Fenetres intempestive Fermé

Question

Bonjour à  tous!


Alors voilà. Sur mon pc et depuis deux bonnes semaines j'ai des fenêtres publicitaires qui s'affichent, à une fréquence d'une par minute. J'ai sur mon pc avast, Malwarebytes mais le problème ne se résout pas.

Si quelqu'un a une solution, je lui serai vraiment reconnaissant car ce soucis ralentit considérablement mes navigations!

Bien cordialement.


Configuration: Windows XP / Firefox 3.5.12

orb42 · Answer

bonsoir,

1.Passe un coup de CCleaner
2.MAJ d'avast et malwb.
3. scan minutieux,
4.si celà persiste on verra...

moumouch · Answer

Bonsoir et merci de ton temps.

J'ai déjà opéré un scan minutieux s'agissant d' Avast et Malwarebyte. J'analyse de suite avec Cleaner, et ceci fait je te tiendrai informé.

moumouch · Answer

ccleaner terminé, et mon pc semble toujours sujet à la même galère... pub Liebig, apparemment une nouvelle soupe de chez eux!

kalimusic · Answer

Bonjour et Bienvenue sur CCM

C'est le signe d'une infection. Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes de ton ordinateur. 

Télécharge OTL  (de OldTimer) sur ton Bureau.

 Ferme toutes tes applications en cours

    * Lance OTL.exe 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
    * L'interface principale s'ouvre :
    * Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    * Coche également les cases Recherche LOP et Recherche Purity
    * Laisse tous les autres paramètres par défaut (âge du fichier 30 jours)
    * Clique sur le bouton Analyse, patiente pendant le balayage du système.
    * 2 rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches) 
* Ne les poste pas sur le forum, ils seraient trop long 
* Héberge les sur http://www.cijoint.fr/
* Tu obtiendras 2 liens de ce type http://www.cijoint.fr/cjlink.php?file=cj200906/XcijvLjYL5L.txt que tu me donneras dans ton prochain message.


A +

moumouch · Answer

Ok, voici les liens:
- http://www.cijoint.fr/cjlink.php?file=cj201009/cijSwhKr6t.txt   (extra)
- http://www.cijoint.fr/cjlink.php?file=cj201009/cijJoVZNlY.txt   (otl)

kalimusic · Answer

re, 

J'avais pas vu ta réponse, pour répondre clique sur le bouton vert Répondre au sujet. C'est plus simple à lire ;) 

Je transfère ton sujet dans la section virus/sécurité 

Durant la désinfection, il est préférable de ne pas :

1. Ajouter de programmes à ton PC 
2. Utiliser d'outil de désinfection de ta propre initiative 
3. Suivre d'autres conseils afin de ne pas interférer sur la procédure en cours 

Il est préférable de terminer la procédure même si ton PC semble aller mieux. 

N'hésite pas à me faire part d'éventuelles difficultés dans les manipulations demandées. 

Télécharge et installe UsbFix   (par  C_XX & El Desaparecido) sur le Bureau    
    ! ! Branche tous tes supports amovibles (Clés USB, DD externes, etc...) sans les ouvrir !!    
    * lance UsbFix  
- Sous XP double-clic sur l'icône pour lancer l'outil.   
    * Clique sur le bouton  "Recherche"    
    * Patiente le temps du balayage qui peut durer plusieurs minutes    
    * Le rapport doit s'ouvrir spontanément à la fin du scan    
    * Copie/colle le rapport dans le prochain message    

   Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt    

"Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus  

A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

moumouch · Answer

Re kali,

Sur ce pc je ne branche que très rarement de disque dur externe ou autres supports, aussi je n'y ai branché que la minable clé usb qui me sert tous les 35 Mai :)

Voici le scan en question, encore merci :

############################## | UsbFix 7.025 | [Recherche]

Utilisateur: Famille Chourak (Administrateur) # YOUSS7880 [ ]
Mis à jour le 15/09/10 par El Desaparecido / C_XX
Lancé à 00:20:27 | 17/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: AMD Athlon(tm) 64 Processor 3000+
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.13

