Virus sur mon ordi besoin d'aide

ludobaud -  
kevinlp Messages postés 382 Statut Membre -
Bonjour,

J'ai deux virus détectés par Kapersky Internet 2011. Cependant je n'arrive pas à les supprimer de mon ordinateur.
Pouvez vous m'aider (je ne suis pas doué en informatique).
J'ai essayé d eles trouver sur mon C mais Kapersky me dit que le répertoire n'existe pas

les 2 virus sont :
- cheval de troie Exploit.java.agent.cv

- logiciel publicitaire not-a-virus : AdWare.Win32.Zwangi.akt

En vous remerciant pour votre aide

12 réponses

  1. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Salut,

    Vérification :

    Recherche avec AD-R (Ad-Remover) :
    Télécharge AD-R (de Cyrildu17 / C_XX ) sur ton bureau :
    = = = =>>> En cliquant ici <<<= = = =

    /!\ Déconnecte-toi et ferme toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\

    * Exécute Ad-remover.
    * Au menu principal clique sur le bouton "Scanner".
    * Poste le rapport qui apparaît à la fin.
    (Le rapport est sauvegardé aussi sous C:\Ad-report(date).log)

    ******

    Quel est ton système d'exploitation ?
    0
  2. ludobaud
     
    Mon systeme d'exploitation est Window 7 Edition Familial Premium

    voici le rapport :

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 26/07/10 à 12:00
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 18:46:31 le 31/08/2010, Mode normal

    Microsoft Windows 7 Édition Familiale Premium (X64)
    BDT Ludovic@BDTLUDOVIC-PC (ASUSTeK Computer Inc. N61Jq)

    ============== RECHERCHE ==============

    Service: "Application Updater" Présent

    0,Dossier trouvé: C:\Program Files (x86)\Mozilla FireFox\extensions\{AC57FCAF-E6FC-4BE9-ADC0-D00129C4C1E7}
    0,Fichier trouvé: C:\Program Files (x86)\Mozilla FireFox\extensions\pdfforge@mybrowserbar.com
    0,Dossier trouvé: C:\ProgramData\2ACA5CC3-0F83-453D-A079-1076FE1A8B65
    0,Dossier trouvé: C:\Program Files (x86)\Application Updater
    0,Dossier trouvé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato
    0,Dossier trouvé: C:\Users\BDT Ludovic\AppData\Roaming\ClickPotatoLite
    0,Dossier trouvé: C:\Program Files (x86)\ClickPotatoLite
    0,Dossier trouvé: C:\ProgramData\ClickPotatoLiteSA
    0,Dossier trouvé: C:\Program Files (x86)\pdfforge Toolbar
    0,Dossier trouvé: C:\Users\BDT Ludovic\AppData\Roaming\Search Settings
    0,Dossier trouvé: C:\Users\BDT Ludovic\AppData\Roaming\Soft2PC
    0,Dossier trouvé: C:\Users\BDT Ludovic\AppData\Local\Soft2PC
    0,Dossier trouvé: C:\Program Files (x86)\Soft2PC
    3,Fichier trouvé: C:\Windows\Installer\197ab3b0.msi
    0,Fichier trouvé: C:\Program Files (x86)\Mozilla Firefox\plugins\npclntax_ClickPotatoLiteSA.dll

    -- Fichier ouvert: C:\Users\BDT Ludovic\AppData\Roaming\Mozilla\FireFox\Profiles\nss67gd5.default\Prefs.js --
    Ligne trouvée: user_pref("browser.startup.homepage", "hxxp://y.lo.st");
    -- Fichier Fermé --

