Virus qui reviennent sans cesse!!! Fermé

Question

Bonjour,

J'ai cliqué il y a quelques jour sur un mail venant de mon patron,depuis j'ai des virus qui se sont installés,j'ai beau les supprimer,les mettre en quarantaine, à chaque démarrage ils reviennent,sauf en mode sans echec ou ça marche super bien!


Que faire?j'ai entendu parler de hijacker, si quelqu'un peut m'aider...':(

Configuration: Windows XP / Safari 534.10

verni29 · Answer

Bonjour, 

Télécharge OTL (de OldTimer) sur ton Bureau. 
http://oldtimer.geekstogo.com/OTL.scr

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan. 

* Double-clique sur  OTL.scr  pour le lancer. 
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur. 
* Sélectionne l'option tous les utilisateurs.
* Dans la partie  Personnalisation, copie/colle la liste suivante.

 netsvcs 
Drivers32
msconfig  
activex
/md5start  
iaStor.sys 
nvstor.sys 
atapi.sys  
iastorv.sys  
userinit.exe
winlogon.exe 
wininit.exe
explorer.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s
%appdata% *.exe /s 
%APPDATA%\*.  
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
CREATERESTOREPOINT 

* Enfin, clique sur le bouton  Analyse rapide. 

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes :  OTL.txt  et  Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau) 

Utilise un site comme http://cijoint.fr pour les déposer. 
indique ensuite les deux liens crées.

A+

bidule123 · Answer

merci déjà,et voici le résultat


http://www.cijoint.fr/cjlink.php?file=cj201101/cijMgFP0d6.txt

http://www.cijoint.fr/cjlink.php?file=cj201101/cijum0stJs.txt

verni29 · Answer

bidule123, 

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT ) 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu ) 
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir. 

# Lance Combofix.exe et suis les invites. 
# Il te sera demandé d'installer la console de récupération. 
Important. Fais le absolument. 

Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.  

# Une fois le scan fini, un rapport va apparaitre. 

Copie/colle ce rapport dans ta prochaine réponse. 

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt. 

A+

bidule123 · Answer

c'est fait, voilà :


http://www.cijoint.fr/cjlink.php?file=cj201101/cijPvr8Kt8.txt

verni29 · Answer

bidule123, 

Le PC était sacrément infecté.
Combofix a fait une grande partie du travail mais pas complètement.

---------------------------------------------


1/  Ouvre le bloc-notes ( demarrer --> tous les programmes --> accessoires --> bloc-notes ) et copie le texte en citation ci-dessous.  

KillAll::  

https://forums.commentcamarche.net/forum/affich-20404809-virus-qui-reviennent-sans-cesse  
Collect::[4]  
c:\documents and settings\cyril\btlop.exe
c:\documents and settings\cyril\dtlop.exe
c:\windows\Nfaqea.exe
c:\windows\1nK7SoU
c:\windows\1wTHOsiO
c:\windows\2786pE
c:\windows\2dNJsAEgM
c:\windows\4dpOWmSr4q

DirLook::
c:\documents and settings\LocalService\IETldCache  

file::
c:\windows\system32\ConduitEngine.tmp
c:\windows\wininst.exe
C:\regmem32.exe
c:\windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job

DDS::
uStart Page = hxxp://www.searchqu.com/402
uInternet Settings,ProxyServer = http=127.0.0.1:8074

Menu Fichier --> enregistrer sous --> une boite de dialogue va s'ouvrir  
Il y a deux lignes en bas de la fenetre :  
- la première pour le nom : tape CFScript  
- la deuxième pour le type : vérifie l'onglet est bien sur les fichiers texte .txt  

Vérifie que tu as bien un fichier CFScript.txt sur ton bureau.  

2) Glisse/dépose le fichier sur ComBoFix comme indiqué sur ce lien   
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif  

Suis les invites.  

