Ai-je un virus ?

Résolu
siltex Messages postés 862 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Voici deux rapport de RSIT et je voudrai savoir si j'ai un virus :

Document and settings/Siltex/info.txt
https://pjjoint.malekal.com/files.php?id=7b526447cf14147

Document and settings/Siltex/log.txt
https://pjjoint.malekal.com/files.php?id=ab335f57df71311

Cordialement Siltex_

43 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

La problématique centrale est de déterminer si un ordinateur est infecté à partir de rapports et de logs fournis, notamment RSIT et MBAM, sur Windows XP et Google Chrome.
Plusieurs conseils et éléments de réponse apparaissent, dont l'usage du mode sans échec, la durée des scans et l'examen des rapports pour repérer des éléments suspects.
Des résultats variés sont évoqués : scripts et outils de nettoyage, rapports de sécurité et une détection par Malwarebytes Anti-Malware signalant une menace potentielle dans c:\windows\$ntservicepackuninstall$\userinit.exe, sans confirmation définitive.
D'autres éléments techniques décrivent des clés de registre nettoyées, des éléments supprimés et des ajustements système réalisés par divers outils, apportant des nuances sans établir de conclusion sur l'infection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    salut on voit pas beaucoup t'as pas installé hijackthis lol

    y'a du ask toolbar déjà ...

    Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)

    http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
    OU
    https://www.androidworld.fr/ ( Miroir )

    /!\ Ferme toutes applications en cours /!\

    ▶ Double-clique sur l'icône Ad-remover située sur ton Bureau.
    ▶ Sur la page, clique sur le bouton « Nettoyer »
    ▶ Confirme lancement du scan
    ▶ Laisse travailler l'outil.
    ▶ Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN[1].txt)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    0
  2. siltex Messages postés 862 Statut Membre 22
     
    RE,

    Voilà le rapport :

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 01/03/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:36:39 le 28/03/2011, Mode normal

    Microsoft Windows XP Professionnel Service Pack 3 (X86)
    Ralph@5E38156C93D8437 ( )

    ============== ACTION(S) ==============

    Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskHPRFF.js
    Fichier supprimé: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
    Dossier supprimé: C:\Documents and Settings\Ralph\Application Data\Mozilla\FireFox\Profiles\3m87jpt4.default\extensions\toolbar@ask.com
    Fichier supprimé: C:\Documents and Settings\Ralph\Application Data\Mozilla\FireFox\Profiles\3m87jpt4.default\searchplugins\askcom.xml
    Dossier supprimé: C:\Program Files\Ask.com
    Dossier supprimé: C:\Documents and Settings\Ralph\Local Settings\Application Data\AskToolbar

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Documents and Settings\Ralph\Application Data\Mozilla\FireFox\Profiles\3m87jpt4.default\Prefs.js --
    Ligne supprimée: user_pref("extensions.enabledAddons", "wrc@avast.com:20110101,jqs@sun.com:1.0,{9AA46F4F-4DC7-4c06-97...
    Ligne supprimée: user_pref("extensions.installCache", "[{\"name\":\"winreg-app-global\",\"addons\":{\"wrc@avast.com\"...
    Ligne supprimée: user_pref("extensions.toolbar@ask.com.install-event-fired", true);
    Ligne supprimée: user_pref("extensions.wrc.SearchRules.ask.com.style", ".WRCN {display:none} #yui-main .tsrc_vnru .ti...
    Ligne supprimée: user_pref("extensions.wrc.SearchRules.ask.com.url", "^hxxp(s)?\\:\\/\\/(.+\\.)?ask\\.com\\/.*");
    Ligne supprimée: user_pref("extensions.wrc.SearchRules.baidu.com.style", ".WRCN {display:none} .result .f .WRCN {disp...
    Ligne supprimée: user_pref("extensions.wrc.SearchRules.baidu.com.url", "^hxxp\\:\\/\\/www\\.baidu\\.com\\/.*");
    -- Fichier Fermé --

    Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
    Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
    Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
    Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
    Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    Clé supprimée: HKCU\Software\Ask.com
    Clé supprimée: HKCU\Software\AskToolbar
    Clé supprimée: HKCU\Software\AppDataLow\AskBarDis
    Clé supprimée: HKCU\Software\AppDataLow\AskHomePage
    Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
    Clé supprimée: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
    Erreur suppression clé: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

    Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\post platform|AskTB5.5
    Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
    Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [4.0b12 (fr)] ****

    FIREFOX.EXE\Shell\Open\Command - C:\Program Files\Mozilla Firefox 4.0 Beta 12\firefox.exe
    HKLM_MozillaPlugins\@checkpoint.com/FFApi (x)

    -- C:\Documents and Settings\Ralph\Application Data\Mozilla\FireFox\Profiles\3m87jpt4.default --
    Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
    Prefs.js - browser.startup.homepage_override.buildID, 20110222210221
    Prefs.js - browser.startup.homepage_override.mstone, rv:2.0b12

    ========================================

    **** Google Chrome Version [10.0.648.204] ****

    Google Chrome\Shell\Open\Command - C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

    -- C:\Documents and Settings\Ralph\Local Settings\Application Data\Google\Chrome\User Data\Default --
    Preferences - default_search_provider: "Google" (Activé: true) (?)
    Preferences - homepage: hxxp://ww.google.fr/
    Preferences - homepage_is_newtabpage: false
    Plugin - "BitTorrent" (Activé: true)
    Preferences - urls_to_restore_on_startup: hxxp://www.google.fr/

    ========================================

    **** Internet Explorer Version [8.0.6001.18702] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_Toolbar\WebBrowser|{EF79F67A-6AD7-4715-A0F8-932FCA442023} (x)
    HKCU_Toolbar\WebBrowser|{66F2E20D-0DA8-4C11-A9C8-DD8477B88ACD} (x)
    HKLM_Toolbar|{D2F8F919-690B-4EA2-9FA7-A203D1E04F75} (C:\Program Files\styler\TB\StylerTB.dll)
    HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
    HKCU_ElevationPolicy\{D3DE705E-0BB6-47E6-AB61-6FF78BE040A0} - C:\Program Files\Internet Explorer\minftnet.exe (Synersoft)
    HKLM_ElevationPolicy\690eb27a-378d-4386-a82f-15134cfdf78d - C:\Program Files\ZoneAlarm\ZoneAlarmToolbarHelper.exe (?)
    HKLM_ElevationPolicy\{B943664E-B0FA-4A6C-A9D3-A3291AB22688} - C:\Program Files\BittorrentBar_FR\BittorrentBar_FRToolbarHelper.exe (x)
    HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
    HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
    BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll)
    BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 80 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 28/03/2011 20:37:06 (5316 Octet(s))

    Fin à: 20:38:09, 28/03/2011

    ============== E.O.F ==============
    0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Extra !

    DÉSACTIVE TON ANTIVIRUS ET TON PARE-FEU SI PRÉSENTS !!!!! (car l'outil est détecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

    ▶ Télécharge ici :List_Kill'em

    et enregistre le sur ton bureau

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "exécuter en tant que...."


    sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    ♦ Exécuter List_Kill'em

    une fois terminée , clic sur "terminer"

    lance-le via le raccourci apparu sur ton bureau comme précité au début

    choisis l'option Search

    ▶ laisse travailler l'outil

    à l'apparition de la fenêtre blanche , c'est un peu long , c'est normal ,c'est une recherche supplémentaire de fichiers cachés , le programme n'est pas bloqué.

    ▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier C:\List'em.txt

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Fais de même avec more.txt qui se trouve sur ton bureau

    ▶ Copie ces liens dans ta réponse.
    0
  4. siltex Messages postés 862 Statut Membre 22
     
    Je n'arrive pas à installer List_Kill'em sa me met

    -''Acces Refuse"
    -L'installation n'est pas terminé. Veuillez corriger le problème et relancer l'installation.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. M@thew
     
    Salut, pourtant tu as l'air de t'y connaître à voir
    les désinfections que tu te permets de prendre en charge !!!

