virus? Fermé

Question

Bonjour, 

Depuis quelques temps mon ordi se comporte bizarrement: d'un seul coup il me met un écran bleu avec un tas de texte...hard drive et cie!
Je ne sais pas s'il est possible que j'ai un virus? De plus quand j'ouvre mozilla j'ai toujours en page d'accueil http://www.searchqu.com/406 alors que j'ai déjà changé plusieurs fois de page d'accueil...Quelqu'un peut m'aider pour faire un scan de mon ordi et savoir si j'ai quelque chose. J'ai fait un scan malware et avast...rien...

Merci d'avance ! ! !




Configuration: Windows Vista / Firefox 3.6

kalimusic · Answer

Bonsoir,

https://www.malekal.com/searchqu-bandoo-pup-hijacker-page-de-demarragerecherche/ 

Essaye de le désinstaller comme indiqué, si tu n'y arrives pas on fera autrement.

A +

kalimusic · Answer

re,

Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF;  L'interface principale s'ouvre : 
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

/md5start
volsnap.*
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
SAVEMBR:0 
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://www.cijoint.fr/
http://pjjoint.malekal.com/
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

A +

kalimusic · Answer

Non c'est pas normal :s

Relance OTL avec ce script :

/md5start
volsnap.*
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT 

A +

kalimusic · Answer

J'ai trouvé une autre info

As-tu un lecteur amovible avec comme lettre de lecteur C ?

Si tu peux clique sur Continuer dans la boite de dialogue.

A +

masajao · Answer

re, j'ai fait continuer, ca a fonctionné: les deux liens:

http://cjoint.com/11au/AHswoVh388r.htm

http://cjoint.com/11au/AHswpvMvUwq.htm

kalimusic · Answer

re,

En fait, il y avait pas que searchqu. Une belle collection d'adware ;)

&#x25CF;  La plupart des infections nécessitent plusieurs outils et manipulations pour les supprimer complètement. Même si les symptômes disparaissent rapidement, il est préférable de terminer la procédure.
&#x25CF;  N'utilise pas d'outil de désinfection de ta propre initiative, ne pas suivre également d'autres conseils afin de ne pas interférer sur la procédure en cours.
&#x25CF;  Prends le temps de lire ce qui est demandé, ne te lance pas dans une manipulation que tu n'as pas compris. 
&#x25CF;  Héberge les rapports des outils sur http://www.cijoint.fr/ ou https://www.cjoint.com/ ou http://pjjoint.malekal.com/ ou https://textup.fr/
&#x25CF;  Je t'aide bénévolement, je réponds quand je peux et dés que je peux, merci :)

Afin de permettre aux outils de désinfection de travailler correctement :

Désactiver l'UAC sous Vista

 == == == == == == == == == == == == == == == == == == == == == ==

1. Désinstalle :

Dealio Toolbar v4.0.1     
Bandoo 
DAEMON Tools Toolbar     
Favorit 
2. Télécharge et installe AD-Remover (C_XX) sur le bureau 

Désactive la protection résidente de ton anti-virus pour ne pas gêner le travail de l'outil    

"Process.exe" est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus

&#x25CF; Lance Ad-R 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Dans l'interface principale, clique sur le bouton Scanner puis confirme l'action en cliquant sur "Oui" 
&#x25CF; Patiente le temps du scan, le rapport doit s'ouvrir spontanément à la fin. 
&#x25CF; Clique sur Quitter 

Si le rapport ne s'ouvre pas spontanément, il se trouve à la racine du disque C:\Ad-report-SCAN

A +

masajao · Answer

J'ai un problème pour a desinstallation de bandoo, il me dit :

http://cjoint.com/11au/AHsxg5PHI6C.htm

sinon le rapport est ici:

http://cjoint.com/11au/AHsxhRq9Xqw.htm


merci encore pour ton aide

kalimusic · Answer

Pas important pour bandoo, on l'aura autrement ;)

1. Relance Ad-R 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 

Désactive la protection résidente de ton anti-virus pour ne pas gêner le travail de l'outil    

&#x25CF; Clique sur le bouton Nettoyer puis confirme l'action en cliquant sur "Oui" 
&#x25CF; Patiente le temps du scan (le bureau peut disparaitre), le rapport doit s'ouvrir spontanément à la fin. 
&#x25CF; Clique sur Quitter 

Si le rapport ne s'ouvre pas spontanément, il se trouve à la racine du disque C:\Ad-report-CLEAN

"Process.exe" est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus

2. Relance OTL 
  - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Après le balayage, un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 

3. Héberge les 2 rapports et donne moi les liens.

A +

masajao · Answer

Voilà:

http://cjoint.com/11au/AHsxK3fjIJD.htm

http://cjoint.com/11au/AHsxLNVQD2l.htm

kalimusic · Answer

re,

Faut recommencer car tu as refait un scan avec AD-R alors que je te demande de faire Nettoyer.
Du coup ensuite, il faut refaire OTL car j'ai besoin de son rapport après le nettoyage de AD-R.

