Virus?

masajao -  
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour,

Depuis quelques temps mon ordi se comporte bizarrement: d'un seul coup il me met un écran bleu avec un tas de texte...hard drive et cie!
Je ne sais pas s'il est possible que j'ai un virus? De plus quand j'ouvre mozilla j'ai toujours en page d'accueil http://www.searchqu.com/406 alors que j'ai déjà changé plusieurs fois de page d'accueil...Quelqu'un peut m'aider pour faire un scan de mon ordi et savoir si j'ai quelque chose. J'ai fait un scan malware et avast...rien...

Merci d'avance ! ! !

23 réponses

  • 1
  • 2
  1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Au niveau infectieux, c'est ok.
    Il faut finaliser en purgeant la restauration système et en désinstallant proprement les outils, puis faire les mises à jour indispensables.

    Pour les problèmes d'intégrité des fichiers de Vista et tes différents soucis, la solution de recours est de sauvegarder tes documents et de réinitialiser ton ordinateur aux paramètres d'usine.

    Tiens moi au courant, car si tu optes pour la seconde solution cela rendrait l'étape précédente inutile.

    A +
    1
  2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir,

    https://www.malekal.com/searchqu-bandoo-pup-hijacker-page-de-demarragerecherche/

    Essaye de le désinstaller comme indiqué, si tu n'y arrives pas on fera autrement.

    A +
    0
    1. masajao
       
      Coucou, visiblemet cela a fonctionné! Merci beaucoup !
      Par contre il met des fois du temps à s'allumer...et j'ai un message d'erreur quand il s'allume enfin:
      Erreur de chargement
      C:\users\dadou\AppData\Local\Temp~\INSTALL~1.DLL

      Le module spécifié est introuvable




      Késako?
      0
  3. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.

    Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    ● Lance OTL.exe
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● L'interface principale s'ouvre :
    ● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    /md5start
    volsnap.*
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %temp%\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %APPDATA%\*.
    %SYSTEMDRIVE%\*.exe 
    %systemroot%\*. /mp /s 
    %systemroot%\system32\*.dll /lockedfiles 
    %systemroot%\Tasks\*.job /lockedfiles 
    %systemroot%\system32\drivers\*.sys /lockedfiles 
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    SAVEMBR:0 
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long
    ● Héberge les sur un des sites suivants :
    https://www.cjoint.com/
    http://www.cijoint.fr/
    http://pjjoint.malekal.com/
    https://textup.fr/
    ● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

    A +
    0
    1. masajao
       
      pendant le scan il me dit:

      http://cjoint.com/11au/AHsvLy5uAtS.htm

      est-ce normal?
      0
  4. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Non c'est pas normal :s

    Relance OTL avec ce script :

    /md5start
    volsnap.*
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %temp%\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %APPDATA%\*.
    %SYSTEMDRIVE%\*.exe 
    %systemroot%\*. /mp /s 
    %systemroot%\system32\*.dll /lockedfiles 
    %systemroot%\Tasks\*.job /lockedfiles 
    %systemroot%\system32\drivers\*.sys /lockedfiles 
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT 


    A +
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    J'ai trouvé une autre info

    As-tu un lecteur amovible avec comme lettre de lecteur C ?

    Si tu peux clique sur Continuer dans la boite de dialogue.

    A +
    0
  7. masajao
     
    re, j'ai fait continuer, ca a fonctionné: les deux liens:

    http://cjoint.com/11au/AHswoVh388r.htm

    http://cjoint.com/11au/AHswpvMvUwq.htm
    0
  8. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    En fait, il y avait pas que searchqu. Une belle collection d'adware ;)

    ● La plupart des infections nécessitent plusieurs outils et manipulations pour les supprimer complètement. Même si les symptômes disparaissent rapidement, il est préférable de terminer la procédure.
    ● N'utilise pas d'outil de désinfection de ta propre initiative, ne pas suivre également d'autres conseils afin de ne pas interférer sur la procédure en cours.
    ● Prends le temps de lire ce qui est demandé, ne te lance pas dans une manipulation que tu n'as pas compris.
    ● Héberge les rapports des outils sur http://www.cijoint.fr/ ou https://www.cjoint.com/ ou http://pjjoint.malekal.com/ ou https://textup.fr/
    ● Je t'aide bénévolement, je réponds quand je peux et dés que je peux, merci :)

    Afin de permettre aux outils de désinfection de travailler correctement :

    Désactiver l'UAC sous Vista

    == == == == == == == == == == == == == == == == == == == == == ==

    1. Désinstalle :

    Dealio Toolbar v4.0.1     
    Bandoo 
    DAEMON Tools Toolbar     
    Favorit 

    2. Télécharge et installe AD-Remover (C_XX) sur le bureau

    Désactive la protection résidente de ton anti-virus pour ne pas gêner le travail de l'outil

