Je suis infesté par Trojan horse generic
Résolu/Fermé
marinecat
-
18 sept. 2010 à 12:57
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 9 oct. 2010 à 17:40
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 9 oct. 2010 à 17:40
A voir également:
- Je suis infesté par Trojan horse generic
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Csrss.exe trojan - Forum Virus
- Trojan win32 - Forum Virus
- Csrss.exe : processus suspect/virus ? - Forum Virus
- Trojan b901 system32 win config 34 ✓ - Forum Virus
94 réponses
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
18 sept. 2010 à 13:36
18 sept. 2010 à 13:36
Bonjour et Bienvenue sur CCM
Quel est le nom du fichier détecté par AVG et dans quel répertoire se trouve t-il ?
Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes de ton ordinateur.
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
* Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* L'interface principale s'ouvre :
* Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Laisse tous les autres paramètres par défaut
* Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
* Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
* 2 rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches)
* Ne les poste pas sur le forum, ils seraient trop long
* Héberge les sur http://www.cijoint.fr/
* Tu obtiendras 2 liens de ce type http://www.cijoint.fr/cjlink.php?file=cj200906/XcijvLjYL5L.txt que tu me donneras dans ton prochain message.
A +
Quel est le nom du fichier détecté par AVG et dans quel répertoire se trouve t-il ?
Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes de ton ordinateur.
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
* Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* L'interface principale s'ouvre :
* Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Laisse tous les autres paramètres par défaut
* Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /lockedfiles CREATERESTOREPOINT
* Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
* 2 rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches)
* Ne les poste pas sur le forum, ils seraient trop long
* Héberge les sur http://www.cijoint.fr/
* Tu obtiendras 2 liens de ce type http://www.cijoint.fr/cjlink.php?file=cj200906/XcijvLjYL5L.txt que tu me donneras dans ton prochain message.
A +
Merci Kalimusic voici les liens
http://www.cijoint.fr/cjlink.php?file=cj201009/cijNqkZCi4.txt
http://www.cijoint.fr/cjlink.php?file=cj201009/cijpdWspeQ.txt
les fichiers infestés sont
c:users\phil\Appdata\local\microsoft\windows\temporary ...\contentIE5 68GSHPV4
c:\users\phil\Appdata\local\temp\775.exe
tous de type trojan horse generic19 NSG
ou generic2_c.BYZT
http://www.cijoint.fr/cjlink.php?file=cj201009/cijNqkZCi4.txt
http://www.cijoint.fr/cjlink.php?file=cj201009/cijpdWspeQ.txt
les fichiers infestés sont
c:users\phil\Appdata\local\microsoft\windows\temporary ...\contentIE5 68GSHPV4
c:\users\phil\Appdata\local\temp\775.exe
tous de type trojan horse generic19 NSG
ou generic2_c.BYZT
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
18 sept. 2010 à 23:36
18 sept. 2010 à 23:36
marinecat,
On va s'occuper de ton pc.
Durant la désinfection, il est préférable de ne pas :
1. Ajouter de programmes à ton PC
2. Utiliser d'outil de désinfection de ta propre initiative
3. Suivre d'autres conseils afin de ne pas interférer sur la procédure en cours
Il est préférable de terminer la procédure même si ton PC semble aller mieux.
N'hésite pas à me faire part d'éventuelles difficultés dans les manipulations demandées.
Afin de permettre aux outils de désinfection de travailler correctement :
Désactive l'UAC
Désinstalle Spybot S&D, logiciel dépassé et qui risque de gêner le désinfection :
1. Désactive le module Tea Timer
2. Dé-vaccine
3. Désinstalle
****************************************************************
Tu as installé ou accepté d'installer avec des logiciels des barres d'outils néfastes ou douteuses.
Les toolbars c'est pas obligatoire!
Si possible, désinstalle :
Télécharge AD-Remover (C_XX) sur le bureau
Désactive la protection résidente de ton anti-virus pour ne pas gêner le travail de l'outil
* Lance Ad-R
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur "Oui" dans la boite de dialogue
* Dans l'interface principale, clique sur le bouton Nettoyer puis confirme l'action en cliquant sur "Oui"
* Patiente le temps du scan (le bureau peut disparaitre), le rapport doit s'ouvrir spontanément à la fin.
* Clique sur Quitter
Copie/colle le rapport dans ton prochain message.
