VIRUS TR/Dropper.Gen

Résolu
steph42vert Messages postés 117 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Configuration: Windows XP / Firefox 13.0

Je viens de voir qu AVIRA amis en quarantaine 2 virus TR/Dropper.Gen !! Je me suis également aperçu depuis quelques temps que mon PC rame énormément surtout au démarrage et que des fenêtres intempestives de pubs ou "autres" s ouvrent sur internet . J ai également des messages "douteux" dans OUTLOOK .
Si quelqu un peut m aider ca serait cool car je suis vraiment peu doué en info et je ne sais pas trop comment faire mais la navigation sur internet devient pour moi infernale tellement c est long

ci joint rapport adw cleaner apres suppression

# AdwCleaner v1.609 - Rapport créé le 13/06/2012 à 14:14:43
# Mis à jour le 10/06/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : PC1 - PC1-FA27360137D
# Exécuté depuis : C:\Documents and Settings\PC1\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]

***** [Services] *****

Arrêté & Supprimé : supdate

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\PC1\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jeaihkehdlhkocphopopahkfjcfcphef
Dossier Supprimé : C:\Documents and Settings\PC1\Application Data\Mozilla\Firefox\Profiles\fj8lv7c5.default\extensions\ffxtlbr@funmoods.com
Dossier Supprimé : C:\Program Files\Boxore
Dossier Supprimé : C:\Program Files\Funmoods

***** [Registre] *****

Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\SOFTWARE\Boxore
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Funmoods
Clé Supprimée : HKLM\SOFTWARE\Software
Clé Supprimée : HKLM\SOFTWARE\Classes\Software.OneClickCtrl.8
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass.1
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine.1.0
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Features\64A6E60055D801F4BB8AC269354B72B8
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Products\64A6E60055D801F4BB8AC269354B72B8
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\UpgradeCodes\1C875DDE39636004CA8CDAEC335B4160
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\UpgradeCodes\BA086F2D38A8E1A47912955A68B3AD24
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\1C875DDE39636004CA8CDAEC335B4160
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\BA086F2D38A8E1A47912955A68B3AD24
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Clé Supprimée : HKLM\SOFTWARE\Classes\MIME\Database\Content Type\application/x-vnd.software.oneclickctrl.8
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\jeaihkehdlhkocphopopahkfjcfcphef
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{006E6A46-8D55-4F10-BBA8-2C9653B4278B}
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@www.dlmanager.net/omaha/tools//Software Update;version=8
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Boxore Client]

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{32451DFC-C23B-4E12-866C-FC7982238504}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{092A2C6B-43EE-4F9F-8F8E-14ED5E11C14B}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{257A6158-1416-4B31-9BF8-29FF49F3814F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{32451DFC-C23B-4E12-866C-FC7982238504}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{7555B87D-D711-48B2-B97D-04DF700652BA}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AC5C4189-A8A0-4C9D-8910-C9CEF8360077}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{C9FC4C5A-2C9B-4E41-8DA2-2F379D74CF45}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0D80F1C5-D17B-4177-AC68-955F3EF9F191}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{23C70BCA-6E23-4A65-AD2E-1389062074F1}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{23D8EEF7-0E13-4000-B9C4-6603C1E912D1}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{295CACB4-51F5-46FD-914E-C72BAAE1B672}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2CE5C4B9-6DBE-4528-96FA-C9FF38EF1762}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{34C1FDF7-02C1-4F23-B393-F48B16E071D1}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{54291324-7A3D-4F11-B707-3FB6A2C97BD9}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{59C63F11-D4E5-46E7-9B8A-EE158DCA83A8}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5DA22CBD-0029-4A09-B757-CF0FAFC488ED}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{736EF78E-5A04-46F9-893E-EDEC6EA5DF45}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{77A6E7D4-4A83-4A9B-A2A0-EF3B125DC29D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{7A1BCE27-099C-4628-B63A-AEC00C6376B3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AF3AFF7C-B9E9-48DD-9002-212B6DEAAC02}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C0585B2F-74D7-4734-88DE-6C150C5D4036}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D8242E89-2F81-484A-AE5B-BA8CAD5B7347}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DBE82879-914A-422F-BAE9-2ECC80BE536F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E12D7149-73EF-45E4-A1E9-99FD7DAE62D3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EF0588D6-1621-4A75-B8BE-F4BC34794136}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F2B184F1-547C-4EE9-BFC4-AC489C7077D9}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{1D085C0A-E4F4-4F66-BDBF-4BE51015BFC3}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{E2E2DD38-D088-4134-82B7-F2BA38496583}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7555B87D-D711-48B2-B97D-04DF700652BA}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C9FC4C5A-2C9B-4E41-8DA2-2F379D74CF45}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7555B87D-D711-48B2-B97D-04DF700652BA}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C9FC4C5A-2C9B-4E41-8DA2-2F379D74CF45}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2E2DD38-D088-4134-82B7-F2BA38496583}