    :o(

    Montre nous !

    0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    lol :o)

    Bon, retélécharge la nouvelle version de list_kill'em, ça devrait aller.
    0
    1. siltex Messages postés 862 Statut Membre 22
       
      toujours pareil le message.
      0
  8. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    télécharge ça http://dl.dropbox.com/u/21363431/Pre_scan.exe
    pose le rapport rapport.txt sur ton bureau quand c est fait.
    0
    1. siltex Messages postés 862 Statut Membre 22
       
      je l'heberge ?
      0
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    non met direct ici
    0
  10. siltex Messages postés 862 Statut Membre 22
     
    Le scan prend combien de temps environ ? ( c en cours depuis 6 minutes.)
    0
  11. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    au bout de 30 minutes s'il a pas fini, coupe le et le rapport doit apparaitre ^^
    0
    1. siltex Messages postés 862 Statut Membre 22
       
      ok merci.
      0
  12. siltex Messages postés 862 Statut Membre 22
     
    Juste une question, d'ou vient le logiciel Pre Scan ? ( qui l'a creer ? depuis quand ?)
    0
  13. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    c est du même auteur que list_kill'em, gen hackman, ça tourne depuis 1 semaine environ.

    ça tue les rogue, restaure les services, supprime les premières infections en surface, restaure le mode sans échec etc etc
    un kill'em rapide :P
    0
    1. siltex Messages postés 862 Statut Membre 22
       
      C'est très récent, c'est pour ça que je n'ai rien trouvé sur internet ( je suis curieux )

      Cordialement Siltex_
      0
  14. siltex Messages postés 862 Statut Membre 22
     
    Est-ce que c'est ça ?

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Process_Killer by g3n-h@ckm@n 1.0.0.0 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Mis à jour le 24/03/2011 | 13.05 par g3n-h@ckm@n
    Utilisateur : Ralph (Administrateurs)
    Ordinateur : 5E38156C93D8437

    Système d'exploitation : Microsoft Windows XP (32 bits)
    Internet Explorer : 8.0.6001.18702
    Mozilla Firefox : 4.0b12 (fr)

    Scan : 18:14:52 | 29/03/2011

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [HKLM\..\..\Winlogon] | Shell -> Aucune modification : explorer.exe -> explorer.exe
    [HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
    [HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\WINDOWS\System32\userinit.exe, -> C:\WINDOWS\System32\userinit.exe,
    [HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Aucune modification : 1 -> 1

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [HKCR\exefile\..\..\command] : "%1" %*
    [HKCR\comfile\..\..\command] : "%1" %*
    [HKCR\scrfile\..\..\command] : "%1" /S
    [HKCR\batfile\..\..\command] : "%1" %*
    [HKCR\piffile\..\..\command] : "%1" %*

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    chrome.exe -> Processus stoppé
    explorer.exe -> Processus stoppé
    RTHDCPL.exe -> Processus stoppé

    ¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

    [HKLM\..\..\Services\Ndisuio] | Start -> Aucune modification : 3 -> 3
    [HKLM\..\..\Services\EapHost] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\Wlansvc] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\SharedAccess] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\windefend] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\wuauserv] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\wscsvc] | Start -> Aucune modification : 2 -> 2

    ¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Process_Killer by g3n-h@ckm@n 1.0.0.0 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Mis à jour le 24/03/2011 | 13.05 par g3n-h@ckm@n
    Utilisateur : Ralph (Administrateurs)
    Ordinateur : 5E38156C93D8437

    Système d'exploitation : Microsoft Windows XP (32 bits)
    Internet Explorer : 8.0.6001.18702
    Mozilla Firefox : 4.0b12 (fr)

    Scan : 18:26:25 | 29/03/2011

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [HKLM\..\..\Winlogon] | Shell -> Aucune modification : explorer.exe -> explorer.exe
    [HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
    [HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\WINDOWS\System32\userinit.exe, -> C:\WINDOWS\System32\userinit.exe,
    [HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Aucune modification : 1 -> 1

