Pc lent au demarrage et plein de virus

pat2962 -  
 Please be assured that comScore, the parent company of RelevantK -
Bonjour,

mon pc est lent au demarrage et j'ai commencé une recherche avec malwarebytes que j'ai stoppé lorsque j'etais deja infecté de 7 virus au bout de quelques minutes.

Merci de bien vouloir m'aider à les enlever

pat2962


A voir également:

59 réponses

Réponse 1 / 59
Utilisateur anonyme
 
Salut




1) * inscris toi sur le forum afin de rendre tes liens lisibles

* ICI >> CCM


Comme tu as interrompu l analyse avec Malawarebyte' Mbam on refera plus tard une analyse !!





* Télécharge ZHPDiag (de Nicolas coolman)


ICI >> ZHPDiag (de Nicolas coolman)

* Une fois le téléchargement achevé,
* double clique sur ZHPDiag.exe et suis les instructions.
* /!\Utilisateurs de Windows Vista et Windows 7
>> Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
* Laisse toi guider lors de l'installation,
* coche >> créer une icône sur le bureau
* * L'outil va créer 3 icônes ZHPDiag > IMAGE ZHPDiag

* >> ZHPFix >IMAGE ZHPFix sur ton Bureau

* et >> MBRcheck
* il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport sur ce site,
>> Cijoint.fr
* puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

* Pour t aider ,pour heberger le rapport
* rends toi sur Cijoint.fr
* clic sur Parcourir
* Trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
* et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
* un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
* il te suffit de le poster ici pour que je puisse voir le rapport

ou

ICI >> pjjoint.malekal
* Cliques sur >> Parcourir
* Trouve >> le rapport que tu viens d'enregistrer par exemple sur ton bureau
* Cliques sur >> envoyer le fichier
* Un lien te sera généré,
* il te suffit de le poster ici



@+ VIRUS/C/C
0
Réponse 2 / 59
pat2962 Messages postés 9 Statut Membre
 
http://www.cijoint.fr/cjlink.php?file=cj201107/cijkBtJahp.docx
0
Réponse 3 / 59
Utilisateur anonyme
 
Salut





* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)

ICI >>AD-Remover


/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

* Double-clique sur l'icône Ad-Remover située sur ton Bureau.
* Sur la page, clique sur le bouton « Nettoyer »
* Confirme l'opération
* ne fais qu'une fois le Nettoyage
* Poste le rapport qui apparaît à la fin.
* (Le rapport est sauvegardé aussi sous C:\Ad-report.)
* (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)




@+ VIRUS/C/C
0
Réponse 4 / 59
pat2962 Messages postés 9 Statut Membre
 
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 09:07:05 le 07/07/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Basique Service Pack 2 (X86)
pat@PC-DE-PAT (Hewlett-Packard HP Compaq 6735s)

============== ACTION(S) ==============

Service: "RelevantKnowledge" Stoppé et supprimé

Dossier supprimé: C:\Users\pat\AppData\Roaming\Mozilla\FireFox\Profiles\49cwht2j.default\conduit
Dossier supprimé: C:\Users\pat\AppData\Roaming\Mozilla\FireFox\Profiles\49cwht2j.default\ConduitEngine
Dossier supprimé: C:\Users\pat\AppData\Roaming\Mozilla\FireFox\Profiles\49cwht2j.default\extensions\engine@conduit.com
Dossier supprimé: C:\Users\pat\AppData\LocalLow\Conduit
Dossier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge
Dossier supprimé: C:\Program Files\RelevantKnowledge

