Infecté par un virus inconnu

Fermé
bilot - 13 août 2010 à 14:12
 Utilisateur anonyme - 16 août 2010 à 13:09
Bonjour,






voila j'ai fais tourner AD-R et voila le rapport :

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 14:06:22 le 13/08/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
Florian Michelet@FLORIAN ( )

============== ACTION(S) ==============


0,Dossier supprimé: C:\Documents and Settings\Florian Michelet\Local Settings\Application Data\Conduit
0,Dossier supprimé: C:\Program Files\Conduit

(!) -- Fichiers temporaires supprimés.


0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2542115
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKCU\Software\Conduit
0,Clé supprimée: HKU\.DEFAULT\Software\Conduit


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Documents and Settings\Florian Michelet\Application Data\Mozilla\FireFox\Profiles\hdqlf2r0.default\Prefs.js --
browser.startup.homepage, jeuxvideo.com
browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 4 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 13/08/2010 (652 Octet(s))
C:\Ad-Report-SCAN[1].txt - 10/08/2010 (2517 Octet(s))
C:\Ad-Report-SCAN[2].txt - 11/08/2010 (2398 Octet(s))

Fin à: 14:07:22, 13/08/2010

============== E.O.F ==============
A voir également:

20 réponses

Utilisateur anonyme
13 août 2010 à 14:29
salut :

Télécharge ici :OTL de OLDTimer

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant tous les utilisateurs

▶ règle age du fichier sur "60 jours"

▶ dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci :

"fichiers créés" et "fichiers Modifiés"


▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
0
OTL: -> http://www.cijoint.fr/cjlink.php?file=cj201008/cijRkaNFdT.txt

EXTRA : -> http://www.cijoint.fr/cjlink.php?file=cj201008/cijqlbZm0A.txt
0
Utilisateur anonyme
13 août 2010 à 15:08
▶ Télécharge ici : Ad-remover ( de C_XX ) sur ton bureau :


▶ Déconnecte toi et ferme toutes applications en cours !

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

▶ Laisse travailler l'outil et ne touche à rien ...

▶ Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

▶ Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 15:15:08 le 13/08/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
Florian Michelet@FLORIAN ( )

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.



============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Documents and Settings\Florian Michelet\Application Data\Mozilla\FireFox\Profiles\hdqlf2r0.default\Prefs.js --
browser.startup.homepage, jeuxvideo.com
browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 4 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 13/08/2010 (2654 Octet(s))
C:\Ad-Report-CLEAN[2].txt - 13/08/2010 (502 Octet(s))
C:\Ad-Report-SCAN[1].txt - 10/08/2010 (2517 Octet(s))
C:\Ad-Report-SCAN[2].txt - 11/08/2010 (2398 Octet(s))

Fin à: 15:15:50, 13/08/2010

============== E.O.F ==============
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
je pense avoir le même problème que Charlypolka : https://forums.commentcamarche.net/forum/affich-18784701-bloque-demarrage-xp-suite-trojan

Mon pc a eu une grosse attaque, tout s'est passé en 5 seconde j'ai pas eu le temps de voir les annonce de antivir, et mon pc a redémarer. Il ne passais plus le screen : bienvenue de windows, et redémarais a l'infini.. J'ai réussit a le lancer en mode sans echec, et la j'ai fait tourné mass scan d'antivirus (malwarebyte, ccleaner, avira, AD-R) et voila mais j'ai encore de gros soucis, je suis fort ralentis, et j'ai plein de jeux qui ne se lancent plus etc.. ;s
0
Utilisateur anonyme
13 août 2010 à 17:07
je peux avoir ce rapport ?

C:\Ad-Report-CLEAN[1].txt - 13/08/2010 (2654 Octet(s))
0
oui voila :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijbCMMXqp.txt
0
Utilisateur anonyme
13 août 2010 à 18:23
bien


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



▶ Télécharge ici :

Malwarebytes

ou :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

▶ Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

0
http://www.cijoint.fr/cjlink.php?file=cj201008/cijZ3ZyW35.txt

voilou
0
Utilisateur anonyme
13 août 2010 à 22:55
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

▶ Télécharge ici :List_Kill'em

et enregistre le sur ton bureau

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

♦ Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

▶ laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶ Fais de même avec more.txt qui se trouve sur ton bureau
0
http://www.cijoint.fr/cjlink.php?file=cj201008/cijRoLDPOY.txt

voilou :)

et j'ai une autre question, depuis que j'ai le virus, mon clavier se met en qwerty très souvent (1 à 2 fois par demi-heure). C'est assez embêtant :(
0
Utilisateur anonyme
14 août 2010 à 13:00
salut il manque un rapport
0
oui pardon :/


http://www.cijoint.fr/cjlink.php?file=cj201008/cijSS3eoPS.txt
0
Utilisateur anonyme
14 août 2010 à 15:36
desinstalle Spyware Doctor il sert a rien

desinstalle AD-Remover de par son interface

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* Colle directement le chemin des fichiers , un par un ,dans l'espace "Parcourir"

c:\windows\system32\drivers\aec.sys.bak
c:\windows\system32\drivers\feuhjs.sys
C:\WINDOWS\System32\d3dx10_43.dll
C:\WINDOWS\System32\d3dx11_43.dll
C:\WINDOWS\System32\D3DX9_43.dll


* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de la page dans ta prochaine réponse.
0
http://www.virustotal.com/file-scan/reanalysis.html?id=0da17cca27df5c7245959249162a5393b2e36b7c9a3a3525ae1371de6ae698a3-1281811922

c:\windows\system32\drivers\feuhjs.sys est introuvable

http://www.virustotal.com/file-scan/reanalysis.html?id=56fcd13650fd1f075743154e8c48465dd68a236ab8960667d75373139d2631bf-1281812067

http://www.virustotal.com/file-scan/reanalysis.html?id=492e960cb3ccfc8c25fc83f7c464ba77c86a20411347a1a9b3e5d3e8c9180a8d-1281812108

http://www.virustotal.com/file-scan/reanalysis.html?id=0b28546be22c71834501f7d7185ede5d79742457331c7ee09efc14490dd64f5f-1281812144
0
Utilisateur anonyme
14 août 2010 à 23:16

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================


▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :
________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.



0
http://www.cijoint.fr/cjlink.php?file=cj201008/cij4RimSF0.txt

voilou
0
Utilisateur anonyme
15 août 2010 à 13:31
salut sers-toi de cette page pour virer les restes de kaspersky et Avast :

Désinstallation Antivirus , Parefeu , Antispyware
0
merci, c'est fait ;)
0
Utilisateur anonyme
16 août 2010 à 13:09
ok

▶ Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

▶ choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

▶ colle le contenu dans ta reponse
0