Pare-feu Windows: Désactivé /!\
RAM -> 767 Mo 
C:\ (%systemdrive%) -> Disque fixe # 144 Go (43 Go libre(s) - 30%) [] # NTFS
H:\ -> Disque fixe # 5 Go (4 Go libre(s) - 86%) [HP_RECOVERY] # FAT32
I:\ -> CD-ROM
J:\ -> CD-ROM
K:\ -> Disque amovible # 246 Mo (183 Mo libre(s) - 74%) [] # FAT

################## | Éléments infectieux |



################## | Registre |

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\apitrap.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Arrakis3.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ASSTE.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVSTE.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdagent.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdreinit.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdsubwiz.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdtkexec.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdwizreg.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Cleanup.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cqw32.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\divx.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\divxdec.ax
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DJSMAR00.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DRMINST.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\enc98.EXE
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EncodeDivXExt.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EncryptPatchVer.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\front.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\fullsoft.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GBROWSER.DLL
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\htmlmarq.ocx
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\htmlmm.ocx
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ishscan.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ISSTE.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\javai.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\jvm.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\jvm_g.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\livesrv.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\main123w.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mngreg32.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msci_uno.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mscoree.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mscorsvr.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mscorwks.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msjava.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mso.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVOPTRF.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NeVideoFX.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NPMLIC.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NSWSTE.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\photohse.EXE
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PMSTE.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ppw32hlp.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\printhse.EXE
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\prwin8.EXE
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ps80.EXE
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\psdmt.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qfinder.EXE
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qpw.EXE
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\salwrap.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\seccenter.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup32.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sevinst.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcnet.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options	askmgr.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options	core_ebook.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TFDTCTT8.DLL
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ua80.EXE
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\udtapi.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\uiscan.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ums.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\upgrepl.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vb40032.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vbe6.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wpwin8.EXE
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xlmlEN.dll
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xwsetup.EXE
Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_INSTPGM.EXE
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoResolveSearch

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{0ae853b6-a892-11df-bd14-0011d82cc6eb}
Shell\AutoRun\Command = setupSNK.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{960c6161-541b-11de-b8f3-0011d82cc6eb}
Shell\AutoRun\Command = D:\MobileLaunch.exe
Shell\mobile\Command = D:\MobileLaunch.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{d563e868-aea5-11de-ba0c-0011d82cc6eb}
Shell\AutoRun\Command = K:\KLIZAVI/sapun.exe
Shell\explore\Command = K:\KLIZAVI/sapun.exe
Shell\open\Command = K:\KLIZAVI/sapun.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

kalimusic · Answer

moumouch,

Si tu as d'autres supports externes, il faut les brancher, ils seront vaccinés ;)

!! Ferme toutes tes applications en cours et désactive la protection résidente de ton anti-virus !!   

Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir  

1. Relance UsbFix en choisissant maintenant  "Suppression"  
    - Sous XP double-clic sur l'icône pour lancer l'outil. 
    * UsbFix scanne ton pc, laisse travailler l'outil (le bureau peut disparaitre)
    * A la fin du nettoyage, clique sur OK dans la boite de dialogue 
    * Upload le dossier zip demandé
    * Le rapport doit s'ouvrir spontanément, copie/colle le dans le prochain message

Il est recommandé de redémarrer le pc après cette opération

   Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt   

Rappel : "Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus

2. Télécharge et enregistre List_Kill'em (de gen-hackman)  sur le Bureau.

!! Important => Désactive ton antivirus !! 

    * Lance l'installation
- Sous XP double-clic sur l'icône pour lancer l'outil. 
    * Fait l'installation par défaut en cliquant à chaque fois sur suivant 
    * Clique enfin sur "Terminer" et le programme va se lancer
    * Choisis l'option "Search"
    * Patiente pendant le travail de l'outil qui peut prendre plusieurs minutes
    * A l'apparition d'une fenêtre blanche, même si c'est long, c'est normal, le programme n'est pas bloqué.
    * Un rapport "catchme" apparait sur le bureau, ignore-le, il disparaitra en fin de scan
    * Le rapport s'ouvre spontanément après 100 % du scan à l'ecran "COMPLETED"
    * Héberge le rapport sur http://www.cijoint.fr

A +

moumouch · Answer

Hello world!