# Ton bureau va disparaître à plusieurs reprises. Normal.  
# L'ordinateur va redémarrer et un rapport sera crée.  
# Poste le contenu dans ton prochain message.  

Note : Si tu ne le trouves pas, il est en C:\Combofix.txt  

A+

bidule123 · Answer

j'ai fait comme tu as dit,mais il me lance une fenetre en disant qu'un téléchargement incomplet est intervenu (tout ça en anglais)
il faut copier coller à partir de quel endroit dans la citation?



je mets en lien l'impr ecran

https://imageshack.com/

verni29 · Answer

bidule123, 

ComboFix doit se trouver sur le bureau et pas dans un dossier.
déplace l'exécutable et place le sur le bureau.

réessaie la manip.

A+

bidule123 · Answer

je viens de le refaire,et toujorus le même message!serait ce un souci de copier coller?j'ai fait àprés le 4 entre crochets

verni29 · Answer

Bidulle123, 

retélécharge Combofix et cette fois-ci enregistre-le sur ton bureau.

pour la manip, il te faut sélectionner tout ce qui est en gris clair.

A+

bidule123 · Answer

j'ai retéléchargé,tout copié collé à partir de Kill all,et ça met tjs le même message!!

verni29 · Answer

Re,  

Tu as bien crée un fichier CFCript.txt comme indiqué ? 
Si ce n'est pas le cas, relis bien les consignes. 

---------------------------------------- 

Si tu as correctement fait cette manip puis essayer de glisser/déposer ce fichier sur l'icône de Combofix, on va dans ce cas supprimer la version existante et tu pourras ensuite retélécharger combofix. 

fais ceci dans ce cas : 

démarrer --> exécuter --> tape ComboFix /uninstall puis valide 
Attention à l'espace entre le x et le / 

Puis retélécharge Combofix , place le sur le bureau. 
Et refais la manip . 

poste le rapport. 

A+ 
Allez jusqu'au bout de la procédure de désinfection.

bidule123 · Answer

j'ai tout refait
je te mets l'impr écran pour que tu me dises si un truc cloche


http://www.cijoint.fr/cjlink.php?file=cj201101/cijgP9Dwzq.txt

verni29 · Answer

Non, le fichier est bon.
Tu n'arrives toujours pas à faire glisser le fichier sur ComboFix ?

Si tu n'y arrives pas , on fera autrement.

A+

bidule123 · Answer

non tjs pas :( je veux bien une solution autre si t'en as en stock!

merci quand même :)

totobetourne · Answer

BONJOUR JUSTE DE PASSAGE

 DANS LE SCRIPT IL Y A CELA ET QUI N A RIEN A FAIRE APRES KILL ALL:

https://forums.commentcamarche.net/forum/affich-20404809-virus-qui-reviennent-sans-cesse 

REESSAYE LE SCRIPT SANS CETTE LIGNE ENTRE KILL ALL: ET COLLECT:
J ESPERE POUVOIR VOUS AIDER.

bidule123 · Answer

ui je viens de le faire mais ça ne marche toujours pas :(

verni29 · Answer

bidule123, 

je viens de lire ces remarques.

je te réponds rapidement.

A+

verni29 · Answer

Bonjour, totebourne

Et bonne année.

la ligne au-dessus de Collect est facultative.
Elle permet uniquement à Subs de connaitre la discussion qui a permis la remontée de fichiers.

On la met ou pas.

Sorcément, ce n'est pas bloquant.

--------------------------------------

Bidule123, 

Relance OTL.exe.  

