Dropper:Generic.Malware....

Joseph le belge Messages postés 61 Statut Membre -  
aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur -
Bonjour,

Depuis plusieurs jours peut après avoir allumé mon PC je reçois un message comme de quoi mon antivirus a détecté :
Dropper:Generic.Malware.YBdld.686DE622
On me dit aussi que mon PC n'a pas été infecté.

Un fichier est pourtant mis en évidence :
c:\documents and settings\joseph\menu démarrer\etc...

Que dois-je faire pour supprimer ce message ?

Merci de votre aide et bonne journée à vous.

Joseph
Configuration: Windows XP
Antivirus Bitdefender

33 réponses

  • 1
  • 2
Résumé de la discussion

Une alerte antivirus signale Dropper:Generic.Malware.YBdld.686DE622 après chaque démarrage, avec un fichier suspect affiché dans un répertoire de démarrage potentiellement suspect sur un système Windows XP. Des mesures candidates incluent démarrer en mode sans échec, supprimer le fichier de démarrage suspect winupdate03658167([1]).exe dans Démarrage et vérifier l’activité avec des outils comme Ewido, HijackThis ou un antivirus à jour. D'autres échanges suggèrent des analyses croisées (Kaspersky ou Bitdefender) et la vérification des éléments de démarrage, afin d’éviter la suppression accidentelle de protections et d’analyser cookies et entrées de restauration pour prévenir les rechutes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Bonjour

    télécharge ceux-ci :

    http://www.hijackthis.de/downloads/hijackthis_199.zip

    Le dézipper dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < c : ! (Cela permet des back up en cas de mauvaises suppressions)
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/Hijenr.gif

    L’exécuter puis sur "do a system scan and save logfile" (cf. démo)

    faire un copier coller du log entier sur le forum VIRUS/SECURITE

    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    bon courage, @+
    0
    1. Joseph le belge Messages postés 61 Statut Membre
       
      Bonjour ,


      Vous allez sans doute me prendre pour un nul en informatique et là je vous donne raison.
      Je ne comprends pas ce que je dois faire afin d'éradiquer le malware.

      Mille excuses.

      Joseph
      0
  2. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Bonjour !

    non, il n'y a pas de soucis ! :-)

    as t un Parfeu ???

    on va commencer par ça :

    Ad-Aware (gratuit) :
    http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html

    Le patch en Français pour Ad-Aware (gratuit) :
    http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html

    a-squared
    http://www.emsisoft.net/fr/software/download/

    ewido (dowload)
    http://www.ewido.net/fr/download/

    ¤Télécharger CleanUp40 (qui élimine les fichiers temporaires) sur ce lien : http://pageperso.aol.fr/Balltrap34/CleanUp40.exe

    démo : http://pageperso.aol.fr/balltrap34/democleanup.htm

    tous ceux si sont des utilitaires gratuits et très efficaces pour nettoyer le PC, pour certains, il y a un tuto pour apprendre à lles utiliser

    mets les à jour, lance les scans et vois ce que ça donne

    ensuite :

    télécharge ceux-ci :

    http://www.hijackthis.de/downloads/hijackthis_199.zip

    Le dézipper dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < c : ! (Cela permet des back up en cas de mauvaises suppressions)
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/Hijenr.gif

    L’exécuter puis sur "do a system scan and save logfile" (cf. démo)

    faire un copier coller du rapport entier sur le forum

    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    si tu as l'ombre d'un doute sur l'un des utilitaires n'hesite surtout pas !

    bon courage, @+
    0
    1. Joseph le belge Messages postés 61 Statut Membre
       
      Bonsoir Red Grean,

      J'ai un pare feu via Bidenfender .
      Voiçi où j'en suis :
      J'ai fait une analyse avec Spybot et Clean Up 40, rien donné.
      Par contre lorsque je fais une analyse avec Lavasoft, l'analyse se bloque sur :
      c: \Documents and Settings\Joseph\Menus Démarrage\Programme\Démarrage

      Plus rien ne bouge et je suis obligé d'annuler l'analyse.

