win32:pup-gen decouvert par avast que faireFermé

Question

Bonjour, j'ai fait un scan au demarage avec avast et voila le resultat  , la quarantaine ou le suprimer n'y font rien, pouvez vous m'aidez  merci



Configuration: Windows XP / Internet Explorer 8.0

kalimusic · Answer

Bonjour,

Quel est le nom du fichier ? Où est -il situé ?

A +

patt · Answer

C /systeme voulume information /restore merci pour ta rapidité..

kalimusic · Answer

Avast! ne doit pas pouvoir le supprimer car il se trouve dans la restauration système.

Si tu n'as pas d'autres soucis, purge la restauration système.

Tu as bien XP ?

A +

patt · Answer

ok , juste un petit rappel pour  la purge stp  .sinon je rame grave  que sur certain site  comme  turf.fr  ou meteo france pour afficher la carte  par exemple  ?  est ce que le site est surchargé ou parce que j'utilise  java ?

kalimusic · Answer

re,

Si tu rames uniquement sur certains sites, cela peut venir des sites.
Pas forcement de rapport avec java, ta version est à jour ?

Supprimer les anciens points de restauration - Windows XP

A +

patt · Answer

j'ai fait  la purge  ,avast ne me detectera plus  rien maintenant ? et quanq a java   j'ai la version  java(tm)  7update 2  est ce la bonne ?  merci. ( disons que mon CPU ,sur ces sites reste  a 100 pour 100  pourquoi ??)

kalimusic · Answer

re,

Normalement, c'est bon pour les points de restauration.

La dernière version est  JRE 6 Update 31 
La version 7 de Java était encore en développement, la dernière version est la 3
Pense à supprimer les anciennes versions : https://www.java.com/fr/download/help/remove_olderversions.html

A +

patt · Answer

bonjour , j'ai  suprimer l'ancienne version et telecharger  JRE 6 UPDATE 31  ( c'est pareil   , je rame  encore) je vais relancer avast  au demarage et   te tiens au courant  merci.

kalimusic · Answer

Bonjour,

Tu rames au démarrage, pendant le surf ou sur certains sites ?

On va regarder si tu n'as pas installé un ou plusieurs programmes indésirables.

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau. 
&#x25CF; Lance  AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Recherche  
&#x25CF; Patiente le temps du scan, le rapport doit s'ouvrir spontanément à la fin. 

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[R1].txt 

Poste le rapport, A +

patt · Answer

avast viens de me retrouver le meme parasite  situ é  dans  C windows/systeme 32/drivers/tuesight.sys  je  fais adwcleaner  ou pas   merci

kalimusic · Answer

C'est pas plutôt truesight.sys ?
C'est légitime, tu l'as déjà mis en quarantaine ?

patt · Answer

oui c'est  truesight.sys  voici le rapport adwcleaner  AdwCleaner v1.500 - Rapport créé le 25/02/2012 à 13:29:00
# Mis à jour le 23/02/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : user - ARLIN
# Exécuté depuis : D:\Temp\Fichiers Internet temporaires\Content.IE5\SDCUHH7X\adwcleaner[1].exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Fichier Présent : C:\Program Files\Windows live\messenger\msimg32.dll

***** [H. Navipromo] *****


***** [Registre] *****

Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v [Impossible d'obtenir la version]

Profil : gerzjpnt.default
Fichier : C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\gerzjpnt.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Documents and Settings\user\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1523 octets] - [25/02/2012 13:29:00]

########## EOF - C:\AdwCleaner[R1].txt - [1651 octets] ##########

kalimusic · Answer

re,

Rien de concret dans le rapport, ne supprime rien.
Pour avancer, il faut répondre : Tu rames au démarrage, pendant le surf ou sur certains sites seulement ? 

A +

patt · Answer

sur certain site seulement    turf  et  meteofrance (meme si ce n'est pas un foudre  de guerre sur les autres sites mais  ca  va) le cpu monte sur ces 2 sites et bugg des fois

kalimusic · Answer

Je ne suis pas convaincu que l'origine soit infectieuse, on va regarder.


Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF;  L'interface principale s'ouvre : 
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case également Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
safebootminimal 
safebootnetwork 
/md5start
volsnap.*
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%systemroot%\Tasks\*.* /s
hklm\software\clients\startmenuinternet|command /rs
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

A +

patt · Answer

premier rapport: http://pjjoint.malekal.com/files.php?id=OTL_20120225_o13n7n13v14t9

et  le deuxieme:http://pjjoint.malekal.com/files.php?id=OTL_Extras_20120225_p7j8h15e7g8

kalimusic · Answer

patt,

Rien qui puisse expliquer tes problèmes pour le moment.

1. Relance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions suivantes :

:OTL
SRV - (HidServ) --  File not found
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.     
O3 - HKU\S-1-5-21-1123561945-879983540-682003330-1005\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.     
O3 - HKU\S-1-5-21-1123561945-879983540-682003330-1005\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.     
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites File not found 
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] 
[1 C:\*.tmp files -> C:\*.tmp -> ] 
@Alternate Data Stream - 126 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:CB0AACC9 
@Alternate Data Stream - 117 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:D2F2F703 
@Alternate Data Stream - 110 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2 
:Files
ipconfig /flushdns /c
C:\Documents and Settings\user\Application Data\Simply Super Software
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy    
:Commands 
[emptytemp]
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles  

2. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

&#x25CF; Lance TDSSKiller.exe 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Start scan.
&#x25CF; Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
&#x25CF; Conserve l'action proposée par défaut par l'outil
&#9656; Pour "Suspicious object" laisse sur "Skip"
&#x25CF; Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
&#x25CF; Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt 

3. Héberge les 2 rapports et poste les liens

A +

patt · Answer

bonsoir  , le rapport  otl Files\Folders moved on Reboot...
File move failed. D:\Temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...  et ensuite http://pjjoint.malekal.com/files.php?id=20120226_10y14g10s15h11

merci

kalimusic · Answer

Bonsoir,

Le rapport OTL semble incomplet.
TDSSkiller n'a rien trouvé. 

Toujours les mêmes soucis que les 2 sites quelque soit le navigateur ?

A +

patt · Answer

avec otl quand j'ai appuyé sur correction (tout a disparu   a la  fin  ) je nai pas eu le temps  d'accepter  par  ok   pour  redemarrer  le  pc. j'ai  eteint  et  redemarrer  le  pc  et  ce rapport  c'est affiché.   autrement  toujours pareil  sur  ces  sites je suis meme allez sur  geny course  ou normalement  ca  ne  rame pas  et  la pareil ? . l'autre  j'ai installé opera  et c'etait plus fluide.. qu'en penses tu  merci

Win32:pup-gen decouvert par avast que faire

21 réponses

Discussions similaires

Newsletters