Bonjour, mon ordinateur rame, je ne sais pas si est dû aux virus, mais voici le fichier de diagnostics http://www.cijoint.fr/cjlink.php?file=cj201106/cijksYWPF7.txt : Vous pouvez me le dire qu'est-ce qui ce passe merci.

Hello oui tu es bien infecté un rogue et des adwares, commence avec ça : Avertissement: Il y aura une courte extinction du bureau pendant que l''outil travaillera --> pas de panique. désactive ton antivirus désactive Windows defender si présent désactive ton pare-feu Télécharge Pre_scan (de gen-hackman) &#9830 Enregistre le sur ton bureau s'il n'est pas sur ton bureau coupe-le de ton dossier téléchargements et colle-le sur ton bureau &#9654 Exécute Pre_scan. Si l''outil détecte un proxy et que tu n''en as pas installé clique sur "supprimer le proxy" &#9654 Une fois qu'il aura fini, un rapport s'ouvrira. &#9830 NE LE POSTE PAS SUR LE FORUM (il est trop long) clique sur ce lien : http://www.cijoint.fr/ &#9654 Clique sur Parcourir et cherche le fichier Pre_Scan.txt qui se trouve sur ton bureau &#9654 Clique sur Ouvrir. &#9654 Clique sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt est ajouté dans la page. &#9654 Copie ce lien dans ta réponse. ============================================================ Ton pc présente diverses infections Adwares. CF : https://www.futura-sciences.com/tech/definitions/internet-adware-1857/ &#9654 Télécharge de AD-Remover sur ton Bureau. (TeamXScript) http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel ) OU https://www.androidworld.fr/ ( Miroir ) /!\ Ferme toutes applications en cours /!\ &#9654 Double-clique sur l''icône Ad-remover située sur ton Bureau. &#9654 Sur la page, clique sur le bouton « Scanner » &#9654 Confirme lancement du scan &#9654 Laisse travailler l''outil. &#9654 Quand il a fini, un rapport s'ouvrira : ferme le. &#9830 Pour me transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ &#9654 Clique sur Parcourir et cherche le fichier C:\Ad-Report-SCAN[1].txt &#9654 Clique sur Ouvrir. &#9654 Clique sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt est ajouté dans la page. &#9654 Copie ce lien dans ta réponse.

Mon ordinateur rame

Réponse 21 / 31

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

Hello,

c:\program files\JD -> tu connais ??

==========

c:\program files\Spybot - Search & Destroy --> désinstalle spybot il est obsolète

==========

c:\windows\system32\PopupPro.exe -> envoie ce fichier sur virustotal stp

==========

Réponse 22 / 31

bcrato Messages postés 42 Statut Membre

Oui, c'est JDownloader

Bizarre, je ne peux pas le désinstaller le logiciel Spybot.