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v13.0 (fr)

Nom du profil : default
Fichier : C:\Documents and Settings\PC1\Application Data\Mozilla\Firefox\Profiles\fj8lv7c5.default\prefs.js

C:\Documents and Settings\PC1\Application Data\Mozilla\Firefox\Profiles\fj8lv7c5.default\user.js ... Supprimé !

Supprimée : user_pref("extensions.ffxtlbr@funmoods.com.install-event-fired", true);
Supprimée : user_pref("extensions.funmoods_i.aflt", "aed");
Supprimée : user_pref("extensions.funmoods_i.dfltLng", "");
Supprimée : user_pref("extensions.funmoods_i.excTlbr", false);
Supprimée : user_pref("extensions.funmoods_i.id", "106d8861000000000000000d613b10a5");
Supprimée : user_pref("extensions.funmoods_i.instlDay", "15442");
Supprimée : user_pref("extensions.funmoods_i.instlRef", "");
Supprimée : user_pref("extensions.funmoods_i.newTab", false);
Supprimée : user_pref("extensions.funmoods_i.prdct", "funmoods");
Supprimée : user_pref("extensions.funmoods_i.prtnrId", "funmoods");
Supprimée : user_pref("extensions.funmoods_i.smplGrp", "none");
Supprimée : user_pref("extensions.funmoods_i.tlbrId", "base");
Supprimée : user_pref("extensions.funmoods_i.tlbrSrchUrl", "hxxp://start.funmoods.com/results.php?f=3&a=aed&q=")[...]
Supprimée : user_pref("extensions.funmoods_i.vrsn", "1.5.11.16");
Supprimée : user_pref("extensions.funmoods_i.vrsnTs", "1.5.11.1610:42:52");
Supprimée : user_pref("extensions.funmoods_i.vrsni", "1.5.11.16");

Nom du profil : default
Fichier : C:\Documents and Settings\clément\Application Data\Mozilla\Firefox\Profiles\f3phnv5g.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Nom du profil : default
Fichier : C:\Documents and Settings\mylène\Application Data\Mozilla\Firefox\Profiles\pjbmu8is.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v19.0.1084.56

Fichier : C:\Documents and Settings\PC1\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [9241 octets] - [13/06/2012 14:13:58]
AdwCleaner[S1].txt - [9287 octets] - [13/06/2012 14:14:43]

########## EOF - C:\AdwCleaner[S1].txt - [9415 octets] ##########

36 réponses

  • 1
  • 2
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Hello !

    si ca peut aider le virus TR/Dropper.Gen apparait dans 4 fichiers en quarantaine dans ANTIVIR :
    BIT134.tmp
    SoftwareUpdateSetup.exe x2
    Bit19.tmp


    QUI détecte ça ? Antivir détecte sa propre quarantaine ????

    Si tu as un autre antivirus, désinstalle-le !

    =================================================

    Laisse tomber AdwCleaner pour le moment, il est spécialisé pour les publiciels, il ne pourra rien supprimer de plus.

    =================================================

    Afin de mieux comprendre la situation, j'ai besoin d'un rapport de ZHPDiag.