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\pat\AppData\Roaming\Mozilla\FireFox\Profiles\49cwht2j.default\Prefs.js --
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/909619/905414/FR", "\"0\"")...
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\...
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.engine.conduit-services.com/DLG.pkg?ver=3.3.3...
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=0", "63...
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=3/13/20...
Ligne supprimée: user_pref("CommunityToolbar.EngineOwner", "ConduitEngine");
Ligne supprimée: user_pref("CommunityToolbar.EngineOwnerGuid", "engine@conduit.com");
Ligne supprimée: user_pref("CommunityToolbar.EngineOwnerToolbarId", "conduitengine");
Ligne supprimée: user_pref("CommunityToolbar.IsEngineShown", true);
Ligne supprimée: user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true);
Ligne supprimée: user_pref("CommunityToolbar.OriginalEngineOwner", "ConduitEngine");
Ligne supprimée: user_pref("CommunityToolbar.OriginalEngineOwnerGuid", "engine@conduit.com");
Ligne supprimée: user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", "conduitengine");
Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList", "ConduitEngine");
Ligne supprimée: user_pref("CommunityToolbar.alert.alertDialogsGetterLastCheckTime", "Mon Apr 11 2011 08:30:01 GMT+02...
Ligne supprimée: user_pref("CommunityToolbar.alert.alertInfoInterval", 1440);
Ligne supprimée: user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Sun May 15 2011 14:50:20 GMT+0200");
Ligne supprimée: user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com");
Ligne supprimée: user_pref("CommunityToolbar.alert.locale", "en");
Ligne supprimée: user_pref("CommunityToolbar.alert.loginIntervalMin", 1440);
Ligne supprimée: user_pref("CommunityToolbar.alert.loginLastCheckTime", "Wed Jun 29 2011 21:07:45 GMT+0200");
Ligne supprimée: user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1305622559");
Ligne supprimée: user_pref("CommunityToolbar.alert.messageShowTimeSec", 20);
Ligne supprimée: user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com");
Ligne supprimée: user_pref("CommunityToolbar.alert.showTrayIcon", false);
Ligne supprimée: user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300);
Ligne supprimée: user_pref("CommunityToolbar.alert.userId", "8164ee9b-ae1f-4cac-95c8-37aed3010217");
Ligne supprimée: user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);
Ligne supprimée: user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);
Ligne supprimée: user_pref("ConduitEngine.AppTrackingLastCheckTime", "Fri May 27 2011 23:49:25 GMT+0200");
Ligne supprimée: user_pref("ConduitEngine.CTID", "ConduitEngine");
Ligne supprimée: user_pref("ConduitEngine.DialogsGetterLastCheckTime", "Sun Jun 26 2011 23:06:53 GMT+0200");
Ligne supprimée: user_pref("ConduitEngine.FirstServerDate", "04/11/2011 09");
Ligne supprimée: user_pref("ConduitEngine.FirstTime", true);
Ligne supprimée: user_pref("ConduitEngine.FirstTimeFF3", true);
Ligne supprimée: user_pref("ConduitEngine.HasUserGlobalKeys", true);
Ligne supprimée: user_pref("ConduitEngine.Initialize", true);
Ligne supprimée: user_pref("ConduitEngine.InitializeCommonPrefs", true);
Ligne supprimée: user_pref("ConduitEngine.InstalledDate", "Mon Apr 11 2011 08:30:03 GMT+0200");
Ligne supprimée: user_pref("ConduitEngine.IsMulticommunity", false);
Ligne supprimée: user_pref("ConduitEngine.IsOpenThankYouPage", false);
Ligne supprimée: user_pref("ConduitEngine.IsOpenUninstallPage", true);
Ligne supprimée: user_pref("ConduitEngine.LanguagePackLastCheckTime", "Wed Jun 29 2011 21:07:47 GMT+0200");
Ligne supprimée: user_pref("ConduitEngine.LastLogin_3.3.3.2", "Wed Jun 29 2011 21:07:47 GMT+0200");
Ligne supprimée: user_pref("ConduitEngine.SearchFromAddressBarIsInit", true);
Ligne supprimée: user_pref("ConduitEngine.SettingsLastCheckTime", "Wed Jun 29 2011 21:07:47 GMT+0200");
Ligne supprimée: user_pref("ConduitEngine.UserID", "UN91852292905433317");
Ligne supprimée: user_pref("ConduitEngine.componentAlertEnabled", false);
Ligne supprimée: user_pref("ConduitEngine.engineLocale", "fr");
Ligne supprimée: user_pref("ConduitEngine.enngineContextMenuLastCheckTime", "Wed Jun 29 2011 21:07:47 GMT+0200");
Ligne supprimée: user_pref("ConduitEngine.globalFirstTimeInfoLastCheckTime", "Wed Jun 29 2011 21:07:48 GMT+0200");
Ligne supprimée: user_pref("ConduitEngine.initDone", true);
Ligne supprimée: user_pref("ConduitEngine.isAppTrackingManagerOn", true);
Ligne supprimée: user_pref("ConduitEngine.usagesFlag", 2);
-- Fichier Fermé --