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :  

:OTL
IE - HKU\S-1-5-21-1797488772-2525213324-1091034462-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.searchnu.com/402
IE - HKU\S-1-5-21-1797488772-2525213324-1091034462-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8074
FF - prefs.js..browser.startup.homepage: "http://www.searchnu.com/402"
O4 - HKLM..\Run: [Flash Media] C:\WINDOWS\System32\  ^  %%^^    ^%^% ^% ^ ^%^   % %%%^^^%% ^%.exe File not found
O4 - HKU\S-1-5-21-1797488772-2525213324-1091034462-1005..\Run: [bueik] C:\Documents and Settings\cyril\bueik.exe File not found
O4 - HKU\S-1-5-21-1797488772-2525213324-1091034462-1005..\Run: [buoek] C:\Documents and Settings\cyril\buoek.exe File not found
O4 - HKU\S-1-5-21-1797488772-2525213324-1091034462-1005..\Run: [JP595IR86O] C:\Documents and Settings\cyril\Local Settings\Temp\Ncl.exe (Windows (R) Codename Longhorn DDK provider)
O4 - HKU\S-1-5-21-1797488772-2525213324-1091034462-1005..\Run: [WHMDNR9LKK] C:\WINDOWS\Nfaqea.exe (Windows (R) Codename Longhorn DDK provider)
O4 - Startup: C:\Documents and Settings\cyril\Menu Démarrer\Programmes\Démarrageegmem32.exe ()
O20 - Winlogon\Notifyeset5c: DllName - reset5c.dll - C:\WINDOWS\System32eset5c.dll ()
[2011/01/03 11:52:16 | 000,124,416 | ---- | C] (Microsoft Corporation) -- C:\Documents and Settings\cyril\dtlop.exe
[2011/01/04 11:10:31 | 000,077,824 | ---- | C] (UserXP) -- C:\Documents and Settings\cyril\btlop.exe
[2011/01/04 11:10:41 | 000,000,282 | -H-- | M] () -- C:\WINDOWS	asks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011/01/04 11:10:41 | 000,000,246 | -H-- | M] () -- C:\WINDOWS	asks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
[2011/01/04 11:10:40 | 000,000,282 | -H-- | M] () -- C:\WINDOWS	asks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2010/12/29 19:04:15 | 000,000,024 | ---- | M] () -- C:\Documents and Settings\cyril\Application Data\mchagw.dat
[2010/03/19 18:29:16 | 000,002,866 | ---- | C] () -- C:\Documents and Settings\cyril\Local Settings\Application Data\gykdmnhq.exe
[2010/03/09 17:24:14 | 000,000,011 | ---- | C] () -- C:\Documents and Settings\cyril\Local Settings\Application Data\sgsedpd.exe
@Alternate Data Stream - 113 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2

:Files
c:\windows\1nK7SoU
c:\windows\1wTHOsiO
c:\windows\2786pE
c:\windows\2dNJsAEgM
c:\windows\4dpOWmSr4q
c:\windows\system32\ConduitEngine.tmp
c:\windows\wininst.exe
C:egmem32.exe
C:\Documents and Settings\cyril\Local Settings\Temp\kyjrhkbts\

:Commands
[EMPTYTEMP]
[EMPTYFLASH]

*  Puis clique sur le bouton Correction en haut de la fenêtre.  
 * Laisse le programme travailler, le PC va redémarrer.  

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).   
sauvegarde-le sur ton Bureau et poste-le après redémarrage.  

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles  
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log  


A+

bidule123 · Answer

voilà c'est fait! :)


http://www.cijoint.fr/cjlink.php?file=cj201101/cijUkXv8hi.txt

verni29 · Answer

Re, 

On poursuit le nettoyage.

1/ Relance OTL et choisis Analyse.
Poste le rapport.

2/ Télécharge AD-Remover de C_XX sur ton bureau :   
http://www.teamxscript.org/too/AD-R.exe   

Tu te déconnectes du net et ferme toutes les applications en cours.   

Sous Vista, il faut nécessairement désactiver l'UAC ou contrôle de compte utilisateur.   
Tuto : https://www.pcastuces.com/pratique/windows/vista/astuces/desactiver_uac.htm   

    * Double-clique sur AD-R.exe .   
    * Au menu principal, choisis l'option "nettoyer" pour effectuer le nettoyage .   
    * Suis les invites.   
    * Le PC va te demander de redémarrer pour procéder au nettoyage. Accepte   

Après redémarrage, un rapport va apparaitre. Poste le contenu dans ton prochain message.   