    ▶ Télécharge ZHPDiag (de Nicolas Coolman)

    ou :ZHPDiag

    Enregistre le sur ton Bureau.

    Une fois le téléchargement achevé,

    ▶ Installe et lance ZHPDiag.exe

    ▶ Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

    ▶ Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse,

    ▶ Pour me transmettre ton rapport utilise le site http://pjjoint.malekal.com

    ▶ Clique sur Parcourir et cherche le fichier C:\ZHP\ZHPDiag.txt

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Envoyer le fichier".

    Un lien de cette forme :

    https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120312_q15b11x7g11u5

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    A+
    1
  2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut :)

    ▶ Télécharge Malwarebytes' Anti-Malware (MBAM).

    ▶ enregistre l'exécutable sur le bureau.

    ▶ Installe-le puis configure-le comme ceci :

    Configuration

    si tu n'as rien modifié fais directement quitter sinon enregistrer

    Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

    ▶▶▶ Ce logiciel gratuit est à garder.

    ===================================================

    Uniquement en cas de problème de mise à jour:

    Télécharger mises à jour manuelles MBAM

    ▶ Exécute le fichier après l'installation de MBAM

    ===================================================

    Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

    ▶ Double clique sur le fichier téléchargé pour lancer le processus d'installation.
    ▶ Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
    ▶ Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
    ▶ Sélectionne "Exécuter un examen complet"
    ▶ Clique sur "Rechercher"
    ▶ L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
    ▶ Ferme tes navigateurs.
    ▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

    Si MBAM demande à redémarrer le pc : ▶ fais-le.

    Au redémarrage, relance MBAM, onglet "Rapport/Logs", tu ouvres le dernier en date et le colle dans ta prochaine réponse.

    A+
    0
  3. steph42vert
     
    salut et merci

    voici le rapport MBAM qui ne laisse pas apparaitre quoi que ce soit !!

    Malwarebytes Anti-Malware 1.61.0.1400
    www.malwarebytes.org

    Version de la base de données: v2012.06.15.07

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    PC1 :: PC1-FA27360137D [administrateur]

    Protection: Activé

    15/06/2012 clement - 21:05:42
    mbam-log-2012-06-15 (21-05-42).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 560375
    Temps écoulé: 1 heure(s), 49 minute(s), 34 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    0
  4. steph42vert Messages postés 117 Statut Membre
     
    si ca peut aider le virus TR/Dropper.Gen apparait dans 4 fichiers en quarantaine dans ANTIVIR :
    BIT134.tmp
    SoftwareUpdateSetup.exe x2
    Bit19.tmp

    Que dois en faire ?

    voici egalement rapport adw cleaner de ce jour apres RECHERCHE :
    # AdwCleaner v1.609 - Rapport créé le 16/06/2012 à 09:32:45
    # Mis à jour le 10/06/2012 par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : PC1 - PC1-FA27360137D
    # Exécuté depuis : C:\Documents and Settings\PC1\Mes documents\Téléchargements\adwcleaner.exe
    # Option [Recherche]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Présent : C:\Documents and Settings\PC1\Application Data\Mozilla\Firefox\Profiles\fj8lv7c5.default\extensions\staged

    ***** [Registre] *****

    ***** [Registre - GUID] *****

    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.6001.18702

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v13.0 (fr)

    Nom du profil : default
    Fichier : C:\Documents and Settings\PC1\Application Data\Mozilla\Firefox\Profiles\fj8lv7c5.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    Nom du profil : default
    Fichier : C:\Documents and Settings\clément\Application Data\Mozilla\Firefox\Profiles\f3phnv5g.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    Nom du profil : default
    Fichier : C:\Documents and Settings\mylène\Application Data\Mozilla\Firefox\Profiles\pjbmu8is.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    -\\ Google Chrome v19.0.1084.56

    Fichier : C:\Documents and Settings\PC1\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[R1].txt - [9241 octets] - [13/06/2012 14:13:58]
    AdwCleaner[S1].txt - [9416 octets] - [13/06/2012 14:14:43]
    AdwCleaner[R2].txt - [1707 octets] - [16/06/2012 09:32:45]

