Mon ordinateur a-t-il un virus ? Fermé

Question

Bonjour, 

J'ai depuis quelque temps mes fenetres de navigation qui ne cessent de sauter de bas en haut (et c'est tres penible), que ce soit avec le navigateur avec lequel je vais sur internet que n'importe quel application de mon bureau.

J'ai aussi Windows security alert qui me dit que je n'ai aucun antivurs de connecte alors qu'avast tourne impeccable avec les mises a jour.

J'ai fait des scans avec plusieurs antivirus (avast, spybots, et Malawres bytes) mis a jour et j'ai effectivement trouve des troyens et des malawares sur mon. Mais ces deux problemes que j'ai decrits ci-dessus persistent. Je me suis documente notamment sur ce forum et apparemment il se peut que mon pc soit encore infecte.

J'ai donc fait un scan avec hijackthis et voici donc le rapport :

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 4:26:11 PM, on 2/8/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\AVAST Software\Avast\avastUI.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32	askmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Documents and Settings\Admin\My Documents\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: DebugBar BHO - {69FC0024-10EB-480A-BBF2-3BF4E78E17B1} - C:\Program Files\Core Services\DebugBar\DebugInfoBar.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O3 - Toolbar: DebugBar - {3E1201F4-1707-409F-BB45-A5F192381DA0} - C:\Program Files\Core Services\DebugBar\DebugToolBar.dll
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

dr.pc1 · Answer

Salut,

On va diagnostiquer ton pc :

* Télécharge ZHPDiag (de Nicolas Coolman) : ici    

*Lance le ( Pour Windows Vista et Windows 7 clic-droit --> Exécuter en temps qu'administrateur)     

* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)     

*Il va se lancer tout seul.    

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)     

*Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette.    

*Rends toi sur Pjjoint : ici, clique sur "Choisissez un fichier", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier.     
Puis copie/colle le lien fourni dans ta prochaine réponse.   

PS: Tous les rapports que tu devra me donner après donne les moi par pjjoint.

chouros · Answer

Merci beaucoup pour ta reponse.

Voila le lien :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120208_w12w12z8f6h10

dr.pc1 · Answer

**Télécharge AdwCleaner ( d'Xplode ) : ici  

*installe-le sur ton bureau. 

*Lance le, clique sur [Suppression].  
Une fois le scan fini, un rapport s'ouvrira. Poste moi le contenu du rapport dans ta prochaine réponse.  

PS: Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

dr.pc1 · Answer

* Télécharge sur le bureau RogueKiller : ici

- Quitte tous les programmes en cours

- Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

- Sinon lance simplement RogueKiller.exe

- Lorsque demandé, clic sur Recherche et valide.

- Puis clic sur Rapport et donne-le moi.

;-)

chouros · Answer

Voici les deux liens des rapports :

https://pjjoint.malekal.com/files.php?id=20120208_c8s5o7z14q11

https://pjjoint.malekal.com/files.php?id=20120208_h8q6t8m9r12

dr.pc1 · Answer

Relance AdwCleaner et clic sur Suppression.

Relance Roguekiller et clic sur Suppression puis sur Host RAZ puis donne-moi les rapports :-)

chouros · Answer

Voici les deux nouveaux rapports :

https://pjjoint.malekal.com/files.php?id=20120208_p12y8n7e11k12

https://pjjoint.malekal.com/files.php?id=20120208_c11r10d15j13d6

A priori les sautes d'ascenseur ne se produisent plus mais il faut encore que j'attende pour confirmer. En revanche, j'ai toujours windows security alert qui me dit qu'il ne detecte aucun antivirus sur mon pc. Etrange.

chouros · Answer

Non ca saute toujours pfffffffff

dr.pc1 · Answer

Donne-moi le rapport en HOST RAZ stp :-)

Télécharge Reload_Tdsskiller :ici.   

*Lance le choisis : lancer le nettoyage   

*TDSSKiller va s'ouvrir , clique sur "Start Scan" 
-Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut. 
-Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée. 
-Si TDSS.tdl4(HardDisk0MBR) est détecté assure toi que Cure est bien cochée. 
-Si Suspicious file est indiqué, laisse l''option cochée sur SkipSi Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas.   

*une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer   

*sinon , ferme tdssKiller et le rapport s'affichera sur le bureau   
Copie/Colle son contenu sur pjjoint et donne moi le lien dans ta prochaine réponse.

chouros · Answer

Voici :

https://pjjoint.malekal.com/files.php?id=20120208_f5z13n12d14s7

Par contre je n'ai rien efface, j'ai tout mis sur skip

dr.pc1 · Answer

Relance-le mais maintenant tu dois tout effacer.

Puis : 

Telecharge et enregistre Pre_Scan sur ton bureau : : 

ici

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://dl.dropbox.com/u/21363431/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://dl.dropbox.com/u/21363431/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne-moi le lien ;-)

chouros · Answer

Salut, les 3 liens que tu m'as donnes sont detectes comme etant des troyens par Avast

chouros · Answer

Scan effectue : 

Effectivement le fichier est colossal ! 

https://pjjoint.malekal.com/files.php?id=20120212_m12k7n11t1212

Les sautes d'ecran qui avaient recommence entre temps ont a nouveau disparu apres ce scan. Par contre windows security alert m'indique toujours que je n'ai pas d'antivirus alors que j'en ai un.

Peux-tu me dire ce qu'il se passe (et aussi d'apres ce rapport) ?

dr.pc1 · Answer

Salut,

Remet-le rapport sur https://www.cjoint.com/ car je n'arrive pas à ouvrir le lien :-)

chouros · Answer

Desole pour mon retard, voila : https://www.cjoint.com/?BBokycfa1JU

Apparemment le bug de saute d'ascenseur n'apparait plus.

dr.pc1 · Answer

Salut,

Ok =)

*Télécharge et installe Malwarebyte's Anti-Malware : ici

-Met la base de définition à jour

-Lance un scan complet (cela peut durer de quelques minutes à plusieurs heures )

A la fin du scan, clique sur le bouton en bas à gauche Supprimez Selection.

Et poste-moi le rapport dans ta prochaine réponse :-)

chouros · Answer

Il n'y pas que l'ordi qui avait un virus, le proprietaire aussi :) !

Voici le lien du rapport : https://www.cjoint.com/?BBxhJJjqTlp

Apperemment il n'a rien trouve !

dr.pc1 · Answer

Hello :-)

Bonne guérison =)

** Télécharge Dr Web CureIt : ici sur ton Bureau.

- Double clique sur drweb-cureit.exe et ensuite clique sur Analyse.

- Clique sur Commencer le scan à l'invite de l'analyse rapide.

PS: S'il trouve des processus infectés, clique Oui.

Note : Une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

- Lorsque le scan rapide est terminé, clique sur le menu Options 
puis Changer la configuration.

- Choisis l'onglet Scanner, et décoche Analyse heuristique. Clique ensuite sur Ok.

- Sur la fenêtre principale, cliques sur Analyse complète.

- Cliques sur la flèche verte à droite.

- Le scan débute

- Si des éléments néfastes sont trouvés, cliques sur Oui pour tout à l'invite Désinfecter ?

- Lorsque le scan sera terminé, cliques sur Tout sélectionner puis sur Quarantaine.

- De retour au menu principal, cliques sur Fichier et choisis Enregistrer le rapport. Sauvegarde le rapport sur ton Bureau. 

- Ferme Dr.Web Cureit

- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse. 

Canned speech issu de FEI : https://2011n2.forumgratuit.org/login

=)

Mon ordinateur a-t-il un virus ?

18 réponses

Discussions similaires