Antivirus results
AhnLab-V3 - 2011.01.18.00 - 2011.01.17 - - 
AntiVir - 7.11.2.0 - 2011.01.26 - - 
Antiy-AVL - 2.0.3.7 - 2011.01.26 - - 
Avast - 4.8.1351.0 - 2011.01.26 - - 
Avast5 - 5.0.677.0 - 2011.01.26 - - 
AVG - 10.0.0.1190 - 2011.01.26 - - 
BitDefender - 7.2 - 2011.01.26 - - 
CAT-QuickHeal - 11.00 - 2011.01.25 - - 
ClamAV - 0.96.4.0 - 2011.01.26 - - 
Commtouch - 5.2.11.5 - 2011.01.26 - - 
Comodo - 7511 - 2011.01.26 - - 
DrWeb - 5.0.2.03300 - 2011.01.26 - - 
eSafe - 7.0.17.0 - 2011.01.24 - - 
eTrust-Vet - 36.1.8121 - 2011.01.26 - - 
F-Prot - 4.6.2.117 - 2011.01.26 - - 
F-Secure - 9.0.16160.0 - 2011.01.26 - - 
Fortinet - 4.2.254.0 - 2011.01.26 - - 
GData - 21 - 2011.01.26 - - 
Ikarus - T3.1.1.97.0 - 2011.01.26 - - 
Jiangmin - 13.0.900 - 2011.01.26 - - 
K7AntiVirus - 9.78.3650 - 2011.01.26 - - 
McAfee - 5.400.0.1158 - 2011.01.26 - - 
McAfee-GW-Edition - 2010.1C - 2011.01.26 - - 
Microsoft - 1.6502 - 2011.01.26 - - 
NOD32 - 5822 - 2011.01.26 - - 
Norman - 6.06.12 - 2011.01.26 - - 
nProtect - 2011-01-18.01 - 2011.01.18 - - 
Panda - 10.0.3.5 - 2011.01.26 - - 
PCTools - 7.0.3.5 - 2011.01.26 - - 
Prevx - 3.0 - 2011.01.26 - - 
Rising - 23.42.02.03 - 2011.01.26 - - 
Sophos - 4.61.0 - 2011.01.26 - - 
SUPERAntiSpyware - 4.40.0.1006 - 2011.01.26 - - 
Symantec - 20101.3.0.103 - 2011.01.26 - - 
TheHacker - 6.7.0.1.120 - 2011.01.26 - - 
TrendMicro - 9.120.0.1004 - 2011.01.26 - - 
TrendMicro-HouseCall - 9.120.0.1004 - 2011.01.26 - - 
VBA32 - 3.12.14.3 - 2011.01.26 - - 
VIPRE - 8207 - 2011.01.26 - - 
ViRobot - 2011.1.26.4276 - 2011.01.26 - - 
VirusBuster - 13.6.166.0 - 2011.01.26 - - 
File info: 
MD5: 83938529dde6b464d7f7c4b6c86826f8 
SHA1: c443e14103a360cfc48798c24815dd97db05a79b 
SHA256: 152095a88c8a809071ffe3e4cd0e5834a5e6ece99296c3ee2a88e9bdcc7ea8de 
File size: 1064960 bytes 
Scan date: 2011-01-26 21:59:16 (UTC)

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

et concernant popuppro.exe ?

bcrato Messages postés 42 Statut Membre

Ce n'est pas un virus, c'est un logiciel d'orthographe et de grammaire.

hoos75 Messages postés 43 Statut Membre 6

il

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

lol ^^

Réponse 23 / 31

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

Re,

Ouvre RegEdit : démarrer>exécuter>tape "RegEdit" (sans les guillemets) et valide par enter

Développe avec les petits "+" ce chemin (partie gauche de la fenetre):
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager
tu met en surbrillance session manager
dans la fenetre de droite il doit y avoir une valeur appelée BootExecute
clic droit>modifier sur BootExecute
tu supprime ça : \0\0sdnclean.exe
puis tu fais ok

redémarre la machine

Réponse 24 / 31

bcrato Messages postés 42 Statut Membre

Dans le clé, il y a marqué :

autocheck autochk *

sdnclean.exe

donc, je supprime sdnclean.exe

Réponse 25 / 31

bcrato Messages postés 42 Statut Membre

le voici :

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 18:24:05 le 13/06/2011
4. 
5. Valeur(s) recherchée(s):
6. sdnclean.exe
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Recherche registre
13. 
14. ====== Fichier(s) ======
15. 
16. Aucun fichier trouvé
17. 
18. 
19. ====== Entrée(s) du registre ======
20. 
21. Aucun élément dans le registre trouvé
22. 
23. =========================
24. 
25. Fin à: 18:27:37 le 13/06/2011
26. 578695 Éléments analysés
27. 
28. =========================
29. E.O.F