    ########## EOF - C:\AdwCleaner[R2].txt - [1835 octets] ##########

    ET LE RAPPORT APRes suppression

    # AdwCleaner v1.609 - Rapport créé le 16/06/2012 à 09:34:44
    # Mis à jour le 10/06/2012 par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : PC1 - PC1-FA27360137D
    # Exécuté depuis : C:\Documents and Settings\PC1\Mes documents\Téléchargements\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    ***** [Registre] *****

    ***** [Registre - GUID] *****

    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.6001.18702

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v13.0 (fr)

    Nom du profil : default
    Fichier : C:\Documents and Settings\PC1\Application Data\Mozilla\Firefox\Profiles\fj8lv7c5.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    Nom du profil : default
    Fichier : C:\Documents and Settings\clément\Application Data\Mozilla\Firefox\Profiles\f3phnv5g.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    Nom du profil : default
    Fichier : C:\Documents and Settings\mylène\Application Data\Mozilla\Firefox\Profiles\pjbmu8is.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    -\\ Google Chrome v19.0.1084.56

    Fichier : C:\Documents and Settings\PC1\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[R1].txt - [9241 octets] - [13/06/2012 14:13:58]
    AdwCleaner[S1].txt - [9416 octets] - [13/06/2012 14:14:43]
    AdwCleaner[R2].txt - [1836 octets] - [16/06/2012 09:32:45]
    AdwCleaner[S2].txt - [1643 octets] - [16/06/2012 09:34:44]

    ########## EOF - C:\AdwCleaner[S2].txt - [1771 octets] ##########
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. steph42vert Messages postés 117 Statut Membre
     
    salut et encore merci pour ton aide . ce matin pour demarrer l ordi met plus de 30 minutes a ramer ramer .......... INFERNAL

    sinon c est antivir qui avait detecté ces virus et c est moi qui les ai mis en quarantaine mais que dois je en faire ???

    pour le rapport ZHP DIAG voici le lien :

    https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120617_t11e14m5w15v15

    a+
    0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Java pas à jour (désinstaller la 6u31 et passer de la 7u4 à la 7u5)

    ~~

    Poste ton rapport d'antivir stp ?
    0
  8. steph42vert Messages postés 117 Statut Membre
     
    je mets a jour java avec FileHippo c est bon ?

    sinon impossible d afficher les rapports antivir !!je peux juste aller voir detail dans evenements :

    -Le fichier 'C:\Program Files\Software\Update\Download\{B025AACE-7891-47FC-9DA0-87FE4D1EA766}\SoftwareUpdateSetup.exe'
    contenait un virus ou un programme indésirable 'TR/Dropper.Gen' [trojan].
    Action(s) exécutée(s) :
    Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '52e0d46e.qua' !

    -Le fichier 'C:\Documents and Settings\PC1\Local Settings\Application Data\Temp\BIT134.tmp'
    contenait un virus ou un programme indésirable 'TR/Dropper.Gen' [trojan].
    Action(s) exécutée(s) :
    Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '52f2d4c4.qua' !

    -Dans le fichier 'C:\Program Files\Software\Update\Download\{B025AACE-7891-47FC-9DA0-87FE4D1EA766}\SoftwareUpdateSetup.exe'
    un virus ou un programme indésirable 'TR/Dropper.Gen' [trojan] a été détecté.
    Action exécutée : Refuser l'accès

    -Dans le fichier 'C:\Program Files\Software\Update\Download\{B025AACE-7891-47FC-9DA0-87FE4D1EA766}\SoftwareUpdateSetup.exe'
    un virus ou un programme indésirable 'TR/Dropper.Gen' [trojan] a été détecté.
    Action exécutée : Transmission au scanner

    et j ai 6 ou 7 autres messages de ce type en date du 13/06
    0
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    et maintenant ça donne quoi ?
    0
  10. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    suite :