Note : Il se trouve en C:\AD-Report-Clean.log  

A+

bidule123 · Answer

https://www.casimages.com/f.php?f=11010501561357276.Txt

déjà dans un premier temps,je fais le reste mnt

bidule123 · Answer

https://www.casimages.com/f.php?f=110105020942297970.txt


https://www.casimages.com/f.php?f=110105021055185011.Txt


:)

verni29 · Answer

bidule123, 

Il y a des progrès.
L'infection semble neutralisée.
On va encore nettoyer le PC avec OTL.
La liste semble longue mais ce sont des fichiers qui ont été crées entre le premier rapport OTL et l'utilisation de ComboFix.

------------------------------------------------------------

Relance OTL.exe.   

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :   

:OTL 
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2567681&SearchSource=3&q={searchTerms}"
FF - prefs.js..keyword.URL: "http://www1.search-results.com/web?l=dis&q=&o=APN10655&apn_dtid=%5EBND101%5EYY%5EFR&shad=s_0043&gct=ds&apn_ptnrs=%5EAG5&d=101-0&lang=en&atb=sysid%3D101%3Auid%3D41ae88e03d385c0a%3Asrc%3Dffb%3Ao%3DAPN10644%3Atg%3D&p2=%5EAG5%5EBND101%5EYY%5EFR"
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngin0.dll (Conduit Ltd.)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngin0.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O4 - HKLM..\RunOnce: []  File not found
[2011/01/05 11:26:40 | 000,000,000 | R--D | C] -- C:\32788R22FWJFW
[2010/12/23 06:36:11 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\SweetIM
[2010/12/23 06:35:18 | 000,000,000 | ---D | C] -- C:\Program Files\SweetIM
[2011/01/04 18:22:06 | 000,000,049 | ---- | M] () -- C:\WINDOWS\DHTeE
[2011/01/04 18:22:06 | 000,000,049 | ---- | M] () -- C:\WINDOWS\53KcpRSU
[2011/01/04 18:22:06 | 000,000,045 | ---- | M] () -- C:\WINDOWStE3XopwBq
[2011/01/04 18:22:06 | 000,000,044 | ---- | M] () -- C:\WINDOWS\OjTsJ2nQbr
[2011/01/04 18:22:06 | 000,000,043 | ---- | M] () -- C:\WINDOWS\EshlEX
[2011/01/04 18:22:06 | 000,000,042 | ---- | M] () -- C:\WINDOWS\lOjOC
[2011/01/04 18:22:06 | 000,000,038 | ---- | M] () -- C:\WINDOWS\uPYpRHc2I
[2011/01/04 18:22:06 | 000,000,037 | ---- | M] () -- C:\WINDOWS\fta6Cm
[2011/01/04 18:22:06 | 000,000,037 | ---- | M] () -- C:\WINDOWS\DYe3TT
[2011/01/04 18:22:06 | 000,000,036 | ---- | M] () -- C:\WINDOWS\HEkFboCQT5
[2011/01/04 18:22:06 | 000,000,034 | ---- | M] () -- C:\WINDOWS\AshX3
[2011/01/04 18:22:06 | 000,000,034 | ---- | M] () -- C:\WINDOWS\67B5rfcL
[2011/01/04 18:22:06 | 000,000,033 | ---- | M] () -- C:\WINDOWS\8vN2T6e
[2011/01/04 18:22:06 | 000,000,032 | ---- | M] () -- C:\WINDOWS\yigI7fsBp
