VIRUS TR/Dropper.Gen Résolu

Question

Bonjour, 



Configuration: Windows XP / Firefox 13.0
 

Je viens de voir qu AVIRA amis en quarantaine 2 virus TR/Dropper.Gen !! Je me suis également aperçu depuis quelques temps que mon PC rame énormément surtout au démarrage et que des fenêtres intempestives de pubs ou "autres" s ouvrent sur internet . J ai également des messages "douteux" dans OUTLOOK . 
Si quelqu un peut m aider ca serait cool car je suis vraiment peu doué en info et je ne sais pas trop comment faire mais la navigation sur internet devient pour moi infernale tellement c est long 

ci joint rapport adw cleaner apres suppression

# AdwCleaner v1.609 - Rapport créé le 13/06/2012 à 14:14:43 
# Mis à jour le 10/06/2012 par Xplode 
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits) 
# Nom d'utilisateur : PC1 - PC1-FA27360137D 
# Exécuté depuis : C:\Documents and Settings\PC1\Mes documents\Téléchargements\adwcleaner.exe 
# Option [Suppression] 


***** [Services] ***** 

Arrêté & Supprimé : supdate 

***** [Fichiers / Dossiers] ***** 

Dossier Supprimé : C:\Documents and Settings\PC1\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jeaihkehdlhkocphopopahkfjcfcphef 
Dossier Supprimé : C:\Documents and Settings\PC1\Application Data\Mozilla\Firefox\Profiles\fj8lv7c5.default\extensions\ffxtlbr@funmoods.com 
Dossier Supprimé : C:\Program Files\Boxore 
Dossier Supprimé : C:\Program Files\Funmoods 

***** [Registre] ***** 

Clé Supprimée : HKCU\Software\Conduit 
Clé Supprimée : HKCU\Software\Softonic 
Clé Supprimée : HKLM\SOFTWARE\Boxore 
Clé Supprimée : HKLM\SOFTWARE\Conduit 
Clé Supprimée : HKLM\SOFTWARE\Funmoods 
Clé Supprimée : HKLM\SOFTWARE\Software 
Clé Supprimée : HKLM\SOFTWARE\Classes\Software.OneClickCtrl.8 
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass 
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass.1 
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine 
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine.1.0 
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL 
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL 
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL 
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL 
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE 
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Features\64A6E60055D801F4BB8AC269354B72B8 
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Products\64A6E60055D801F4BB8AC269354B72B8 
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\UpgradeCodes\1C875DDE39636004CA8CDAEC335B4160 
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\UpgradeCodes\BA086F2D38A8E1A47912955A68B3AD24 
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\1C875DDE39636004CA8CDAEC335B4160 
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\BA086F2D38A8E1A47912955A68B3AD24 
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 
Clé Supprimée : HKLM\SOFTWARE\Classes\MIME\Database\Content Type\application/x-vnd.software.oneclickctrl.8 
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\jeaihkehdlhkocphopopahkfjcfcphef 
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{006E6A46-8D55-4F10-BBA8-2C9653B4278B} 
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@www.dlmanager.net/omaha/tools//Software Update;version=8 
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Boxore Client] 

***** [Registre - GUID] ***** 

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947} 
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{32451DFC-C23B-4E12-866C-FC7982238504} 
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921} 
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706} 
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D} 
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800} 
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C} 
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{092A2C6B-43EE-4F9F-8F8E-14ED5E11C14B} 
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{257A6158-1416-4B31-9BF8-29FF49F3814F} 
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{32451DFC-C23B-4E12-866C-FC7982238504} 
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE} 
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{7555B87D-D711-48B2-B97D-04DF700652BA} 
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556} 
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AC5C4189-A8A0-4C9D-8910-C9CEF8360077} 
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{C9FC4C5A-2C9B-4E41-8DA2-2F379D74CF45} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0D80F1C5-D17B-4177-AC68-955F3EF9F191} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{23C70BCA-6E23-4A65-AD2E-1389062074F1} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{23D8EEF7-0E13-4000-B9C4-6603C1E912D1} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{295CACB4-51F5-46FD-914E-C72BAAE1B672} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2CE5C4B9-6DBE-4528-96FA-C9FF38EF1762} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{34C1FDF7-02C1-4F23-B393-F48B16E071D1} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{54291324-7A3D-4F11-B707-3FB6A2C97BD9} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{59C63F11-D4E5-46E7-9B8A-EE158DCA83A8} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5DA22CBD-0029-4A09-B757-CF0FAFC488ED} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{736EF78E-5A04-46F9-893E-EDEC6EA5DF45} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{77A6E7D4-4A83-4A9B-A2A0-EF3B125DC29D} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{7A1BCE27-099C-4628-B63A-AEC00C6376B3} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AF3AFF7C-B9E9-48DD-9002-212B6DEAAC02} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C0585B2F-74D7-4734-88DE-6C150C5D4036} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D8242E89-2F81-484A-AE5B-BA8CAD5B7347} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DBE82879-914A-422F-BAE9-2ECC80BE536F} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E12D7149-73EF-45E4-A1E9-99FD7DAE62D3} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EF0588D6-1621-4A75-B8BE-F4BC34794136} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F2B184F1-547C-4EE9-BFC4-AC489C7077D9} 
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{1D085C0A-E4F4-4F66-BDBF-4BE51015BFC3} 
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E} 
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{E2E2DD38-D088-4134-82B7-F2BA38496583} 
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291} 
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7555B87D-D711-48B2-B97D-04DF700652BA} 
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C9FC4C5A-2C9B-4E41-8DA2-2F379D74CF45} 
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7555B87D-D711-48B2-B97D-04DF700652BA} 
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C9FC4C5A-2C9B-4E41-8DA2-2F379D74CF45} 
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2E2DD38-D088-4134-82B7-F2BA38496583} 

