Ecran bleu et logiciel antivirus qui apparait Fermé

Question

Bonjour, 

je regardais une série en streaming sur un site dont je n'était jamais partie, et d'un coup, tout se ferme, VLC, mozilla... j'ai toujours mes dossiers sur mon bureau mais le fond d'écran est bleu, je ne peut rien lancer du tout. Il y a aussi le logiciel MS Remove Tool qui s'ouvre comme étant un anti virus mais je ne l'ai jamais téléchargé.. il a aussi un message qui me dit "warning your computer is infected". j'ai du me mettre sur un autre PC pour vous écrire ceci ! je suis paniquée et nulle en informatigue, je n'avais pas d'anti virus...
voilà j'attends vite une réponse car je suis en panique (heureusement que j'ai tout mes dossier sur clé usb!!) merci d'avance !

Configuration: Windows XP / Firefox 3.0.19

Utilisateur anonyme · Answer

Bonjour
Tu as attrapé un rogue sur le site de streaming

Télécharge sur le bureau RogueKiller
* Quitte tous les programmes en cours, c'est important
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lance simplement RogueKiller.exe
* Lorsque demandé, tape 1 et valide
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), poste
le contenu
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

lleyaa · Answer

meci beaucoup je fais ca tout de suite

lleyaa · Answer

j'ai télécharger Roguekiller sur une clé usb, puis mis sur mon pc infecté, impossible de lancer le fichier, lorsqu'il me demande si je veux exécuter le fichier en tant qu'administrateur je clique sur autorisé, puis ensuite le message en bas à droite affiche "warnin your comptuer is infected" j'ai pourtant essayé plusieurs fois :S

lleyaa · Answer

Help please !!!!

Utilisateur anonyme · Answer

renomme Rogue Killer Winlogon.exe, et essaye de le relancer

lleyaa · Answer

je l'ai fait, sans résultat malheuresement

Utilisateur anonyme · Answer

essaye en mode sans échec

lleyaa · Answer

ok je lance le pc et f8 au démarrage c'est ca?

Utilisateur anonyme · Answer

oui, tu presses la touche f8, et tu choisis mode sans échec avec prise en charge
de réseau

lleyaa · Answer

c'est bon j'ai trouvé le mode sans échec -_-

lleyaa · Answer

alors meme quand je suis en mode sans échac, quand je lance rogue ca me dit qu'ila cessé de fonctionner ...

Utilisateur anonyme · Answer

Tu as été dans le BIOS, pas aller là dedans
Quand tu redémarres ton PC, juste avant que Windows se charge, tu presses
la touche F8, et tu dois pouvoir choisir mode sans échec avec prise en charge de
réseau

lleyaa · Answer

oui c'est fait, et ca ne veut pas s'ouvrir ca me dit directe que ca cessé de fonctionner

lleyaa · Answer

je suis désespérée!!!

lleyaa · Answer

c'est bon j'ai enfin réussi à le lancer, voici le rapport:

RogueKiller V4.3.6 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: sakina [Droits d'admin]
Mode: Recherche -- Date : 03/04/2011 17:42:49

Processus malicieux: 0

Entrees de registre: 2
[APPDT/TMP/DESKTOP] HKCU\[...]\RunOnce : pGi31001iDnFj31001 (C:\ProgramData\pGi31001iDnFj31001\pGi31001iDnFj31001.exe) -> FOUND
[APPDT/TMP/DESKTOP] HKUS\S-1-5-21-1710303505-3286550132-2569254201-1000[...]\RunOnce : pGi31001iDnFj31001 (C:\ProgramData\pGi31001iDnFj31001\pGi31001iDnFj31001.exe) -> FOUND

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

Utilisateur anonyme · Answer

Relance Rogue Killer que tu as renommé, et tape 2, puis poste le rapport

lleyaa · Answer

RogueKiller V4.3.6 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: sakina [Droits d'admin]
Mode: Suppression -- Date : 03/04/2011 18:31:00

Processus malicieux: 0

Entrees de registre: 1
[APPDT/TMP/DESKTOP] HKCU\[...]\RunOnce : pGi31001iDnFj31001 (C:\ProgramData\pGi31001iDnFj31001\pGi31001iDnFj31001.exe) -> DELETED