    Télécharge et enregistre Pre_Scan sur ton bureau :

    http://www.forums-fec.be/gen-hackman/Pre_Scan.exe

    Avertissement : Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois téléchargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    Note : si l'outil est lancé plusieurs fois , il te proposera un menu, choisi alors l'option "Kill"

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange
    0
  11. steph42vert Messages postés 117 Statut Membre
     
    bien c est toujours catastrophique !!!
    au demarrage il faut environ 30 minutes avant de pouvoir faire quoi que ce soit car ca rame a la folie

    sinon impossible de faire le scan avec PRE-SCAN : en effet des que je le lance avec l option "lancer le scan-kill" tout s arrete et je me retrouve avec la page d accueil (sans les icones) et plus rien ne bouge ni se passe : j ai laissé ainsi pendant3 heures et rien du tout !!!)

    je sais plus comment m en sortir
    0
  12. g3n-h@ckm@n
     
    salut

    supprime les versions que tu as telechargées , telecharge la derniere version au format ".pif" : http://forums-fec.be/gen-hackman/Pre_Scan.pif

    redemarre ton pc en mode sans echec puis lance-le dans ce mode
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  13. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Re,

    Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}]
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
    [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "1900:UDP"=-
    "2869:TCP"=-

    info::
    C:\WINDOWS\Installer\2d8914.msp
    C:\WINDOWS\Installer\2d891b.msi
    C:\WINDOWS\Installer\2d8928.msi
    C:\WINDOWS\Installer\a5168d.msi

    list::
    C:\WINDOWS\Installer\{612C34C7-5E90-47D8-9B5C-0F717DD82726}

    File::
    C:\PC.lnk
    C:\Documents and Settings\PC1\Menu Démarrer\Programmes\Démarrage\Mozilla Firefox (2).lnk

    Folder::
    C:\WINDOWS\assembly\tmp\AJPUZ49E
    C:\165d249323222417ea6dae03a7acad
    C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
    C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Application Data\Software
    C:\Documents and Settings\NetworkService.AUTORITE NT\Local Settings\Application Data\Software
    C:\Documents and Settings\PC1\Local Settings\Application Data\Software

    MBR::

    clean::

    Reboot::

    ___________________________________________________

    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  14. steph42vert Messages postés 117 Statut Membre
     
    SALUT

    ok je fais ca ce soir en rentrant du boulot !!

    sinon que penses tu du fait que le PC rame un max au demarrage ? Toutes ces manips vont elles permettre une amelioration ?
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      c'est le but du moins :p
      0
  15. steph42vert Messages postés 117 Statut Membre
     
    avant de faire la procedure indiquee plus haut je voulais egalement signaler que j ai desormais sans arret ce type de message :

    Un script sur cette page est peut-être occupé ou ne répond plus. Vous pouvez arrêter le script maintenant ou attendre pour voir si le script se terminera.

    Script : resource://fbdislike-at-doweb-dot-fr/api-utils/lib/cuddlefish.js -> resource://fbdislike-at-doweb-dot-fr/api-utils/lib/sandbox.js -> resource://fbdislike-at-doweb-dot-fr/api-utils/data/content-proxy.js:753

    je n avais jamais cela avant !!!!!
    0
  16. steph42vert Messages postés 117 Statut Membre
     
    voici maintenant le rapport pre_script.txt

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.617 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    PC1 : Microsoft Windows XP (32 bits)

    Switchs : https://gen-hackman.kanak.fr/

    Script : 17:38:51

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ | Information(s) Fichier(s)

    0x13ADE28F7C057837E5F3E3F1581AB1ED - C:\WINDOWS\Installer\2d8914.msp

    ProductName =
    Version = 0.0.0.0
    CompanyName =
    LegalCopyright =
    LegalTrademarks =
    ProductVersion =
    FileDescription =
    PrivateBuild =
    FileVersion =
    OriginalFilename =
    SpecialBuild =
    DefaultLangCodepage =
    Size = 23214 Ko
    Date de création = 13/06/2012 08:05:20
    Date de modification = 13/06/2012 08:05:20
    Dernier accés = 13/06/2012 08:06:32