Clé supprimée: HKLM\Software\Classes\Interface\{981334CB-7B8B-431F-B86D-67B7426B125B}
Clé supprimée: HKLM\Software\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{4BD271AB-66E2-4D58-AF88-80FE3B0770C4}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{D08D9F98-1C78-4704-87E6-368B0023D831}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{D08D9F98-1C78-4704-87E6-368B0023D831}
Erreur suppression clé: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [5.0 (fr)] ****

HKLM_MozillaPlugins\@pages.tvunetworks.com/WebPlayer (x)
HKLM_MozillaPlugins\@SonyCreativeSoftware.com/Media Go,version=1.0 (x)
Searchplugins\babylon.xml (hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=67e2997d000000000000002100b0a5cf&tlver=1.4.19.19&affID=17159/)
Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Searchplugins\fcmdSrchvsl.xml ( hxxp://start.facemoods.com/?a=vsl&f=4&q={searchTerms}/)
Components\browsercomps.dll (Mozilla Foundation)
Extensions\ffxtlbr@babylon.com (Babylon)
HKLM_Extensions|smartwebprinting@hp.com - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
HKCU_Extensions|smartwebprinting@hp.com - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3

-- C:\Users\pat\AppData\Roaming\Mozilla\FireFox\Profiles\49cwht2j.default --
Extensions\ffxtlbr@Facemoods.com (Facemoods)
Extensions\firefox@tvunetworks.com (TVU Web Player)
Extensions\nostmp (?)
Extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352} (Softonic_France Community Toolbar)
Extensions\{59994074-c06d-4a75-9768-49e5a8c21264} (Messenger Plus Live France Community Toolbar)
Prefs.js - browser.download.lastDir, C:\\Users\\pat\\Desktop\\clé usb malte\\2011\\DPS\\DPS FOOT
Prefs.js - browser.search.defaultenginename, Facemoods Search
Prefs.js - browser.search.selectedEngine, Facemoods Search
Prefs.js - browser.startup.homepage, hxxp://www.google.com/
Prefs.js - browser.startup.homepage_override.buildID, 20110615151330
Prefs.js - browser.startup.homepage_override.mstone, rv:5.0
Prefs.js - keyword.URL, hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=67e2997d000000000000002100b0a5cf&tlver=1.4.19.19&instlRef=ss...