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

lleyaa · Answer

là j'ai téléchargé Malwarebytes, j'ai fait le scann il n'est pas fini il y a déjà 8 éléments infectés

lleyaa · Answer

voici le rapport de Malwarebytes, j'ai supprimé les element infectés :

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 6256

Windows 6.0.6001 Service Pack 1 (Safe Mode)
Internet Explorer 7.0.6001.18000

03/04/2011 18:35:15
mbam-log-2011-04-03 (18-35-15).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|)
Elément(s) analysé(s): 300645
Temps écoulé: 38 minute(s), 34 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\pGi31001iDnFj31001 (Trojan.Downloader) -> Value: pGi31001iDnFj31001 -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\programdata\pgi31001idnfj31001\pgi31001idnfj31001.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\sakina\AppData\Local	emp\crxasoemwn.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\sakina\AppData\Local	emp\exmawnscor.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\sakina\AppData\Local	emp
wamoescrx.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\sakina\AppData\Local	emp\wlgpqpig.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\sakina\AppData\Local	emp\yyed.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
c:\Windows\System32k_quarantine\pgi31001idnfj31001.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\sakina\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Edit 
Vide la quarantaine de Malwarebytes 

Désactive l'UAC: contrôle de compte d'utilisateur 

Clique sur le menu Démarrer puis sur Panneau de configuration , Comptes d'utilisateurs 
Clique sur Activer ou désactiver le contrôle des comptes d'utilisateurs: 
Une nouvelle fenêtre s'ouvre,décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur puis OK: 
Une demande s'affiche si vous voulez redémarrer votre ordinateur, clique sur redémarrer maintenant 

https://forums.cnetfrance.fr 


Avant de commencer, fait une sauvegarde de tous tes documents 
Attention, cet outil n'est pas à utiliser à la légère, et doit 
être recommandé que par une personne formée à cet outil 
Imprime la procédure 

Attention Très Important 

/!\Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. 
La simple désactivation du résident n'est pas suffisante. 
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover 
Choisis la version adéquate (32 ou 64 bits)/!\ 

Télécharge ComboFix de sUBs sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

tutoriel pour bien utiliser l'outil 
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix 

/!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 

---> Clic droit sur ComboFix.exe, et sur exécuter en tant qu'administrateur 
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie...Clique sur oui pour accepter  
---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt 

Je reviens plus tard dans la soirée

O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

lleyaa · Answer

ca marche là cayé je n'ai plus l'écran bleu et je peux relancer enfin mes fichier! mais mon pc super lent... merci de l'aide en tout cas j'attends le résultat :)

lleyaa · Answer

Je viens de lancer combofix, j n'avai pas AVG. Ppur l'instant il me dit que des etapes sont terminees mais il ne m'a pas demandé de demarrer le scan

lleyaa · Answer

par contreje n'ai pas d'anti spyware ni d'antivirus :S
voici le rapport de combofox :


