Sujet Précédent Sujet Suivant

PC multi-infecté! Merci de m'aider!!

Résolu/Fermé
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013 - 20 juil. 2010 à 10:52
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 - 29 juil. 2010 à 06:56
Bonjour,

Voilà j'ai téléchargé il y a environ 2 semaines un controle activeX sur un site banal, et depuis, lorsque je surf sur le net des pages s'ouvrent toutes seules. J'avais fait un scan avec Avira antivir, qui m'avait trouvé 5-6 virus, que j'ai pu supprimé. Depuis, quand je redémarre, il me met un message d'erreur RUNDLL "fichier htql.ano introuvable". Mais ça ne gêne pas le fonctionnement du pc. Mais le problème des fenetres qui s'ouvrent seules persiste. Un nouveau scan avira ne trouve rien. J'ai fait un scan avec panda, qui me trouve 27 fichiers infectés!!!

Voici les rapports:

Panda:
;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-07-17 08:07:05
PROTECTIONS: 1
MALWARE: 21
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
AntiVir Desktop 9.0.1.32 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\documents and settings\yann\local settings\temp\cookies\yann@doubleclick[1].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\documents and settings\yann\cookies\yann@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\documents and settings\yann\cookies\yann@atdmt[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No c:\documents and settings\yann\cookies\yann@tradedoubler[2].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No c:\documents and settings\yann\cookies\yann@tradedoubler[1].txt
00145405 Cookie/RealMedia TrackingCookie No 0 Yes No c:\documents and settings\yann\cookies\yann@247realmedia[1].txt
00145457 Cookie/FastClick TrackingCookie No 0 Yes No c:\documents and settings\yann\cookies\yann@fastclick[2].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No c:\documents and settings\yann\local settings\temp\cookies\yann@mediaplex[1].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No c:\documents and settings\yann\cookies\yann@mediaplex[2].txt
00147806 Cookie/7search TrackingCookie No 0 Yes No c:\documents and settings\yann\cookies\yann@7search[2].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\documents and settings\yann\cookies\yann@xiti[1].txt
00167753 Cookie/Statcounter TrackingCookie No 0 Yes No c:\documents and settings\yann\cookies\yann@statcounter[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\documents and settings\yann\cookies\yann@ad.yieldmanager[1].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No c:\documents and settings\yann\cookies\yann@apmebf[2].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\documents and settings\yann\cookies\yann@serving-sys[2].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\documents and settings\yann\cookies\yann@bs.serving-sys[2].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\documents and settings\yann\local settings\temp\cookies\yann@weborama[1].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\documents and settings\yann\cookies\yann@weborama[1].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\documents and settings\yann\cookies\yann@adtech[2].txt
00168116 Cookie/Comclick TrackingCookie No 0 Yes No c:\documents and settings\yann\cookies\yann@fl01.ct2.comclick[2].txt
00170554 Cookie/Overture TrackingCookie No 0 Yes No c:\documents and settings\yann\local settings\temp\cookies\yann@overture[1].txt
00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No c:\documents and settings\yann\cookies\yann@bluestreak[2].txt
00207936 Cookie/Adviva TrackingCookie No 0 Yes No c:\documents and settings\yann\cookies\yann@adviva[2].txt
01078226 Application/MonacoGoldCasino HackTools No 0 Yes No c:\program files\everest poker\cstart-tmp.exe
06775597 Generic Malware Virus/Trojan No 0 Yes No c:\documents and settings\yann\local settings\temp\e.exe
;===================================================================================================================================================================================
SUSPECTS
Sent Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================================================
214076 HIGH MS09-059
;===================================================================================================================================================================================

Avira:
Ne trouve rien

Sur panda, il me troubvait une vulnérabilité, et m'envoyait sur windows update pour télécharger une mise a jour, mais impossible de le faire.
J'espère que vous pourrez m'aider, car je suis vraiment nul en informatique...
Merci d'avance!
A voir également:

95 réponses

Précédent
Réponse 61 / 95
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
22 juil. 2010 à 15:55
https://www.commentcamarche.net/image-son/photo/25189-partage-de-photos-8-services-simples-et-gratuits/
0
Réponse 62 / 95
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013
22 juil. 2010 à 20:13
j'ai essayé de m'inscrire sur un autre site de partage de fichiers, mais dès que j'essaye de mettre le fichier en ligne, échec.
C'est un peu "relou" !!!
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
22 juil. 2010 à 20:58
bon je sais que ca se fait pas
mais tant pis , met le sur mon forum, ou tu veux , je te retrouverai, soit en copier/colle soit en piece jointe a toi de voir
et je le deplacerai sur commencamarche apres,
ici https://sherred-aide-info-xp.forumperso.com/
0
Réponse 63 / 95
fred08700 Messages postés 3389 Date d'inscription lundi 19 janvier 2009 Statut Contributeur sécurité Dernière intervention 9 février 2014 550
22 juil. 2010 à 22:19
salut

je t'ai envoyé mon mail avant midi en MP . As-tu essayé ?
0
Réponse 64 / 95
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013
23 juil. 2010 à 11:23
Bonjour Sherred, bonjour Fred.

Désolé je n'avais pas vu vos messages hier.

Bon, la situation ne se débloque pas, on dirait que le(s) virus que j'ai est(sont) très intelligent et m'empêche de poster mon rapport ZHPdiag.

@Fred: j'ai tenté de te l'envoyer par mail en pièce jointe, mais on me dit que ça dépasse la taille limite de 20 Mo (or en .txt il fait 80 Ko, j'ai essayé de le mettre en Word en changeant de nom et meme résultat or il fait 190 Ko)

@Sherred: je me suis inscrit sur ton forum, mais impossible de poster mon rapport...

Que faire??

En plus je viens d'avoir un message de Antivir qui n'a pas pu effectuer sa mise a jour,je poste le rapport dans mon prochain message.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 65 / 95
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013
23 juil. 2010 à 11:28
Evidemment ça ne marche pas...
0
Réponse 66 / 95
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013
23 juil. 2010 à 11:31
Ca y est j'ai mis le rapport d'update d'Antivir sur cijoint: http://www.cijoint.fr/cjlink.php?file=cj201007/cijwgvABZg.txt
0
Réponse 67 / 95
fred08700 Messages postés 3389 Date d'inscription lundi 19 janvier 2009 Statut Contributeur sécurité Dernière intervention 9 février 2014 550
23 juil. 2010 à 11:52
salut

c'est bizarre que tu puisses tout poster sauf ZHP !

désinstalles ZHP, via ajout/suppression de programmes

passe CCleaner

Réinstalles ZHPdiag et essais de poster sur un des deux sites

http://ww38.toofiles.com/fr/documents-upload.html
http://www.cijoint.fr/
0
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013
23 juil. 2010 à 13:26
zhpdiag effacé, Ccleaner effectué, avec toujours la meme erreur persistante(que j'avais noté dans les posts précédents il me semble).
0
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013
23 juil. 2010 à 13:40
la voici: Extension de fichiers inutilisée {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
0
Réponse 68 / 95
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013
23 juil. 2010 à 12:10
oui c'est vraiment bizarre.

A l'instant ou je t'écris, une page vient de s'ouvrir avec a l'écran comme si un antivirus (qui n'est pas le mien) analysait mon pc et trouvait plein de virus...

A part ça j'était en train de subdiviser le rapport ZHPdiag (en 20 documents!!!), et j'ai réussi a les mettre en piece jointe dans un mail, je t'envoies ça tout de suite.
0
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013
Modifié par poolsniper le 23/07/2010 à 13:20
voilà j'ai enfin fini de tout te poster (apr mail).On dirait que dès qu'il y a l'expression windows update en tout attaché ça m'empeche d'envoyer le mail ou de stocker le fichier sur les sites de partage. Etrange! En tout cas je suis pas informaticien mais on a envie de se dire que update est en cause dans tout ça
0
Réponse 69 / 95
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013
23 juil. 2010 à 13:29
Bon j'ai réinstallé ZHPdiag, refais un scan, mais toujours impossible de stocker le rapport sur cijoint ou toofiles...
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
23 juil. 2010 à 14:15
c'est etonnant cijoint a la difference de cjoint peut prendre 8Mo