    1,Clé trouvée: HKLM\Software\Classes\CLSID\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
    1,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
    1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
    1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
    1,Clé trouvée: HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    1,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    1,Clé trouvée: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    1,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    1,Clé trouvée: HKLM\Software\Classes\Interface\{30B15818-E110-4527-9C05-46ACE5A3460D}
    1,Clé trouvée: HKLM\Software\Classes\Interface\{618AAD04-921F-44C2-BE38-C0818AF69861}
    1,Clé trouvée: HKLM\Software\Classes\Interface\{B5D2ED96-62F9-4C2C-956D-E425B1F67337}
    1,Clé trouvée: HKLM\Software\Classes\Interface\{CC883F50-95BB-4A25-9DBF-B801506F1BC4}
    1,Clé trouvée: HKLM\Software\Classes\Interface\{D3A412E8-1E4B-47D2-9B12-F88291F5AFBB}
    1,Clé trouvée: HKLM\Software\Classes\TypeLib\{B52F3553-49FA-4599-81A4-F98951E0B53B}
    0,Clé trouvée: HKLM\Software\Classes\ClickPotatoLiteAx.Info
    0,Clé trouvée: HKLM\Software\Classes\ClickPotatoLiteAx.Info.1
    0,Clé trouvée: HKLM\Software\Classes\ClickPotatoLiteAX.UserProfiles
    0,Clé trouvée: HKLM\Software\Classes\ClickPotatoLiteAX.UserProfiles.1
    0,Clé trouvée: HKLM\Software\Classes\MenuButtonIE.ButtonIE
    0,Clé trouvée: HKLM\Software\Classes\MenuButtonIE.ButtonIE.1
    0,Clé trouvée: HKLM\Software\Classes\ShopperReports.Reporter
    0,Clé trouvée: HKLM\Software\Classes\ShopperReports.Reporter.1
    0,Clé trouvée: HKLM\Software\Classes\SoftwareBHO.SOFT2PCBHO
    0,Clé trouvée: HKLM\Software\Classes\SoftwareBHO.SOFT2PCBHO.1
    0,Clé trouvée: HKLM\Software\Classes\AppID\MenuButtonIE.DLL
    1,Clé trouvée: HKLM\Software\Classes\AppID\{11C27351-716B-4052-9361-E3B0A3F8221C}
    0,Clé trouvée: HKLM\Software\Classes\AppID\Soft2PCBHO.DLL
    1,Clé trouvée: HKLM\Software\Classes\AppID\{AB67D16D-3824-4683-B81A-D66DBA61B1AF}
    0,Clé trouvée: HKLM\Software\Application Updater
    0,Clé trouvée: HKLM\Software\ClickPotatoLite
    0,Clé trouvée: HKLM\Software\pdfforge
    0,Clé trouvée: HKLM\Software\Search Settings
    0,Clé trouvée: HKLM\Software\soft2PC
    0,Clé trouvée: HKCU\Software\Search Settings
    0,Clé trouvée: HKCU\Software\soft2PC
    0,Clé trouvée: HKCU\Software\AppDataLow\Software\pdfforge
    0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Soft2PC_is1
    0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Software_is1
    0,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings

    0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
    0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|soft2PC
    0,Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    0,Valeur trouvée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.8 (fr)] **

    -- C:\Users\BDT Ludovic\AppData\Roaming\Mozilla\FireFox\Profiles\nss67gd5.default\Prefs.js --
    browser.search.defaultenginename, Yahoo
    browser.search.defaulturl, hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
    browser.search.selectedEngine, Bing
    browser.startup.homepage, hxxp://y.lo.st
    browser.startup.homepage_override.mstone, rv:1.9.2.8
    keyword.URL, hxxp://www.bing.com/search?mkt=fr-FR&form=IE0004&q=
    privacy.popups.showBrowserMessage, false

    ========================================

    ** Internet Explorer Version [8.0.7600.16385] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://asus.msn.com
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    First Home Page: hxxp://y.lo.st
    Local Page: C:\Windows\system32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Show_ToolBar: yes
    Start Page: hxxp://ads.regiedepub.com/cgi-bin/advert/getads?x_dp_id=160

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\SysWOW64\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=hxxp://go.microsoft.com/fwlink/?LinkId=69157

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files (x86)\Ad-Remover\Backup: 1 Fichier(s)

    C:\Ad-Report-SCAN[1].txt - 31/08/2010 (7371 Octet(s))

    Fin à: 18:48:08, 31/08/2010

    ============== E.O.F ==============

    Merci d'avance pour votre aide
    0
  3. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Très bien.
    Relance AD-R et sélectionne Suppression.

    Ensuite :

    Désactive l'UAC (User Account Control).
    Aide en images pour le faire.
    (Manipulation inverse pour le remettre en fin de désinfection).
    (Cela va permettre aux outils de désinfection de travailler correctement).

    ********

    Pour établir un diagnostic plus en profondeur de ton PC :
    Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur le Bureau.
    = = = = >>> En cliquant ici <<< = = = =

    * Clique droit sur RSIT.exe puis sélectionne `Exécuter en tant qu'administrateur` pour le lancer.
    * Une première fenêtre s'ouvre, clique alors sur Continue (Disclaimer).
    * Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.
    * Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes).
    * Poste le contenu de log.txt et de info.txt.

    Si tu as des soucis pour envoyer le fichier, héberge-le sur cijoint.fr.
    Aide en images.
    0
  4. ludobaud
     
    Bonjour j'ai fait les 2 manips. J'ai posté sur cijoint.fr le rapport de RSIT : http://www.cijoint.fr/cjlink.php?file=cj201008/cijXBkkT93.txt

    il semble que j'ai toujours avoir les virus. Ci joint ce que detecte tjs kapersky
    http://www.cijoint.fr/cjlink.php?file=cj201008/cijRw940oo.pptx
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Supprime ce que Kaspersky a détecté.

