Virus sytem 32 pub sonore à la minute
Aude31
-
aude31 -
aude31 -
Bonjour,
J'ai un problème depuis les environs du 22 décembre 2011 avec un virus que je n'arrive pas à stopper qui génère des pubs sonores dès connection à internet et qui lors de ma navigation sur internet me met une fois sur deux sur la même page (qui semblerait être de la pub).
L'antivirus AVG me donne des cookies à la minute et je suis obligé pour survivre de faire des analyses toutes les 30 min ou de travailler sans internet.
Il semblerait que le virus soit localisé dans system 32 de windows. Après un petit surf j'ai fait une analyse HijackThis qui m'indique un message d'erreur mais fini par donner ce résultat auquel bien sur je ne comprends rien (voir ci dessous en fin de message).
Je ne sais vraiment plus quoi faire, cela ne fait qu'une semaine, mais j'ai du supprimer tout ce que je pouvais dans la plus grande incohérence, et cela devient vraiment plus que pénible, le désespoir m'emporte et je commence à détester mon ordinateur.
Je remercie quiconque pouvant m'aider.
Rapport HijackThis v2.0.2:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:55:37, on 28/12/2011
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\AVG\AVG2012\avgtray.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Hewlett-Packard\Shared\hpqToaster.exe
C:\Program Files\Hewlett-Packard\Shared\hpCaslNotification.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Users\Aucd\Downloads\HiJackThis.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Users\Aucd\Downloads\HiJackThis (1).exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O1 - Hosts: 69.72.252.254 www.google-analytics.com.
O1 - Hosts: 69.72.252.254 ad-emea.doubleclick.net.
O1 - Hosts: 69.72.252.254 www.statcounter.com.
O1 - Hosts: 184.95.41.155 www.google-analytics.com.
O1 - Hosts: 184.95.41.155 ad-emea.doubleclick.net.
O1 - Hosts: 184.95.41.155 www.statcounter.com.
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG2012\avgssie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\9.0.0.23\AVG Secure Search_toolbar.dll
O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files\Windows Live\Companion\companioncore.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\9.0.0.23\AVG Secure Search_toolbar.dll
O4 - HKLM\..\Run: [WirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AVG_TRAY] "C:\Program Files\AVG\AVG2012\avgtray.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files\Windows Live\Companion\companioncore.dll
O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ClickPotato - {B58926D6-CFB0-45d2-9C28-4B5A0F0368AE} - C:\Program Files\ClickPotatoLite\bin\10.0.668.0\ClickPotatoLiteSABHO.dll (file missing)
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShopperReports3\bin\3.0.517.0\ShopperReports.dll (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShopperReports3\bin\3.0.517.0\ShopperReports.dll (file missing)
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{63D74D93-A2B6-4BA0-8EF5-C8B113623463}: Domain = ups-tlse.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{63D74D93-A2B6-4BA0-8EF5-C8B113623463}: NameServer = 8.8.8.8,8.8.8.8,130.120.124.102,195.220.59.6
O17 - HKLM\System\CS1\Services\Tcpip\..\{63D74D93-A2B6-4BA0-8EF5-C8B113623463}: Domain = ups-tlse.fr
O17 - HKLM\System\CS1\Services\Tcpip\..\{63D74D93-A2B6-4BA0-8EF5-C8B113623463}: NameServer = 8.8.8.8,8.8.8.8,130.120.124.102,195.220.59.6
O17 - HKLM\System\CS2\Services\Tcpip\..\{63D74D93-A2B6-4BA0-8EF5-C8B113623463}: Domain = ups-tlse.fr
O17 - HKLM\System\CS2\Services\Tcpip\..\{63D74D93-A2B6-4BA0-8EF5-C8B113623463}: NameServer = 8.8.8.8,8.8.8.8,130.120.124.102,195.220.59.6
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\9.0.1\ViProtocol.dll
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O20 - AppInit_DLLs:
O20 - Winlogon Notify: DeviceNP - C:\Windows\SYSTEM32\DeviceNP.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\AVGIDSAgent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\avgwdsvc.exe
O23 - Service: Verrouillage des périphériques / Audition HP ProtectTools (FLCDLOCK) - Hewlett-Packard Ltd - C:\Windows\system32\flcdlock.exe
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: HP Support Assistant Service - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\HP Support Framework\hpsa_service.exe
O23 - Service: HP Quick Synchronization Service (HPDrvMntSvc.exe) - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\Shared\HPDrvMntSvc.exe
O23 - Service: HP Software Framework Service (hpqwmiex) - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe
O23 - Service: HP Service (hpsrv) - Hewlett-Packard Company - C:\Windows\system32\Hpservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Program Files\MATLAB\R2006a\webserver\bin\win32\matlabserver.exe (file missing)
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe
O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: vToolbarUpdater - Unknown owner - C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\9.0.1\ToolbarUpdater.exe
J'ai un problème depuis les environs du 22 décembre 2011 avec un virus que je n'arrive pas à stopper qui génère des pubs sonores dès connection à internet et qui lors de ma navigation sur internet me met une fois sur deux sur la même page (qui semblerait être de la pub).