***** [Navigateurs] ***** 

-\ Internet Explorer v8.0.6001.18702 

[OK] Le registre ne contient aucune entrée illégitime. 

-\ Mozilla Firefox v13.0 (fr) 

Nom du profil : default 
Fichier : C:\Documents and Settings\PC1\Application Data\Mozilla\Firefox\Profiles\fj8lv7c5.default\prefs.js 

C:\Documents and Settings\PC1\Application Data\Mozilla\Firefox\Profiles\fj8lv7c5.default\user.js ... Supprimé ! 

Supprimée : user_pref("extensions.ffxtlbr@funmoods.com.install-event-fired", true); 
Supprimée : user_pref("extensions.funmoods_i.aflt", "aed"); 
Supprimée : user_pref("extensions.funmoods_i.dfltLng", ""); 
Supprimée : user_pref("extensions.funmoods_i.excTlbr", false); 
Supprimée : user_pref("extensions.funmoods_i.id", "106d8861000000000000000d613b10a5"); 
Supprimée : user_pref("extensions.funmoods_i.instlDay", "15442"); 
Supprimée : user_pref("extensions.funmoods_i.instlRef", ""); 
Supprimée : user_pref("extensions.funmoods_i.newTab", false); 
Supprimée : user_pref("extensions.funmoods_i.prdct", "funmoods"); 
Supprimée : user_pref("extensions.funmoods_i.prtnrId", "funmoods"); 
Supprimée : user_pref("extensions.funmoods_i.smplGrp", "none"); 
Supprimée : user_pref("extensions.funmoods_i.tlbrId", "base"); 
Supprimée : user_pref("extensions.funmoods_i.tlbrSrchUrl", "hxxp://start.funmoods.com/results.php?f=3&a=aed&q=")[...] 
Supprimée : user_pref("extensions.funmoods_i.vrsn", "1.5.11.16"); 
Supprimée : user_pref("extensions.funmoods_i.vrsnTs", "1.5.11.1610:42:52"); 
Supprimée : user_pref("extensions.funmoods_i.vrsni", "1.5.11.16"); 

Nom du profil : default 
Fichier : C:\Documents and Settings\clément\Application Data\Mozilla\Firefox\Profiles\f3phnv5g.default\prefs.js 

[OK] Le fichier ne contient aucune entrée illégitime. 

Nom du profil : default 
Fichier : C:\Documents and Settings\mylène\Application Data\Mozilla\Firefox\Profiles\pjbmu8is.default\prefs.js 

[OK] Le fichier ne contient aucune entrée illégitime. 

-\ Google Chrome v19.0.1084.56 

Fichier : C:\Documents and Settings\PC1\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences 

[OK] Le fichier ne contient aucune entrée illégitime. 

************************* 

AdwCleaner[R1].txt - [9241 octets] - [13/06/2012 14:13:58] 
AdwCleaner[S1].txt - [9287 octets] - [13/06/2012 14:14:43] 

########## EOF - C:\AdwCleaner[S1].txt - [9415 octets] ##########

juju666 · Answer

Salut :)

&#9654 Télécharge Malwarebytes' Anti-Malware (MBAM). 

&#9654 enregistre l'exécutable sur le bureau. 

&#9654 Installe-le puis configure-le comme ceci : 

Configuration 

si tu n'as rien modifié fais directement quitter sinon enregistrer  

&#9654 Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

&#9654&#9654&#9654 Ce logiciel gratuit est à garder. 