    Télécharge Malwarebytes' Anti-Malware
    = = = = >>> En cliquant ici <<< = = = =

    - Enregistre le sur le bureau
    - Double clique sur le fichier téléchargé pour lancer le processus d'installation
    - Lorsqu'il te le sera demandé, mets à jour Malwarebytes anti malware
    - Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
    - Une fois la mise à jour terminée, ferme Malwarebytes
    - Double-clique sur l'icône de malwarebytes pour le relancer
    - Dans l'onglet, Recherche, probablement ouvert par défaut,
    - Sélectionne Exécuter un examen complet
    - Clique sur Rechercher
    - Le scan démarre
    - A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur `Afficher les résultats' pour afficher tous les objets trouvés.
    - Clique sur Ok pour poursuivre.
    - Si des malwares ont été détectés, cliques sur Afficher les résultats
    - Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    - Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    - Rends toi dans l'onglet rapport/log
    - Tu clique dessus pour l'afficher.
    - Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout
    - Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
    - Tu clique droit dans le cadre de la réponse et coller

    Si tu as besoin d'aide regarde ce tutorial https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    0
  7. ludobaud
     
    voici le rapport de malwarebytes :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4516

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    31/08/2010 21:04:34
    mbam-log-2010-08-31 (21-04-34).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 314777
    Temps écoulé: 1 heure(s), 8 minute(s), 22 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 16
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 8

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\AppID\{0d82acd6-a652-4496-a298-2bde705f4227} (Adware.ClickPotato) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\AppID\{7025e484-d4b0-441a-9f0b-69063bd679ce} (Adware.ClickPotato) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\AppID\{8258b35c-05b8-4c0e-9525-9bccc70f8f2d} (Adware.ClickPotato) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\AppID\{a89256ad-ec17-4a83-bef5-4b8bc4f39306} (Adware.ClickPotato) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{1602f07d-8bf3-4c08-bdd6-dddb1c48aedc} (Adware.ClickPotato) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{ac6d819e-aa8f-4418-a3bb-d165c1b18bb5} (Adware.ClickPotato) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Typelib\{c55ca95c-324b-451c-b2d2-6e895aa75fec} (Adware.ClickPotato) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.ShopperReports) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b58926d6-cfb0-45d2-9c28-4b5a0f0368ae} (Adware.ClickPotato) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a7cddcdc-beeb-4685-a062-978f5e07ceee} (Adware.ShopperReports) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{a078f691-9c07-4af2-bf43-35e79eecf8b7} (Adware.Softomate) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1602f07d-8bf3-4c08-bdd6-dddb1c48aedc} (Adware.ClickPotato) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{ac6d819e-aa8f-4418-a3bb-d165c1b18bb5} (Adware.ClickPotato) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{b58926d6-cfb0-45d2-9c28-4b5a0f0368ae} (Adware.ClickPotato) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{69725738-cd68-4f36-8d02-8c43722ee5da} (Adware.Hotbar) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\clickpotatolitesa (Adware.ClickPotato) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\srs_it_e8790271bc76595230ae91 (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions\clickpotatolite@clickpotatolite.com (Adware.ClickPotato) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Program Files (x86)\Ad-Remover\Quarantine\C\Program Files (x86)\ClickPotatoLite\bin\10.0.518.0\ClickPotatoLiteSAAX.dll.vir (Adware.ClickPotato) -> Quarantined and deleted successfully.
    C:\Program Files (x86)\Ad-Remover\Quarantine\C\Program Files (x86)\ClickPotatoLite\bin\10.0.518.0\firefox\extensions\plugins\npclntax_ClickPotatoLiteSA.dll.vir (Adware.ClickPotato) -> Quarantined and deleted successfully.
    C:\Program Files (x86)\Ad-Remover\Quarantine\C\Program Files (x86)\Mozilla FireFox\plugins\npclntax_ClickPotatoLiteSA.dll.vir (Adware.ClickPotato) -> Quarantined and deleted successfully.
    C:\Program Files (x86)\Ad-Remover\Quarantine\C\Program Files (x86)\pdfforge Toolbar\WidgiHelper.exe.vir (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
    C:\Program Files (x86)\Ad-Remover\Quarantine\C\Program Files (x86)\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll.vir (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
    C:\Program Files (x86)\Ad-Remover\Quarantine\C\Program Files (x86)\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll.vir (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
    C:\Program Files (x86)\Ad-Remover\Quarantine\C\Users\BDT Ludovic\AppData\Roaming\Soft2PC\Software\software.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
    C:\Program Files (x86)\Ad-Remover\Quarantine\C\Users\BDT Ludovic\AppData\Roaming\Soft2PC\Software\softwareHP.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
    0
  8. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Vide la quarantaine de MBAM.Relance AD-R et clique sur Désinstaller.

    Comment va le PC ?

    Poste un nouveau rapport RSIT.
    0
  9. ludobaud
     
    Ok merci beaucoup pour votre aide.
    L'ordi va mieux a priori :)
    0
  10. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Ok.
    Génère tout de même un nouveau rapport RSIT.
    0
  11. ludobaud
     
    D'accord je vais lancer cela tout de suite. Merci pour votre aide
    0
  12. kevinlp Messages postés 382 Statut Membre 26
     
    airez moi j'ai le meme prbleme g un virus et j'arrive pas a l'enlever
    http://img253.imageshack.us/img253/543/viruse2merde.png
    ton lien est mort tu aurais un autre
    0
  13. kevinlp Messages postés 382 Statut Membre 26
     
    c bon j'ai fait une restauration
    0