L'antivirus AVG me donne des cookies à la minute et je suis obligé pour survivre de faire des analyses toutes les 30 min ou de travailler sans internet.
Il semblerait que le virus soit localisé dans system 32 de windows. Après un petit surf j'ai fait une analyse HijackThis qui m'indique un message d'erreur mais fini par donner ce résultat auquel bien sur je ne comprends rien (voir ci dessous en fin de message).
Je ne sais vraiment plus quoi faire, cela ne fait qu'une semaine, mais j'ai du supprimer tout ce que je pouvais dans la plus grande incohérence, et cela devient vraiment plus que pénible, le désespoir m'emporte et je commence à détester mon ordinateur.
Je remercie quiconque pouvant m'aider.
Rapport HijackThis v2.0.2:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:55:37, on 28/12/2011
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\AVG\AVG2012\avgtray.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Hewlett-Packard\Shared\hpqToaster.exe
C:\Program Files\Hewlett-Packard\Shared\hpCaslNotification.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Users\Aucd\Downloads\HiJackThis.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Users\Aucd\Downloads\HiJackThis (1).exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O1 - Hosts: 69.72.252.254 www.google-analytics.com.
O1 - Hosts: 69.72.252.254 ad-emea.doubleclick.net.
O1 - Hosts: 69.72.252.254 www.statcounter.com.
O1 - Hosts: 184.95.41.155 www.google-analytics.com.
O1 - Hosts: 184.95.41.155 ad-emea.doubleclick.net.
O1 - Hosts: 184.95.41.155 www.statcounter.com.
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG2012\avgssie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\9.0.0.23\AVG Secure Search_toolbar.dll
O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files\Windows Live\Companion\companioncore.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\9.0.0.23\AVG Secure Search_toolbar.dll
O4 - HKLM\..\Run: [WirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AVG_TRAY] "C:\Program Files\AVG\AVG2012\avgtray.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files\Windows Live\Companion\companioncore.dll
O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ClickPotato - {B58926D6-CFB0-45d2-9C28-4B5A0F0368AE} - C:\Program Files\ClickPotatoLite\bin\10.0.668.0\ClickPotatoLiteSABHO.dll (file missing)
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShopperReports3\bin\3.0.517.0\ShopperReports.dll (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShopperReports3\bin\3.0.517.0\ShopperReports.dll (file missing)
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{63D74D93-A2B6-4BA0-8EF5-C8B113623463}: Domain = ups-tlse.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{63D74D93-A2B6-4BA0-8EF5-C8B113623463}: NameServer = 8.8.8.8,8.8.8.8,130.120.124.102,195.220.59.6
O17 - HKLM\System\CS1\Services\Tcpip\..\{63D74D93-A2B6-4BA0-8EF5-C8B113623463}: Domain = ups-tlse.fr
O17 - HKLM\System\CS1\Services\Tcpip\..\{63D74D93-A2B6-4BA0-8EF5-C8B113623463}: NameServer = 8.8.8.8,8.8.8.8,130.120.124.102,195.220.59.6
O17 - HKLM\System\CS2\Services\Tcpip\..\{63D74D93-A2B6-4BA0-8EF5-C8B113623463}: Domain = ups-tlse.fr
O17 - HKLM\System\CS2\Services\Tcpip\..\{63D74D93-A2B6-4BA0-8EF5-C8B113623463}: NameServer = 8.8.8.8,8.8.8.8,130.120.124.102,195.220.59.6
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\9.0.1\ViProtocol.dll
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O20 - AppInit_DLLs:
O20 - Winlogon Notify: DeviceNP - C:\Windows\SYSTEM32\DeviceNP.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\AVGIDSAgent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\avgwdsvc.exe
O23 - Service: Verrouillage des périphériques / Audition HP ProtectTools (FLCDLOCK) - Hewlett-Packard Ltd - C:\Windows\system32\flcdlock.exe
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: HP Support Assistant Service - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\HP Support Framework\hpsa_service.exe
O23 - Service: HP Quick Synchronization Service (HPDrvMntSvc.exe) - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\Shared\HPDrvMntSvc.exe
O23 - Service: HP Software Framework Service (hpqwmiex) - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe
O23 - Service: HP Service (hpsrv) - Hewlett-Packard Company - C:\Windows\system32\Hpservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Program Files\MATLAB\R2006a\webserver\bin\win32\matlabserver.exe (file missing)