ComboFix 11-04-03.02 - sakina 04/04/2011   9:12.2.4 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.3326.2333 [GMT 2:00]
Lancé depuis: c:\users\sakina\Desktop\ComboFix.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\Install.cmd
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-03-04 au 2011-04-04  ))))))))))))))))))))))))))))))))))))
.
.
2011-04-04 07:24 . 2011-04-04 07:24	--------	d-----w-	c:\users\sakina\AppData\Local	emp
2011-04-04 07:24 . 2011-04-04 07:24	--------	d-----w-	c:\users\Public\AppData\Local	emp
2011-04-04 07:24 . 2011-04-04 07:24	--------	d-----w-	c:\users\Default\AppData\Local	emp
2011-04-03 16:31 . 2011-04-03 13:37	375808	----a-w-	c:\program files\Mozilla Firefox\RK_Quarantine\pgi31001idnfj31001.exe.vir
2011-04-03 15:54 . 2011-04-03 15:54	--------	d-----w-	c:\users\sakina\AppData\Roaming\Malwarebytes
2011-04-03 15:54 . 2011-04-03 15:54	--------	d-----w-	c:\programdata\Malwarebytes
2011-04-03 15:54 . 2010-11-29 15:42	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-03 15:54 . 2011-04-03 15:54	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-04-03 15:54 . 2010-11-29 15:42	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-04-03 15:42 . 2011-04-03 16:35	--------	d-----w-	c:\windows\system32\RK_Quarantine
2011-04-03 13:37 . 2011-04-03 16:35	--------	d-----w-	c:\programdata\pGi31001iDnFj31001
2011-04-01 10:25 . 2011-03-15 04:05	6792528	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{CDD76CED-3F3D-4479-9D3E-ED0947E90408}\mpengine.dll
2011-03-09 06:02 . 2010-12-29 17:41	323072	----a-w-	c:\windows\system32\sbe.dll
2011-03-09 06:02 . 2010-12-29 17:41	153088	----a-w-	c:\windows\system32\sbeio.dll
2011-03-09 06:02 . 2010-12-29 17:41	429056	----a-w-	c:\windows\system32\EncDec.dll
2011-03-09 06:02 . 2010-12-29 17:39	177664	----a-w-	c:\windows\system32\mpg2splt.ax
2011-03-09 06:02 . 2010-12-17 16:43	2067456	----a-w-	c:\windows\system32\mstscax.dll
2011-03-09 06:02 . 2010-12-17 15:06	677888	----a-w-	c:\windows\system32\mstsc.exe
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-02 17:11 . 2009-10-08 10:11	222080	------w-	c:\windows\system32\MpSigStub.exe
2011-01-08 07:50 . 2011-02-09 08:51	34304	----a-w-	c:\windows\system32\atmlib.dll
2011-01-08 05:57 . 2011-02-09 08:51	292352	----a-w-	c:\windows\system32\atmfd.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-10-11 14940040]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-12 13584928]
"RtHDVCpl"="RtHDVCpl.exe" [2008-03-26 5369856]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"D-Link D-Link Wireless G DWA-110"="c:\program files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe" [2007-05-04 1662976]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"LogitechCommunicationsManager"="c:\program files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2007-03-06 488984]
"LogitechQuickCamRibbon"="c:\program files\Labtec\WebCam10\WebCam10.exe" [2007-03-06 1060376]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-21 148888]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160]
.
c:\users\sakina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"UacDisableNotify"= 0 (0x0)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux9"=wdmaud.drv
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S2 ETService;Empowering Technology Service;c:\program files\Packard Bell\Packard Bell Recovery Management\Service\ETService.exe [2008-07-16 24576]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
.
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-04 c:\windows\Tasks\User_Feed_Synchronization-{71EEBF38-5AD6-45B2-82C4-C3A80B96D3B9}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:24]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.atcomet.com/b/
uDefault_Search_URL = hxxp://www.durable.com/recherche
uSearchMigratedDefaultURL = hxxp://www.durable.com/result?cx=partner-pub-7902900401080901%3Azbljezwsgul&cof=FORID%3A10&ie=UTF-8&q={searchTerms}
mStart Page = hxxp://www.durable.com/recherche
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.durable.com/recherche
uSearchURL,(Default) = hxxp://www.durable.com/recherche
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Tout télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
IE: Télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: Télécharger toutes les vidéos avec BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
FF - ProfilePath - c:\users\sakina\AppData\Roaming\Mozilla\Firefox\Profiles\4r81dp0h.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=18&q=
FF - prefs.js: browser.search.selectedEngine - Fast Browser Search
FF - prefs.js: browser.startup.homepage - google.fr
FF - prefs.js: keyword.URL - hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=18&tid={45555D39-6B98-2716-7355-0018874BB642}&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Skype extension: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - %profile%\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - Ext: My Tattoons (Fast Browser Search): {C2DCA7EB-22D2-4FD2-86A9-F99FCC8122BB} - %profile%\extensions\{C2DCA7EB-22D2-4FD2-86A9-F99FCC8122BB}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - user.js: yahoo.ytff.general.dontshowhpoffer - true
.
- - - - ORPHELINS SUPPRIMES - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-04 09:24
Windows 6.0.6001 Service Pack 1 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Heure de fin: 2011-04-04  09:29:25
ComboFix-quarantined-files.txt  2011-04-04 07:29
ComboFix2.txt  2009-10-20 17:13
.
Avant-CF: 779 511 050 240 octets libres
Après-CF: 781 107 384 320 octets libres
.
- - End Of File - - E9A3CB65689C3CFF636926498F1ACB91