Si le rapport ne s'ouvre pas spontanément, il se trouve à la racine du disque C:\Ad-report-CLEAN
"Process.exe" est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus
****************************************************************
Autre infection par support amovibles
Télécharge et installe UsbFix (par C_XX & El Desaparecido) sur le Bureau
! ! Branche tous tes supports amovibles (Clés USB, DD externes, etc...) sans les ouvrir !!
* lance UsbFix
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur le bouton "Recherche"
* Patiente le temps du balayage qui peut durer plusieurs minutes
* Le rapport doit s'ouvrir spontanément à la fin du scan
* Copie/colle le rapport dans le prochain message
Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt
"Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus
A+
On va s'occuper de ton pc.
Durant la désinfection, il est préférable de ne pas :
1. Ajouter de programmes à ton PC
2. Utiliser d'outil de désinfection de ta propre initiative
3. Suivre d'autres conseils afin de ne pas interférer sur la procédure en cours
Il est préférable de terminer la procédure même si ton PC semble aller mieux.
N'hésite pas à me faire part d'éventuelles difficultés dans les manipulations demandées.
Afin de permettre aux outils de désinfection de travailler correctement :
Désactive l'UAC
Désinstalle Spybot S&D, logiciel dépassé et qui risque de gêner le désinfection :
1. Désactive le module Tea Timer
2. Dé-vaccine
3. Désinstalle
****************************************************************
Tu as installé ou accepté d'installer avec des logiciels des barres d'outils néfastes ou douteuses.
Les toolbars c'est pas obligatoire!
Si possible, désinstalle :
Ask Toolbar pdfforge Toolbar v1.1.1 Softonic_France Toolbar
Télécharge AD-Remover (C_XX) sur le bureau
Désactive la protection résidente de ton anti-virus pour ne pas gêner le travail de l'outil
* Lance Ad-R
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur "Oui" dans la boite de dialogue
* Dans l'interface principale, clique sur le bouton Nettoyer puis confirme l'action en cliquant sur "Oui"
* Patiente le temps du scan (le bureau peut disparaitre), le rapport doit s'ouvrir spontanément à la fin.
* Clique sur Quitter
Copie/colle le rapport dans ton prochain message.
Si le rapport ne s'ouvre pas spontanément, il se trouve à la racine du disque C:\Ad-report-CLEAN
"Process.exe" est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus
****************************************************************
Autre infection par support amovibles
Télécharge et installe UsbFix (par C_XX & El Desaparecido) sur le Bureau
! ! Branche tous tes supports amovibles (Clés USB, DD externes, etc...) sans les ouvrir !!
* lance UsbFix
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur le bouton "Recherche"
* Patiente le temps du balayage qui peut durer plusieurs minutes
* Le rapport doit s'ouvrir spontanément à la fin du scan
* Copie/colle le rapport dans le prochain message
Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt
"Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus
A+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour
Je suis en cours de traitement
voici déjà le rapport Ad-Report-clean
http://www.cijoint.fr/cjlink.php?file=cj201009/cij8MHqUs4.txt
Je suis infecté également par privateCam.exe
depuis 20 minutes j'ai un pavé sur mon écran qui me demande un disk dans le drive, j'ai beau cliker sur cancel, try again ou continue, rien à faire pour le faire partir.
J'ai , nouveau sur mon bureau l'icone privateCam, et deux nouveaux : sioril et sioril toolbar je ne sais pas à quoi ça sert et comment c'est venu.
Usbfix est en travail, je vais tout fermer
A plus
Je suis en cours de traitement
voici déjà le rapport Ad-Report-clean
http://www.cijoint.fr/cjlink.php?file=cj201009/cij8MHqUs4.txt
Je suis infecté également par privateCam.exe
depuis 20 minutes j'ai un pavé sur mon écran qui me demande un disk dans le drive, j'ai beau cliker sur cancel, try again ou continue, rien à faire pour le faire partir.
J'ai , nouveau sur mon bureau l'icone privateCam, et deux nouveaux : sioril et sioril toolbar je ne sais pas à quoi ça sert et comment c'est venu.
Usbfix est en travail, je vais tout fermer
A plus
voici le lien UsbFix
http://www.cijoint.fr/cjlink.php?file=cj201009/cijua6IHQZ.txt
L'icone privateCam a disparue du bureau mais le pavé est toujours sur mon écran impossible de le fermer !