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [HKCR\exefile\..\..\command] : "%1" %*
    [HKCR\comfile\..\..\command] : "%1" %*
    [HKCR\scrfile\..\..\command] : "%1" /S
    [HKCR\batfile\..\..\command] : "%1" %*
    [HKCR\piffile\..\..\command] : "%1" %*

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    chrome.exe -> Processus stoppé
    explorer.exe -> Processus stoppé
    RTHDCPL.exe -> Processus stoppé
    explorer.exe -> Processus stoppé
    RTHDCPL.exe -> Processus stoppé

    ¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

    [HKLM\..\..\Services\Ndisuio] | Start -> Aucune modification : 3 -> 3
    [HKLM\..\..\Services\EapHost] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\Wlansvc] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\SharedAccess] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\windefend] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\wuauserv] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\wscsvc] | Start -> Aucune modification : 2 -> 2

    ¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    scanning jobs ...

    scanning processes ...

    scanning threads ...

    scanning modules in svchost.exe...
    scanning modules in services.exe...
    scanning modules in explorer.exe...

    restoring services BITS, wuauserv, ERSvc, WerSvc
    Service BITS autorun restored
    Service wuauserv autorun restored

    restoring show hidden and system files

    restoring SafeBoot registry node
    Restoring safe/network boot registry branches for windows XP

    scanning C:\WINDOWS\system32 ...
    scanning C:\Program Files\Internet Explorer\ ...
    scanning C:\Program Files\Movie Maker\ ...
    scanning C:\Program Files\Windows Media Player\ ...
    scanning C:\Program Files\Windows NT\ ...
    scanning C:\Documents and Settings\Ralph\Application Data ...
    scanning C:\DOCUME~1\Ralph\LOCALS~1\Temp\ ...
    scanning C:\ ...

    ¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
    0
  15. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    oui ^^

    Service BITS autorun restored
    Service wuauserv autorun restored

    restoring show hidden and system files

    restoring SafeBoot registry node
    Restoring safe/network boot registry branches for windows XP

    il a bien bossé :P

    passe un coup de delfix : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

    mode suppression

    et refais ça : https://forums.commentcamarche.net/forum/affich-21416477-ai-je-un-virus#3
    0
  16. siltex Messages postés 862 Statut Membre 22
     
    Rapport Delfix :

    # DelFix v7.5 - Rapport créé le 29/03/2011 à 18:57
    # Mis à jour le 15/03/11 à 16h30 par Xplode
    # Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
    # Nom d'utilisateur : Ralph - 5E38156C93D8437 (Administrateur)
    # Exécuté depuis : C:\Documents and Settings\Ralph\Mes documents\Downloads\DelFix.exe
    # Option [Suppression]

    ~~~~~~ Dossier(s) ~~~~~~

    Supprimé : C:\RSIT
    Supprimé : C:\Program Files\Ad-Remover
    Supprimé : C:\Program Files\List_Kill'em

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\Ad-Report-CLEAN[1].txt
    Supprimé : C:\Documents and Settings\Ralph\Mes documents\Downloads\List_Killem_Install (1).exe
    Supprimé : C:\Documents and Settings\Ralph\Mes documents\Downloads\List_Killem_Install (2).exe
    Supprimé : C:\Documents and Settings\Ralph\Mes documents\Downloads\List_Killem_Install (3).exe
    Supprimé : C:\Documents and Settings\Ralph\Mes documents\Downloads\List_Killem_Install (4).exe
    Supprimé : C:\Documents and Settings\Ralph\Mes documents\Downloads\List_Killem_Install.exe
    Supprimé : C:\Documents and Settings\Ralph\Mes documents\Downloads\RSIT (1).exe
    Supprimé : C:\Documents and Settings\Ralph\Mes documents\Downloads\RSIT.exe

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover

    ~~~~~~ Autre ~~~~~~

    -> Prefetch vidé

    ########## EOF - "C:\DelFixSuppr.txt" - [1512 octets] ##########
    0
  17. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    bien retélécharge et retente list_kill'em
    0
  18. siltex Messages postés 862 Statut Membre 22
     
    1er Lien : http://www.cijoint.fr/cjlink.php?file=cj201103/cijmw3eSFv.txt
    2ème Lien : http://www.cijoint.fr/cjlink.php?file=cj201103/cijBPnbxBQ.txt
    0
  19. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ATTENTION !! ce script est réservé uniquement à cette machine , ne pas reproduire !!!!!