moi je vais sur http://www.archive-host.com/ 150Mo gratuit
0
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013
23 juil. 2010 à 14:18
bonjour sherred. Je me suis inscris sur archive host hier, mais toujours le meme problème; de meme je n'ai pas pu poster sur ton forum. C'est comme si le virus ou l'anomalie savait que je veux l'éliminer et m'empeche de me faire aider!!! On se croirait dans un film de science-fiction.
0
Réponse 70 / 95
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
23 juil. 2010 à 14:21
bon ca a suffisamment durée

Télécharge UsbFix (de Chiquitine29) sur ton bureau
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe


Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

--> Double clic sur UsbFix

clic sur le bouton Recherche


et ne touche plus a rien pendant le scan

Une fois l'analyse terminée, un rapport de scan est proposé... appuie sur une touche pour ouvrir ce rapport.
copier/coller ce rapport dans ta prochaine réponse
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
http://pagesperso-orange.fr/NosTools/usb-1-fr.html
0
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013
23 juil. 2010 à 14:27
tu ne penses pas qu'il faut attendre que fred analyse mon rapport ZHPdiag?
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
23 juil. 2010 à 14:39
pour le moment on analyse avec usb
t'inquiete je ne debute pas
0
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013
23 juil. 2010 à 14:59
je n'insinuais pas ça du tout t'inquiète!! Je vois bien que tu gères!
0
Réponse 71 / 95
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013
23 juil. 2010 à 15:07
Voici le rapport. Il faut que j'en fasse un autre avec mon autre clé USB car elle ne passe pas toutes les 2 en meme temps...(trop grosses!)

############################## | UsbFix 7.017 | [Recherche]

Utilisateur: yann (Administrateur) # PETER [ ]
Mis à jour le 22/07/10 par El Desaparecido / C_XX
Lancé à 15:04:14 | 23/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 958 Mo
C:\ (%systemdrive%) -> Disque fixe # 114 Go (42 Go libre(s) - 37%) [ACER] # NTFS
D:\ -> Disque fixe # 114 Go (90 Go libre(s) - 78%) [ACERDATA] # FAT32
E:\ -> CD-ROM
J:\ -> Disque amovible # 496 Mo (152 Mo libre(s) - 31%) [] # FAT

################## | Éléments infectieux |

Présent! C:\Documents and Settings\yann\Bureau\explorer.exe

################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |
0
Réponse 72 / 95
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013
23 juil. 2010 à 15:12
2ème avec l'autre clé USB:

############################## | UsbFix 7.017 | [Recherche]

Utilisateur: yann (Administrateur) # PETER [ ]
Mis à jour le 22/07/10 par El Desaparecido / C_XX
Lancé à 15:10:17 | 23/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 958 Mo
C:\ (%systemdrive%) -> Disque fixe # 114 Go (42 Go libre(s) - 37%) [ACER] # NTFS
D:\ -> Disque fixe # 114 Go (90 Go libre(s) - 78%) [ACERDATA] # FAT32
E:\ -> CD-ROM
J:\ -> Disque amovible # 488 Mo (118 Mo libre(s) - 24%) [] # FAT

################## | Éléments infectieux |

Présent! C:\Documents and Settings\yann\Bureau\explorer.exe

################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |
0
Réponse 73 / 95
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
23 juil. 2010 à 15:27
c'est quoi cet explorer.exe sur ton bureau ?
0
Réponse 74 / 95
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013
23 juil. 2010 à 15:29
normalement c'est dans c:/WINDOWS, je l'ai mis sur le bureau parce que je trouve ça pratique pour naviguer dans le PC
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
Modifié par sherred le 24/07/2010 à 07:15
dans le bureau on met des raccourcis , pas des copie d'exécutable
c'est moins lourd
et ca n'affolera plus les antivirus
0
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013
24 juil. 2010 à 09:40
bonjour sherred. Ok ca marche, je vais changer ça
0
Réponse 75 / 95
fred08700 Messages postés 3389 Date d'inscription lundi 19 janvier 2009 Statut Contributeur sécurité Dernière intervention 9 février 2014 550
23 juil. 2010 à 22:59
Bonsoir