      Je n'ai pas encore essayer "ewido".

      Que dois-je faire à ce stade ?

      Joseph
      0
  3. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Bonjour Joseph !

    Bonsoir Red Grean,
    ==> c'est qui ?! lol !

    Spybot : ok !

    Clean Up 40 : il nettoye simplement les fichiers temporaires

    Que dois-je faire à ce stade ? , nettoyage avec ewido

    puis / sinon : faire ceux ci

    télécharge ceux-ci :

    http://www.hijackthis.de/downloads/hijackthis_199.zip

    Le dézipper dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < c : ! (Cela permet des back up en cas de mauvaises suppressions)

    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    L’exécuter puis sur "do a system scan and save logfile" (cf. démo)

    faire un copier coller du log entier sur le forum

    bon courage, @+
    0
    1. Joseph le belge Messages postés 61 Statut Membre
       
      Salut à tous,

      Tout arrive avec peu de patience.
      Voici donc mon copié collé "Hijackthis"
      Je sais pas si cela peut aider mais mon analyse Lavasoft adware est resté bloqué sur le fichier:

      C:\Documents and Settings\Joseph\Menu Démarrer\Programme\Démarrage




      Logfile of HijackThis v1.99.1
      Scan saved at 11:01:30, on 13/02/2006
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\ewido anti-malware\ewidoctrl.exe
      C:\Program Files\ewido anti-malware\ewidoguard.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
      C:\progra~1\softwin\bitdef~2\bdswitch.exe
      C:\Program Files\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe
      C:\progra~1\softwin\bitdef~2\bdnagent.exe
      C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
      C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\GénéaTique2004\PdfDrv\Install\PDFSaver.exe
      C:\Program Files\Outlook Express\msimn.exe
      C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
      C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
      C:\Program Files\Softwin\BitDefender9\vsserv.exe
      c:\progra~1\softwin\bitdef~2\bdmcon.exe
      C:\Documents and Settings\Joseph\Mes documents\WinRAR.exe
      C:\DOCUME~1\Joseph\LOCALS~1\Temp\Rar$EX01.268\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://103.nowfind.biz/pps.php
      R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://103.nowfind.biz/pps.php
      R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://103.nowfind.biz/pps.php
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://103.nowfind.biz/pps.php
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://103.nowfind.biz/pps.php
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://103.nowfind.biz/pps.php
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://103.nowfind.biz/pps.php
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://103.nowfind.biz/pps.php
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*http://www.yahoo.com/ext/search/search.html
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://103.nowfind.biz/pps.php
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://103.nowfind.biz/pps.php
      R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://103.nowfind.biz/pps.php
      R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://103.nowfind.biz/pps.php
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://103.nowfind.biz/pps.php
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://103.nowfind.biz/pps.php
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
      O1 - Hosts: auto.search.msn.com 127.0.0.1
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: CitiEUBrowserHelper Class - {0748BCEA-3708-4842-A65F-7AA6E56EBCD9} - C:\WINDOWS\System32\BhoCitEU.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar.dll
      O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
      O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
      O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~2\bdswitch.exe"
      O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
      O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"
      O4 - HKLM\..\Run: [BDMCon] C:\progra~1\softwin\bitdef~2\bdmcon.exe
      O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
      O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~2\bdnagent.exe"
      O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKCU\..\Run: [PDFSaver] C:\Program Files\GénéaTique2004\PdfDrv\Install\PDFSaver.exe
      O4 - HKCU\..\Run: [Toud] C:\Documents and Settings\Joseph\Application Data\ehue.exe
      O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet
      O4 - HKCU\..\Run: [Camfrog] "C:\Program Files\Camfrog\Camfrog Video Chat 3.6\CamfrogNet.exe" 0 C:\Program Files\Camfrog\Camfrog Video Chat 3.6\Camfrog Video Chat.exe
      O4 - Startup: winupdate03658167[1].exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\googletoolbar.dll/cmsearch.html
      O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\googletoolbar.dll/cmbacklinks.html
      O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\googletoolbar.dll/cmcache.html
      O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
      O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\googletoolbar.dll/cmsimilar.html
      O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
      O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
      O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
      O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE (file missing)
      O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O15 - Trusted IP range: 193.58.81.70
      O16 - DPF: FortisCzPc - https://www.fortisbanking.be/FortisCzPC.cab
      O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} - http://www.lizardtech.com/plugins/fr_FR/DjVuControl_fr_FR.cab
      O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_FR_XP.cab
      O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr/win/QuickTimeFullInstaller.exe
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005102501/housecall.trendmicro.com/housecall/xscan53.cab
      O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
      O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
      O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://ax.emsisoft.com/axscan.cab
      O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{5461DFC4-D463-46CA-807D-C56924122E05}: NameServer = 85.255.114.25 85.255.112.110
      O17 - HKLM\System\CCS\Services\Tcpip\..\{A87D134F-B97D-48CA-8649-DA91B40854B2}: NameServer = 85.255.114.25,85.255.112.110
      O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
      O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
      O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
      O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
      O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
      O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)



