Comportements bizarres mais quel est ce virus

Poissonnette -  
 ric025 -
Bonjour,
j'ai depuis quelques temps des problemes avec mon PC: quand je démarre tout est normal mais si je le laisse allumé un certain temps sans rien faire dessus quand jereviens tout est bloqué et plus rien ne répond ou c'es trés trés lent, l'heure est en retard, impossible de fermer IE, un cTRL+ALT+SUPPR et je n'ai pas de gestionaire de tache au mieux une fenetre qui me donne un message d'erreur pour une tout autre application inconnue,...etc.
j'ai avira comme antivirus j'ai fait plusieurs scan mais il ne trouve rien.
sauriez vous de quoi mon PC souffre SVP?

22 réponses

  • 1
  • 2
Résumé de la discussion

Des symptômes sur Windows XP et Internet Explorer 8, tels que blocages après une période d’inactivité, lenteurs et décalage d’heure, suggèrent une infection ou une activité malveillante.
Plusieurs réponses recommandent d’utiliser Malwarebytes Anti-Malware et de mettre à jour MBAM pour effectuer un scan complet, puis de supprimer les éléments détectés et de partager le rapport.
Les résultats de scan ont identifié Rogue.WinAntiVirus, Trojan.Agent.H et Adware.Navipromo, avec des traces dans le registre et des fichiers, et le fil propose des étapes comme désinstaller Ad-Remover.
En cas de persistance, un tutoriel Malwarebytes et des vérifications sur les éléments de démarrage peuvent être recommandés pour éviter des réinfections.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Re poissonnette,

    Mets MBAM a jour et refais un scan total, oublie pas de supprimer la selection ( donc les malware trouvés ) et poste moi le rapport
    STP.

    ( merci clem )
    1
  2. Utilisateur anonyme
     
    Re,

    Poissonnette,

    Ouvre ce lien et télécharge ZHPDiag :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    cliques sur télécharger "celui du bas"

    ou directement ici: https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    et si problème : http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    tu vas en bas de la page et tu télécharges le premier tu et tu dézippes

    ou lien direct http://www.moncompteur.com/compteurclick.php?idLink=18026

    tu décompresses et tu lances !!

    Enregistres le sur ton Bureau.

    Une fois le téléchargement achevé

    pour XP, double-clique sur ZHPDiag

    pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.

    N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

    /|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

    Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

    Cliques sur la loupe pour lancer l'analyse.

    si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

    Laisses l'outil travailler, il peut être assez long

    A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

    Fermes ZHPDiag en fin d'analyse.

    Pour me le transmettre clique sur ce lien :

    http://www.cijoint.fr/index.php

    Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

    ou directement en choisissant bureau et ZHPDiag.txt clique dessus

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    ++
    0
  3. Poissonnette
     
    voilà le lien:
    http://www.cijoint.fr/cjlink.php?file=cj201011/cijZACZQAn.txt

    alors c'est grave docteur?
    0
    1. Utilisateur anonyme
       
      Je te redis ce qu'il faut que tu fasses demain,
      tu as bien des infections .
      :)

      Bonne nuit .
      0
    2. Poissonnette
       
      merci de ton aide, j'attends de tes nouvelles
      0
  4. Poissonnette
     
    voici un autre résultat de scan avec malwarebytes' anti malware il y a bien des trucs on dirait mais comment m'en débarasser maintenant?
    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 5190

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    26/11/2010 00:24:30
    mbam-log-2010-11-26 (00-24-30).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 171199
    Temps écoulé: 23 minute(s), 29 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 6

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ecmcyko (Trojan.Agent.H) -> No action taken.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Documents and Settings\Fabienne\Local Settings\Application Data\ecmcyko_navps.dat (Adware.Navipromo.H) -> No action taken.
    C:\Documents and Settings\Fabienne\Local Settings\Application Data\ecmcyko_nav.dat (Adware.Navipromo.H) -> No action taken.
    C:\Documents and Settings\Fabienne\Local Settings\Application Data\ecmcyko.dat (Adware.Navipromo.H) -> No action taken.
    C:\Uninstall.exe (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> No action taken.
    C:\Documents and Settings\Fabienne\Local Settings\Temp\114.jpg (Trojan.Clicker) -> No action taken.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Poissonnette bonsoir,

    Refait ton scan malwarebyte et supprime les objets trouves
    0
  7. Poissonnette
     
    ok le scan est en cours : on fait comment pour supprimer ce qu'il trouve? ( désolée je suis trés nulle pour ces trucs là!)
    0
  8. Poissonnette
     
    voilà le scan ( j'ai trouver le bouton supprimer les elements infecté cette fois!).
    il me demande de redémarrer, je vous laisse lire en attendant....

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 5190

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    26/11/2010 21:58:27
    mbam-log-2010-11-26 (21-58-27).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 179996
    Temps écoulé: 26 minute(s), 40 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 6

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ecmcyko (Trojan.Agent.H) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Documents and Settings\Fabienne\Local Settings\Application Data\ecmcyko_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Fabienne\Local Settings\Application Data\ecmcyko_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Fabienne\Local Settings\Application Data\ecmcyko.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
    C:\Uninstall.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Fabienne\Local Settings\Temp\114.jpg (Trojan.Clicker) -> Quarantined and deleted successfully.
    0
    1. Utilisateur anonyme
       
      Tu peux supprimer la quarantaine ;)
      0
  9. Poissonnette
     
    faut il maintenant vider la quarantaine?
    0
    1. Utilisateur anonyme
       
      Poste moi le rapport stp
      0
    2. Poissonnette
       
      Malwarebytes' Anti-Malware 1.46
      www.malwarebytes.org

      Version de la base de données: 5190

      Windows 5.1.2600 Service Pack 3
      Internet Explorer 8.0.6001.18702

      26/11/2010 00:24:30
      mbam-log-2010-11-26 (00-24-30).txt

      Type d'examen: Examen rapide
      Elément(s) analysé(s): 171199
      Temps écoulé: 23 minute(s), 29 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 2
      Valeur(s) du Registre infectée(s): 1
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 6

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> No action taken.
      HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.