[2011/01/04 18:22:06 | 000,000,032 | ---- | M] () -- C:\WINDOWS\FRLf57lS
[2011/01/04 18:22:06 | 000,000,032 | ---- | M] () -- C:\WINDOWS\AAE28T
[2011/01/04 18:22:06 | 000,000,031 | ---- | M] () -- C:\WINDOWS\cvfABX
[2011/01/04 18:22:06 | 000,000,030 | ---- | M] () -- C:\WINDOWS\h521y5u
[2011/01/04 18:22:06 | 000,000,027 | ---- | M] () -- C:\WINDOWS\73kNOBcx
[2011/01/04 18:22:06 | 000,000,026 | ---- | M] () -- C:\WINDOWS\P3OODXR7Ov
[2011/01/04 18:22:05 | 000,000,043 | ---- | M] () -- C:\WINDOWS\uLB1s6mMN5
[2011/01/04 18:22:05 | 000,000,043 | ---- | M] () -- C:\WINDOWS\mm3DCKH
[2011/01/04 18:22:05 | 000,000,041 | ---- | M] () -- C:\WINDOWS	nAEqsxH
[2011/01/04 18:22:05 | 000,000,040 | ---- | M] () -- C:\WINDOWS\v3w27Eh
[2011/01/04 18:22:05 | 000,000,038 | ---- | M] () -- C:\WINDOWS\XAsEtASfM
[2011/01/04 18:22:05 | 000,000,034 | ---- | M] () -- C:\WINDOWS\QDXcwTXN
[2011/01/04 18:22:05 | 000,000,034 | ---- | M] () -- C:\WINDOWS\4uJev
[2011/01/04 18:22:05 | 000,000,033 | ---- | M] () -- C:\WINDOWS\qsxrYKvb4
[2011/01/04 18:22:05 | 000,000,033 | ---- | M] () -- C:\WINDOWS\K4uepDb
[2011/01/04 18:22:05 | 000,000,033 | ---- | M] () -- C:\WINDOWS\Isv4ma5pq
[2011/01/04 18:22:05 | 000,000,032 | ---- | M] () -- C:\WINDOWS\o7EVs
[2011/01/04 18:22:05 | 000,000,032 | ---- | M] () -- C:\WINDOWS\cyegY1uBkp
[2011/01/04 18:22:05 | 000,000,030 | ---- | M] () -- C:\WINDOWS\5iXMkA
[2011/01/04 18:22:05 | 000,000,028 | ---- | M] () -- C:\WINDOWS\MMeJWg
[2011/01/04 18:22:05 | 000,000,028 | ---- | M] () -- C:\WINDOWS\FTU5PLSJ
[2011/01/04 18:22:05 | 000,000,028 | ---- | M] () -- C:\WINDOWS\65L74yJ5Je
[2011/01/04 18:22:05 | 000,000,026 | ---- | M] () -- C:\WINDOWSBsLFD
[2011/01/04 18:22:05 | 000,000,026 | ---- | M] () -- C:\WINDOWS\QsHUbv
[2011/01/04 18:22:05 | 000,000,024 | ---- | M] () -- C:\WINDOWS\jbW6pUFs28
[2011/01/04 18:22:04 | 000,000,046 | ---- | M] () -- C:\WINDOWS\XExr6rCbKF
[2011/01/04 18:22:04 | 000,000,045 | ---- | M] () -- C:\WINDOWS\N7s5yoi
[2011/01/04 18:22:04 | 000,000,041 | ---- | M] () -- C:\WINDOWS\5aOu1PX
[2011/01/04 18:22:04 | 000,000,040 | ---- | M] () -- C:\WINDOWS\koog1
[2011/01/04 18:22:04 | 000,000,037 | ---- | M] () -- C:\WINDOWS\V1i8gyl6L
[2011/01/04 18:22:04 | 000,000,035 | ---- | M] () -- C:\WINDOWS\iRqp8Yb
[2011/01/04 18:22:04 | 000,000,034 | ---- | M] () -- C:\WINDOWS\WhpxQJ6VC
[2011/01/04 18:22:04 | 000,000,033 | ---- | M] () -- C:\WINDOWS\a4lUvU
[2011/01/04 18:22:04 | 000,000,029 | ---- | M] () -- C:\WINDOWS\56RnXCigIJ
[2011/01/04 18:22:03 | 000,000,038 | ---- | M] () -- C:\WINDOWS\sdDrhHQv