      Merci mille fois

      Joseph
      0
      1. boulepate > Joseph le belge Messages postés 61 Statut Membre
         
        Salut,
        Relance HijackThis, choisis " do a scan only" coche la case devant les lignes ci-dessous et clique en bas sur "fix checked"

        R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://103.nowfind.biz/pps.php
        R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://103.nowfind.biz/pps.php
        R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://103.nowfind.biz/pps.php
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://103.nowfind.biz/pps.php
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://103.nowfind.biz/pps.php
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://103.nowfind.biz/pps.php
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://103.nowfind.biz/pps.php
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://103.nowfind.biz/pps.php
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://103.nowfind.biz/pps.php
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://103.nowfind.biz/pps.php
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://103.nowfind.biz/pps.php
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://103.nowfind.biz/pps.php
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://103.nowfind.biz/pps.php
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://103.nowfind.biz/pps.php
        O1 - Hosts: auto.search.msn.com 127.0.0.1
        O16 - DPF: FortisCzPc - https://www.fortisbanking.be/FortisCzPC.cab
        O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} - http://www.lizardtech.com/plugins/fr_FR/DjVuControl_fr_FR.cab
        O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_FR_XP.cab
        O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr/win/QuickTimeFullInstaller.exe
        O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005102501/housecall.trendmicro.com/housecall/xscan53.cab
        O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
        O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
        O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://ax.emsisoft.com/axscan.cab
        O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

        Fais ce scan anti-virus puis colle le rapport ici une fois qu'il à fini:

        http://www.kaspersky.com/scanforvirus

        A++
        0
  4. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut Boulpate !

    je voudrai savoir stp : pourquoi fais tu fixer les lignes R0/R1 ???

    ( quasi toutes )

    bien à toi !

    @+
    0
    1. Joseph le belge Messages postés 61 Statut Membre
       
      Bonjour Green day,

      Excuses pour "Red Grean" !!!

      J'attends avant d'entreprendre quoi que ce soit ?

      Joseph
      0
    2. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
       
      hello greenette
      si tu interroges google , tu verras que ce n est pas catholique
      0
      1. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166 > aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur
         
        Salut Aranjuez !

        la forme ????

        quand j'interroge google : il me dit tout : sauf ce que je veux savoir ...

        comment le faire parler ??? lol !

        bien à toi !

        @+
        0
      2. Kristopher Messages postés 3752 Statut Contributeur 106 > green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        Salut green day,

        Quand tu cliques sur : http://103.nowfind.biz/pps.php tu vois où ça mène.
        Tu remarqueras que toutes les RO et R1 que boulepate a fait fixer pointent justement sur cette adresse.
        Je pense que cela est du à un spyware/adware.