lleyaa · Answer

n

Utilisateur anonyme · Answer

Bonjour
Désolée, j'ai eu un problème avec mon PC, je ne pouvais pas répondre

par contreje n'ai pas d'anti spyware ni d'antivirus :S

Il me semble que tu as un antivirus, c'est Avira Antivir
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe"

On va faire une recherche de rootkit TDSS, car Malwarebytes a trouvé un fichier
sur ce rootkit:

Télécharge TDSSKiller sur ton bureau
https://support.kaspersky.com/downloads/utils/tdsskiller.zip
Crée un nouveau dossier sur ton bureau puis décompresse l'archive dedans
Lance le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.
Coche les, et clique sur Dele

lleyaa · Answer

aparament il n'y a pas d'infections
mon antivirus n'est pas terrible je crois meme que la date d'essai est dépassée

Utilisateur anonyme · Answer

Mais non, Antivir n'est jamais dépassé, sauf pour la version payante

On va vérifier avec un diagnostic complet, s'il reste des choses à nettoyer

* Télécharge ZHPDiag (de Nicolas Coolman)
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Surtout, n'oublie pas d'installer son icône sur le bureau
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI

Au cas où ce message apparait:
"Impossible d'exécuter le fichier: C:\Program Files\ZHPDiag\ZHPDiag.exe
CreateProcess a échoué; code 740
L'opération demandée necéssite une élévation."

Tu fait clic droit sur l'icône de ZHPDiag présent sur le bureau
Clique sur propriétés, et sur l'onglet compatibilité
En bas, coche Exécuter ce programme en tant qu'administrateur
Clique sur Appliquer, puis sur OK

Ensuite, clic droit sur l'icône de ZHPDiag, et clique exécuter en tant
qu'administrateur

lleyaa · Answer

merci de la réponse! c'est fait j'ai hébergé le rapport sur le lien

Utilisateur anonyme · Answer

Serait-il possible d'avoir le lien ?
Je répondrais plus tard dans la soirée si tout va bien

lleyaa · Answer

ok
http://up.sur-la-toile.com/iL18

Utilisateur anonyme · Answer

Télécharge Ad-Remover (de C_XX) sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html    ( Lien officiel )
https://www.androidworld.fr/ ( Miroir )
[b]Désactive l'anti-virus[/b]

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur [b]Scanner[/b].
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Il est sauvegardé dans [b]C:\Ad-Remover-SCAN[1].txt[/b]

lleyaa · Answer

Bonjour, merci ! voilà le rapport


======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 04/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 16:04:49 le 05/04/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 1 (X86) 
sakina@PC-DE-SAKINA (PACKARD BELL BV IMEDIA A4730 FR) 
 
============== RECHERCHE ==============


Fichier trouvé: C:\Users\sakina\AppData\Roaming\Mozilla\FireFox\Profiles\4r81dp0h.default\searchplugins\askcom.xml
Dossier trouvé: C:\Users\sakina\AppData\Roaming\Mozilla\FireFox\Profiles\4r81dp0h.default\extensions\{C2DCA7EB-22D2-4FD2-86A9-F99FCC8122BB}
Fichier trouvé: C:\Users\sakina\AppData\Roaming\Mozilla\FireFox\Profiles\4r81dp0h.default\searchplugins\fast-browser-search.xml

-- Fichier ouvert: C:\Users\sakina\AppData\Roaming\Mozilla\FireFox\Profiles\4r81dp0h.default\Prefs.js --
Ligne trouvée: user_pref("browser.search.defaultengine", "Ask.com"); 
Ligne trouvée: user_pref("browser.search.defaultenginename", "Fast Browser Search"); 
Ligne trouvée: user_pref("browser.search.defaulturl", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&... 
Ligne trouvée: user_pref("browser.search.order.1", "Fast Browser Search"); 
Ligne trouvée: user_pref("browser.search.selectedEngine", "Fast Browser Search"); 
Ligne trouvée: user_pref("keyword.URL", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=18&tid={455... 
-- Fichier Fermé --
 

Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}

lleyaa · Answer

je n'arrive pas à afficher la suite, quand j'envoie le rapport entier le forum me dit "titre du message non renseigné"

Utilisateur anonyme · Answer

Bonjour lleyaa
Relance AD Remover
Clique sur Nettoyer.
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Il est sauvegardé dans C:\Ad-Remover-CLEAN[1].txt

lleyaa · Answer

je peux le poster ou? car je n'arrive plus sur le forum

lleyaa · Answer

http://up.sur-la-toile.com/iL3O

Utilisateur anonyme · Answer

Très bien
Pourrais tu m'héberger un nouveau rapport ZHPDiag, et donne moi le lien

lleyaa · Answer

c'est fait, j'ai relancer le scann

lleyaa · Answer

http://up.sur-la-toile.com/iL3S

Utilisateur anonyme · Answer

Il y a des failles de sécurité comme celles de San Andréas 

Tu vas mettre à jour Windows, Adobe, et Java 
Désinstalle Adobe et Java 

Installe la nouvelle version d'Adobe en cliquant sur ce lien 
https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html 
Prend le temps de lire les instructions, et tu dois refuser 
le complément qu'on te propose 

Télécharge et installe la nouvelle version de Java 
https://java.com/fr/ 
Attention, prend le temps de lire les informations, 
décoche la case Yahoo toolbar 


Installe le service Pack 2 pour Windows Vista 
http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=a4dd31d5-f907-4406-9012-a5c3199ea2b3 


O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

lleyaa · Answer

il y a plusieurs adobe et jave, lesquels dois je supprimer?

lleyaa · Answer

C'est fait, je viens de tout installer !

Utilisateur anonyme · Answer

Pourrais tu me refaire ZHPDiag, pour que je vois ce qu'il y a à optimiser

Evite de poster les rapports ZHPDiag ici, héberge le rapport

lleyaa · Answer

bonjour, c'est fait : http://up.sur-la-toile.com/iL8c

Utilisateur anonyme · Answer

Bonsoir
Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier 

OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe
OPT:O4 - Global Startup: C:\Users\sakina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.0.lnk . (...)  -- C:\Program Files\OpenOffice.org 3\program\quickstart.exe
OPT:O23 - Service:  (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
OPT:SR - | Auto 27/07/2010 345376 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
[HKCR\.bc!]    => Infection BT (Adware.BHO) 
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]    => Infection BT (Spyware.BHO) 
O4 - Global Startup: C:\Users\sakina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet - Raccourci.lnk - Clé orpheline    
O44 - LFC:[MD5.CAA6313916E120EA22C08AF909B257BE] - 05/04/2011 - 16:55:35 ---A- . (...) -- C:\Ad-Report-CLEAN[1].txt   [4594] 
O44 - LFC:[MD5.3239522FB1F6E69C127CDADC18854DC2] - 05/04/2011 - 15:05:49 ---A- . (...) -- C:\Ad-Report-SCAN[1].txt   [5187] 
 O87 - FAEL: "{2E6C1CA9-B8B7-47EA-A24D-4170A1BF9136}" | In - Public - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe  
 O87 - FAEL: "{FBC365E2-D3FB-4C2B-9BCD-91473536C951}" | In - Public - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe  


* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

Redémarre ton PC

lleyaa · Answer

Merci bonjour voilà le rapport :