Alors voilà j'ai procédé comme demandé précédemment, et voici le lien permettant d'accéder au rapport:

=>> http://www.cijoint.fr/cjlink.php?file=cj201009/cij1XrpDRb.txt

Bien cordialement,

Moumouch.

kalimusic · Answer

hello

manque le rapport de suppression UsbFix ;)

A +

moumouch · Answer

Sorry !!

==> http://www.cijoint.fr/cjlink.php?file=cj201009/cijsZdKX7M.txt

kalimusic · Answer

no soucis^^

1. Relance List_Kill'em avec le raccourci blanc créé sur ton bureau.

    * Choisis l'Option Clean
    * Une boite de dialogue t'indique que le PC va redémarrer
    * Patiente pendant le travail de l'outil qui peut prendre plusieurs minutes
    * Lorsque le scan est fini, la fenêtre se ferme et un rapport va se créer
    * Héberge le rapport sur http://www.cijoint.fr

On refait un petit diagnostic pour faire le point

2. Relance OTL 

* Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Laisse tous les autres paramètres par défaut
* Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
* Après le balayage, le rapport  OTL.txt va s'ouvrir au format bloc-note 
* Héberge le sur http://www.cijoint.fr/ 

3. Comment se comporte le pc maintenant ?

A +

moumouch · Answer

Bonjour à tous en ce début de semaine!

Alors j'ai suivi les instructions que tu m'as donné Kali. Le problème qui semblait réglé la première demi heure ne l'est que partiellement.J'ai encore des fenêtres publicitaires qui s'affichent mais beaucoup plus rarement (une tous les 1/4 d'heure environ). Dois-je reprendre l'ensemble des étapes et réessayer?? 

Voici les fichiers hébergés:

=>> http://www.cijoint.fr/cjlink.php?file=cj201009/ciji17YsaG.txt

=>> http://www.cijoint.fr/cjlink.php?file=cj201009/cij40GTYBV.txt

kalimusic · Answer

Bonjour, 

On continue, on avait pas fini ! :p 

1. Relance OTL 
- Sous XP double-clic sur l'icône pour lancer l'outil.  
    * L'interface principale s'ouvre : 
    * Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

:OTL 
DRV - (catchme) -- C:\Docs\FAMILL~1\LOCALS~1\Temp\catchme.sys File not found 
FF - prefs.js..browser.search.defaultthis.engineName: "Messenger Plus Live France Customized Web Search"  
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2567681&SearchSource=3&q={searchTerms}"  
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.      
O4 - HKCU\..\Run: [Dvexerihehaf] C:\WINDOWS\quin32.DLL File not found 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktopCleanupWizard = 1      
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoRemoteRecursiveEvents = 1      
@Alternate Data Stream - 121 bytes -> C:\Docs\All Users\Application Data\TEMP:DFC5A2B2
@Alternate Data Stream - 109 bytes -> C:\Docs\All Users\Application Data\TEMP:A8ADE5D8
@Alternate Data Stream - 104 bytes -> C:\Docs\All Users\Application Data\TEMP:D1B5B4F1
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]  
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]  

:Files 
C:\Docs\All Users\Application Data\MSSHZCTVZS  
C:\Docs\All Users\Application Data\053f0c9  
C:\Docs\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}  

:Commands  
[resethosts] 
[emptyflash] 
[emptytemp]
    * Clique sur le bouton Correction, patiente pendant le travail de l'outil, il va redémarrer le PC.    
    * Accepte en cliquant sur OK  
    * Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément    
    * Copie/colle le dans ton prochain message    

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)  

2. Télécharge MBAM et installe le selon l'emplacement par défaut. 
   * Effectue la mise à jour et lance Malwarebytes' Anti-Malware 
    * Clique dans l'onglet du haut "Recherche" 
    * Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"  
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen" 

A la fin de l'analyse, si MBAM n'a rien trouvé :

    * Clique sur OK, le rapport s'ouvre spontanément 

Si des menaces ont été détectées :

    * Clique sur OK puis "Afficher les résultats" 
    * Choisis l'option "Supprimer la sélection" 
    * Si MBAM demande le redémarrage de Windows : Clique sur "Oui" 
    * Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs" 
    * Sinon le rapport s'ouvre automatiquement après la suppression  

Quelque soit le résultat, copie/colle le rapport dans le prochain message 

A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

moumouch · Answer

Bonsoir!