Je vais éteindre mon ordi et le rallumer.
Est-ce que je peux couper ma connexion internet pendant mon absence ou réactiver les pare feu ou antivirus ?
A plus et merci pour tout
http://www.cijoint.fr/cjlink.php?file=cj201009/cijua6IHQZ.txt
L'icone privateCam a disparue du bureau mais le pavé est toujours sur mon écran impossible de le fermer !
Je vais éteindre mon ordi et le rallumer.
Est-ce que je peux couper ma connexion internet pendant mon absence ou réactiver les pare feu ou antivirus ?
A plus et merci pour tout
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
19 sept. 2010 à 10:19
19 sept. 2010 à 10:19
marinecat,
Quand je te demande de désactiver les logiciels de protection, c'est seulement pendant le travail des outils. Déconnecte toi du net en ton absence.
Je regarde les rapports.
A +
Quand je te demande de désactiver les logiciels de protection, c'est seulement pendant le travail des outils. Déconnecte toi du net en ton absence.
Je regarde les rapports.
A +
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
Modifié par kalimusic le 19/09/2010 à 12:04
Modifié par kalimusic le 19/09/2010 à 12:04
marinecat,
Infection par le ver Brontok.
!! Ferme toutes tes applications en cours et désactive la protection résidente de ton anti-virus !!
Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir
1. Relance UsbFix en choisissant maintenant "Suppression"
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* UsbFix scanne ton pc, laisse travailler l'outil (le bureau peut disparaitre)
* A la fin du nettoyage, clique sur OK dans la boite de dialogue
* Upload le dossier zip demandé
* Le rapport doit s'ouvrir spontanément, copie/colle le dans le prochain message
Il est recommandé de redémarrer le pc après cette opération
Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt
Rappel : "Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus
2. Relance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* L'interface principale s'ouvre :
* Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
* Clique sur le bouton Correction, patiente pendant le travail de l'outil, il va redémarrer le PC.
* Accepte en cliquant sur OK
* Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément
* Copie/colle le dans ton prochain message
Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
Infection par le ver Brontok.
!! Ferme toutes tes applications en cours et désactive la protection résidente de ton anti-virus !!
Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir
1. Relance UsbFix en choisissant maintenant "Suppression"
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* UsbFix scanne ton pc, laisse travailler l'outil (le bureau peut disparaitre)
* A la fin du nettoyage, clique sur OK dans la boite de dialogue
* Upload le dossier zip demandé
* Le rapport doit s'ouvrir spontanément, copie/colle le dans le prochain message
Il est recommandé de redémarrer le pc après cette opération
Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt
Rappel : "Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus
2. Relance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* L'interface principale s'ouvre :
* Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
:OTL O4 - HKCU\..\Run: [Yahoo Messengger] C:\Users\phil\Desktop\chrome9.exe O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-8183804259-0428679234-659560778-8290\yv8g67.exe) - C:\RECYCLER\S-1-5-21-8183804259-0428679234-659560778-8290\yv8g67.exe File not found O20 - HKCU Winlogon: Shell - (C:\Users\phil\AppData\Roaming\szdx.exe) - C:\Users\phil\AppData\Roaming\szdx.exe File not found O20 - HKCU Winlogon: Shell - (C:\Users\phil\ctfmon.exe) - C:\Users\phil\ctfmon.exe () MsConfig - StartUpReg: [b]SearchSettings/b - hkey= - key= - C:\Program Files\pdfforge Toolbar\SearchSettings.exe (Spigot, Inc.) @Alternate Data Stream - 98 bytes -> C:\ProgramData\TEMP:580E04D8 @Alternate Data Stream - 130 bytes -> C:\ProgramData\TEMP:793F316E @Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:B623B5B8 @Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:4BB26BE9 @Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:EC2246A6 @Alternate Data Stream - 117 bytes -> C:\ProgramData\TEMP:9F683177 @Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:8AB6C1D7 @Alternate Data Stream - 108 bytes -> C:\ProgramData\TEMP:861A898F @Alternate Data Stream - 106 bytes -> C:\ProgramData\TEMP:3E7393FC @Alternate Data Stream - 104 bytes -> C:\ProgramData\TEMP:8173A019 @Alternate Data Stream - 103 bytes -> C:\ProgramData\TEMP:9E22BBE8 [1 C:\Users\phil\Desktop\*.tmp files -> C:\Users\phil\Desktop\*.tmp -> ] [1 C:\Users\phil\*.tmp files -> C:\Users\phil\*.tmp -> ] :Files C:\Users\phil\Desktop\privateCam.exe C:\Users\phil\Desktop\chrome9.exe D:\A.COMPTA\CAISSE 2010\CAISSE 2010.exe C:\Users\phil\ctfmon.exe C:\driver :Commands [emptyflash] [emptytemp]
* Clique sur le bouton Correction, patiente pendant le travail de l'outil, il va redémarrer le PC.