=================================================== 

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour manuelles MBAM 

&#9654 Exécute le fichier après l'installation de MBAM 

=================================================== 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse. 

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation. 
&#9654 Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. 
&#9654 Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". 
&#9654 Sélectionne "Exécuter un examen complet" 
&#9654 Clique sur "Rechercher" 
&#9654 L'analyse démarre, le scan est relativement long, c'est normal. 

A la fin de l'analyse, un message s'affiche : 

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 

&#9654 Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. 
&#9654 Ferme tes navigateurs. 
&#9654 Si des malwares ont été détectés, clique sur Afficher les résultats. 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le. 

Si MBAM demande à redémarrer le pc : &#9654  fais-le. 

Au redémarrage, relance MBAM, onglet "Rapport/Logs", tu ouvres le dernier en date et le colle dans ta prochaine réponse. 

A+

steph42vert · Answer

salut et merci

voici le rapport MBAM qui ne laisse pas apparaitre quoi que ce soit !!

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.15.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
PC1 :: PC1-FA27360137D [administrateur]

Protection: Activé

15/06/2012 clement - 21:05:42
mbam-log-2012-06-15 (21-05-42).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 560375
Temps écoulé: 1 heure(s), 49 minute(s), 34 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

steph42vert · Answer

si ca peut aider  le virus TR/Dropper.Gen apparait dans 4 fichiers en quarantaine dans ANTIVIR :
BIT134.tmp
SoftwareUpdateSetup.exe x2
Bit19.tmp

Que dois en faire ?

voici egalement rapport adw cleaner de ce jour apres RECHERCHE :
# AdwCleaner v1.609 - Rapport créé le 16/06/2012 à 09:32:45
# Mis à jour le 10/06/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : PC1 - PC1-FA27360137D
# Exécuté depuis : C:\Documents and Settings\PC1\Mes documents\Téléchargements\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Documents and Settings\PC1\Application Data\Mozilla\Firefox\Profiles\fj8lv7c5.default\extensions\staged

***** [Registre] *****


***** [Registre - GUID] *****


***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v13.0 (fr)

Nom du profil : default 
Fichier : C:\Documents and Settings\PC1\Application Data\Mozilla\Firefox\Profiles\fj8lv7c5.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Nom du profil : default 
Fichier : C:\Documents and Settings\clément\Application Data\Mozilla\Firefox\Profiles\f3phnv5g.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Nom du profil : default 
Fichier : C:\Documents and Settings\mylène\Application Data\Mozilla\Firefox\Profiles\pjbmu8is.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v19.0.1084.56

Fichier : C:\Documents and Settings\PC1\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [9241 octets] - [13/06/2012 14:13:58]
AdwCleaner[S1].txt - [9416 octets] - [13/06/2012 14:14:43]
AdwCleaner[R2].txt - [1707 octets] - [16/06/2012 09:32:45]

########## EOF - C:\AdwCleaner[R2].txt - [1835 octets] ##########


ET LE RAPPORT APRes suppression

# AdwCleaner v1.609 - Rapport créé le 16/06/2012 à 09:34:44
# Mis à jour le 10/06/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : PC1 - PC1-FA27360137D
# Exécuté depuis : C:\Documents and Settings\PC1\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Registre - GUID] *****


***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v13.0 (fr)

Nom du profil : default 
Fichier : C:\Documents and Settings\PC1\Application Data\Mozilla\Firefox\Profiles\fj8lv7c5.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Nom du profil : default 
Fichier : C:\Documents and Settings\clément\Application Data\Mozilla\Firefox\Profiles\f3phnv5g.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Nom du profil : default 
Fichier : C:\Documents and Settings\mylène\Application Data\Mozilla\Firefox\Profiles\pjbmu8is.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v19.0.1084.56

Fichier : C:\Documents and Settings\PC1\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [9241 octets] - [13/06/2012 14:13:58]
AdwCleaner[S1].txt - [9416 octets] - [13/06/2012 14:14:43]
AdwCleaner[R2].txt - [1836 octets] - [16/06/2012 09:32:45]
AdwCleaner[S2].txt - [1643 octets] - [16/06/2012 09:34:44]

########## EOF - C:\AdwCleaner[S2].txt - [1771 octets] ##########

juju666 · Answer

Hello !

si ca peut aider le virus TR/Dropper.Gen apparait dans 4 fichiers en quarantaine dans ANTIVIR :
BIT134.tmp
SoftwareUpdateSetup.exe x2
Bit19.tmp 

QUI détecte ça ? Antivir détecte sa propre quarantaine ????