Sherred , voici le rapport ZHPdiag , que j'ai remis dans l'ordre -)

http://www.cijoint.fr/cjlink.php?file=cj201007/cijZPakKHF.txt
0
Réponse 76 / 95
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
Modifié par sherred le 24/07/2010 à 07:25
bon tu a un rootkit dangereux


Télécharge TDSSKiller sur ton bureau


https://support.kaspersky.com/downloads/utils/tdsskiller.zip

1 Crée un nouveau dossier sur ton bureau puis décompresse l'archive dedans

2 Lance le programme en cliquant sur TDSSKiller.exe,
l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


3 Coche les et clique sur "Delete/Repair Selected".

* Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot) pour finir le nettoyage.
taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").


Quand les bornes sont franchies, il n'y a plus de limite
Ce que j'ai écrit, je l'ai écrit
0
Réponse 77 / 95
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013
24 juil. 2010 à 09:57
Bonjour sherred et fred.

@fred: merci d'avoir remis en ordre le rapport ZHPdiag (t'as du galérer...)

@sherred TDSSSkiller a trouvé le rootkit et l'a effacé.
A priori ça a fonctionné, j'ai fait un scan ZHPdiag que j'ai pu mettre sur ci joint!!
voici le lien: http://www.cijoint.fr/cjlink.php?file=cj201007/cij9mF5o21.txt

Donc voilà, j'attends que vous me confirmiez que c'est définitivement réglé.
D'avance, je vous remercie énormément tous les deux de vous etre occupé de mon cas et de m'avoir accordé tout ce temps!!
0
Réponse 78 / 95
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
24 juil. 2010 à 10:19
non , pas encore
mais , on va y arriver

Télécharge combofix.exe sur ton bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
dans la fenetre de telechargement renomme combofix.exe par « fixcombo.exe »

double clique fixcombo.exe.
touche 1 (Yes) pour démarrer le scan.
une fois fini un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
Le rapport se trouve également ici : C:\Combofix.txt



Déconnecte toi d'internet ferme les fenêtres de tous les programmes en cours.et provisoirement
arrete les anti virus et autres protection pendand l'analyse
Pendant la durée de l'analyse ne te sert pas de ton pc


une fois l'analyse terminé ,remet toute tes protections antivirus et antispywares
0
Réponse 79 / 95
fred08700 Messages postés 3389 Date d'inscription lundi 19 janvier 2009 Statut Contributeur sécurité Dernière intervention 9 février 2014 550
24 juil. 2010 à 10:33
bonjour a vous -)

Poolsniper , ça m'a pris 20 bonne mn pour remettre la trentaine de fichiers dans l'ordre ==> ça a servi à quelque chose
combofix dépasse mes compétences , je te laisse avec sherred -)

Sherred , merci pour tout , et surtout d'avoir continué à suivre ce post malgré tout.

Je reste à observer et bonne continuation -) . On devrait bientôt voir la fin
0
Réponse 80 / 95
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013
24 juil. 2010 à 10:42
Avec mozilla, je ne peux pas renommer combofix, c'est grave?
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
24 juil. 2010 à 10:48
non , ne le renomme pas
0
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013
24 juil. 2010 à 10:49
ok merci
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
25 juil. 2010 à 08:22
up
0
poolsniper Messages postés 138 Date d'inscription mardi 20 juillet 2010 Statut Membre Dernière intervention 3 octobre 2013
25 juil. 2010 à 08:45
Bonjour sherred, je suis la. Alors, que pense-tu du rapport Combofix?
0

Discussions similaires

Recherche multi exp dans pokémon heart gold
tom -
Estebalignon -

6 réponses