========================================

**** Internet Explorer Version [8.0.6001.19088] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A} - "Facemoods Search" (hxxp://start.facemoods.com/?a=vsl&s={searchTerms}&f=4)
HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "?" (?)
HKCU_Toolbar\WebBrowser|{86D3FC83-650F-4A4C-B7C9-2E181D99AF75} (C:\Program Files\Need4Video_FR\tbNee2.dll) (x)
HKLM_Toolbar|{0BF43445-2F28-4351-9252-17FE6E806AA0} (x)
HKLM_Toolbar|{DB4E9724-F518-4dfd-9C7C-78B52103CAB9} (C:\Program Files\facemoods.com\facemoods\1.4.17.8\facemoodsTlbr.dll)
HKLM_ElevationPolicy\23b0e33b-cbbd-47dd-8678-abfbcdbab913 - C:\Program Files\Messenger_Plus_Live_France\Messenger_Plus_Live_FranceToolbarHelper.exe (x)
HKLM_ElevationPolicy\24e26b9e-d1db-4e75-b1de-e1cd95eaf59f - C:\Program Files\Need4Video_FR\Need4Video_FRToolbarHelper.exe (?)
HKLM_ElevationPolicy\4af2edbb-26ec-462f-8b6b-492320da0abd - C:\Program Files\Need4Video_FR\Need4Video_FRToolbarHelper.exe (?)
HKLM_ElevationPolicy\6035f28d-b6b9-4a1c-8f55-6c6b650085ae - C:\Program Files\interdescargas-FR\interdescargas-FRToolbarHelper.exe (x)
HKLM_ElevationPolicy\a804056d-b560-4540-8d42-770d44ddbafd - C:\Program Files\interdescargas-FR\interdescargas-FRToolbarHelper.exe (x)
HKLM_ElevationPolicy\cfe0fa0e-6a59-45d4-b091-d7035ee1cd71 - C:\Program Files\Messenger_Plus_Live_France\Messenger_Plus_Live_FranceToolbarHelper.exe (x)
HKLM_ElevationPolicy\{1950F857-D7D8-4617-8A85-BF48A10483D8} - C:\Program Files\Hewlett-Packard\File Sanitizer\CoreShredder.exe (Hewlett-Packard)
HKLM_ElevationPolicy\{2349E82E-84BD-4E65-AF2C-CA612375D411} - C:\Program Files\Need4Video_FR\Need4Video_FRToolbarHelper1.exe (Conduit Ltd.)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{BB64A76C-9578-433f-949F-142997978A62} - c:\Program Files\Hewlett-Packard\IAM\Bin\asghost.exe (Bioscrypt Inc.)
HKLM_ElevationPolicy\{FFDF9EF3-3C3A-4f05-9A6E-5D3B778EC567} - C:\Program Files\facemoods.com\facemoods\1.4.17.8\facemoodssrv.exe (facemoods.com)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
BHO\{3134413B-49B4-425C-98A5-893C1F195601} - "BHO_Startup Class" (C:\Program Files\Hewlett-Packard\File Sanitizer\IEBHO.dll)
BHO\{64182481-4F71-486b-A045-B233BD0DA8FC} - "CescrtHlpr Object" (C:\Program Files\facemoods.com\facemoods\1.4.17.8\bh\facemoods.dll)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
BHO\{86d3fc83-650f-4a4c-b7c9-2e181d99af75} - "Need4Video FR Toolbar" (C:\Program Files\Need4Video_FR\tbNee2.dll) (x)
BHO\{DF21F1DB-80C6-11D3-9483-B03D0EC10000} - "Credential Manager for HP ProtectTools" (c:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 110 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 2 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 07/07/2011 09:07:12 (12538 Octet(s))

Fin à: 09:08:31, 07/07/2011

============== E.O.F ==============


merci à toi Pat 2962
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 59
Utilisateur anonyme
 
Salut


Bien ,du nettoyage de fait !!



* tu as Malwarebytes

* Lances--> Malwarebytes (MBAM)
* Fais une mise a jour <== à faire
* Puis vas dans l'onglet "Recherche", coche >> Exécuter un examen complet
* puis "Rechercher"
* Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
*Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection
* S'il t' es demandé de redémarrer, clique sur "oui "
* aprés la suppression(s) de ou des infections trouvées -->poste le rapport ici








@+ VIRUS/C/C
0
Réponse 6 / 59
pat2962
 
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 7027

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19088

08/07/2011 18:10:46
mbam-log-2011-07-08 (18-10-46).txt

Type d'examen: Examen complet (C:\|D:\|F:\|I:\|)
Elément(s) analysé(s): 341281
Temps écoulé: 1 heure(s), 51 minute(s), 52 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\ad-remover\quarantine\C\program files\relevantknowledge\rlls.dll.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\relevantknowledge\rlls64.dll.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\relevantknowledge\rlservice.exe.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\relevantknowledge\rlvknlg.exe.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\relevantknowledge\rlvknlg64.exe.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
0
Please be assured that comScore, the parent company of RelevantK
 