[2011/01/04 18:22:03 | 000,000,035 | ---- | M] () -- C:\WINDOWS\dOF51IBN
[2011/01/04 18:22:03 | 000,000,030 | ---- | M] () -- C:\WINDOWSMjcr3RB
[2011/01/04 18:22:03 | 000,000,027 | ---- | M] () -- C:\WINDOWS\fsp6MWGy3H
[2011/01/04 18:22:03 | 000,000,025 | ---- | M] () -- C:\WINDOWS\aCcnrLPVf
[2011/01/04 18:22:02 | 000,000,047 | ---- | M] () -- C:\WINDOWS\YlBb5XsAxe
[2011/01/04 18:22:02 | 000,000,046 | ---- | M] () -- C:\WINDOWS\VqOf2
[2011/01/04 18:22:02 | 000,000,043 | ---- | M] () -- C:\WINDOWS\dyJi2FST24
[2011/01/04 18:22:02 | 000,000,042 | ---- | M] () -- C:\WINDOWS
ScCJMT
[2011/01/04 18:22:02 | 000,000,039 | ---- | M] () -- C:\WINDOWS\UPfeaRMi5p
[2011/01/04 18:22:02 | 000,000,037 | ---- | M] () -- C:\WINDOWS\saa3mqkhF
[2011/01/04 18:22:02 | 000,000,037 | ---- | M] () -- C:\WINDOWS\QvAVfUovm
[2011/01/04 18:22:02 | 000,000,034 | ---- | M] () -- C:\WINDOWS\Lyo3o
[2011/01/04 18:22:02 | 000,000,034 | ---- | M] () -- C:\WINDOWS\KN8J24WOo
[2011/01/04 18:22:02 | 000,000,034 | ---- | M] () -- C:\WINDOWS\jyaUs
[2011/01/04 18:22:02 | 000,000,032 | ---- | M] () -- C:\WINDOWS
3OE4XPcv
[2011/01/04 18:22:02 | 000,000,029 | ---- | M] () -- C:\WINDOWS\WjJKgHP6
[2011/01/04 18:22:02 | 000,000,029 | ---- | M] () -- C:\WINDOWS\RR1mtrVl
[2011/01/04 18:22:02 | 000,000,029 | ---- | M] () -- C:\WINDOWS\qfn7Mom
[2011/01/04 18:22:02 | 000,000,028 | ---- | M] () -- C:\WINDOWS\OJsvgihA
[2011/01/04 18:22:02 | 000,000,027 | ---- | M] () -- C:\WINDOWS\JoPySD68y
[2011/01/04 18:22:02 | 000,000,026 | ---- | M] () -- C:\WINDOWS\BKTuyHYaJ
[2011/01/04 18:22:02 | 000,000,025 | ---- | M] () -- C:\WINDOWS\cOsihf
[2011/01/04 18:22:01 | 000,000,047 | ---- | M] () -- C:\WINDOWS\yCKxK
[2011/01/04 18:22:01 | 000,000,043 | ---- | M] () -- C:\WINDOWS\8gsY1B8uJM
[2011/01/04 18:22:01 | 000,000,038 | ---- | M] () -- C:\WINDOWS\B2lHD1IT27
[2011/01/04 18:22:01 | 000,000,035 | ---- | M] () -- C:\WINDOWS\fSLC5
[2011/01/04 18:22:00 | 000,000,049 | ---- | M] () -- C:\WINDOWS\YUsolXi
[2011/01/04 18:22:00 | 000,000,045 | ---- | M] () -- C:\WINDOWS
yQB4DqjF
[2011/01/04 18:22:00 | 000,000,043 | ---- | M] () -- C:\WINDOWS\vKcnJ8VkK
[2011/01/04 18:22:00 | 000,000,043 | ---- | M] () -- C:\WINDOWS\GxUFOgm
[2011/01/04 18:22:00 | 000,000,033 | ---- | M] () -- C:\WINDOWS\xYBvcptHm
[2011/01/04 18:22:00 | 000,000,031 | ---- | M] () -- C:\WINDOWS\fYqadB
[2011/01/04 18:22:00 | 000,000,028 | ---- | M] () -- C:\WINDOWS\Uo6RS
[2011/01/04 18:22:00 | 000,000,026 | ---- | M] () -- C:\WINDOWS\dqmUU
[2011/01/04 18:22:00 | 000,000,025 | ---- | M] () -- C:\WINDOWS\vWJpKn6

:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\  ^  %%^^    ^%^% ^% ^ ^%^   % %%%^^^%% ^%.exe"=-
"C:\Documents and Settings\cyril\Bureau\Estelle\SweetImSetup.exe"=-


*  Puis clique sur le bouton Correction en haut de la fenêtre.   
 * Laisse le programme travailler, le PC va redémarrer.   

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).    
sauvegarde-le sur ton Bureau et poste-le après redémarrage.   

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles   
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log   


A+

bidule123 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201101/cijOGdmxpM.rtf

verni29 · Answer

OK, 

Tu vas faire deux analyses pour vérifier que le PC est propre.
cela va prendre un peu de temps mais c'est essentiel.

Auparavant, on va nettoyer les quarantaines des outils.

-------------------------------------------------

Ouvre OTL et clique sur Purge Outils.
cela va redémarrer le PC et supprimer OTL et sa quarantaine.
Vérifie que Combofix et le dossier C:\Qoobox ont été supprimés.
Sinon, supprime les manuellement.

Ouvre AD-Remover et choisis l'option de désinstallation.

-------------------------------------------------------------

1/ Tu télécharges MalwareBytes. 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l'installes. Choisis les options par défaut. 
# A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s'ouvrir. 

# Dans l'onglet Recherche, sélectionne Exécuter un examen complet. 
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur. 
# Clique sur lancer l'examen. 

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection. 
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet  Rapport/logs. Il y est. Clique dessus et choisir ouvrir

Le scan prend généralement aux environs d'une heure.

2/ Fais un scan en ligne.
Tuto : https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

Poste le rapport

Il se trouve en C:\Program Files\ESET Online Scanner\log.txt

A+

bidule123 · Answer

https://www.casimages.com/f.php?f=110105100908394577.txt

https://www.casimages.com/f.php?f=110105110335793366.txt

aprés 4h de scan...^^

verni29 · Answer

Bidule123, 

C'est nickel.

La seule détection; c'est un logiciel que tu as installé : Messenger Plus live.
Je l'avais remarqué.
Parfois, ce logiciel provoque des ouvertures de fenêtres publicitaires sur le PC.
Ce sont des fenêtres avec des entêtes CID.
mais tu n'en as pas parlé.
As-tu ce genre de problèmes sur le PC ?

--------------------------------------------------------

Mets à jour le PC.
très important.

1/ désinstalle la version 7 d'adobe présente sur le PC.
Puis mets à jour vers adobe X :
https://get2.adobe.com/fr/reader/otherversions/

2/ Télécharge JavaRa de PaulMcLain et Fred De Vries.
https://javara.fr.malavida.com/

    * Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
    *  Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
    * Choisis la langue ( français )

Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

- Mise à jour :

    * clique sur Recherche de mise à jour et choisis l'option Mettre à jour via jucheck.exe .
    * Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
    * Si oui, clique sur Installer puis suis les invites.

