pc infecté, pages ie qui s'ouvrent seules Fermé

Question

Bonjour, 
je pense que mon pc est infecté car j'ai plusieurs problemes, internet explorer qui s'ouvre tout seul, puis souvent des messages d'erreur du style winframe, la memoire ne peux pas etre read... et aussi de redirectionnement vers une page GOMEO, j'aimerais que quelq'un puise m'aidé avec tout ça svp



Configuration: Windows XP / Internet Explorer 8.0

jlpjlp · Answer

slt colle un rapport de suppression avec le logiciel ad remover

puis


Télécharge OTL de OLDTimer ici :

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant "scan all users"

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

susanex · Answer

Bonjour, j'essayé d'installé AD remover, et de que je fait double click j'ai ça qui apparait

sous- systeme MS-DOS 16 bits
C:\DOCUME~1\ADMINI~1\Bureau\AD-R_2~1.EXE
Le processeur NTVDM  a rencontré une instruction non autorisée
CS:0731 IP:020a OP:65 63 68 61 72 Choisissez 'Fermer' pour mettre fin a l'application

jlpjlp · Answer

passe à la suite alors

susanex · Answer

malgré le probleme avec ad remover j'ai poursuivie ce que tu m'a dis, je t'envoi les fichier
voici le premier
http://www.cijoint.fr/cjlink.php?file=cj201010/cijKO8PInP.txt 

et le deuxieme
http://www.cijoint.fr/cjlink.php?file=cj201010/cijprpPMrf.txt

jlpjlp · Answer

ok 

   * Téléchargez TDSSKiller sur votre bureau 


https://support.kaspersky.com/downloads/utils/tdsskiller.zip 

    * Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans 
    * Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés. 


Cochez les et cliquez sur "Delete/Repair Selected". 

    * Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart"). 

       * collez nous le rapport obtenu dans votre prochain message 

Informations complémentaires sur cet outil : 
https://support.kaspersky.com/5350  



__________________


puis remettre un rapport OTL tout neuf 


a plus

susanex · Answer

voici le deux rapports

http://www.cijoint.fr/cjlink.php?file=cj201010/cijLKnutT2.txt

http://www.cijoint.fr/cjlink.php?file=cj201010/cijYrW0tMT.txt

jlpjlp · Answer

ok il en reste


télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

susanex · Answer

re bonjour, j'arrive pas a utiliser combofix, j'ai un message d'erreur comme quoi il est compatible avec win2000 et xp
j'ai windows xp, mais c'est un truc different trust je crois
est ce que ça marche pas a cause de ça???

jlpjlp · Answer

ok  à la place


1/    * Téléchargez TDSS Remover sur votre bureau


http://www.esagelab.com/files/tdss_remover_latest.rar

    * Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans.
    * Lancez le programme en cliquant sur "Remover.exe", l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Cochez les et cliquez sur "Delete/Repair Selected".

    * Un message ensuite apparait demandant de redémarrer le pc (reboot) pour finir le nettoyage, appuyez sur "YES".

2/ 
scan avec malwarebyte , fais un scan rapide après avoir mis à jour le logiciel et colle le rapport obtenu et vire ce qui est trouvé:


https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

susanex · Answer

il y a 3 elements mais impossible de le supprimer ou les reparer, et du coup le scan recomence sans arret et chaque fois me dit la meme chose, "impossible de supprimer"

il y en a 2 registry key

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oysrzt

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oysrzt


et un file

C\WINDOWS\system32\drivers\oysrzt.sys

jlpjlp · Answer

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer. 


?Copie la liste qui se trouve en gras ci-dessous, 

? colle-la dans la zone sous "Personnalisation" :  
 
:processes 
explorer.exe 
iexplore.exe 
firefox.exe 
:OTL  
O2 - BHO: () - {2255351B-1089-42E4-9E85-AD7816F83906} - C:\WINDOWS\System32\dlo329d.dll () 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. 
O2 - BHO: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) 
O2 - BHO: (Search Assistant) - {F0626A63-410B-45E2-99A1-3F2475B2D695} - C:\Program Files\MTWBSA\BHO.dll (MTWB) 
O2 - BHO: (Fast Browser Search Toolbar Helper) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll () 
O3 - HKLM\..\Toolbar: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) 
O3 - HKLM\..\Toolbar: (Fast Browser Search) - {D7293762-9884-48E2-B836-E0195B9D91D0} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll () 
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. 
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {41BA368C-CF39-48BE-95CD-8156797ABABF} - No CLSID value found. 
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (Fast Browser Search) - {D7293762-9884-48E2-B836-E0195B9D91D0} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll () 
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {41BA368C-CF39-48BE-95CD-8156797ABABF} - No CLSID value found. 
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (Fast Browser Search) - {D7293762-9884-48E2-B836-E0195B9D91D0} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll () 
O3 - HKU\S-1-5-21-2025429265-1897051121-527237240-500\..\Toolbar\WebBrowser: (no name) - {620395C9-5C2B-4474-89B6-D2A63CEA2EF8} - No CLSID value found. 
O3 - HKU\S-1-5-21-2025429265-1897051121-527237240-500\..\Toolbar\WebBrowser: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) 
O3 - HKU\S-1-5-21-2025429265-1897051121-527237240-500\..\Toolbar\WebBrowser: (Fast Browser Search) - {D7293762-9884-48E2-B836-E0195B9D91D0} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll () 
O4 - HKLM..\Run: [Facemoi] c:\Facemoi\facemoi.exe File not found 
O4 - HKU\S-1-5-21-2025429265-1897051121-527237240-500..\Run: [Facemoi] C:\Facemoi\facemoi.exe File not found 