Si tu as un autre antivirus, désinstalle-le ! 

=================================================

Laisse tomber AdwCleaner pour le moment, il est spécialisé pour les publiciels, il ne pourra rien supprimer de plus.

=================================================

Afin de mieux comprendre la situation, j'ai besoin d'un rapport de ZHPDiag.

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

ou :ZHPDiag

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 Installe et lance ZHPDiag.exe 

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 Pour me transmettre ton rapport utilise le site http://pjjoint.malekal.com 

&#9654 Clique sur Parcourir et cherche le fichier C:\ZHP\ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Envoyer le fichier".

Un lien de cette forme :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120312_q15b11x7g11u5

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse. 


A+

steph42vert · Answer

salut et encore merci pour ton aide . ce matin pour demarrer l ordi met plus de 30 minutes a ramer ramer .......... INFERNAL

sinon c est antivir qui avait detecté ces virus et c est moi qui les ai mis en quarantaine mais que dois je en faire ???

pour le rapport ZHP DIAG voici le lien :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120617_t11e14m5w15v15

a+

juju666 · Answer

Java pas à jour (désinstaller la 6u31 et passer de la 7u4 à la 7u5)

~~

Poste ton rapport d'antivir stp ?

steph42vert · Answer

je mets a jour java avec FileHippo c est bon ?

sinon impossible d afficher les rapports antivir !!je peux juste aller voir detail dans evenements :

-Le fichier 'C:\Program Files\Software\Update\Download\{B025AACE-7891-47FC-9DA0-87FE4D1EA766}\SoftwareUpdateSetup.exe'
 contenait un virus ou un programme indésirable 'TR/Dropper.Gen' [trojan].
Action(s) exécutée(s) :
Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '52e0d46e.qua' !

-Le fichier 'C:\Documents and Settings\PC1\Local Settings\Application Data\Temp\BIT134.tmp'
 contenait un virus ou un programme indésirable 'TR/Dropper.Gen' [trojan].
Action(s) exécutée(s) :
Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '52f2d4c4.qua' !

-Dans le fichier 'C:\Program Files\Software\Update\Download\{B025AACE-7891-47FC-9DA0-87FE4D1EA766}\SoftwareUpdateSetup.exe'
un virus ou un programme indésirable 'TR/Dropper.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès

-Dans le fichier 'C:\Program Files\Software\Update\Download\{B025AACE-7891-47FC-9DA0-87FE4D1EA766}\SoftwareUpdateSetup.exe'
un virus ou un programme indésirable 'TR/Dropper.Gen' [trojan] a été détecté.
Action exécutée : Transmission au scanner

et j ai 6 ou 7 autres messages de ce type en date du 13/06

juju666 · Answer

et maintenant ça donne quoi ?

juju666 · Answer

suite :

Télécharge et enregistre Pre_Scan sur ton bureau :

http://www.forums-fec.be/gen-hackman/Pre_Scan.exe

Avertissement : Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois téléchargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

Note : si l'outil est lancé plusieurs fois , il te proposera un menu, choisi alors l'option "Kill"

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange

steph42vert · Answer

bien c est toujours catastrophique !!!
au demarrage il faut environ 30 minutes avant de pouvoir faire quoi que ce soit car ca rame a la folie 

sinon impossible de faire le scan avec PRE-SCAN  : en effet des que je le lance avec l option "lancer le scan-kill" tout s arrete et je me retrouve avec la page d accueil (sans les icones) et plus rien ne bouge ni se passe : j ai laissé ainsi pendant3 heures et rien du tout !!!)

je sais plus comment m en sortir

g3n-h@ckm@n · Answer

salut 

supprime les versions que tu as telechargées , telecharge la derniere version au format ".pif" : http://forums-fec.be/gen-hackman/Pre_Scan.pif

redemarre ton pc en mode sans echec puis lance-le dans ce mode 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

steph42vert · Answer

salut

desole pour l attente pour la reponse mais l ordi rame au max c est du jamais vu !!!

voici le rapport pre_scan


https://pjjoint.malekal.com/files.php?id=20120617_l14q12w5v6c15

juju666 · Answer

Re,

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]    
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]   
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] 
"1900:UDP"=-
"2869:TCP"=-

info::
C:\WINDOWS\Installer\2d8914.msp
C:\WINDOWS\Installer\2d891b.msi 
C:\WINDOWS\Installer\2d8928.msi 
C:\WINDOWS\Installer\a5168d.msi 

list::
C:\WINDOWS\Installer\{612C34C7-5E90-47D8-9B5C-0F717DD82726} 

File::
C:\PC.lnk 
C:\Documents and Settings\PC1\Menu Démarrer\Programmes\Démarrage\Mozilla Firefox (2).lnk 