      Valeur(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ecmcyko (Trojan.Agent.H) -> No action taken.

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\Documents and Settings\Fabienne\Local Settings\Application Data\ecmcyko_navps.dat (Adware.Navipromo.H) -> No action taken.
      C:\Documents and Settings\Fabienne\Local Settings\Application Data\ecmcyko_nav.dat (Adware.Navipromo.H) -> No action taken.
      C:\Documents and Settings\Fabienne\Local Settings\Application Data\ecmcyko.dat (Adware.Navipromo.H) -> No action taken.
      C:\Uninstall.exe (Trojan.Agent) -> No action taken.
      C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> No action taken.
      C:\Documents and Settings\Fabienne\Local Settings\Temp\114.jpg (Trojan.Clicker) -> No action taken.
      0
  10. Utilisateur anonyme
     
    Ensuite :

    Téléchargez Ad-remover et enregistrez-le sur votre bureau.
    Sous XP, double-cliquez sur l'exécutable pour lancer l'installation. Sous Vista et Windows 7, faites un clic droit et choisissez Exécuter en tant qu'administrateur. Il est possible que votre anti-virus lance une alerte : ignorez-la.

    https://www.commentcamarche.net/telecharger/securite/2547-ad-remover/

    A la fin de l'installation, la fenêtre du Menu s'ouvre montrant les actions possibles. Quittez les applications ouvertes et cliquez sur Scanner pour lancer la recherche des adwares et sur Oui pour confirmer.

    Patientez... Le temps d'analyse varie en fonction de la taille de vos disques et de l'importance de l'infection.

    Une fois que le scan est terminé, le rapport s'ouvre. Celui-ci se trouve à cet emplacement :

    C:\Ad-Report-SCAN[1].txt

    Poste le ropport comme pour ZHPDiag

    http://www.cijoint.fr/index.php

    ++

    0
  11. Poissonnette
     
    j'ai téléchargerAd-Remover mais quand je lance l'execution j'ai un message d'erreur:Sous systeme MS-DOS 16 bits
    C:\DOCUM~1\Fabienne\bureau\AD-R2~1.EXE
    Le processeur NTVDM a rencontré une instruction non autorisée.
    CS:0f9c IP:020a OP:65 63 68 61 72 Choisissez'Fermer'pour mettre fin à l'application.
    0
  12. Poissonnette
     
    voici le rapport :
    http://www.cijoint.fr/cjlink.php?file=cj201011/cijBUPXhDI.txt
    0
  13. Utilisateur anonyme
     
    Comme j'ai dit plus haut:
    Tu peux supprimer la quarantaine de MBAM

    Pour AD-Remover tu peux faire l'option 2 ( donc suppression )

    ++
    0
  14. Utilisateur anonyme
     
    Salut,

    le travail n'est pas fini .

    ( es tu toujour là ?)

    ++
    0
    1. Utilisateur anonyme
       
      oupss oui désoler :$
      0
  15. Poissonnette
     
    je viens de mettre à jour MBAM et relance le scan.
    0
  16. Poissonnette
     
    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 5202

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    27/11/2010 22:24:17
    mbam-log-2010-11-27 (22-24-17).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 178075
    Temps écoulé: 16 minute(s), 1 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    ca a l'air beaucoup mieux! en plus les symptomesont totalement disparu aujourd'hui.
    0
  17. Utilisateur anonyme
     
    Oui, du coter de MBAM, RAS .

    On va refaire un ZHPDiag :D

    A toute ;)
    0
  18. Poissonnette
     
    voici:http://www.cijoint.fr/cjlink.php?file=cj201011/cijU2rwnbU.txt
    je repasse demain pour voir ce que tu en dit.
    merci mille fois pour ton aide.
    0
    1. Utilisateur anonyme
       
      Je repasse aussi demain
      bonne nuit a toi .
      mais avant je regarde ton log et je te redis ça .

      De rien ;)
      0
  19. ric025
     
    Salut Poissonnette,

    Si tu veux poursuivre, Louloutte25 ne pourra plus intervenir ici pour désinfecter, je prends donc la suite :)

    /!\ Attention, suis l'ordre de passage de ces outils :

    ==> DelFix - Option Suppression

    Télécharge DelFix (d'Xplode) sur ton bureau.

    Lance-le puis sélectionne l'option n°2 et valide en appuyant sur la touche [Entrée]

    Patiente quelques secondes puis copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

    Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

    ========================

    * Télécharge AD-Remover (de C_XX) sur ton Bureau.

    :!: Déconnecte toi et ferme toutes les applications en cours :!:

    * Double-clique sur l'icône AD-Remover
    * Au menu principal, clique sur "Nettoyer"
    * Confirme le lancement de l'analyse et laisse l'outil travailler
    * Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    ++
    0
  • 1
  • 2