.
C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job moved successfully.
C:\Windows\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\cedf3ae0-9fd5-49f5-b4f3-ba51c752dd99_44 deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: LogMeInRemoteUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: polo
->Temp folder emptied: 470433 bytes
->Temporary Internet Files folder emptied: 53472034 bytes
->Java cache emptied: 13822012 bytes
->FireFox cache emptied: 38493538 bytes
->Flash cache emptied: 6622 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 101,00 mb
OTM by OldTimer - Version 3.1.14.0 log created on 07152010_094819
impossible de mettre a jour malware byte j'ai ce message
http://www.cijoint.fr/cjlink.php?file=cj201007/cijAX0axhr.jpg
tiens si tu veux j'ai les logs de l'analyse avec la base viral non mise à jour
http://www.cijoint.fr/cjlink.php?file=cj201007/cijSN9HuYz.txt
date de la base virale : 29/03/2010
http://www.cijoint.fr/cjlink.php?file=cj201007/cijAX0axhr.jpg
tiens si tu veux j'ai les logs de l'analyse avec la base viral non mise à jour
http://www.cijoint.fr/cjlink.php?file=cj201007/cijSN9HuYz.txt
date de la base virale : 29/03/2010
ok
________________
lance myhosts:
https://www.sfr.fr/fermeture-des-pages-perso.html
si il passe pas fais
# télécharger Hoster :
http://www.funkytoad.com/download/HostsXpert.zip
# Dézipper le dossier sur le bureau.
# Lancer Hoster et cliquer sur Restore Microsoft's Hosts File
si impossible fais RHOST
http://siri.urz.free.fr/RHosts.php
________________
puis retente de mettre à jour malwarebyte
si cela passe pas:
colle un rapport avec le logiciel superantispyware
________________
lance myhosts:
https://www.sfr.fr/fermeture-des-pages-perso.html
si il passe pas fais
# télécharger Hoster :
http://www.funkytoad.com/download/HostsXpert.zip
# Dézipper le dossier sur le bureau.
# Lancer Hoster et cliquer sur Restore Microsoft's Hosts File
si impossible fais RHOST
http://siri.urz.free.fr/RHosts.php
________________
puis retente de mettre à jour malwarebyte
si cela passe pas:
colle un rapport avec le logiciel superantispyware
lance myhosts:
il a fonctionné mais ne change pas le problème de malware byte
télécharger Hoster :
soit le lien marche pas soit mon pc arrive pas à le dl
si impossible fais RHOST
même problème que myhosts
impossible de mettre a jour mbyte
superantispyware travail a l'heure actuel en scan rapide
ok j'attends le rapport de super antipsyware
puis en suivant
Télécharge la dernière version de ZHPDiag
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.
pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur Cijoint http://www.cijoint.fr/
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
puis en suivant
Télécharge la dernière version de ZHPDiag
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.
pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur Cijoint http://www.cijoint.fr/
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
ZHPdiag travail pour le moment
super antispyware a fini mais je sais pas où est le log mais il a trouvé plein de chose
j'ai mis en quarantaine et nettoyer et il a redemarer mon pc
et maintenant la mise a jour de malwarebyte remarche donc je suis entrain de la dl
super antispyware a fini mais je sais pas où est le log mais il a trouvé plein de chose
j'ai mis en quarantaine et nettoyer et il a redemarer mon pc
et maintenant la mise a jour de malwarebyte remarche donc je suis entrain de la dl
Bon zhp a fini mais j'ai un problème j'arrive a héberger un fichier nul part :s
j'ai essayé sur free et sur cijoint il veut pas :s
j'ai essayé sur free et sur cijoint il veut pas :s
log malwarebyte en mode rapide
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4052
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
15/07/2010 10:51:24
mbam-log-2010-07-15 (10-51-24).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 123784
Temps écoulé: 7 minute(s), 30 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3cb0f5e5-0edd-4689-8e6a-9f9b35e6254b}\DhcpNameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4052
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
15/07/2010 10:51:24
mbam-log-2010-07-15 (10-51-24).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 123784
Temps écoulé: 7 minute(s), 30 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3cb0f5e5-0edd-4689-8e6a-9f9b35e6254b}\DhcpNameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
c'est bon j'arrive a posté les log
alors
log superantispyware
http://www.cijoint.fr/cjlink.php?file=cj201007/cijitKV0d5.txt
mais pour zhd il veut rien savoir :s
alors
log superantispyware
http://www.cijoint.fr/cjlink.php?file=cj201007/cijitKV0d5.txt
mais pour zhd il veut rien savoir :s
ok
je pense que malwarebyte n'est toujours pas à jour alors recommence
puis remets un rapport RSIT tout neuf
je pense que malwarebyte n'est toujours pas à jour alors recommence
puis remets un rapport RSIT tout neuf
tiens petit log de avira
C:\Windows\System32\ernel32.dll
[WARNING] The file could not be copied to quarantine!