* Accepte en cliquant sur OK
* Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément
* Copie/colle le dans ton prochain message
Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
Bug : une fenetre internet explorer s'est ouverte (blanche) et ne veut pas se fermer.
un carré Microsoft windows me signale : windows Live Toolbar User Elevation Helper has stopped working . quand je clique sur fermer le programme il ne veut pas, et il scanne toutes les 5 minutes et me le répète.
D'autre part, UsbFix ne veut pas démarrer !
J'ai éteint et rallumé plusieurs fois.
J'ai désactivé UAC et la protection résidente.
J'ai aussi un message de 16bit MS-Dos Subsystem : c:\users\phil\AppData\local\temp\409.exe
the NTVDM CPU has encountered an illegal instruction. CS:1274IP:01ac OP:63 61 74 69 6f Choose 'close' to terminate the application
solutions proposées : close ou ignore
qu'est ce que je dois faire ? je commence à m'inquiéter sérieusement...
un carré Microsoft windows me signale : windows Live Toolbar User Elevation Helper has stopped working . quand je clique sur fermer le programme il ne veut pas, et il scanne toutes les 5 minutes et me le répète.
D'autre part, UsbFix ne veut pas démarrer !
J'ai éteint et rallumé plusieurs fois.
J'ai désactivé UAC et la protection résidente.
J'ai aussi un message de 16bit MS-Dos Subsystem : c:\users\phil\AppData\local\temp\409.exe
the NTVDM CPU has encountered an illegal instruction. CS:1274IP:01ac OP:63 61 74 69 6f Choose 'close' to terminate the application
solutions proposées : close ou ignore
qu'est ce que je dois faire ? je commence à m'inquiéter sérieusement...
Bonsoir,
J'ai eu beaucoup de difficultés à faire ce que tu demandais, j'ai eu des messages de fichiers infectés toute la journée, ils sont partout.
Même dans AVG, je n'ai pas pu désactiver l'antivirus.
J'ai quand même fini par réussir à faire l'analyse UsbFix puis OTL
http://www.cijoint.fr/cjlink.php?file=cj201009/cijvkT47FK.txt
http://www.cijoint.fr/cjlink.php?file=cj201009/cijAtqxYMy.txt
voici les deux fichiers joints,
J'espère que ça va être efficace, je te suis vraiment reconnaissante de m'aider
A plus
J'ai eu beaucoup de difficultés à faire ce que tu demandais, j'ai eu des messages de fichiers infectés toute la journée, ils sont partout.
Même dans AVG, je n'ai pas pu désactiver l'antivirus.
J'ai quand même fini par réussir à faire l'analyse UsbFix puis OTL
http://www.cijoint.fr/cjlink.php?file=cj201009/cijvkT47FK.txt
http://www.cijoint.fr/cjlink.php?file=cj201009/cijAtqxYMy.txt
voici les deux fichiers joints,
J'espère que ça va être efficace, je te suis vraiment reconnaissante de m'aider
A plus
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
19 sept. 2010 à 20:38
19 sept. 2010 à 20:38
marinecat,
Je te cache pas que l'infection Brontok est assez coriace, ça va un peu mieux depuis de passage de UsbFix ?
1. Télécharge ATF (par A-Tribune) sur le bureau
* Lance ATF
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Coche Select All
* Clique sur Empty Selected
* Clique sur OK dans la boite de dialogue Done cleaning!
* Si tu utilises un autre navigateur que IE, choisis ton navigateur dans l'onglet du haut (Firefox ou Opera )
* Coche Select All
(Si tu souhaites conserver les mots de passe sauvegardés, clique Non à l'invite)
* Clique sur Empty Selected
* Accepte de tout supprimer en cliquant sur OK
Cet outil ne donne pas de rapport, il sert à préparer le passage du logiciel suivant.