        J'espère avoir répondu à ta question,

        Bon courage :)

        ++
        0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut Joseph !

    lol ! mais il n'y à pas de mal :-)

    où en es tu ???

    as tu fais ce que ta suggéré Boulpate ??? ( tu peux le faire sans soucis, à ce niveau là , il est bien plus doué que moi !!! )

    bon courage, @+
    0
    1. Joseph le belge Messages postés 61 Statut Membre
       
      Salut,

      J'ai donc fait ce que "boulepate" m'a conseillé.Sauf que comme j'y comprends rien en "Englisch" je ne sais ce que je dois faire dans "Kaspersky" ?

      Joseph
      0
    2. Kristopher Messages postés 3752 Statut Contributeur 106
       
      Salut,

      Je pense que boulepate a du se tromper de lien.

      En fait, il s'agit de : http://www.kaspersky.com/virusscanner
      - Choisis Kaspersky Online Scanner
      - Clique sur "Accept" ; "Next" ; "My computer"
      - Laisse le scan se faire et copie/colle le rapport ici (si infecté)

      ++
      0
  7. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    un petit coup d'oeil la dessus??

    O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
    0
  8. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut Jean !

    en effet ! ligne à fixer!

    à Joseph : ptit resumer de ce qu'il faut faire

    Relance HijackThis, choisis " do a scan only" coche la case devant les lignes ci-dessous et clique en bas sur "fix checked"

    R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://103.nowfind.biz/pps.php
    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://103.nowfind.biz/pps.php
    R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://103.nowfind.biz/pps.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://103.nowfind.biz/pps.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://103.nowfind.biz/pps.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://103.nowfind.biz/pps.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://103.nowfind.biz/pps.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://103.nowfind.biz/pps.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://103.nowfind.biz/pps.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://103.nowfind.biz/pps.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://103.nowfind.biz/pps.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://103.nowfind.biz/pps.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://103.nowfind.biz/pps.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://103.nowfind.biz/pps.php
    O1 - Hosts: auto.search.msn.com 127.0.0.1
    O16 - DPF: FortisCzPc - https://www.fortisbanking.be/FortisCzPC.cab
    O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} - http://www.lizardtech.com/plugins/fr_FR/DjVuControl_fr_FR.cab
    O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_FR_XP.cab
    O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr/win/QuickTimeFullInstaller.exe
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005102501/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://ax.emsisoft.com/axscan.cab
    O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
    O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe

    Fais ce scan anti-virus puis colle le rapport ici une fois qu'il à fini:

    http://www.kaspersky.com/scanforvirus

    bon courage !

    @+
    0
  9. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    oui mais si tu lui fais juste fixer le O4 c'est insuffisant, il faut egalement aller le supprimer en mode sans echec. Sinon coup dans l'eau. De plus désactiver et réactiver la restauration systeme pour ne pas le garder dans ce fichier.

    Jean
    0
  10. Joseph le belge Messages postés 61 Statut Membre
     
    Bonsoir,

    Lorsque je lance le scan "kaspersky" je reçois comme message : "Les parametres de sécurité actuels ne vous permettent pas d'exécuter les contrôles Active X de cette page ....."

    Joseph
    0
  11. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Bonsoir,

    green day - sur la page : http://www.kaspersky.com/scanforvirus on peut scanner un fichier uniquement. Donc si l'on veut scanner tout le PC, je pense que ça prendra un peu de temps :)

    Joseph le belge - une fois que tu es sur la page : http://www.kaspersky.com/virusscanner essaie cette manip. toute simple qui a marché dans mon cas :
    Clique sur "Outils" -> "Options Internet" -> onglet "Sécurité" -> clique sur "Sites de confiance" puis juste en dessous sur "Sites..." -> copie/colle cette adresse : http://www.kaspersky.com/virusscanner
    Vérifie qu'en bas la case "Nécessite un serveur sécurisé (https:) est décoché puis clique sur "Ajouter" et valide avec "OK".
    Dorénavant, le scan devrait se lancer.