En attente des 2 nouveaux rapports.

A +

masajao · Answer

oup's desolée, voici les deux rapports:

http://cjoint.com/11au/AHtlMiGFNGe.htm

http://cjoint.com/11au/AHtlTBTk0rn.htm

kalimusic · Answer

Bonjour,

1. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; L'interface principale s'ouvre :
&#x25CF; Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "Radio Bar 1 Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2405725&SearchSource=3&q={searchTerms}"
FF - prefs.js..keyword.URL: "http://www1.search-results.com/web?l=dis&q=&o=APN10655&apn_dtid=%5EBND101%5EYY%5EFR&shad=s_0043&gct=ds&apn_ptnrs=%5EAG5&d=101-0&lang=en&atb=sysid%3D101%3Auid%3D555149fbe80448a0%3Asrc%3Dffb%3Ao%3DAPN10655%3Atg%3D&p2=%5EAG5%5EBND101%5EYY%5EFR"
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3:[b]64bit:/b - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - No CLSID value found.
O33 - MountPoints2\{d476b4dc-602f-11de-9b60-00218572743e}\Shell - "" = AutoRun
O33 - MountPoints2\{d476b4dc-602f-11de-9b60-00218572743e}\Shell\AutoRun\command - "" = J:\SETUP.EXE
O33 - MountPoints2\{d476b4dc-602f-11de-9b60-00218572743e}\Shell\configure\command - "" = J:\SETUP.EXE
O33 - MountPoints2\{d476b4dc-602f-11de-9b60-00218572743e}\Shell\install\command - "" = J:\SETUP.EXE
O33 - MountPoints2\K\Shell\AutoRun\command - "" = K:\setup.exe
O33 - MountPoints2\L\Shell\AutoRun\command - "" = L:\setup.exe
[2011/05/25 16:55:32 | 000,154,696 | ---- | M] () -- C:\Users\dadou\AppData\Local\Temp
sh7A4E.tmp.exe
[2011/05/25 16:55:32 | 000,154,696 | ---- | M] () -- C:\Users\dadou\AppData\Local\Temp
smBA2B.tmp.exe
[2011/05/25 16:55:32 | 000,154,696 | ---- | M] () -- C:\Users\dadou\AppData\Local\Temp
sr8BAC.tmp.exe
[6 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
[30 C:\Users\dadou\AppData\Local\Temp\*.tmp files -> C:\Users\dadou\AppData\Local\Temp\*.tmp -> ]

:Files
ipconfig /flushdns /c
C:\Users\dadou\AppData\Roaming\Mozilla\FireFox\Profiles
72eu0kc.default\extensions\engine@conduit.com

:Commands 
[emptyflash]
[emptytemp]
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   
&#x25CF; Copie/colle le dans ton prochain message.   

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log) 

2. On va utiliser un logiciel déjà présent sur ton ordinateur Malwarebytes Anti-Malware pour faire un scan.

 !! Effectue la mise à jour !!

&#x25CF; Choisis "Exécuter un examen complet" 
&#x25CF; Choisis de scanner tous tes disques durs

A la fin de l'analyse, si MBAM n'a rien trouvé :

&#x25CF; Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

&#x25CF; Clique sur OK puis "Afficher les résultats"
&#x25CF; Choisis l'option "Supprimer la sélection"
&#x25CF; Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#x25CF; Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#x25CF; Sinon le rapport s'ouvre automatiquement après la suppression 

3. En attente des 2 rapports. Comment se comporte le pc maintenant ?

A +

masajao · Answer

Voici le rapport OTL:
http://cjoint.com/11au/AHtps7No79r.htm

et le rapport malware:

http://cjoint.com/11au/AHtptYblZCV.htm

L'ordi a l'air mieux, pas eu de bug. Mais il met un temps fou à s'allumer (ecran noir du début pendant au moins 5 min)


merci

kalimusic · Answer

A priori, plus rien d'infectieux. 

1. Vérifie l'intégrité des fichiers de Vista avec sfc /verifyonly > aide en images   

2. Effectue un scan en ligne en suivant ce tutoriel : http://www.bibou0007.com/t3691-tutorial-eset-online-scanner
Sauvegarde le rapport au format texte, et donne moi le rapport.
note : attention, ce scan est généralement assez long à réaliser 

A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

masajao · Answer

re, voici le rapport:



C:\Program Files (x86)\Acer GameZone\Bricks of Egypt\Bricks of Egypt.exe	une variante probable de Win32/Agent.BYJZDO cheval de troie	nettoyé par suppression - mis en quarantaine
C:\Users\dadou\AppData\Roaming\Microsoft\Windows\Start Menu\eBay.lnk	Win32/Adware.ADON application	nettoyé par suppression - mis en quarantaine
C:\Users\dadou\Downloads\unlocker_unlocker_1.9.0_32_bits_francais_20237.exe	Win32/Adware.ADON application	supprimé - mis en quarantaine

kalimusic · Answer

re,

Quel a été le résultat de la vérification de l'intégrité des fichiers ?