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe
O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: vToolbarUpdater - Unknown owner - C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\9.0.1\ToolbarUpdater.exe
A voir également:
- Virus sytem 32 pub sonore à la minute
- 32 bits - Guide
- Power iso 32 bit - Télécharger - Gravure
- Supprimer pub youtube - Accueil - Streaming
- Virus mcafee - Accueil - Piratage
- Stop pub gratuit - Télécharger - Divers Utilitaires
28 réponses
Bonjour et Bienvenue sur CCM
Connais tu le nom du fichier que AVG tente de mettre en quarantaine ?
Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes de ton ordinateur.
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
A +
Connais tu le nom du fichier que AVG tente de mettre en quarantaine ?
Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes de ton ordinateur.
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
msconfig safebootminimal safebootnetwork /md5start volsnap.* explorer.exe winlogon.exe userinit.exe svchost.exe /md5stop %temp%\*.exe /s %ALLUSERSPROFILE%\Application Data\*.exe /s %ALLUSERSPROFILE%\Application Data\*. %APPDATA%\*.exe /s %APPDATA%\*. %SYSTEMDRIVE%\*.exe %systemroot%\*. /mp /s %systemroot%\Tasks\*.job /lockedfiles %systemroot%\assembly\tmp\*.* /s hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s hklm\software\clients\startmenuinternet|command /rs hklm\software\clients\startmenuinternet|command /64 /rs CREATERESTOREPOINT
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
A +
Bonsoir,
Ton ordinateur présente de multiples infections et de nombreux logiciels indésirables, je ne sais pas comment il fonctionne encore.
== == == == == == == == == == == == == == == == == == == == == ==
Sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==
Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!
Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération si tu es sous XP
● Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
● Il est possible que l'outil est besoin de redémarre l'ordinateur.
!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
(risque de plantage complet de l'ordinateur)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
● Héberge le rapport et donne moi le lien.
!! Réactive les protections résidentes de ton PC !!
Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
A +
Ton ordinateur présente de multiples infections et de nombreux logiciels indésirables, je ne sais pas comment il fonctionne encore.
== == == == == == == == == == == == == == == == == == == == == ==
Sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==
Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!
Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération si tu es sous XP
● Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
● Il est possible que l'outil est besoin de redémarre l'ordinateur.
!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
(risque de plantage complet de l'ordinateur)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
● Héberge le rapport et donne moi le lien.
!! Réactive les protections résidentes de ton PC !!
Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
A +
Bonjour,
Merci pour l'aide proposée.
Je n'ai pas noté le/les virus qui n'arrêtaient pas de se mettre en quarantaine.
D'autre part, j'ai un problème maintenant de reconnaissance avec mon windows, il me dit que ma copie de windows n'est pas authentique, ce qui n'est pas le cas.
Voici les deux liens après analyse avc OTL:
http://cjoint.com/?0LDt0dikA83 (pour le fichier extras)
http://cjoint.com/?0LDt3qdJ0oM (pour le fichier OTL)
Merci encore et bonne soirée
Merci pour l'aide proposée.
Je n'ai pas noté le/les virus qui n'arrêtaient pas de se mettre en quarantaine.
D'autre part, j'ai un problème maintenant de reconnaissance avec mon windows, il me dit que ma copie de windows n'est pas authentique, ce qui n'est pas le cas.
Voici les deux liens après analyse avc OTL:
http://cjoint.com/?0LDt0dikA83 (pour le fichier extras)
http://cjoint.com/?0LDt3qdJ0oM (pour le fichier OTL)
Merci encore et bonne soirée
OK merci. J'ai un problème car je n'arrive pas à désactiver mon parefeu windows car il me demande avant de le mettre à jour et il ne veut pas, il y a une erreur qui se produit (code erreur 0x80070424).