Please be assured that comScore, the parent company of RelevantKnowledge, has invested substantial resources in making our data collection and privacy practices the best they can possibly be. Our company adheres to industry-accepted best practices regarding the collection and secure storage of the data collected by software such as RelevantKnowledge.
comScore is recognized as a leader in the privacy space by organizations such as the OnlineTrust Alliance, where our co-founder Gian Fulgoni was a panelist earlier this year, along with representatives from the FTC and TRUSTe. (link to http://blog.comscore.com/2012/01/comscore_ftc_and_truste_headline_privacy_town_hall.html).
If you have further questions about RelevantKnowledge, please visit our website: http://www.relevantknowledge.com/faq.aspx
Thank you,
RelevantKnowledge Customer Support Team
0
Réponse 7 / 59
pat2962
 
bonsoir

les fichiers .txt ne sont pas visibles lorsque je les mets sur mon bureau et pourtant ils sont bien présents


merci a toi

pat2962
0
Réponse 8 / 59
Utilisateur anonyme
 
Salut



C est juste les fichiers .txt qui ne sont pas visibles ??



1) * Lances Malwarebytes
* cliques sur >> quarantaine>> selectionnes tout et supprimes tout ok !!
* si il te demande de redémarrer >> redémarre ton PC
et
* Fais la mise a jour

* tu refais avec Malwarebytes une analyse rapide + Suppression(s) de ce que tu trouveras éventuellement

* Poste le rapport



ensuite


2) Télécharge OTL (de OldTimer) sur ton Bureau.

>> OTL (de OldTimer)

* Utilisateurs Windows XP => double clique >>sur OTL.exe
* Utilisateurs Windows Vista / windows 7 => clic droit "executer en tant que en tant qu'administrateur "sur OTL.exe pour le lancer.

coches les cases lop & purity check ainsi que en haut Tous les Utilisateurs et minimal output

Copies et colles le contenue de cette citation dans la partie inférieure d'OTL sous >> Personalisation :




netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
SAVEMBR:0
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT



* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Copie et colle le contenu de OTL.Txt dans ta prochaine réponse

* Héberge le rapport >> OTL.Txt sur ce site,
>> Cijoint.fr
* puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

* Pour t aider ,pour heberger le rapport
* rends toi sur Cijoint.fr
* clic sur Parcourir
* trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
* et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
* un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
* il te suffit de le poster ici pour que je puisse voir le rapport

fais aprés de même avec le rapport >> Extras.Txt


Ensuite

3) Un fichier c:\PhysicalMBR.bin est crée à la racine du disque système (en général "c:\PhysicalMBR.bin")
Analyse le sur Virustotal :

>> Virus Total


* * Clique sur Parcourir en haut, cherche ce fichier :c:\PhysicalMBR.bin




* Clique maintenant sur Envoyer le fichier.
laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"),
* clique sur>> Formaté en haut à gauche (au dessus du mot "Antivirus" )
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat




@+ VIRUS/C/C
0
Réponse 9 / 59
pat2962
 
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 7050

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19088

08/07/2011 23:41:44
mbam-log-2011-07-08 (23-41-44).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 172504
Temps écoulé: 8 minute(s), 26 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 10 / 59
pat2962
 
http://www.cijoint.fr/cjlink.php?file=cj201107/cijX71HE3n.docx

http://www.cijoint.fr/cjlink.php?file=cj201107/cijlzkG4o8.docx
0
Réponse 11 / 59
pat2962
 
Je ne vois le mot format

VT Community Sign in ? Languages ?
Virus Total
Virustotal is a service that analyzes suspicious files and URLs and facilitates the quick detection of viruses, worms, trojans, and all kinds of malware detected by antivirus engines. More information...
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
PhysicalDisk0_MBR.bin
Submission date:
2011-07-09 07:41:44 (UTC)
Current status:
finished
Result:
0/ 43 (0.0%)

VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.07.07.01 2011.07.07 -
AntiVir 7.11.10.246 2011.07.07 -
Antiy-AVL 2.0.3.7 2011.07.07 -
Avast 4.8.1351.0 2011.07.06 -
Avast5 5.0.677.0 2011.07.06 -
AVG 10.0.0.1190 2011.07.06 -
BitDefender 7.2 2011.07.07 -
CAT-QuickHeal 11.00 2011.07.08 -
ClamAV 0.97.0.0 2011.07.07 -
Commtouch 5.3.2.6 2011.07.07 -
Comodo 9303 2011.07.07 -
DrWeb 5.0.2.03300 2011.07.07 -
Emsisoft 5.1.0.8 2011.07.07 -
eSafe 7.0.17.0 2011.07.06 -
eTrust-Vet 36.1.8429 2011.07.06 -
F-Prot 4.6.2.117 2011.07.08 -
F-Secure 9.0.16440.0 2011.07.07 -
Fortinet 4.2.257.0 2011.07.07 -
GData 22 2011.07.07 -
Ikarus T3.1.1.104.0 2011.07.07 -
Jiangmin 13.0.900 2011.07.06 -
K7AntiVirus 9.107.4883 2011.07.07 -
Kaspersky 9.0.0.837 2011.07.07 -
McAfee 5.400.0.1158 2011.07.08 -
McAfee-GW-Edition 2010.1D 2011.07.07 -
Microsoft 1.7000 2011.07.07 -
NOD32 6275 2011.07.08 -
Norman 6.07.10 2011.07.07 -
nProtect 2011-07-07.01 2011.07.07 -
Panda 10.0.3.5 2011.07.06 -
PCTools 8.0.0.5 2011.07.07 -
Prevx 3.0 2011.07.09 -
Rising 23.65.02.03 2011.07.06 -
Sophos 4.67.0 2011.07.07 -
SUPERAntiSpyware 4.40.0.1006 2011.07.07 -
Symantec 20111.1.0.186 2011.07.07 -
TheHacker 6.7.0.1.250 2011.07.08 -
TrendMicro 9.200.0.1012 2011.07.07 -
TrendMicro-HouseCall 9.200.0.1012 2011.07.07 -
VBA32 3.12.16.4 2011.07.06 -
VIPRE 9792 2011.07.07 -
ViRobot 2011.7.7.4555 2011.07.07 -
VirusBuster 14.0.114.0 2011.07.07 -
Additional information
MD5 : cf8b5a685132935a96290e4a026d90d5
SHA1 : a4804bcfc6076bd4b608ed60017b40aae6ecba52
SHA256: 80b943b2b1c4581babd24f65c594f5960f137e925b8cb836eee76ed9a6b02edf

VT Community

This file has never been reviewed by any VT Community member. Be the first one to comment on it!

VirusTotal Team
Add your comment... Remember that when you write comments as an anonymous user they receive the lowest possible reputation. So if you have not signed in yet don't forget to do so. How to markup your comments?
Goodware
Malware
Spam attachment/link

P2P download
Propagating via IM
Network worm

Drive-by-download






ATTENTION: VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
0
Réponse 12 / 59
Utilisateur anonyme
 
Salut



* Relance OTL ,
* Utilisateurs Windows XP => double clique >>sur OTL.exe
* Utilisateurs Windows Vista / windows 7 => clic droit "executer en tant que en tant qu'administrateur "sur OTL.exe pour le lancer.