    "Process.exe" est détecté par certains antivirus comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus


    ● Lance Ad-R
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Dans l'interface principale, clique sur le bouton Scanner puis confirme l'action en cliquant sur "Oui"
    ● Patiente le temps du scan, le rapport doit s'ouvrir spontanément à la fin.
    ● Clique sur Quitter

    Si le rapport ne s'ouvre pas spontanément, il se trouve à la racine du disque C:\Ad-report-SCAN

    A +
    0
  9. masajao
     
    J'ai un problème pour a desinstallation de bandoo, il me dit :

    http://cjoint.com/11au/AHsxg5PHI6C.htm

    sinon le rapport est ici:

    http://cjoint.com/11au/AHsxhRq9Xqw.htm

    merci encore pour ton aide
    0
  10. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Pas important pour bandoo, on l'aura autrement ;)

    1. Relance Ad-R
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.

    Désactive la protection résidente de ton anti-virus pour ne pas gêner le travail de l'outil

    ● Clique sur le bouton Nettoyer puis confirme l'action en cliquant sur "Oui"
    ● Patiente le temps du scan (le bureau peut disparaitre), le rapport doit s'ouvrir spontanément à la fin.
    ● Clique sur Quitter

    Si le rapport ne s'ouvre pas spontanément, il se trouve à la racine du disque C:\Ad-report-CLEAN

    "Process.exe" est détecté par certains antivirus comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus


    2. Relance OTL
    - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● Après le balayage, un nouveau rapport OTL.txt va s'ouvrir au format bloc-note

    3. Héberge les 2 rapports et donne moi les liens.

    A +
    0
  11. masajao
     
    Voilà:

    http://cjoint.com/11au/AHsxK3fjIJD.htm

    http://cjoint.com/11au/AHsxLNVQD2l.htm
    0
  12. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Faut recommencer car tu as refait un scan avec AD-R alors que je te demande de faire Nettoyer.
    Du coup ensuite, il faut refaire OTL car j'ai besoin de son rapport après le nettoyage de AD-R.

    En attente des 2 nouveaux rapports.

    A +
    0
  13. masajao
     
    oup's desolée, voici les deux rapports:

    http://cjoint.com/11au/AHtlMiGFNGe.htm

    http://cjoint.com/11au/AHtlTBTk0rn.htm
    0
  14. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    1. Relance OTL
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● L'interface principale s'ouvre :
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    :OTL
    FF - prefs.js..browser.search.defaultthis.engineName: "Radio Bar 1 Customized Web Search"
    FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2405725&SearchSource=3&q={searchTerms}"
    FF - prefs.js..keyword.URL: "http://www1.search-results.com/web?l=dis&q=&o=APN10655&apn_dtid=%5EBND101%5EYY%5EFR&shad=s_0043&gct=ds&apn_ptnrs=%5EAG5&d=101-0&lang=en&atb=sysid%3D101%3Auid%3D555149fbe80448a0%3Asrc%3Dffb%3Ao%3DAPN10655%3Atg%3D&p2=%5EAG5%5EBND101%5EYY%5EFR"
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O3:[b]64bit:/b - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - No CLSID value found.
    O33 - MountPoints2\{d476b4dc-602f-11de-9b60-00218572743e}\Shell - "" = AutoRun
    O33 - MountPoints2\{d476b4dc-602f-11de-9b60-00218572743e}\Shell\AutoRun\command - "" = J:\SETUP.EXE
    O33 - MountPoints2\{d476b4dc-602f-11de-9b60-00218572743e}\Shell\configure\command - "" = J:\SETUP.EXE
    O33 - MountPoints2\{d476b4dc-602f-11de-9b60-00218572743e}\Shell\install\command - "" = J:\SETUP.EXE
    O33 - MountPoints2\K\Shell\AutoRun\command - "" = K:\setup.exe
    O33 - MountPoints2\L\Shell\AutoRun\command - "" = L:\setup.exe
    [2011/05/25 16:55:32 | 000,154,696 | ---- | M] () -- C:\Users\dadou\AppData\Local\Temp\nsh7A4E.tmp.exe
    [2011/05/25 16:55:32 | 000,154,696 | ---- | M] () -- C:\Users\dadou\AppData\Local\Temp\nsmBA2B.tmp.exe
    [2011/05/25 16:55:32 | 000,154,696 | ---- | M] () -- C:\Users\dadou\AppData\Local\Temp\nsr8BAC.tmp.exe
    [6 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
    [30 C:\Users\dadou\AppData\Local\Temp\*.tmp files -> C:\Users\dadou\AppData\Local\Temp\*.tmp -> ]
    
    :Files
    ipconfig /flushdns /c
    C:\Users\dadou\AppData\Roaming\Mozilla\FireFox\Profiles\n72eu0kc.default\extensions\engine@conduit.com
    
    :Commands 
    [emptyflash]
    [emptytemp]

    ● Clique sur le bouton Correction.
    ● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    ● Accepte en cliquant sur OK.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
    ● Copie/colle le dans ton prochain message.

    Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)

    2. On va utiliser un logiciel déjà présent sur ton ordinateur Malwarebytes Anti-Malware pour faire un scan.

    !! Effectue la mise à jour !!

    ● Choisis "Exécuter un examen complet"
    ● Choisis de scanner tous tes disques durs

    A la fin de l'analyse, si MBAM n'a rien trouvé :

    ● Clique sur OK, le rapport s'ouvre spontanément

    Si des menaces ont été détectées :

    ● Clique sur OK puis "Afficher les résultats"
    ● Choisis l'option "Supprimer la sélection"
    ● Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    ● Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    ● Sinon le rapport s'ouvre automatiquement après la suppression

    3. En attente des 2 rapports. Comment se comporte le pc maintenant ?

    A +
    0
  15. masajao
     
    Voici le rapport OTL:
    http://cjoint.com/11au/AHtps7No79r.htm

    et le rapport malware:

    http://cjoint.com/11au/AHtptYblZCV.htm

    L'ordi a l'air mieux, pas eu de bug. Mais il met un temps fou à s'allumer (ecran noir du début pendant au moins 5 min)

    merci
    0
  16. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    A priori, plus rien d'infectieux.

    1. Vérifie l'intégrité des fichiers de Vista avec sfc /verifyonly > aide en images

    2. Effectue un scan en ligne en suivant ce tutoriel : http://www.bibou0007.com/t3691-tutorial-eset-online-scanner
    Sauvegarde le rapport au format texte, et donne moi le rapport.
    note : attention, ce scan est généralement assez long à réaliser

    A +
    «La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
    0
  17. masajao
     
    re, voici le rapport:

    C:\Program Files (x86)\Acer GameZone\Bricks of Egypt\Bricks of Egypt.exe une variante probable de Win32/Agent.BYJZDO cheval de troie nettoyé par suppression - mis en quarantaine
    C:\Users\dadou\AppData\Roaming\Microsoft\Windows\Start Menu\eBay.lnk Win32/Adware.ADON application nettoyé par suppression - mis en quarantaine
    C:\Users\dadou\Downloads\unlocker_unlocker_1.9.0_32_bits_francais_20237.exe Win32/Adware.ADON application supprimé - mis en quarantaine
    0
  18. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Quel a été le résultat de la vérification de l'intégrité des fichiers ?

    ESET a mis un fichier en quarantaine par erreur :
    Rends toi ici => C:\Program Files (x86)\ESET\ESET Online Scanner\Quarantine
    Récupère ce fichier Bricks of Egypt.exe
    Et remet le dans ce répertoire => C:\Program Files (x86)\Acer GameZone\Bricks of Egypt

    Tes problèmes de démarrage assez lent datent de longtemps ?

    A +
    0
    1. masajao
       
      Pour la vérification de l'intégrité des fichiers j'ai fait la première etape, qui m'a donné comme résultat "La protection des ressources Windows a trouvé des violation d'intégrité. Des détails sont fournis dans le journal CBS.log Windir/Logs/CBS/CBS.log. Par exemple C:/Windows/Logs/CBS/CBS.log."
      J'ai donc suivi les démarches pour effectuer le nettoyage avec le mode sans échec...mais sans résultat j'ai un message d'erreur dans l'invit de commande (j'ai essayé avec D: et C:)
      0
  19. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Pourquoi en mode sans échec, la commande sfc /scannow ne fonctionnait pas en mode normal ?

    Tu as le DVD de Vista ?

    A +
    0
  20. masajao
     
    J'ai suivi ce qui était indiqué dans le tuto, je l'ai fait en mode normal aussi, impossible. Je n'ai pas le DVD de Vista.
    Pour mes problèmes de démarrage lent ca date de quelques semaines mais ça semble mieux depuis que j'ai suivi tes manips.

    Je ne trouve pas le fichier Bricks of Egypt.exe , il n'y a que des fichier en .NQF dans le dossier
    0
  21. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir,

    Pour le jeu, à ré-télécharger donc si nécessaire.

    Tu as essayé de lancer la réparation en passant pas la console WinRE ?

    Redémarre ton système.
    Tu tapotes F8 (ou F5) afin d'afficher les options de démarrage.
    Tu choisis Réparer l'ordinateur
    Puis dans Options de récupération du système > Invite de commandes
    Aide en image

    Ensuite, tu tapes cette commande :
    sfc /scannow /OFFBOOTDIR=C:\ /OFFWINDIR=C:\windows
    Et tu valides par Entrée

    Les explications en images sont au chapitre 3

    A +
    «La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
    0
  • 1
  • 2