Puis je quand même lancer ComboFix?
Puis je quand même lancer ComboFix?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonsoir,
Voici le lien avec le rapport combofix: http://cjoint.com/?0LEbNQKiWhs
Lors du processus à la fin des étapes (une quarantaine), combofix a signalé plusieurs infections (3) dont une sur system32, qu'il a tenté de résoudre (si j'ai bien tout compris).
D'autre part, il est normal qu'AVG reconnaisse combofix comme une menace?
Merci encore et bonne nuit.
Voici le lien avec le rapport combofix: http://cjoint.com/?0LEbNQKiWhs
Lors du processus à la fin des étapes (une quarantaine), combofix a signalé plusieurs infections (3) dont une sur system32, qu'il a tenté de résoudre (si j'ai bien tout compris).
D'autre part, il est normal qu'AVG reconnaisse combofix comme une menace?
Merci encore et bonne nuit.
Bonjour,
AVG reconnait ComboFix comme une menace, c'est un outil de désinfection puissant qui mal utilisé peut faire des dégâts sur le système.
ComboFix a supprimé pas mal d'infections mais la situation reste critique, il a repéré que 3 fichiers essentiels aux fonctionnement de Windows ont été modifiés.
1. Rends toi sur le site Virus Total
● Clique sur la case "Parcourir"
● Une nouvelle fenêtre s'ouvre te permettant de naviguer sur le disque dur
● Parcoure l'arborescence de ton disque dur dans ce répertoire :
C:\Windows\System32\ pour sélectionner ce fichier winlogon.exe
● Clique sur le fichier puis sur "Ouvrir" en bas de la fenêtre
● Clique maintenant sur le bouton "Send File (Envoyer le fichier)"
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Le fichier est mis en attente puis le scan débute, à la fin de l'analyse copie l'URL et colle la dans ta réponse, cela doit ressembler à ceci : http://www.virustotal.com/fr/analisis/4ad23c3e409a3845815fcc6d0c977fbeb90ba8d1bcdf6d41b22993907a7944aa-1270983527
2. Recommence la même opération pour les fichiers suivants :
c:\windows\system32\svchost.exe
c:\windows\explorer.exe
3. Dans tes documents, je vois des dossiers qui m'intriguent car ils contiennent des fichiers de Windows. Est-ce toi qui a crée le dossier Scanned Documents dans ce répertoire => C:\Users\Aucd\Documents\Scanned Documents\Documents
A +
AVG reconnait ComboFix comme une menace, c'est un outil de désinfection puissant qui mal utilisé peut faire des dégâts sur le système.
ComboFix a supprimé pas mal d'infections mais la situation reste critique, il a repéré que 3 fichiers essentiels aux fonctionnement de Windows ont été modifiés.
1. Rends toi sur le site Virus Total
● Clique sur la case "Parcourir"
● Une nouvelle fenêtre s'ouvre te permettant de naviguer sur le disque dur
● Parcoure l'arborescence de ton disque dur dans ce répertoire :
C:\Windows\System32\ pour sélectionner ce fichier winlogon.exe
● Clique sur le fichier puis sur "Ouvrir" en bas de la fenêtre
● Clique maintenant sur le bouton "Send File (Envoyer le fichier)"
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Le fichier est mis en attente puis le scan débute, à la fin de l'analyse copie l'URL et colle la dans ta réponse, cela doit ressembler à ceci : http://www.virustotal.com/fr/analisis/4ad23c3e409a3845815fcc6d0c977fbeb90ba8d1bcdf6d41b22993907a7944aa-1270983527
2. Recommence la même opération pour les fichiers suivants :
c:\windows\system32\svchost.exe
c:\windows\explorer.exe
3. Dans tes documents, je vois des dossiers qui m'intriguent car ils contiennent des fichiers de Windows. Est-ce toi qui a crée le dossier Scanned Documents dans ce répertoire => C:\Users\Aucd\Documents\Scanned Documents\Documents
A +
Bonjour,
Ok, merci. Désolé pour mon temps de réponse, je suis en décalage horaire de 6h de retard au Canada.
Concernant le dossier Scanned Documents dans ce répertoire => C:\Users\Aucd\Documents\Scanned Documents\Documents , il ne me semble pas l'avoir créé.