:Drivers 
str 
oysrzt 
:Files  
C:\WINDOWS\system32\dlo329D.dll
C:\Documents and Settings\Administrateur\Local Settings\Application Data\AskToolbar 
C:\Documents and Settings\Administrateur\Application Data\Foxit Software 
C:\Program Files\Ask.com 
C:\Program Files\Foxit Software 
C:\WINDOWS\System32\drivers\oysrzt.sys 
C:\WINDOWS\System32\drivers\jnhflqqkqrkkvsr.sys 
C:\WINDOWS	asks\Scheduled Update for Ask Toolbar.job 
C:\Documents  
C:\WINDOWS\System32\drivers\lpcvkovchzd.sys 
C:\WINDOWS\System32\drivers\str.sys 
C:\Documents and Settings\All Users\Application Data\w3h73wKq6.dat 
C:\WINDOWS\System32\drivers\oysrzt.sys 
C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job 
:commands 
[emptytemp] 
[start explorer] 
[reboot] 
 


? Clique sur "Correction" pour lancer la suppression. 


? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail après le redémarrage.

susanex · Answer

voici le rapport

http://www.cijoint.fr/cjlink.php?file=cj201010/cijxCol0nn.txt

jlpjlp · Answer

le rapport date de ce matin ce n'est donc pas le bon
OTL logfile created on: 27/10/2010 11:58:01

 ou alors  tu as dû mal faire recommence la procedure ci dessus avec OTL 


_______________


puis passe malwarebyte et colle nous le rapport comme déjà précisé

susanex · Answer

il n'y a pas de rapport par contre j'ai eu une fenetre d'interdiction qui dit :


Acces violation at address 005B9816 in module 'OTL.exe'
Read of address 00000000

????

jlpjlp · Answer

supprime le rapport que tu as puis lance otl simplement  comme dans mon premier message

et colle le rapport malwarebyte démandé


a plus

susanex · Answer

http://www.cijoint.fr/cjlink.php?file=cj201010/cijqQ3F7C3.txt

voici le rapport otl

jlpjlp · Answer

ok c'est mieux faire ceci et malwarebyte


a plus


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


?Copie la liste qui se trouve en gras ci-dessous,

? colle-la dans la zone sous "Personnalisation" :

:processes
explorer.exe
iexplore.exe
firefox.exe
:OTL 
O2 - BHO: () - {2255351B-1089-42E4-9E85-AD7816F83906} - C:\WINDOWS\System32\dlo329d.dll ()
O2 - BHO: (BrowserHelper Class) - {8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6} - C:\Program Files\MTWBSA\SearchAssistant.dll (Make The Web Better, LLC)
O4 - HKU\S-
C:\WINDOWS\System32\drivers\oysrzt.sys
:Drivers
oysrzt
pcvkovchzd
jnhflqqkqrkkvsr
:Files 
C:\Program Files\MTWBSA\SearchAssistant.dl
C:\WINDOWS\System32\dlo329d.dll
C:\WINDOWS\System32\drivers\jnhflqqkqrkkvsr.sys
C:\WINDOWS\System32\drivers\lpcvkovchzd.sys
C:\WINDOWS\System32\drivers\oysrzt.sys
:commands
[emptytemp]
[start explorer]
[reboot]



? Clique sur "Correction" pour lancer la suppression.


? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail après le redémarrage.

susanex · Answer

voici le rapport de malware avant que je fase otl.exe

http://www.cijoint.fr/cjlink.php?file=cj201010/cijssTVKEn.txt

par contre j'ai pas eu de rapport de otl

sauf le message 
Access violation at address 005B9816 in module OTL.exe rad of address 00000000

J'ai l'impression qu'il s'affiche a chaque fois que je demarre mon pc

jlpjlp · Answer

redémarre ton pc

puis remets un rapport OTL simple

susanex · Answer

http://www.cijoint.fr/cjlink.php?file=cj201010/cijn4c9jc9.txt 
 voici le rapport

par contre toujours le meme probleme avec otl, puis il se lance sans arret ???
en fete il me donne le rapport, puis il recomence a scané et ainsi de suite
j'ai du l'arreté avec les gestionnaire de taches!!!