Réponse 26 / 31

bcrato Messages postés 42 Statut Membre

Le voici :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijZpV9S3n.txt

Réponse 27 / 31

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

[HKCU\Software\Agence-Exclusive]    => Infection BT (Spyware.AgenceExclusive)
[HKLM\Software\Agence-Exclusive]    => Infection BT (Spyware.AgenceExclusive)
O43 - CFD: 28/03/2011 - 15:07:48 - [588254] ----D- C:\Users\Benjamin\AppData\Roaming\moovida-1    => Infection BT (Adware.SPointer)
O43 - CFD: 28/03/2011 - 15:07:00 - [830] ----D- C:\Users\Benjamin\Appdata\Local\Moovida    => Infection BT (Adware.SPointer)
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Web Search) - http://search.autocompletepro.com    => Infection BT (Adware.Bandoo)
O69 - SBI: SearchScopes [HKCU] {B7B664DF-3AF9-4C8E-8148-F42BB7831D27} - (Ask) - https://fr.ask.com/?o=0&l=dir&ad=dirN    => ZHPHosts Black List
O87 - FAEL: "TCP Query User{F60867F5-6C4D-4F69-BFB5-6911BAA23EA5}C:\users\benjamin\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\benjamin\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)    => Infection PUP (PUP.CacaoWeb)
O87 - FAEL: "UDP Query User{94B080B4-05BD-4647-9DEE-B96466A4AD8F}C:\users\benjamin\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\benjamin\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)    => Infection PUP (PUP.CacaoWeb)
[HKLM\Software\Classes\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA}]    => Infection PUP (PUP.Eorezo)
[HKLM\Software\Classes\AppID\{d2083641-e57f-4eab-bb85-0582424f4a29}]    => Infection BT (Adware.ClickPotato)
[HKLM\Software\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}]    => Infection PUP (PUP.Eorezo)
[HKCU\Software\Agence-Exclusive]    => Infection BT (Spyware.AgenceExclusive)
[HKLM\Software\Agence-Exclusive]    => Infection BT (Spyware.AgenceExclusive)
C:\Users\Benjamin\Appdata\Local\Moovida    => Infection BT (Adware.SPointer)
C:\Documents and Settings\Benjamin\Local Settings\Application Data\Moovida    => Infection BT (Adware.SPointer)
SS - | Auto  0 |  (0172011307542668mcinstcleanup) . (...) - C:\Users\Benjamin\AppData\Local\Temp\0172011307542668mcinst.exe    => Infection Rogue (Trojan.Dropper)
C:\Users\Benjamin\AppData\Roaming\Mozilla\Firefox\Profiles\oxvu2cqj.default\Conduit    => 
C:\Users\Benjamin\AppData\Roaming\Mozilla\Firefox\Profiles\oxvu2cqj.default\Extensions\engine@conduit.com    => 
M2 - MFEP: prefs.js [Benjamin - oxvu2cqj.default\ffxtlbr@Facemoods.com] [] Facemoods v1.2.1 (.Volo-Net.)    => Toolbar.Facemoods
G1 - GCS: Preference [User Data\Default] http://start.facemoods.com    => Toolbar.Facemoods
G0 - GCSP: Preference [User Data\Default][HomePage] http://start.facemoods.com    => Toolbar.Facemoods
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com    => Toolbar.Facemoods
R0 - HKUS\S-1-5-21-3034616008-997478326-1987258744-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com    => Toolbar.Facemoods
[HKCU\Software\AppDataLow\Software\BittorrentBar_FR]    => Conduit BitTorrentBar
[HKCU\Software\AppDataLow\Software\uTorrentBar_FR]    => Toolbar.Conduit
O69 - SBI: SearchScopes [HKCU] {0D7562AE-8EF6-416d-A838-AB665251703A} [DefaultScope] - (Facemoods Search) - http://start.facemoods.com    => Toolbar.Facemoods
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]    => Toolbar.Conduit
[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv]    => Toolbar.Agent
[HKCU\Software\AppDataLow\Software\BittorrentBar_FR]    => Conduit BitTorrentBar
[HKCU\Software\AppDataLow\Software\uTorrentBar_FR]    => Toolbar.Conduit
C:\Users\Benjamin\Appdata\LocalLow\BittorrentBar_FR    => Toolbar.Conduit
C:\Users\Benjamin\Appdata\LocalLow\uTorrentBar_FR    => Toolbar.Conduit
EMPTYTEMP

▶ Puis Lance ZHPFix depuis le raccourci du bureau .