Voici les URL pour:
- C:\Windows\System32\ winlogon.exe:
http://www.virustotal.com/file-scan/report.html?id=ed2fe01047e9704430d5be13db5b33b2afe519807406da97362ebcd2be9d009a-1325248785
- C:\windows\system32\svchost.exe:
http://www.virustotal.com/file-scan/report.html?id=1de9516aa0a690619979df31eaa3d519eb4e296653c7482b6445103cd4396f74-1325249146
-C:\windows\explorer.exe:
http://www.virustotal.com/file-scan/report.html?id=bd6d6fa6b4b6b49cc7ffaebd6a0bdf034a742a9796e5606cde8e1aaebfeace87-1325249279
D'autre part, voici sur quoi je tombe une fois sur quatre lors de mes recherches internet: http://updatedtrends.com/?s=
Bon après-midi
Ok, merci. Désolé pour mon temps de réponse, je suis en décalage horaire de 6h de retard au Canada.
Concernant le dossier Scanned Documents dans ce répertoire => C:\Users\Aucd\Documents\Scanned Documents\Documents , il ne me semble pas l'avoir créé.
Voici les URL pour:
- C:\Windows\System32\ winlogon.exe:
http://www.virustotal.com/file-scan/report.html?id=ed2fe01047e9704430d5be13db5b33b2afe519807406da97362ebcd2be9d009a-1325248785
- C:\windows\system32\svchost.exe:
http://www.virustotal.com/file-scan/report.html?id=1de9516aa0a690619979df31eaa3d519eb4e296653c7482b6445103cd4396f74-1325249146
-C:\windows\explorer.exe:
http://www.virustotal.com/file-scan/report.html?id=bd6d6fa6b4b6b49cc7ffaebd6a0bdf034a742a9796e5606cde8e1aaebfeace87-1325249279
D'autre part, voici sur quoi je tombe une fois sur quatre lors de mes recherches internet: http://updatedtrends.com/?s=
Bon après-midi
Bonjour,
Comme je le prévoyais les des fichiers système vitaux sont touchés, on va essayer de les remplacer. On traitera aussi les redirections.
Tu as de multiples infections, la désinfection ne peut pas se faire en un clin d'oeil.
1. Ouvre le bloc-note et copie/colle les instructions en citation :
● Sauvegarde le fichier sous le nom CFScript.txt impérativement sur ton Bureau.
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!
● Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img
● Patiente pendant le travail de l'outil et la création du rapport.
2. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
● Lance TDSSKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur Start scan.
● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
● Conserve l'action proposée par défaut par l'outil
- Pour TDSS.tdl2 : l'option Delete sera cochée.
- Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
- Pour "Suspicious object" laisse sur "Skip"
- Attention pour Rootkit.Win32.ZAccess :
-- Choisir Cure pour les fichiers .sys et Delete pour le fichier .exe
● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
3. Héberge les 2 rapports et donne moi les liens dans ton prochain message afin que je puisse les consulter.
A +
Comme je le prévoyais les des fichiers système vitaux sont touchés, on va essayer de les remplacer. On traitera aussi les redirections.
Tu as de multiples infections, la désinfection ne peut pas se faire en un clin d'oeil.
1. Ouvre le bloc-note et copie/colle les instructions en citation :
FCopy::
C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe | C:\windows\explorer.exe
C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_6f99573a36451166\winlogon.exe | c:\windows\system32\winlogon.exe
C:\Windows\winsxs\x86_microsoft-windows-services-svchost_31bf3856ad364e35_6.1.7600.16385_none_b591afc466a15356\svchost.exe | c:\windows\system32\svchost.exe
RegLock::
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Approved Extensions]
Registry::
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=-
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=-
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Approved Extensions]
"{A7CDDCDC-BEEB-4685-A062-978F5E07CEEE}"=-
Driver::
5016
File::
c:\windows\TEMP\5016.sys
c:\programdata\iojbcaa.tmp
c:\programdata\yuyqaaa.tmp
c:\programdata\sjhnaaa.tmp
● Sauvegarde le fichier sous le nom CFScript.txt impérativement sur ton Bureau.
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!
● Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img
● Patiente pendant le travail de l'outil et la création du rapport.
2. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
● Lance TDSSKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur Start scan.
● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
● Conserve l'action proposée par défaut par l'outil
- Pour TDSS.tdl2 : l'option Delete sera cochée.
- Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
- Pour "Suspicious object" laisse sur "Skip"
- Attention pour Rootkit.Win32.ZAccess :
-- Choisir Cure pour les fichiers .sys et Delete pour le fichier .exe
● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
3. Héberge les 2 rapports et donne moi les liens dans ton prochain message afin que je puisse les consulter.
A +
Re-bonjour,
Voici les liens des 2 rapports:
http://cjoint.com/?0LErvWxtpXr
http://cjoint.com/?0LErwGwvdbL
Pour l'étape avec TDSSKiller, après le scan, je n'ai eu que deux fichiers Treat où on me proposait skip, quarantaine ou delete. J'ai laissé sur skip. C'est tout ce que j'ai fait. J'ai pas trouvé de cure.
Voici les liens des 2 rapports:
http://cjoint.com/?0LErvWxtpXr
http://cjoint.com/?0LErwGwvdbL
Pour l'étape avec TDSSKiller, après le scan, je n'ai eu que deux fichiers Treat où on me proposait skip, quarantaine ou delete. J'ai laissé sur skip. C'est tout ce que j'ai fait. J'ai pas trouvé de cure.
re,
1. Il faut refaire analyser des fichiers sur http://www.virustotal.com/index.html
Copie/colle les liens obtenus.
(la procédure est donnée plus haut)
2. Relance OTL
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la section Rapport , coche Rapport minimal
● Laisse tous les autres paramètres par défaut
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Après le balayage, un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
● Héberge le rapport et donne moi le lien.
3. Dis moi si tu as toujours des redirections.
A +
1. Il faut refaire analyser des fichiers sur http://www.virustotal.com/index.html
c:\windows\system32\winlogon.exe c:\windows\system32\svchost.exe c:\windows\explorer.exe C:\Windows\system32\DRIVERS\wdcsam.sys C:\Windows\system32\FsUsbExDisk.SYS
Copie/colle les liens obtenus.
(la procédure est donnée plus haut)
2. Relance OTL
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la section Rapport , coche Rapport minimal
● Laisse tous les autres paramètres par défaut
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Après le balayage, un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
● Héberge le rapport et donne moi le lien.
3. Dis moi si tu as toujours des redirections.
A +
ok.
Voici le lien du rapport OTL:
http://cjoint.com/?0LEsv1qTztj
Et les liens pour virus total:
c:\windows\system32\winlogon.exe:
http://www.virustotal.com/file-scan/report.html?id=8550390c14c140acf703e828c78d7e71b3fa97b610b52b1bfa3ba242a43df978-1325264206
c:\windows\system32\svchost.exe
http://www.virustotal.com/file-scan/report.html?id=1de9516aa0a690619979df31eaa3d519eb4e296653c7482b6445103cd4396f74-1325264318
c:\windows\explorer.exe
http://www.virustotal.com/file-scan/report.html?id=0cccca603e2db99ba3f994f889dac043628c228ae6c8ddec3e8e8b3a96917c96-1325264348
C:\Windows\system32\DRIVERS\wdcsam.sys
http://www.virustotal.com/file-scan/report.html?id=807d4563e8ad4073688691078eb13af240e14ba5e0c8506a48b3060a20b90082-1325264566
C:\Windows\system32\FsUsbExDisk.SYS
http://www.virustotal.com/file-scan/report.html?id=7cbc77c620aba75fef4ba8ad9c38766d50cd18106eba4693f162f2c5a7d46aa8-1325264605
Par contre, je ne sais pas ce que veux dire " redirection". J'ai toujours mes pubs sonores, mes pages web redirigées vers d'autres pages et mon windows non reconnu.
Merci encore pour l'aide apportée
Voici le lien du rapport OTL:
http://cjoint.com/?0LEsv1qTztj
Et les liens pour virus total:
c:\windows\system32\winlogon.exe:
http://www.virustotal.com/file-scan/report.html?id=8550390c14c140acf703e828c78d7e71b3fa97b610b52b1bfa3ba242a43df978-1325264206
c:\windows\system32\svchost.exe
http://www.virustotal.com/file-scan/report.html?id=1de9516aa0a690619979df31eaa3d519eb4e296653c7482b6445103cd4396f74-1325264318
c:\windows\explorer.exe
http://www.virustotal.com/file-scan/report.html?id=0cccca603e2db99ba3f994f889dac043628c228ae6c8ddec3e8e8b3a96917c96-1325264348
C:\Windows\system32\DRIVERS\wdcsam.sys
http://www.virustotal.com/file-scan/report.html?id=807d4563e8ad4073688691078eb13af240e14ba5e0c8506a48b3060a20b90082-1325264566
C:\Windows\system32\FsUsbExDisk.SYS
http://www.virustotal.com/file-scan/report.html?id=7cbc77c620aba75fef4ba8ad9c38766d50cd18106eba4693f162f2c5a7d46aa8-1325264605
Par contre, je ne sais pas ce que veux dire " redirection". J'ai toujours mes pubs sonores, mes pages web redirigées vers d'autres pages et mon windows non reconnu.