* Copie et colle du texte en gras çi-dessous

* Tu commençes bien à : OTL , les : inclus devant OTL jusqu'à >>[Reboot] inclus dans la partie inférieure d'OTL sous "Personalisation"
* Cliques sur >> CORRECTION:




:OTL
SRV - (McComponentHostService) -- File not found
FF - prefs.js..extensions.enabledItems: {59994074-c06d-4a75-9768-49e5a8c21264}:3.3.3.2
FF - prefs.js..extensions.enabledItems: {4daac69c-cba7-45e2-9bc8-1044483d3352}:3.3.3.2
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.3
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=67e2997d000000000000002100b0a5cf&tlver=1.4.19.19&instlRef=sst&affID=17159&q="
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
[2011/07/02 14:31:20 | 000,000,000 | ---D | M] (Softonic_France Community Toolbar) -- C:\Users\pat\AppData\Roaming\mozilla\Firefox\Profiles\49cwht2j.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}
[2011/07/02 14:31:24 | 000,000,000 | ---D | M] (Messenger Plus Live France Community Toolbar) -- C:\Users\pat\AppData\Roaming\mozilla\Firefox\Profiles\49cwht2j.default\extensions\{59994074-c06d-4a75-9768-49e5a8c21264}
O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files\facemoods.com\facemoods\1.4.17.8\bh\facemoods.dll (facemoods.com BHO)
O2 - BHO: (Need4Video FR Toolbar) - {86d3fc83-650f-4a4c-b7c9-2e181d99af75} - File not found
O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files\facemoods.com\facemoods\1.4.17.8\facemoodsTlbr.dll (facemoods.com)
O3 - HKU\S-1-5-21-3982756642-2527156227-1415514953-1004\..\Toolbar\WebBrowser: (Need4Video FR Toolbar) - {86D3FC83-650F-4A4C-B7C9-2E181D99AF75} - File not found
O4 - HKLM\..\Run: [facemoods] C:\Program Files\facemoods.com\facemoods\1.4.17.8\facemoodssrv.exe (facemoods.com)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
[2010/08/22 11:16:40 | 000,010,134 | R--- | M] () -- C:\Users\pat\AppData\Roaming\Microsoft\Installer\{0E532C84-4275-41B3-9D81-D4A1A20D8EE7}\ARPPRODUCTICON.exe
[2010/07/09 23:27:27 | 000,047,328 | R--- | M] (Acresso Software Inc.) -- C:\Users\pat\AppData\Roaming\Microsoft\Installer\{D416E000-D999-470A-BCAC-98E717CC1AFC}\ARPPRODUCTICON.exe
@Alternate Data Stream - 106 bytes -> C:\ProgramData\TEMP:88050731

:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{A209B29A-B035-480B-8612-A5095EA9C82B}" =-
"{E0751A31-A029-463C-83EE-9D85065F5769}" =-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"facemoods" =-

:Commands
[emptytemp]
[emptyflash]
[Reboot]




* Cliques sur >> CORRECTION:


* Héberge le rapport sur ce site,
>> Cijoint.fr
* puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

* Pour t aider ,pour heberger le rapport
* rends toi sur Cijoint.fr
* clic sur Parcourir
* Trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
* et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
* un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
* il te suffit de le poster ici pour que je puisse voir le rapport




@+ VIRUS/C/C
0
Réponse 13 / 59
pat2962
 
bonsoir

j'ai effectué le programme otl que j'ai dû relancer car il a bogué , a la deuxieme reprise tous c'est bien passé sauf qu'a la fin il dit qu'il va redemarrer l'ordi pour finaliser le prog, j'ai dû redemarrer moi meme l'ordi et je n'est pas eu de rapport ou je ne le vois comme je l'ai deja précise sur un autre post
0
Réponse 14 / 59
Utilisateur anonyme
 
Salut



1) Télécharge ESET Online Scanner sur ton Bureau en cliquant

* ICI >> ESET

* Utilisateurs Windows XP => double clique >>sur >> esetsmartinstaller_enu.exe pour le lancer
* Utilisateurs Windows Vista / windows 7 => clic droit "executer en tant que en tant qu'administrateur "sur esetsmartinstaller_enu.exe pour le lancer.