    Si non, essaie le site de aran :)

    ++
    0
  12. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    bsr
    pour
    O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe

    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du PC sans t’arrêter

    Désactiver la restauration système : (uniquement si vous êtes sous XP) :

    Cliquer droit sur poste de travail puis,
    Propriétés, cliquer sur l' onglet restauration système
    Cocher la case « désactiver la restauration » et appliquer.

    ► S'assurer de ceci :

    Affiche tous les fichiers et dossiers :
    Cliquer sur Démarrer/Panneau de Configuration/Options des dossiers/Affichage :

    Cocher Afficher les dossiers cachés

    Décocher la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher Masquer les extensions dont le type est connu
    Puis fais «OK» pour valider les changements.
    Et appliquer

    ► Vider les fichiers temporaires et temporary internet files sur tous les utilisateurs
    Utilise Cleanup40 pour le faire :
    http://pageperso.aol.fr/Balltrap34/CleanUp40.exe

    va dans
    C:\WINDOWS\System32\hgqhp.exe
    et supprrime
    hgqhp.exe

    si tu ne trouves pas fais demar+rechercher
    et supprime
    hgqhp.exe

    fais fonctionner spybot+ad-aware+ewido
    vide sauvegarde et quarantaine

    ► Vider les fichiers temporaires et temporary internet files sur tous les utilisateurs
    Utilise Cleanup40 pour le faire :
    http://pageperso.aol.fr/Balltrap34/CleanUp40.exe

    Puis,

    ¤Réactiver la restauration système (uniquement si tu es sous XP):
    Cliquer droit sur poste de travail puis,

    recache les fichiers cachés par manip en sens inverse
    ~~~~~~~~
    redemarre en normal
    remets un hijack

    0
  13. Joseph le belge Messages postés 61 Statut Membre
     
    Bonsoir ou bonjour,

    Voilà, je viens de terminer l'analyse via "Kaspersky".

    Il a repèré un virus :

    Infected Object Name Virus Name Last Action
    C:\Documents and Settings\Joseph\Menu Démarrer\Programmes\Démarrage\winupdate03658167[1].exe Infected: Trojan-Dropper.Win32.Small.ue skipped

    Que dois-je faire maintenant ?

    Merci de votre aide à tous.

    Joseph
    0
  14. Joseph le belge Messages postés 61 Statut Membre
     
    Salut,

    Excuses mais j'ai déjà fait l'analyse "EWIDO" celle-ci n'a rien donnée.

    L'analyse "Kaspersky" est la seule qui me donne un résultat.

    Joseph
    0
  15. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    re
    ok
    as-tu fais fonctionner tes utilitaires en sans échec ?
    0
  16. aranjuez31 Messages postés 8161 Date d'inscription   Statut Contributeur 354
     
    re
    essaie de l eradiquer avec ceci
    http://assiste.free.fr/assiste.com.html?http://assiste.free.fr/p/internet_essentiel/on_line_anti-trojan.php

    au fait , kapresky ne le détruit pas ?
    0
    1. boulepate
       
      Re,

      non Kapersky ne fait que detecter Bitdefender supprime lui.

      Pour supprimer ce virus suit le chemin d'accès.

      clique sur demarrer, poste de travail, C:, documents and settings, joseph, menu demarrer, démarrage, puis supprime ce fichier:

      winupdate03658167([1]).exe

      Utiliser le mode sans echec s'il persiste lors de la suppression ;-)
      0
  17. Joseph le belge Messages postés 61 Statut Membre
     
    Bonjour,

    J'essaie par la voie C:\
    mais je reçois le message suivant " Impossible de supprimer winupdate etc... impossible de lire à partir du fichier ou de la disquette source".

    Pouvez-vous m'expliquer la méthode "sans échec" ?

    Je suis obligé de quitter pour une bonne partie de la journée.

    Merci à vous et bonne journée à tous.

    Joseph
    0
  18. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut Joseph !

    pour allumer en mode sans echec : au demarrage du PC tu apuis sur F8

    ( ou F5 ) et tu fais la même procedure pour supprimer le fichier

    bonne journée !

    @+
    0
  • 1
  • 2