▶ Une fois l''outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

▶ Dans l''encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.

▶ Clique sur le bouton « GO » pour lancer le nettoyage

▶ Copie/Colle le rapport à l''écran dans ton prochain message

▶ (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)

▶ Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport

Réponse 28 / 31

bcrato Messages postés 42 Statut Membre

voici le scan de ZHPDiag et le scan de ZHPFix :

ZHPDiag :
http://www.cijoint.fr/cjlink.php?file=cj201106/cijX8JgqcH.txt

ZHPFix :
http://www.cijoint.fr/cjlink.php?file=cj201106/cijgrzNKI5.txt

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

lol t'as collé ton rapport zhpfix dans zhpfix ? x)

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

suite : pourrais tu aller là : C:\Windows\
clic droit> modifier sur le fichier DSDELSU.BAT
colle son contenu ici

Réponse 29 / 31

bcrato Messages postés 42 Statut Membre

Le voici ;

:Repeat
del "C:\Program Files\MathType\Setup.exe"
if exist "C:\Program Files\MathType\Setup.exe" goto Repeat
del "C:\Windows\DSDELSU.BAT"

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

tu connais ce logiciel MathType ??

bcrato Messages postés 42 Statut Membre

oui, je le connais c'est un logiciel qui marque des formules de mathématique facilement

Réponse 30 / 31

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

Ok.
Il n'y a plus d'infection présente sur ton système.

Procédure d'optimisation/d'entretien/de prévention

▶ Télécharge ici : PureRa (par l''editeur de JavaRa)

▶ Lance-le (clic droit "executer en tant qu''administrateur" pour Vista/7)

=> Configuration en vidéo ( merci gen-hackman )

▶ clique sur "Clean"

▶ L''outil va faire son scan puis son nettoyage

▶ à la fin du rapport tu auras une ligne comme ca :

Total space cleaned: 8140878 bytes

▶ transmets juste cette ligne , le reste importe peu

------

▶ télécharge et installe Ccleaner

▶ ouvre-le
▶ cliques sur "lancer le nettoyage" et sur la demande de confirmation "OK" ▶ ▶ cliques maintenant sur registre et puis sur "rechercher les erreurs "
▶ laisses tout cochées et cliques sur "réparer les erreurs sélectionnées"
▶ il te demande de sauvegarder ==> OUI
▶ tu lui donnes un nom pour pouvoir la retrouver et enregistre
▶ cliques sur "corriger toutes les erreurs sélectionnées" et sur la demande de confirmation ==> OK
▶ Vérifie qu''il ne reste plus rien en relançant "rechercher les erreurs"

▶ tu peux fermer Ccleaner

------

▶ Désactivation, puis Réactivation de la restauration système après désinfection :

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm

------

▶ Mises à jour Windows :

Il est très important de maintenir son système à jour car ceci comble les failles de sécurité par lesquelles les malwares ("virus") s'introduisent ...

▶ Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5

▶ Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

-----

▶ ▶ pour supprimer les outils utilisés lors de cette désinfection :

▶ Télécharge Delfix sur ton bureau :

▶ Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message
▶ ▶ Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.

------

Tu peux garder Malwarebytes pour un scan de temps à autres

-----

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web
Et celui ci, sur les logiciels gratuits à éviter

------

Si tu utilise FireFox, vérifie que tes plug in sont à jour : https://support.mozilla.org/en-US/kb/npapi-plugins

-----

▶ ▶ Pense à marquer le fil comme résolu

------

Si tu as d''autres questions, je t''écoute avec plaisir :)
On se quitte si le rapport DelFix est ok...