J'ai relancé OTL, opéré la correction dont je te mets le rapport plus bas.

Mais lorsque tu me demandes d'analyser avec MBAM il y'a un soucis: le scanne se stoppe et bute sur le fichier C:\pagefile.sys. Cela arrive après 1m30 de scanne et ca bloque totalement l'avancement du scanne!

J'espère que ce n'est pas trop grave...!



Rapport OTL:

All processes killed
========== OTL ==========
Service catchme stopped successfully!
Service catchme deleted successfully!
File  C:\Docs\FAMILL~1\LOCALS~1\Temp\catchme.sys File not found not found.
Prefs.js: "Messenger Plus Live France Customized Web Search" removed from browser.search.defaultthis.engineName
Prefs.js: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2567681&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDesktopCleanupWizard deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoRemoteRecursiveEvents deleted successfully.
C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
C:\WINDOWS\687EAE16F2E74B96B58CAC09F9119B8C.TMP\WiseCustomCalla1.exe deleted successfully.
C:\WINDOWS\687EAE16F2E74B96B58CAC09F9119B8C.TMP folder deleted successfully.
========== FILES ==========
C:\Docs\All Users\Application Data\MSSHZCTVZS folder moved successfully.
C:\Docs\All Users\Application Data\053f0c9\Quarantine Items folder moved successfully.
C:\Docs\All Users\Application Data\053f0c9\MSSSys folder moved successfully.
C:\Docs\All Users\Application Data\053f0c9 folder moved successfully.
C:\Docs\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357} folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYFLASH]
 
User: All Users
 
User: Default User
 
User: Famille Chourak
->Flash cache emptied: 8321 bytes
 
User: Invited
 
User: LocalService
->Flash cache emptied: 564 bytes
 
User: NetworkService
->Flash cache emptied: 5430 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Famille Chourak
->Temp folder emptied: 2526300 bytes
->Temporary Internet Files folder emptied: 3336615 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 80189585 bytes
->Flash cache emptied: 0 bytes
 
User: Invited
->Temp folder emptied: 32768 bytes
->Temporary Internet Files folder emptied: 145033 bytes
->FireFox cache emptied: 3138631 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1503554 bytes
->Flash cache emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32861147 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 109451 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 84059242 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 198,00 mb
 
 
OTL by OldTimer - Version 3.2.12.1 log created on 09232010_164350

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS	emp\_avast5_\Webshlock.txt not found!

Registry entries deleted on Reboot...

kalimusic · Answer

Bonsoir,

Ok pour OTL.
Le fichier pagefile.sys ne pose aucun problème : https://www.commentcamarche.net/informatique/windows/299-gerer-la-memoire-virtuelle-de-windows-10/
Par contre étrange que MBAM bute dessus. Le scan complet peut durer 2 heures, donc possible qu'il semble bloquer parfois sans que se soit réellement le cas.
Dans l'onglet log/rapports, tu ne trouves pas de rapport ?
Refait une mise à jour et relance cette fois ci un examen rapide.
Suit les indications précédentes et poste le rapport.

A +

moumouch · Answer

Je suis allé vérifier dans l'onglet des rapports et le dernier datait du 7 Septembre. 

Ce qui me fait penser que MBAM bloque, c'est le fait que le temps écoulé se stoppe et qu'après une attente de 15 minutes,il ne se passe toujours rien. De plus lorsque je veux fermer MBAM il m'est dit que ce ne répond pas. 

En scanne rapide cela se passe mieux! Aucune infection détecté, voici le rapport:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4676

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

23/09/2010 19:38:23
mbam-log-2010-09-23 (19-38-23).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 142953
Temps écoulé: 5 minute(s), 55 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

kalimusic · Answer

re,

Pour les pubs, c'est résolu ?

Si oui on passe à la désinstallation des outils, nettoyage et recommandations pour la suite ;)

A +

moumouch · Answer

Re,

Tu sais que j'avais complètement oublié la raison pour laquelle j'ai fait appel à votre aide!! Et là d'un seul coup je me rends compte que mon pc se porte bien mieux!! L'affichage des pages est rapide, et apparemment il n'y a plus de fenêtres publicitaires qui viennent me pourrir ma cyber vie! Ouf je respire.