C:\Windows\System32\ernel32.dll
[WARNING] The file could not be deleted!
C:\Windows\System32\ernel32.dll
[WARNING] The file could not be copied to quarantine!
C:\Windows\System32\ernel32.dll
[WARNING] The file could not be deleted!
bon par contre désolé je dois aller me couché et je reviens que lundi parce que demain je pars à los angeles
en attendant de te revoir pour en finir avec cette *****
merci encore pour tout pour ce soir et à lundi bon week à toi
en attendant de te revoir pour en finir avec cette *****
merci encore pour tout pour ce soir et à lundi bon week à toi
ok
vire cette tache planifiée en allant dans C puis WINDOWS puis TASKS :
C:\Windows\tasks\0ae30c23.job
____________________
lance smitfraudfix et fait l'option 5
____________________
lance le logiciel hijackthis
si ces lignes sont présentes:
O17 - HKLM\System\CCS\Services\Tcpip\..\{3CB0F5E5-0EDD-4689-8E6A-9F9B35E6254B}: NameServer = 93.188.162.65,93.188.161.205
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFD9E731-F2E8-483D-9CAC-022DC140CF6B}: NameServer = 93.188.162.65,93.188.161.205
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.65,93.188.161.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{3CB0F5E5-0EDD-4689-8E6A-9F9B35E6254B}: NameServer = 93.188.162.65,93.188.161.205
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.162.65,93.188.161.205
O17 - HKLM\System\CS2\Services\Tcpip\..\{3CB0F5E5-0EDD-4689-8E6A-9F9B35E6254B}: NameServer = 93.188.162.65,93.188.161.205
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.65,93.188.161.205
fixe les en les cochant puis cliquer sur Fix cheked
_____________________
remette à jour malwarebyte et nous coller un rapport
_____________________
suivi d'un nouveau rapport RSIT si ZHPFIX passe pas
et colle un rapport avec antivir à jour si tu as le temps
vire cette tache planifiée en allant dans C puis WINDOWS puis TASKS :
C:\Windows\tasks\0ae30c23.job
____________________
lance smitfraudfix et fait l'option 5
____________________
lance le logiciel hijackthis
si ces lignes sont présentes:
O17 - HKLM\System\CCS\Services\Tcpip\..\{3CB0F5E5-0EDD-4689-8E6A-9F9B35E6254B}: NameServer = 93.188.162.65,93.188.161.205
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFD9E731-F2E8-483D-9CAC-022DC140CF6B}: NameServer = 93.188.162.65,93.188.161.205
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.65,93.188.161.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{3CB0F5E5-0EDD-4689-8E6A-9F9B35E6254B}: NameServer = 93.188.162.65,93.188.161.205
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.162.65,93.188.161.205
O17 - HKLM\System\CS2\Services\Tcpip\..\{3CB0F5E5-0EDD-4689-8E6A-9F9B35E6254B}: NameServer = 93.188.162.65,93.188.161.205
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.65,93.188.161.205
fixe les en les cochant puis cliquer sur Fix cheked
_____________________
remette à jour malwarebyte et nous coller un rapport
_____________________
suivi d'un nouveau rapport RSIT si ZHPFIX passe pas
et colle un rapport avec antivir à jour si tu as le temps