    ¤

    0xA4C0D046F5499C3A7F584143FDA4870E - C:\WINDOWS\Installer\2d891b.msi

    ProductName =
    Version = 0.0.0.0
    CompanyName =
    LegalCopyright =
    LegalTrademarks =
    ProductVersion =
    FileDescription =
    PrivateBuild =
    FileVersion =
    OriginalFilename =
    SpecialBuild =
    DefaultLangCodepage =
    Size = 420.5 Ko
    Date de création = 13/06/2012 08:10:00
    Date de modification = 13/06/2012 08:10:00
    Dernier accés = 13/06/2012 08:10:00

    ¤

    0x2A0F0C636CA61A9EFE71FA0A40AC110E - C:\WINDOWS\Installer\2d8928.msi

    ProductName =
    Version = 0.0.0.0
    CompanyName =
    LegalCopyright =
    LegalTrademarks =
    ProductVersion =
    FileDescription =
    PrivateBuild =
    FileVersion =
    OriginalFilename =
    SpecialBuild =
    DefaultLangCodepage =
    Size = 172 Ko
    Date de création = 13/06/2012 08:14:17
    Date de modification = 13/06/2012 08:14:17
    Dernier accés = 13/06/2012 08:14:17

    ¤

    0xEF2CB9B9917902EF5FEF28B218A9CCD1 - C:\WINDOWS\Installer\a5168d.msi

    ProductName =
    Version = 0.0.0.0
    CompanyName =
    LegalCopyright =
    LegalTrademarks =
    ProductVersion =
    FileDescription =
    PrivateBuild =
    FileVersion =
    OriginalFilename =
    SpecialBuild =
    DefaultLangCodepage =
    Size = 843.5 Ko
    Date de création = 17/06/2012 13:53:24
    Date de modification = 17/06/2012 13:53:24
    Dernier accés = 17/06/2012 13:53:24

    ¤
    Modification du registre effectuée

    ¤

    Supprimé : C:\PC.lnk
    Supprimé : C:\Documents and Settings\PC1\Menu Démarrer\Programmes\Démarrage\Mozilla Firefox (2).lnk

    ¤

    Supprimé : C:\WINDOWS\assembly\tmp\AJPUZ49E
    non Supprimé : C:\165d249323222417ea6dae03a7acad
    Supprimé : C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
    Supprimé : C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Application Data\Software
    Supprimé : C:\Documents and Settings\NetworkService.AUTORITE NT\Local Settings\Application Data\Software
    Supprimé : C:\Documents and Settings\PC1\Local Settings\Application Data\Software

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | Listing de : C:\WINDOWS\Installer\{612C34C7-5E90-47D8-9B5C-0F717DD82726}

    C:\WINDOWS\Installer\{612C34C7-5E90-47D8-9B5C-0F717DD82726}\ARPPRODUCTICON.exe

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | MBR

    Windows Version: Windows XP Professional
    Windows Information: Service Pack 3 (build 2600)
    Logical Drives Mask: 0x0000001d

    Analysis of file "C:\Pre_Scan\MBR.bin":
    Windows XP MBR code detected

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

    Nettoyage du disque effectué

    ¤

    Fin : 17:43:27

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
    0
  17. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Hello

    tu avais installé une extension "je n'aime pas" pour facebook ? (le script qui ne répond pas c'est fbdislike = facebook dislike = facebook je n'aime pas => CQFD)
    0
  18. steph42vert Messages postés 117 Statut Membre
     
    ok c est surement mon fils qui a installe cette extension car moi facebook c est niet !!
    peux tu m expliquer comment desinstaller cette extension ?
    sachant que j ai egalement d autre messages divers qui me parlent de script a arreter
    0
  19. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ben faudrait apprendre à ton fils que les extensions facebook c'est de l'arnaque.

    J'ai créé un sujet sur mon forum y'a quelques mois, voir : http://forums-fec.be/formations/index.php?topic=139.0

    ~~

    refais moi un zhpdiag (en le lançant en administrateur)

    ++
    0
  • 1
  • 2