Vraiment un énorme merci pour ton aide !!

kalimusic · Answer

re, 

Télecharge DelFix (de Xplode) sur ton Bureau 

* Choisis l'option "Recherche" en tapant 1 
* Valide sur Entrée 
* Laisse travailler l'outil 
* Copie/colle le rapport obtenu 


A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

moumouch · Answer

Re,

Rapport DelFix v4.0 
Mis à jour le 21/09/10 à 22h30 par Xplode 
Lancé le 23/09/2010 à 21h09 et 23 seconde(s) 
Utilisateur : Famille Chourak - YOUSS7880 
Système d'exploitation : Microsoft Windows XP - 32 bits 
Internet Explorer : v7.0.5730.13 
Mode de démarrage : Normal  
Option [Recherche] 
  
~~~~~~ C:\ ~~~~~~ 
 
Dossier Présent : C:\Navilog1 
Dossier Présent : C:\USBFix 
Dossier Présent : C:\_OTL 
Fichier Présent : C:\List'em.txt 
Fichier Présent : C:\UsbFix.txt 
 
~~~~~~ C:\WINDOWS ~~~~~~ 
 
 
~~~~~~ C:\WINDOWS\System32 ~~~~~~ 
 
 
~~~~~~ C:\Program ~~~~~~ 
 
Dossier Présent : C:\Program\Navilog1 
Dossier Présent : C:\Program\List_Kill'em 
 
~~~~~~ C:\Docs\Famille Chourak ~~~~~~ 
 
 
~~~~~~ C:\Docs\Famille Chourak\Bureau ~~~~~~ 
 
Fichier Présent : C:\Docs\Famille Chourak\Bureau\OTL.Txt 
Fichier Présent : C:\Docs\Famille Chourak\Bureau\Extras.Txt 
Fichier Présent : C:\Docs\Famille Chourak\Bureau\More.txt 
Fichier Présent : C:\Docs\Famille Chourak\Bureau\Kill'em.txt 
Fichier Présent : C:\Docs\Famille Chourak\Bureau\More.txt 
 
~~~~~~ C:\Docs\All Users\Bureau ~~~~~~ 
 
 
~~~~~~ C:\Docs\All Users\Menu démarrer\Programmes ~~~~~~ 
 
Dossier Présent : C:\Docs\All Users\Menu démarrer\Programmes\List_Kill'em 
 
~~~~~~ C:\Docs\Famille Chourak\Mes documents\Téléchargements ~~~~~~ 
 
Fichier Présent : C:\Docs\Famille Chourak\Mes documents\Téléchargements\OTL.exe 
Fichier Présent : C:\Docs\Famille Chourak\Mes documents\Téléchargements\OTL.Txt 
Fichier Présent : C:\Docs\Famille Chourak\Mes documents\Téléchargements\List_Killem_Install.exe 
Fichier Présent : C:\Docs\Famille Chourak\Mes documents\Téléchargements\UsbFix.exe 
Fichier Présent : C:\Docs\Famille Chourak\Mes documents\Téléchargements\Extras.Txt 
 
~~~~~~ Registre ~~~~~~ 
 
Clé Présente : HKLM\Software\OldTimer Tools 
Clé Présente : HKCU\SOFTWARE\USBFix 
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix 
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E88BA4E8-6B36-4D39-9499-C10B439819E1}_is1 
 
########## EOF - "C:\DelFixSearch.txt" - [2094 octets] ##########

kalimusic · Answer

re,

1. Relance Delfix

* Choisis l'option "Suppression" en tapant 2
* Valide sur Entrée
* Laisse travailler l'outil
* Copie/colle le rapport obtenu

2. Tu peux garder Malwarebytes Anti-Malware comme logiciel complémentaire à ton antivirus et t'en servir contrôler ton PC avec un scan rapide de temps en temps sans oublier de le mettre à jour avant

3.  Désactive et réactive la restauration système de XP   
Crée un nouveau point sain de restauration comme indiqué ici : https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/#6-creer-un-point-de-restauration

4. Nettoyage des fichiers temporaires et du registre avec Ccleaner qui est déjà sur ton PC. Tuto : http://www.6ma.fr/tuto/ccleaner+v202-411
Ce logiciel doit être utilisé régulièrement pour nettoyer les fichiers temporaires et les cookies.   