2. Télécharge MBAM et installe le selon l'emplacement par défaut.
* Effectue la mise à jour et lance Malwarebytes' Anti-Malware
* Clique dans l'onglet du haut "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
* Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
* Clique sur OK puis "Afficher les résultats"
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
* Sinon le rapport s'ouvre automatiquement après la suppression
Quelque soit le résultat, copie/colle le rapport dans le prochain message
A +
Je te cache pas que l'infection Brontok est assez coriace, ça va un peu mieux depuis de passage de UsbFix ?
1. Télécharge ATF (par A-Tribune) sur le bureau
* Lance ATF
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Coche Select All
* Clique sur Empty Selected
* Clique sur OK dans la boite de dialogue Done cleaning!
* Si tu utilises un autre navigateur que IE, choisis ton navigateur dans l'onglet du haut (Firefox ou Opera )
* Coche Select All
(Si tu souhaites conserver les mots de passe sauvegardés, clique Non à l'invite)
* Clique sur Empty Selected
* Accepte de tout supprimer en cliquant sur OK
Cet outil ne donne pas de rapport, il sert à préparer le passage du logiciel suivant.
2. Télécharge MBAM et installe le selon l'emplacement par défaut.
* Effectue la mise à jour et lance Malwarebytes' Anti-Malware
* Clique dans l'onglet du haut "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
* Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
* Clique sur OK puis "Afficher les résultats"
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
* Sinon le rapport s'ouvre automatiquement après la suppression
Quelque soit le résultat, copie/colle le rapport dans le prochain message
A +
marinecat
Messages postés
10
Date d'inscription
lundi 20 septembre 2010
Statut
Membre
Dernière intervention
21 septembre 2010
20 sept. 2010 à 00:52
20 sept. 2010 à 00:52
Bonsoir,
voici le rapport de MBSA
http://www.cijoint.fr/cjlink.php?file=cj201009/cij4m2T8eq.txt
Gros problème j'ai eu du mal a retrouver la suite de notre conversation, je n'accede plus a la page de comment ça marche......
Je ne sais pas ce que je vais avoir encore comme surprise !
ce n'est sans doute pas fini.
A plus et merci encore
voici le rapport de MBSA
http://www.cijoint.fr/cjlink.php?file=cj201009/cij4m2T8eq.txt
Gros problème j'ai eu du mal a retrouver la suite de notre conversation, je n'accede plus a la page de comment ça marche......
Je ne sais pas ce que je vais avoir encore comme surprise !
ce n'est sans doute pas fini.
A plus et merci encore
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
20 sept. 2010 à 07:44
20 sept. 2010 à 07:44
marinecat,
Est-ce que ça va un peu mieux ? On va réanalyser la situation pour voir :
1. Relance OTL
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Laisse tous les autres paramètres par défaut
* Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
* Après le balayage, le rapport OTL.txt va s'ouvrir au format bloc-note
* Héberge le sur http://www.cijoint.fr/ comme la 1er fois
2. Effectue un scan en ligne en suivant ce tutoriel :
Scanner en ligne avec Kaspersky
Utilise le lien alternatif de téléchargement et sauvegarde le rapport au format texte que tu hébergeras ici : http://www.cijoint.fr/
note : attention, ce scan est généralement assez long à réaliser
ou Scanner en ligne avec BitDefender
A +
Est-ce que ça va un peu mieux ? On va réanalyser la situation pour voir :
1. Relance OTL
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Laisse tous les autres paramètres par défaut
* Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
* Après le balayage, le rapport OTL.txt va s'ouvrir au format bloc-note
* Héberge le sur http://www.cijoint.fr/ comme la 1er fois
2. Effectue un scan en ligne en suivant ce tutoriel :
Scanner en ligne avec Kaspersky
Utilise le lien alternatif de téléchargement et sauvegarde le rapport au format texte que tu hébergeras ici : http://www.cijoint.fr/
note : attention, ce scan est généralement assez long à réaliser
ou Scanner en ligne avec BitDefender
A +
En effet ça a l'air d'aller mieux bien que j'ai encore des messages type
alerte dans windows\system32\drivers\AGP440.sys Trojan Horse Generic11.ADSJ
et je n'arrive pas à avoir la page d'accueil de comment ça marche, je n'ai un plan listé !
Je ne sais pas comment réparer.