* Accepte la licence en cochant la case " YES, i accept the terms of use",
* puis clique sur le bouton "Start"
* Une fois le scanner installé, configure-le en décochant la case " Remove found threats " et en cochant la case " Scan archives "

* Lance la recherche antivirale en cliquant sur le bouton " Start ": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
* Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne " List of found threats ":

* Une nouvelle fenêtre aparaît: clique sur " Export to text file " et enregistre le rapport sur ton Bureau en le nommant logESET.txt
* Clique sur le bouton " Back " pour retourner à l'interface précédente, puis coche la case " Uninstall application on close "

* Clique enfin sur le bouton " Finish " puis ferme la fenêtre du scanner
* Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu ici.


@+ VIRUS/C/C
0
Réponse 15 / 59
pat2962
 
bonjour

j'ai fait ce que tu m'a demandé

1) Télécharge ESET Online Scanner sur ton Bureau en cliquant

* ICI >> ESET

* Utilisateurs Windows XP => double clique >>sur >> esetsmartinstaller_enu.exe pour le lancer
* Utilisateurs Windows Vista / windows 7 => clic droit "executer en tant que en tant qu'administrateur "sur esetsmartinstaller_enu.exe pour le lancer.

* Accepte la licence en cochant la case " YES, i accept the terms of use",
* puis clique sur le bouton "Start"

et là il me met se message : unexpected error 8
0
Réponse 16 / 59
Forçage
 
Mode sans échec
0
Réponse 17 / 59
pat2962
 
ça ne fonctionne pas en mode sans echec
0
Réponse 18 / 59
Utilisateur anonyme
 
Salut



* Si déja tu voulais le faire en Mode sans Echec

>> fallait il le faire en >> MODE SANS ECHEC AVEC PRISE EN CHARGE DU RESEAU


Laisse tomber Eset Oniline scanner


Fais moi ce qui suit


1) * Télécharge Defogger (de jpshortstuff) sur ton Bureau
ICI >> Defogger (de jpshortstuff)
* Lance le
* Pour Windows Vista et Windows 7,
* faire un clic droit et >> Exécuter en tant qu'administrateur.
* Une fenêtre apparait : clique sur "Disable"
* Un message va t'avertir que tes lecteurs virtuels vont être désactivés. Clique sur Oui pour continuer
* Attends que le message Finished apparaisse puis clique sur OK pour fermer la fenêtre.
* Defogger va te demander de redémarrer la machine. Accepte en cliquant sur OK



2)/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* A savoir : [Antivirus et Antispywares, HIPS et autre résident]






3) * Télécharge GMER Rootkit Scanner :

ICI >> gmer

* Ferme également toutes les applications actives dont ton navigateur.
* Clique sur le bouton "Download EXE"
* Sauvegarde-le sur ton Bureau.
* Double-clique sur l'exécutable téléchargé .
* Utilisateurs de Windows Vista / Windows7 tu fais un clic droit sur l'icône et exécute en tant qu'administrateur..
* Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
* A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
* Héberge le rapport de Gmer sur ce site,
cijoint.fr
* Copie/colle les liens générés ici


* Pour t aider
* rends toi sur http://www.cijoint.fr
* clic sur Parcourir
* trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
* et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
* un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,



4) * Réactive tes protections.


* PS >> Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"





@+ VIRUS/C/C
0
Réponse 19 / 59
pat2962
 
j'ai copie le rapport car le site de cijoint.fr me dit que les .log ne peuvent etre depose

GMER 1.0.15.15640 - http://www.gmer.net
Rootkit quick scan 2011-07-15 15:43:36
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 FUJITSU_MHZ2160BH_G2 rev.8909
Running: szeep0ue.exe; Driver: C:\Users\pat\AppData\Local\Temp\uglyrpob.sys


---- System - GMER 1.0.15 ----

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0xA08BE398]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/AVAST Software)
Device \FileSystem\fastfat \Fat aswSP.SYS (avast! self protection module/AVAST Software)

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\tdx \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dynamique/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
0
Réponse 20 / 59
pat2962
 
j'ai relance le scan car je crois que je ne l'avais pas vraiment car il s'etait "lancé tous seul?"

je te renvois le fichier
0