    ▶ Relance List&Kill'em,avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ▶ choisis l'option Tools puis Script

    une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

    un nouveau document texte s'ouvre , copie/colle ce en gras si dessous :

    REM:"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"  /v "TeaTimer"
    REM:"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"  /v "NvCplDaemon"
    PORT:8113:TCP
    PORT:48113:UDP
    REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}"
    FILE:C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe


    ▶ enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

    laisse travailler l'outil

    poste le resultat

    ▶ Ferme List_Kill'em

    Note : le rapport est sur ton bureau : Script_(4 chiffres).txt
    0
  20. siltex Messages postés 862 Statut Membre 22
     
    ¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

    Running Process Killed : PID 2712 'explorer.exe'
    Running Process Killed : PID 2712 'explorer.exe'

    ¤¤¤¤¤¤¤¤¤¤ Processus :

    ¤¤¤¤¤¤¤¤¤¤ Added Keys :

    ¤¤¤¤¤¤¤¤¤¤ Removed Keys :

    Suppression : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run : NvCplDaemon
    Suppression : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}

    ¤¤¤¤¤¤¤¤¤¤ Ports closed :

    Suppression : 48113:UDP

    ¤¤¤¤¤¤¤¤¤¤ File|Folder deleted :

    ¤¤¤¤¤¤¤¤¤¤ Drivers deleted :

    ¤¤¤¤¤¤¤¤¤¤ Object Restored :

    ¤¤¤¤¤¤¤¤¤¤ Folder List :

    ¤¤¤¤¤¤¤¤¤¤ Read File :

    ¤¤¤¤¤¤¤¤¤¤ Signature :

    ¤¤¤¤¤¤¤¤¤¤ Key Look :

    End at 19:26:48

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
    0
  21. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    La suite:

    ▶ Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau.

    ▶ ▶ Miroir 1 si inaccessible

    ▶ ▶ Miroir 2 si inaccessible

    ▶ ▶ /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

    ▶ Double clique sur le fichier téléchargé pour lancer le processus d'installation.
    ▶ Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour
    ▶ si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte
    Une fois la mise à jour terminée
    ▶ rends-toi dans l'onglet Recherche
    ▶ Sélectionne Exécuter un examen complet
    ▶ Clique sur Rechercher
    ▶ ▶ Le scan démarre.
    ▶ A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    ▶ Clique sur Ok pour poursuivre.
    ▶ Si des malwares ont été détectés, cliques sur Afficher les résultats
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    ▶ Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)

    ▶ ▶ Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
    ▶ Une fois le PC redémarré, rends toi dans l'onglet rapport/log
    ▶ Tu clique dessus pour l'afficher, une fois affiché
    ▶ Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)

    Si tu as besoin d'aide regarde ce tutoriel :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    ▶ ▶ Si tu n'arrive pas à le mettre à jour, télécharge ce fichier

    ========================================================

    Nous allons effectuer un diagnostic de ton PC:
    Télécharge ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    ou :
    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    ▶ Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

    /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

    ▶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    ▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    ▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
    http://pjjoint.malekal.com/

    Si indispo:
    http://www.cijoint.fr/
    ou :
    http://ww38.toofiles.com/fr/documents-upload.html
    ou :
    https://www.cjoint.com/
    ou :
    https://www.casimages.com/

    ▶ Tuto zhpdiag :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    Hébergement de rapport sur pjjoint.malekal.com

    ▶ Rends toi sur pjjoint.malekal.com
    ▶ Clique sur le bouton Parcourir
    ▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
    ▶ Clique sur le bouton Envoyer
    ▶ Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.
    0
  • 1
  • 2
  • 3