A +

moumouch · Answer

Salut Kali!

Je ne suis pas sorti de l'auberge... j'ai voulu suivre tes instructions mais lorsque je clique sur poste de travail avec le bouton droit et que je vais dans propriétés je n'ai que les onglets suivants:

-Général, 
-nom de l'ordinateur, 
-matériel, 
-mises à jour automatiques, 
-avancé, 
-utilisation à distance.

Impossible donc de créer un nouveau point saint de restauration. 
Mais le pire c'est qu'un onglet "goméo.fr" est venu me faire une pub intempestive... Est ce le signe que l'infection n'est pas totalement partie? Je précise que je ne vais jamais dans des sites risqués et que je ne télécharge pas sur les sites.

Merci beaucoup.

kalimusic · Answer

moumouch,

Laissons de côté pour le moment le problème des points de restauration.

"goméo.fr" n'était pas présent au début de la prise en charge, il n'apparaissait pas non plus dans les rapports donnés jusqu'alors....
Et le 23 septembre, tout semblait réglé :
Tu sais que j'avais complètement oublié la raison pour laquelle j'ai fait appel à votre aide!! Et là d'un seul coup je me rends compte que mon pc se porte bien mieux!! L'affichage des pages est rapide, et apparemment il n'y a plus de fenêtres publicitaires qui viennent me pourrir ma cyber vie! Ouf je respire. 
As tu purger les points de restaurations ? 
Si oui, dommage de ne pas m'avoir parlé avant de ce problème, on aurait pu tenter une restauration système.

On recommence :

Télécharge OTL  (de OldTimer) sur ton Bureau.

 Ferme toutes tes applications en cours

    * Lance OTL.exe 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
    * L'interface principale s'ouvre :
    * Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    * Coche également les cases Recherche LOP et Recherche Purity
    * Laisse tous les autres paramètres par défaut (âge du fichier 14 jours)
    * Clique sur le bouton Analyse, patiente pendant le balayage du système.
    * 2 rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches) 
* Ne les poste pas sur le forum, ils seraient trop long 
* Héberge les sur http://www.cijoint.fr/
* Tu obtiendras 2 liens de ce type http://www.cijoint.fr/cjlink.php?file=cj200906/XcijvLjYL5L.txt que tu me donneras dans ton prochain message.


A +

moumouch · Answer

Hello Kali,

Es-tu sur que gomeo.fr n'était pas mentionné dans les rapports? Car il me semble que j'ai déjà vu cet URL me pourrir la vue.
Pour ce qui est des points de restauration je n'ai jamais utilisé cette possibilité sur mon pc.
Bon et bien c'est reparti!! :)

OTL: http://www.cijoint.fr/cjlink.php?file=cj201009/cijT4y4vg4.txt

Extra: http://www.cijoint.fr/cjlink.php?file=cj201009/cij0cePj0A.txt

Merci de ton aide jusque là !!

kalimusic · Answer

hello,

Nan, tu m'avais jamais parlé de gomeo.fr  ;)

Sauvegarde tes documents les plus importants.

Télécharge  ComboFix de sUBs sur ton bureau et nulle part ailleurs !

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!   

Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

* Lance ComboFix
- Sous XP double-clic sur l'icône pour lancer l'outil. 
* Accepte la licence d'utilisation et laisse toi guider par le programme
* Autorise ComboFix a se connecter à internet pour les mises à jour si le programme le demande

* Accepte d'installer la console de récupération si tu es sous XP

 !! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!  
(risque de plantage complet de l'ordinateur) 

* A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément (il est possible que ComboFix est besoin de redémarre l'ordinateur)
* Héberge le sur http://www.cijoint.fr/ et donne moi le lien. 

!! Réactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!   

Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt 

A +

moumouch · Answer

Salut Kali.

Ça y est, j'ai fait le scanne avec  ComboFix et voici le rapport.
il semblerait qu'il ait trouvé des rookits actifs, il  a donc redémarré mon pc pour les supprimer définitivement.

http://www.cijoint.fr/cjlink.php?file=cj201009/cijhYrm2u5.txt

kalimusic · Answer

moumouch,

Non, pas de rootkits :)

Tu as toujours gomeo.fr ?