Voilà le lien OTL txt
http://www.cijoint.fr/cjlink.php?file=cj201009/cijUCouGlg.txt
Je vais lancer le scan Kaspersky
a plus tard
alerte dans windows\system32\drivers\AGP440.sys Trojan Horse Generic11.ADSJ
et je n'arrive pas à avoir la page d'accueil de comment ça marche, je n'ai un plan listé !
Je ne sais pas comment réparer.
Voilà le lien OTL txt
http://www.cijoint.fr/cjlink.php?file=cj201009/cijUCouGlg.txt
Je vais lancer le scan Kaspersky
a plus tard
Est-ce que je peux supprimer Sioril ET Sioril Toolbar qui se sont téléchargés sur mon bureau sans mon accord ?
ainsi que Chrome3
ou est-ce que ces fichiers sont bons ?
Merci
ainsi que Chrome3
ou est-ce que ces fichiers sont bons ?
Merci
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
20 sept. 2010 à 17:37
20 sept. 2010 à 17:37
marinecat,
Oui, tu peux les supprimer les fichiers créés sur ton Bureau.
Si tu n'y arrives pas je le ferais dans un prochain script.
Es-tu arrivé à faire le scan en ligne ?
Rends-toi sur le site de GMER
Attention lit attentivement les instructions, cet outil est à manier avec précautions
* Clique sur le bouton Download EXE pour télécharger l'outil avec un nom aléatoire afin que les malwares ne bloquent pas son exécution
* Enregistre ce fichier sur le bureau
! Désactive les logiciels de protection (anti-virus, anti-spyware, etc) et les défenses résidentes !
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Si aucun rootkit n'est détecté
* Clique sur le bouton Copy puis OK et colle le rapport dans ton prochain message.
* Si un rootkit est détecté au démarrage du programme, une boite de dialogue s'ouvre :
WARNING, GMER has found rootkit activity, Do you want to fully scan your system ?
* Clique sur "YES"
Une fois le scan terminé clique sur le bouton Copy puis OK et colle le rapport dans ton prochain message.
A +
Oui, tu peux les supprimer les fichiers créés sur ton Bureau.
Si tu n'y arrives pas je le ferais dans un prochain script.
Es-tu arrivé à faire le scan en ligne ?
Rends-toi sur le site de GMER
Attention lit attentivement les instructions, cet outil est à manier avec précautions
* Clique sur le bouton Download EXE pour télécharger l'outil avec un nom aléatoire afin que les malwares ne bloquent pas son exécution
* Enregistre ce fichier sur le bureau
! Désactive les logiciels de protection (anti-virus, anti-spyware, etc) et les défenses résidentes !
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Si aucun rootkit n'est détecté
* Clique sur le bouton Copy puis OK et colle le rapport dans ton prochain message.
* Si un rootkit est détecté au démarrage du programme, une boite de dialogue s'ouvre :
WARNING, GMER has found rootkit activity, Do you want to fully scan your system ?
* Clique sur "YES"
Une fois le scan terminé clique sur le bouton Copy puis OK et colle le rapport dans ton prochain message.
A +
marinecat
Messages postés
10
Date d'inscription
lundi 20 septembre 2010
Statut
Membre
Dernière intervention
21 septembre 2010
20 sept. 2010 à 22:50
20 sept. 2010 à 22:50
Bon j'ai réussi à scanner avec Kaspersky en ligne, mais ça a pris la journée ! voilà le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201009/cijEPxHct8.txt
Problème rencontré : je n'arrive plus à activer ou désactiver AVG (je ne sais pas s'il fonctionne encore ) et n'ai pas réussi à désactiver windows securité center . comment je dois faire ?
Autre problème, les liens ne fonctionnent plus , peux tu me mettre le lien entier pour telecharger GMER , sur quel site ?
Merci
http://www.cijoint.fr/cjlink.php?file=cj201009/cijEPxHct8.txt
Problème rencontré : je n'arrive plus à activer ou désactiver AVG (je ne sais pas s'il fonctionne encore ) et n'ai pas réussi à désactiver windows securité center . comment je dois faire ?
Autre problème, les liens ne fonctionnent plus , peux tu me mettre le lien entier pour telecharger GMER , sur quel site ?
Merci
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
Modifié par kalimusic le 20/09/2010 à 23:14
Modifié par kalimusic le 20/09/2010 à 23:14
marinecat,
Pour GMER => http://www.gmer.net/
Tu descends un peu sur la page pour trouver le bouton Download EXE pour télécharger l'outil avec un nom aléatoire.