Merci encore pour l'aide apportée
Aude31,
ComboFix n'a pas réussi à remplacer les fichiers systèmes patchés.
L'infection principale est donc toujours présente.
Il faut donc changer de stratégie. As tu un autre pc pour graver un CD ?
A +
ComboFix n'a pas réussi à remplacer les fichiers systèmes patchés.
L'infection principale est donc toujours présente.
Il faut donc changer de stratégie. As tu un autre pc pour graver un CD ?
A +
Hello pour avancer un peu mon ami kalimusic, je pense qu'il n'en verra pas d'inconvénient (j'espère).
Télécharge et grave sur CD-R OTLPE
(la gravure se lance en exécutant le fichier OTLPEStd.exe)
~~
Ensuite il te faudra "booter" sur le CD, voir pour configurer ton bios si nécessaire : https://www.commentcamarche.net/faq/7322-booter-sur-cd-changer-sequence-de-boot
Bonne chasse kalimusic, je suis ce sujet c'est fort intéressant !
Télécharge et grave sur CD-R OTLPE
(la gravure se lance en exécutant le fichier OTLPEStd.exe)
~~
Ensuite il te faudra "booter" sur le CD, voir pour configurer ton bios si nécessaire : https://www.commentcamarche.net/faq/7322-booter-sur-cd-changer-sequence-de-boot
Bonne chasse kalimusic, je suis ce sujet c'est fort intéressant !
Bonjour juju,
Effectivement intéressant, sauf pour le propriétaire du pc.
@Aude31
Quand tu auras graver le CD depuis une autre ordinateur, je te donnerais les instructions pour la suite.
A +
Effectivement intéressant, sauf pour le propriétaire du pc.
@Aude31
Quand tu auras graver le CD depuis une autre ordinateur, je te donnerais les instructions pour la suite.
A +
Bonjour,
C'est avc plasir que je commence cette nouvelle année avc un pc remis à neuf. Mon cousin m'a remplacé les 3 fichiers exécutifs de windows par des non contaminés. Il m'a informé que c'est sans doute en téléchargeant des fichiers sur internet que j'ai récupéré ces virus.
Je tiens à vous remercier pour votre aide et votre temps que vous y avez consacré et vous souhaite une bonne année.
Merci encore.
C'est avc plasir que je commence cette nouvelle année avc un pc remis à neuf. Mon cousin m'a remplacé les 3 fichiers exécutifs de windows par des non contaminés. Il m'a informé que c'est sans doute en téléchargeant des fichiers sur internet que j'ai récupéré ces virus.
Je tiens à vous remercier pour votre aide et votre temps que vous y avez consacré et vous souhaite une bonne année.
Merci encore.
Bonsoir,
C'est une très bonne nouvelle d'avoir pu remplacer les fichiers système patchés.
C'est d'ailleurs ce que je voulais faire à partir du CD OTLPE, car quand nous l'avions fait avec ComboFix, l'infection avait repatché les fichiers fraichement remplacés.
Je dois t'avertir que ton pc était gravement infecté et qu'il restait pas mal d'infections (certes mineures par rapport à ce problème) et que ton système comportait des failles de sécurité qui ont permis aux infections de faire ces ravages.
A +
C'est une très bonne nouvelle d'avoir pu remplacer les fichiers système patchés.
C'est d'ailleurs ce que je voulais faire à partir du CD OTLPE, car quand nous l'avions fait avec ComboFix, l'infection avait repatché les fichiers fraichement remplacés.
Je dois t'avertir que ton pc était gravement infecté et qu'il restait pas mal d'infections (certes mineures par rapport à ce problème) et que ton système comportait des failles de sécurité qui ont permis aux infections de faire ces ravages.
A +