Note : Si  tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun  ou alors sur le site suivant https://www.java.com/fr/download/manual.jsp

- Suppression des anciennes versions :

    * Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
    * Suis les invites.
    * Il te sera précisé de la suppression les versions trouvées et supprimées

3/ Va sur le site de Secunia et mets à jour les plugins du PC.
https://www.flexera.com/products/operations/software-vulnerability-management.html


A+

bidule123 · Answer

non je n'avais aucun souci de publicités avec msn!
en tout cas je te remercie,l'ordi a l'air de fonctionner aprés tous tes bons conseils!!t un pro!je n'hésiterais pas à repasser ici si j'ai un souci

Bonne journée!et merci encore

verni29 · Answer

Bidule123, 

Il reste quelques manips pour terminer.

-----------------------------------------------------

Crée un point de restauration.

Les points de restauration : 

-  Panneau de configuration --> Système --> Restauration du système 

cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- >  valider -- > cocher )
Une fenêtre va s'ouvrir pour t'avertir que les poins de restauration existants seront supprimés.
Accepte.

Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système

- Tu vas recréer un point de restauration propre.

Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.

----------------------------------------------------

Une lecture : projet antimalwares : https://www.malekal.com/projet-antimalware-2/

----------------------------------------------------

Si tu juges que le problème est résolu, note - le ( bouton marquer comme résolu ) en haut de la page de discussion.

En te souhaitant bonne lecture et bon surf.

Salut.

bidule123 · Answer

merci de ton aide!problème résolu

merci encore!!

bidule123 · Answer

pfff je reviens vers toi,car j'ai un souci suite à tout ça
mon ordi ne reconnait plus mes périphériques audio depuis ces virus
je ne peux écouter des chansons qu'une fois sur deux,pourtant mes hauts parleur marchent,y'a les sons de l'ordi,mais on me dit qu'un périphérique audio n'a pas été détecte,pareil quand je lance mozilla on met met ce genre de message :


Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié.


ça veut dire quoi?je ne peux plus écouter de vidéos non plus,et les films sont sans son sur l'ordi :(
que faire?

verni29 · Answer

Bonjour, bidule123

Je n'avais pas vu que tu avais reposté sur le sujet.

Pour ton problème de son, tu n'avais pas de problème avant ce problème de virus ?

--------------------------------------

vérifie si les périphériques sont bien installés.

# Démarrer --> panneau de configuration --> système
# dans l'onglet périphériques, y-a-t-il des périphériques en jaune ?

------------------------------------------

fais ceci pour vérifier les fichiers système :

démarrer --> exécuter --> tape sfc /scannow puis valide
Attention à l'espace entre le c et le /

A+

bidule123 · Answer

je n'ai rien en jaune vu que quand je clique l'ordi dit que windows ne peut accéder au périphérique :( il ne detecte plus mes hauts parleurs,une fois sur 20 tout au plus

et ça depuis les problèmes de virus résolus

verni29 · Answer

Re, 

As-tu fait la dernière manip demandée avec sfc /scannow ?
si non, fais-le.

Ce qui est surprenant, c'est le côté aléatoire de ton problème.
Si un fichier quelconque était infecté ou supprimé, il n'y aurait pas de son du tout.

Une question : as-tu le CD de XP ? Pour une faire réparation  si nécessaire.

----------------------------------------------------------

Pour vérifier

Refais la manip avec OTL comme dans le message suivant :
https://forums.commentcamarche.net/forum/affich-20404809-virus-qui-reviennent-sans-cesse#1

Poste les deux rapports.

bidule123 · Answer

je ne peux pas faire la manip d'avant car je n'ai pas le cd xp

voilà les deux rapports: 

http://www.cijoint.fr/cjlink.php?file=cj201101/cijkJ7twKo.txt

http://www.cijoint.fr/cjlink.php?file=cj201101/cijibag9xX.txt

verni29 · Answer

Re, 

Tu peux essayer de réinstaller les drivers audio :
http://www.presence-pc.com/telecharger/drivers/Realtek-High-Definition-Audio-Codecs,1100-10834.html

Redémarre ta machine ensuite et vois si cela a réglé ton problème de son.

A+

Virus qui reviennent sans cesse!!!

36 réponses

Discussions similaires