Rapport de ZHPFix 1.12.3273 par Nicolas Coolman, Update du 03/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-08-04-2011-11-20-58.txt
Run by sakina at 08/04/2011 11:20:58
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe  => Clé non supprimée
HKCR\.bc!  => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe  => Valeur supprimée avec succès
{2E6C1CA9-B8B7-47EA-A24D-4170A1BF9136}  => Valeur supprimée avec succès
{FBC365E2-D3FB-4C2B-9BCD-91473536C951}  => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\users\sakina\appdata\roaming\microsoft\windows\start menu\programs\startup\openoffice.org 3.0.lnk  => Supprimé et mis en quarantaine
c:\users\sakina\appdata\roaming\microsoft\internet explorer\quick launch\internet - raccourci.lnk  => Supprimé et mis en quarantaine
c:\ad-report-clean[1].txt  => Supprimé et mis en quarantaine
c:\ad-report-scan[1].txt  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
3 : Clé(s) du Registre
6 : Valeur(s) du Registre
4 : Fichier(s)


End of the scan

lleyaa · Answer

J'ai redemarer mon PC, je n'ai plus internet !!!!!!!!!!

lleyaa · Answer

Fausse alerte desolé !!!

Utilisateur anonyme · Answer

Bonjour,
J'ai redemarer mon PC, je n'ai plus internet !!!!!!!!!!
Comment tu as pu me répondre ?

On va terminer

Télécharge DelFix (d'Xplode) sur ton bureau.

Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
  
Sélectionne Suppression

Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.



Tu dois désactiver la restauration système pour supprimer les points de restauration infectés:

* Démarrer, Panneau de configuration, Système, puis sur Protection du système à gauche
* La fenêtre Propriétés système s'ouvre
* Va dans l'onglet Protection du système
* Patiente le temps que Windows cherche
* Décoche les partitions
* Windows demande si on veut désactiver la restauration système
* Clique sur désactiver la restauration système
* Valide en cliquant sur OK
* Redémarre le PC


Tu dois réactiver la restauration système, et tu vas créer un point de restauration propre:

* Démarrer, Panneau de configuration, Système, puis à gauche, dans tâches, sur Protection du système
* Dans la fenêtre Propriètés système, recoche les partitions , puis clique sur Appliquer
* Tu peux créer un point de restauration propre tout de suite en cliquant sur créer
* Une petite fenêtre s'ouvre
* Entre la date du point de restauration que tu veux créer
* Clique sur créer, et le point de restauration se crée automatiquement, puis on t'annonce que le point de restauration a été créé, puis clique sur OK
* Redémarre le PC

lleyaa · Answer

(j'ai répondu avec mon téléphone!) voici le rapport






# DelFix v7.6 - Rapport créé le 08/04/2011 à 17:53
# Mis à jour le 31/03/11 à 16h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
# Nom d'utilisateur : sakina - PC-DE-SAKINA (Administrateur)
# Exécuté depuis : C:\Users\sakina\Desktop\infect\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\Combofix
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\TDSSKiller.2.4.21.0_04.04.2011_15.42.34_log.txt
Supprimé : C:\ZHPExportRegistry-08-04-2011-11-20-58.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\sed.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1748 octets] ##########

Utilisateur anonyme · Answer

Tu as fait la purge du PC ?
Comment va ton PC ?

lleyaa · Answer

la purge? comment ca ? :S

mon pc est un peu lent je trouve

lleyaa · Answer

enfin oui j'ai fait tout ce que vous m'avez dit

lleyaa · Answer

il est très lent meme je dirai! bisar !

Utilisateur anonyme · Answer

Bonjour,
As tu déjà défragmenté le disque dur ?

lleyaa · Answer

non je suis totalement nulle en informatique, je ne sais meme pas ce que cela veut dire!

Utilisateur anonyme · Answer

Défragmenter le disque dur, c'est pour rassembler des fragments de fichiers
qui se sont éparpillés sur le disque dur, ce qui peut l'user, et cela peut
ralentir le PC
On va essayer ceci pour voir
Le disque dur travaille, et il a besoin d'être défragmenté régulièrement

Tu vas procéder comme ceci:
Démarrer>tous les programmes>accessoires>outils système
Ouvre le défragmenteur de disque, et clique sur défragmenter maintenent
Cela peut durer longtemps, tu le laisses faire

lleyaa · Answer

merci ! je vais faire ca demain car je travail sur mon PC depuis cet aprem

Ecran bleu et logiciel antivirus qui apparait

58 réponses

Discussions similaires