Mais avant plus urgent, fait cette recherche :
Relance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* L'interface principale s'ouvre :
* Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Laisse tous les autres paramètres par défaut
* Dans la partie du bas "Personnalisation" , copie/colle la liste en citation :
* Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
* Après le balayage, le rapport OTL.txt va s'ouvrir au format bloc-note
* Héberge le sur http://www.cijoint.fr/
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
Pour GMER => http://www.gmer.net/
Tu descends un peu sur la page pour trouver le bouton Download EXE pour télécharger l'outil avec un nom aléatoire.
Mais avant plus urgent, fait cette recherche :
Relance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* L'interface principale s'ouvre :
* Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Laisse tous les autres paramètres par défaut
* Dans la partie du bas "Personnalisation" , copie/colle la liste en citation :
/md5start AGP440.sys atapi.sys winlogon.exe explorer.exe /md5stop C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\*.* /s C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.8173\*.* /s
* Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
* Après le balayage, le rapport OTL.txt va s'ouvrir au format bloc-note
* Héberge le sur http://www.cijoint.fr/
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
marinecat
Messages postés
10
Date d'inscription
lundi 20 septembre 2010
Statut
Membre
Dernière intervention
21 septembre 2010
21 sept. 2010 à 07:07
21 sept. 2010 à 07:07
Bonjour,
Voici le rapport OTL
http://www.cijoint.fr/cjlink.php?file=cj201009/cijJSaRow7.txt
j'attends ta réponse pour faire GMER ?
A plus
Voici le rapport OTL
http://www.cijoint.fr/cjlink.php?file=cj201009/cijJSaRow7.txt
j'attends ta réponse pour faire GMER ?
A plus
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
Modifié par kalimusic le 21/09/2010 à 08:00
Modifié par kalimusic le 21/09/2010 à 08:00
Bonjour,
1. Télécharge The Avenger (by Swandog46)
* Dezippe le sur le Bureau,
* Ferme toutes tes applications et déconnecte toi du net
* Lance The Avenger
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur OK dans la fenêtre d'avertissement
* Copie/colle le texte en citation dans la fenêtre sous Input Script here
* Clique sur le bouton "Execute"
* Valide son exécution et accepte le reboot en cliquant successivement sur "Oui"
* Après le re-démarrage, le rapport indiquant les actions réalisées par The Avenger doit s'ouvrir spontanément
( attention si le script contient "Drivers to disable", The Avenger re-démarrera 2 fois )
* Copie/colle le dans ton prochain message
Tu peux le retrouver le fichier à la racine du disque : C:\avenger.txt
2. Relance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* L'interface principale s'ouvre :
* Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
* Clique sur le bouton Correction, patiente pendant le travail de l'outil, il va redémarrer le PC.
* Accepte en cliquant sur OK
* Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément
* Copie/colle le dans ton prochain message
Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)
3. GMER
Décoche la case à droite IAT/EAT
Sélectionne uniquement C:\
Clique sur scan
Après le balayage, copy & ok
Colle le rapport
4. Relance OTL
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Laisse tous les autres paramètres par défaut
* Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
* Après le balayage, le rapport OTL.txt va s'ouvrir au format bloc-note
* Héberge le sur http://www.cijoint.fr/ comme la 1er fois
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
1. Télécharge The Avenger (by Swandog46)
* Dezippe le sur le Bureau,
* Ferme toutes tes applications et déconnecte toi du net
* Lance The Avenger
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur OK dans la fenêtre d'avertissement
* Copie/colle le texte en citation dans la fenêtre sous Input Script here
drivers to disable: ldr7x drivers to delete: ldr7x Files to Delete: C:\Windows\System32\drivers\ldr7x.sys C:\Users\phil\AppData\Roaming\wiaservg.log
* Clique sur le bouton "Execute"
* Valide son exécution et accepte le reboot en cliquant successivement sur "Oui"
* Après le re-démarrage, le rapport indiquant les actions réalisées par The Avenger doit s'ouvrir spontanément
( attention si le script contient "Drivers to disable", The Avenger re-démarrera 2 fois )
* Copie/colle le dans ton prochain message