Tu as opéré des modifications avec tune-up utilities  (icônes, fenêtres, écran de bienvenue, etc...) ? 

A +

moumouch · Answer

Alors je suis connecté sur Firefox depuis un ptit moment et pour le moment pas de fenêtre de la mort... 

    
      Pour répondre à ta question, j'ai effectivement utilisé tune-up utilities pour modifier fut un temps les fenêtres et les écrans de bienvenue! Tu penses que ca peut provenir de là?? Sachant que je me suis amusé avec tune-up il y' a déjà plus de 4 mois.

kalimusic · Answer

re,

Pas du tout, ComboFix a trouvé des fichiers .dll de Windows modifiés ou manquants, ce qui peut s'expliquer par le fait de l'utilisation tune-up utilities.

Rencontres-tu d'autres problèmes avant qu'on finalise ?

A +

moumouch · Answer

Je comptais ouvrir un autre topic mais vu que tu me le demandes. J'ai mon bouton d'allumage du PC qui reste enfoncé de temps à autre. De plus ma souris, achetée 5€, est très lente! Peux-tu me dire ce que je dois faire?

Je rigole bien sur! tout a l'air de très bien se passer, je crois que tu as résolu mon soucis!!

kalimusic · Answer

ok, le reste des problèmes est en fait matériel, tu pourrais poster dans la section adéquate du forum, quoique j'ai la solution acheté une nouvelle souris et un nouveau boitier ^^   

Lance OTL   
    * Dans la partie du bas "Personnalisation", copie/colle la liste en citation :   

:Commands    
[clearallrestorepoints]
    * Clique sur le bouton Correction   
* Laisse travailler l'outil    
* Clique sur OK dans la boite de dialogue qui t'indique que l'action a été correctement réalisée   
* Clique sur le bouton Purge outils   
* Clique ensuite sur OK dans la boite de dialogue qui t'invite à redémarrer le système   


****************************************************************  

Si tu as le CD de XP : Verification des fichiers système 
 
Windows + R  tu tapes sfc /scannow 
Laisse le scan se dérouler  
Il te sera peut-être demandé d'insérer le CD d'installation de Windows 

aide : http://assiste.com.free.fr/p/comment/comment_reparer_windows_sfc_scannow.html  

****************************************************************   

    * La multiplication des protections est une source de conflit et n'est pas plus efficace pour la sécurité :  1 seul anti-virus, 1 seul pare-feu (celui de Windows peut suffire), et en complément Malwarebytes : Antispyware gratuit : ça sert à rien!   

    * Maintiens tes logiciels à jours avec Secunia OSI (merci australien)   
Ou en utilisant leur logiciel Secunia Personal Software Inspector   
Ou celui-ci :  Update Checker   

    *  Ne pas surfer en droits administrateurs   

    * Ne pas installer n'importe quel logiciel sur son PC (surtout via des liens publicitaires), toujours se renseigner avant. Les télécharger dans la mesure du possible sur le site de l'éditeur. Éviter d'installer les diverses barres d'outils ou de recherches, etc....proposés lors de l'installation.    

    * Bannir les sites à risques (pornographiques, etc...) et les comportements à risques (P2P, cracks, warez....)   

    * Ne pas cliquer aveuglement sur des liens contenus dans les e-mails, les messageries instantanées, les réseaux sociaux, etc ...même si l'expéditeur est connu et à plus forte raison s'il est inconnu ou suspect.   

    * Utiliser un navigateur alternatif et le sécuriser (par exemple Firefox avec des modules complémentaires comme AdBlock, Noscript, WOT, etc...)    

****************************************************************   

Je t'invite à lire ces différents articles, afin de surfer plus sereinement :

Prévention : comment éviter bien des infections (par Falkra)   

Pourquoi et comment je me fais infecter ? (par Malekal)    


****************************************************************   
    
N'oublie pas de me faire part d'éventuelles difficultés dans les dernières étapes.   
Si tout se passe bien clique ensuite sur résolu, merci.   
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

Fenetres intempestive

32 réponses

Discussions similaires

Newsletters