ESET a mis un fichier en quarantaine par erreur :
Rends toi ici => C:\Program Files (x86)\ESET\ESET Online Scanner\Quarantine 
Récupère ce fichier Bricks of Egypt.exe 
Et remet le dans ce répertoire => C:\Program Files (x86)\Acer GameZone\Bricks of Egypt

Tes problèmes de démarrage assez lent datent de longtemps ?

A +

kalimusic · Answer

Pourquoi en mode sans échec, la commande sfc /scannow ne fonctionnait pas en mode normal ?

Tu as le DVD de Vista ?

A +

masajao · Answer

J'ai suivi ce qui était indiqué dans le tuto, je l'ai fait en mode normal aussi, impossible. Je n'ai pas le DVD de Vista.
Pour mes problèmes de démarrage lent ca date de quelques semaines mais ça semble mieux depuis que j'ai suivi tes manips.

Je ne trouve pas le fichier Bricks of Egypt.exe , il n'y a que des fichier en .NQF dans le dossier

kalimusic · Answer

Bonsoir, 

Pour le jeu, à ré-télécharger donc si nécessaire. 

Tu as essayé de lancer la réparation en passant pas la console WinRE ? 

Redémarre ton système.  
Tu tapotes F8 (ou F5) afin d'afficher les options de démarrage.  
Tu choisis Réparer l'ordinateur  
Puis dans Options de récupération du système > Invite de commandes  
Aide en image   

Ensuite, tu tapes cette commande :  
sfc /scannow /OFFBOOTDIR=C:\ /OFFWINDIR=C:\windowsEt tu valides par Entrée  

Les explications en images sont au chapitre 3  

A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

masajao · Answer

Bonjour,

Le problème quand je procède en passant par réparer l'ordinateur c'est qu'il m'ouvre le fameux écran bleu avec "A problem has been detected and Windows has been shut down to prevent damage on your computer......."


:(

kalimusic · Answer

Bonjour,

Au niveau infectieux, c'est ok.
Il faut finaliser en purgeant la restauration système et en désinstallant proprement les outils, puis faire les mises à jour indispensables.

Pour les problèmes d'intégrité des fichiers de Vista et tes différents soucis, la solution de recours est de sauvegarder tes documents et de réinitialiser ton ordinateur aux paramètres d'usine.

Tiens moi au courant, car si tu optes pour la seconde solution cela rendrait l'étape précédente inutile.

A +

masajao · Answer

Re, ben écoute je préférerais la solution 1... mais que me conseilles-tu? comment procéder?

kalimusic · Answer

re,

1. Relance Ad-Remover en tant qu'administrateur
Clique sur Désinstaller   

2. Lance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF; Dans la partie du bas "Personnalisation", copie/colle:

:commands
[clearallrestorepoints]&#x25CF; Clique sur le bouton Correction. 

3. Relance OTL en tant qu'administrateur  
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Clique ensuite sur OK dans la boite de dialogue qui t'invite à redémarrer le système.

4. Supprime les outils restants sur ton Bureau
Si tu ne l'as pas encore fait, tu peux réactiver L'UAC 

5.  Mises à jour

 JRE 6 Update 26  
!! n'oublie pas de décocher la case "Yahoo! toolbar" !!  

Adobe Reader 10.1.0 
 n'oublie pas de décocher la case "Google Chrome" si tu n'en veux pas ! 

Firefox 6 

 == == == == == == == == == == == == == == == == == == == == == ==

&#x25CF; La multiplication des protections est une source de conflit et n'est pas plus efficace pour la sécurité :  1 seul anti-virus, 1 seul pare-feu (celui de Windows peut suffire avec Vista/Seven), et en complément pour un scan occasionnel Malwarebytes : Antispyware gratuit : ça sert à rien!

&#x25CF; Maintenir les logiciels à jour avec Secunia OSI (merci australien)
Ou en utilisant leur logiciel Secunia Personal Software Inspector
Ou celui-ci :  Update Checker

&#x25CF;  Ne pas surfer en droits administrateurs

&#x25CF; Ne pas installer n'importe quel logiciel sur son PC (surtout via des liens publicitaires), toujours se renseigner avant. Les télécharger dans la mesure du possible sur le site de l'éditeur. Éviter d'installer les diverses barres d'outils ou de recherches, etc....proposées lors de l'installation. 

&#x25CF; Bannir les sites à risques (pornographiques, etc...) et les comportements à risques (P2P, cracks, warez....)

&#x25CF; Ne pas cliquer aveuglement sur des liens contenus dans les e-mails, les messageries instantanées, les réseaux sociaux, etc ...même si l'expéditeur est connu et à plus forte raison s'il est inconnu ou suspect.

&#x25CF; Utiliser un navigateur alternatif et le sécuriser (par exemple Firefox avec des modules complémentaires comme AdBlock, Noscript, WOT, etc...) 

 == == == == == == == == == == == == == == == == == == == == == ==

Bonne continuation

Virus?

23 réponses

Discussions similaires