jlpjlp · Answer

ok on va faire autrement 

sinon c'est voulu l'installation de ce logiciel:

https://www.01net.com/telecharger/windows/Multimedia/webcam_et_surveillance/fiches/37053.html

pour voir si on le vire aussi


a plus 


C:\WINDOWS\system32\drivers\rk_remover.sys
[2010/08/25 12:27:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\rkfree
[2010/08/25 12:27:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\rkfree(2)

susanex · Answer

a une epoque c'etait voulu, mais je pense qu'il vaut mieux le virer parce que je l'avais déjà desinstallé et apriori il veut pas partir completement.
du coup je fais quoi
et dis moi a la fin de tout ça, je peux viré OTL?

jlpjlp · Answer

ok 

# Double-cliquez sur OTL.exe pour l'exécuter. (Si vous êtes sous Vista, cliquez-droit sur le fichier OTL.exe et exécutez-le en tant qu'administrateur.)
# Cliquez sur Purge Outils.
# Il vous sera demandé le redémarrage de votre PC pour finir la suppression des fichiers et supprimer également OTL. Acceptez.



puis


télécharge OTM
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
(de Old_Timer) sur ton Bureau.

double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.



:processes
explorer.exe
iexplore.exe
firefox.exe
:Drivers
rk_remover
oysrzt
pcvkovchzd
jnhflqqkqrkkvsr
:Files
C:\Documents and Settings\All Users\Application Data\rkfree(2)
C:\Program Files\MTWBSA\SearchAssistant.dl
C:\WINDOWS\System32\dlo329d.dll
C:\WINDOWS\System32\drivers\jnhflqqkqrkkvsr.sys
C:\WINDOWS\System32\drivers\lpcvkovchzd.sys
C:\WINDOWS\System32\drivers\oysrzt.sys
C:\Documents and Settings\All Users\Application Data\rkfree
C:\WINDOWS\system32\drivers\rk_remover.sys
:commands
[emptytemp]
[start explorer]
[reboot]



clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

susanex · Answer

excuse moi de te répondre si tardivemen, mais j'etais absente du we je te poste le rapport ici car la page pour joindre les documents n'accepte pas les fichiers log All processes killed ========== PROCESSES ========== No active process named explorer.exe was found! Process iexplore.exe killed successfully! No active process named firefox.exe was found! Error: Unable to interpret <:Drivers > in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! ========== FILES ========== C:\Documents and Settings\All Users\Application Data\rkfree(2)\maps folder moved successfully. C:\Documents and Settings\All Users\Application Data\rkfree(2) folder moved successfully. File/Folder C:\Program Files\MTWBSA\SearchAssistant.dl not found. LoadLibrary failed for C:\WINDOWS\System32\dlo329D.dll File move failed. C:\WINDOWS\System32\dlo329D.dll scheduled to be moved on reboot. File/Folder C:\WINDOWS\System32\drivers\jnhflqqkqrkkvsr.sys not found. File/Folder C:\WINDOWS\System32\drivers\lpcvkovchzd.sys not found. File move failed. C:\WINDOWS\System32\drivers\oysrzt.sys scheduled to be moved on reboot. C:\Documents and Settings\All Users\Application Data\rkfree\maps folder moved successfully. C:\Documents and Settings\All Users\Application Data\rkfree\data\Administrateur folder moved successfully. C:\Documents and Settings\All Users\Application Data\rkfree\data folder moved successfully. C:\Documents and Settings\All Users\Application Data\rkfree folder moved successfully. C:\WINDOWS\system32\drivers\rk_remover.sys moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrateur ->Temp folder emptied: 837852 bytes ->Temporary Internet Files folder emptied: 51744196 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 83892815 bytes ->Flash cache emptied: 5635 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 125464 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 130,00 mb OTM by OldTimer - Version 3.1.17.1 log created on 10292010_113236 Files moved on Reboot... File move failed. C:\WINDOWS\System32\dlo329D.dll scheduled to be moved on reboot. File move failed. C:\WINDOWS\System32\drivers\oysrzt.sys scheduled to be moved on reboot. Registry entries deleted on Reboot...

jlpjlp · Answer

remets un rapport OTL tout neuf pour voir ce qu il en est

susanex · Answer

bonjour , mon pc fonctionne tres bien maintenant, il faudrait que je telecharge otl encore une fois???
je l'impression que tout est ok maintenant,
C'est pour ça que je te posse la question...

jlpjlp · Answer

oui car dans otm il y a des erreurs notées Error: Unable to interpret <:Drivers > in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context!

susanex · Answer

excuse moi pour le retard, voici les 2 rapports

http://www.cijoint.fr/cjlink.php?file=cj201011/cijHToEVsM.txt



http://www.cijoint.fr/cjlink.php?file=cj201011/cijortUnch.txt

Pc infecté, pages ie qui s'ouvrent seules

28 réponses