@+

Réponse 31 / 31

bcrato Messages postés 42 Statut Membre

Le voici :

Pour PureRa :

Total space cleaned: 130523311 bytes

Pour DelFix :

# DelFix v7.9B - Rapport créé le 17/06/2011 à 16:03 
# Mis à jour le 22/05/11 à 14h par Xplode 
# Système d'exploitation : Windows 7 Ultimate (64 bits) [version 6.1.7601] Service Pack 1 
# Nom d'utilisateur : Benjamin - PC-MAISON (Administrateur) 
# Exécuté depuis : C:\Users\Benjamin\Desktop\DelFix-7.9B.exe 
# Option [Suppression] 


~~~~~~ Dossier(s) ~~~~~~ 

Supprimé : C:\Qoobox 
Supprimé : C:\Program Files\Ad-Remover 
Supprimé : C:\Program Files\SEAF 
Supprimé : C:\Program Files\ZHPDiag 
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP 

~~~~~~ Fichier(s) ~~~~~~ 

Supprimé : C:\PhysicalDisk0_MBR.bin 
Supprimé : C:\SeafLog.txt 
Supprimé : C:\ZHPExportRegistry-17-06-2011-14-09-25.txt 
Supprimé : C:\Windows\grep.exe 
Supprimé : C:\Windows\MBR.exe 
Supprimé : C:\Windows\NIRCMD.exe 
Supprimé : C:\Windows\PEV.exe 
Supprimé : C:\Windows\sed.exe 
Supprimé : C:\Windows\SWREG.exe 
Supprimé : C:\Windows\SWSC.exe 
Supprimé : C:\Windows\SWXCACLS.exe 
Supprimé : C:\Windows\zip.exe 
Supprimé : C:\Users\Benjamin\Desktop\SEAF.exe 
Supprimé : C:\Users\Benjamin\Desktop\ZHPDiag.Txt 
Supprimé : C:\Users\Benjamin\Desktop\ZHPFixReport.txt 
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk 
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk 
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk 

~~~~~~ Registre ~~~~~~ 

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover 
Clé Supprimée : HKCU\SOFTWARE\g3n-h@ckm@n 
Clé Supprimée : HKLM\Software\Classes\.cfxxe 
Clé Supprimée : HKLM\Software\Classes\cfxxefile 
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover 
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SEAF 
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1 
ACL -> [F] & Clé Supprimée : HKLM\SOFTWARE\Swearware 

~~~~~~ Autre ~~~~~~ 

-> Prefetch vidé 

########## EOF - "C:\DelFixSuppr.txt" - [1974 octets] ##########

Merci :

P.S : J'ai un problème quand j'ouvre un ou plusieurs dossiers dans la fenêtre ouvre plusieurs fois et quand je coche la case "Ouvrir tous les dossiers dans la même fenêtre" c'est la même chose comment je fais ?

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

je n'ai pas compris ce que tu veux dire ?!

bcrato Messages postés 42 Statut Membre

Par exemple, je double-clique sur le dossier Benjamin, il ouvre et quand je double-clique sur un autres dossiers, il ouvre sur une autre fenêtre, comment je répares cette erreur ?

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

c'est plus clair ainsi ^^ heuuu j'ai jamais rencontré ce genre de problème :-\ tu as déjà tenté sfc /scannow ?

bcrato Messages postés 42 Statut Membre

je pense que non, je vais essayer

bcrato Messages postés 42 Statut Membre

J'ai essayer mais à la fin il me rapporte des erreurs

Début de l'analyse du système. Cette opération peut nécessiter un certain temps.

Démarrage de la phase de vérification de l'analyse du système.
La vérification 100% est terminée.
La protection des ressources Windows a trouvé des fichiers endommagés, mais
n'a pas réussi à tous les réparer. Des détails sont inclus dans le journal
CBS.Log windir\Logs\CBS\CBS.log. Par exemple C:\Windows\Logs\CBS\CBS.log

Mon ordinateur rame

31 réponses

Votre réponse

Newsletters