Tu peux le retrouver le fichier à la racine du disque : C:\avenger.txt
2. Relance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* L'interface principale s'ouvre :
* Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
:OTL IE - HKCU\..\URLSearchHook: {B3F2AC8D-F171-436F-BCF1-778947D03ABB} - Reg Error: Key error. File not found FF - prefs.js..browser.startup.homepage: "https://www.misterbooking.com" FF - prefs.js..extensions.enabledItems: {4daac69c-cba7-45e2-9bc8-1044483d3352}:2.5.8.6 O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (TBSB02856 Class) - {DC4ED1FB-D2F8-439F-8C54-D076D99FAD0F} - C:\Program Files\Stoolbar\Sioril Toolbar\sioril1.dll () O3 - HKLM\..\Toolbar: (Sioril Toolbar) - {99941A26-7999-4999-9999-6371DE343999} - C:\Program Files\Stoolbar\Sioril Toolbar\sioril1.dll () O3 - HKCU\..\Toolbar\WebBrowser: (Sioril Toolbar) - {99941A26-7999-4999-9999-6371DE343999} - C:\Program Files\Stoolbar\Sioril Toolbar\sioril1.dll () O4 - HKCU\..\Run: [Chrome3] C:\Users\phil\Desktop\chrome3.exe () O4 - HKCU\..\Run: [google] File not found O4 - Startup: C:\Users\phil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Search bar.lnk = File not found O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O15 - HKCU\..Trusted Domains: localhost ([]http in Local intranet) O15 - HKCU\..Trusted Ranges: GD ([http] in Local intranet) O33 - MountPoints2\{56d70f38-7bf5-11de-a293-002197affa10}\Shell - "" = AutoRun O33 - MountPoints2\{9f64cc4b-a4fd-11df-800b-002197affa10}\Shell\Auto\command - "" = F:\setup.exe -- File not found @Alternate Data Stream - 98 bytes -> C:\ProgramData\TEMP:580E04D8 @Alternate Data Stream - 130 bytes -> C:\ProgramData\TEMP:793F316E @Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:B623B5B8 @Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:4BB26BE9 @Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:EC2246A6 @Alternate Data Stream - 117 bytes -> C:\ProgramData\TEMP:9F683177 @Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:8AB6C1D7 @Alternate Data Stream - 108 bytes -> C:\ProgramData\TEMP:861A898F @Alternate Data Stream - 106 bytes -> C:\ProgramData\TEMP:3E7393FC @Alternate Data Stream - 104 bytes -> C:\ProgramData\TEMP:8173A019 @Alternate Data Stream - 103 bytes -> C:\ProgramData\TEMP:9E22BBE8 :Files C:\WINDOWS\system32\drivers\agp440.sys | C:\Windows\System32\DriverStore\FileRepository\machine.inf_920a2c1f\AGP440.sys /replace C:\Program Files\Stoolbar C:\Users\phil\Desktop\chrome3.exe C:\Users\phil\Desktop\sioril.gadget C:\Users\phil\Desktop\Sioril_Toolbar.exe C:\Users\phil\Desktop\setting.ini C:\Users\phil\Desktop\autorun.ini C:\Users\phil\Desktop\Search.lnk C:\Users\phil\Documents\Search bar.lnk C:\Users\phil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Search bar.lnk C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\CNFNOT32.EXE_0004_1033 C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\DW20.EXE_0001 C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\EQNEDT32.EXE_1033 C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\MSOHELP.EXE_1033 C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\MSPOCRDC.EXE_0001 C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\OINFOP11.EXE_1033 C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\PROFLWIZ.EXE_1033 C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\SCANOST.EXE_1033 C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\SCANPST.EXE_0002_1 C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\SNAPVIEW.EXE_1033 C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\UNPACK.EXE_1033 C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.8173\SCANOST.EXE_1033 C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.8173\SCANPST.EXE_0002_1033 :Commands [resethosts] [emptyflash] [emptytemp] [reboot]
* Clique sur le bouton Correction, patiente pendant le travail de l'outil, il va redémarrer le PC.
* Accepte en cliquant sur OK
* Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément
* Copie/colle le dans ton prochain message
Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)
3. GMER
Décoche la case à droite IAT/EAT
Sélectionne uniquement C:\
Clique sur scan
Après le balayage, copy & ok
Colle le rapport
4. Relance OTL
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Laisse tous les autres paramètres par défaut
* Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
* Après le balayage, le rapport OTL.txt va s'ouvrir au format bloc-note
* Héberge le sur http://www.cijoint.fr/ comme la 1er fois
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»