Folder::
C:\WINDOWS\assembly	mp\AJPUZ49E 
C:\165d249323222417ea6dae03a7acad 
C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy     
C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Application Data\Software 
C:\Documents and Settings\NetworkService.AUTORITE NT\Local Settings\Application Data\Software 
C:\Documents and Settings\PC1\Local Settings\Application Data\Software 

 
MBR::

clean::

Reboot:: 
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

steph42vert · Answer

SALUT

ok je fais ca ce soir en rentrant du boulot !!

sinon que penses tu du fait que le PC rame un max au demarrage ? Toutes ces manips vont elles permettre une amelioration ?

steph42vert · Answer

avant de faire la procedure indiquee plus haut je voulais egalement signaler que j ai desormais sans arret ce type de message :

Un script sur cette page est peut-être occupé ou ne répond plus. Vous pouvez arrêter le script maintenant ou attendre pour voir si le script se terminera.

Script : resource://fbdislike-at-doweb-dot-fr/api-utils/lib/cuddlefish.js -> resource://fbdislike-at-doweb-dot-fr/api-utils/lib/sandbox.js -> resource://fbdislike-at-doweb-dot-fr/api-utils/data/content-proxy.js:753

je n avais jamais cela avant !!!!!

steph42vert · Answer

voici maintenant le rapport pre_script.txt

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.617 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

PC1 : Microsoft Windows XP (32 bits)

Switchs : https://gen-hackman.kanak.fr/

Script : 17:38:51

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Information(s) Fichier(s)


0x13ADE28F7C057837E5F3E3F1581AB1ED - C:\WINDOWS\Installer\2d8914.msp

ProductName = 
Version = 0.0.0.0
CompanyName = 
LegalCopyright = 
LegalTrademarks = 
ProductVersion = 
FileDescription = 
PrivateBuild = 
FileVersion = 
OriginalFilename = 
SpecialBuild = 
DefaultLangCodepage = 
Size = 23214 Ko
Date de création = 13/06/2012 08:05:20
Date de modification = 13/06/2012 08:05:20
Dernier accés = 13/06/2012 08:06:32


¤

0xA4C0D046F5499C3A7F584143FDA4870E - C:\WINDOWS\Installer\2d891b.msi

ProductName = 
Version = 0.0.0.0
CompanyName = 
LegalCopyright = 
LegalTrademarks = 
ProductVersion = 
FileDescription = 
PrivateBuild = 
FileVersion = 
OriginalFilename = 
SpecialBuild = 
DefaultLangCodepage = 
Size = 420.5 Ko
Date de création = 13/06/2012 08:10:00
Date de modification = 13/06/2012 08:10:00
Dernier accés = 13/06/2012 08:10:00


¤

0x2A0F0C636CA61A9EFE71FA0A40AC110E - C:\WINDOWS\Installer\2d8928.msi

ProductName = 
Version = 0.0.0.0
CompanyName = 
LegalCopyright = 
LegalTrademarks = 
ProductVersion = 
FileDescription = 
PrivateBuild = 
FileVersion = 
OriginalFilename = 
SpecialBuild = 
DefaultLangCodepage = 
Size = 172 Ko
Date de création = 13/06/2012 08:14:17
Date de modification = 13/06/2012 08:14:17
Dernier accés = 13/06/2012 08:14:17


¤

0xEF2CB9B9917902EF5FEF28B218A9CCD1 - C:\WINDOWS\Installer\a5168d.msi

ProductName = 
Version = 0.0.0.0
CompanyName = 
LegalCopyright = 
LegalTrademarks = 
ProductVersion = 
FileDescription = 
PrivateBuild = 
FileVersion = 
OriginalFilename = 
SpecialBuild = 
DefaultLangCodepage = 
Size = 843.5 Ko
Date de création = 17/06/2012 13:53:24
Date de modification = 17/06/2012 13:53:24
Dernier accés = 17/06/2012 13:53:24


¤
Modification du registre effectuée

¤

Supprimé : C:\PC.lnk
Supprimé : C:\Documents and Settings\PC1\Menu Démarrer\Programmes\Démarrage\Mozilla Firefox (2).lnk

¤

Supprimé : C:\WINDOWS\assembly	mp\AJPUZ49E
non Supprimé : C:\165d249323222417ea6dae03a7acad
Supprimé : C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
Supprimé : C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Application Data\Software
Supprimé : C:\Documents and Settings\NetworkService.AUTORITE NT\Local Settings\Application Data\Software
Supprimé : C:\Documents and Settings\PC1\Local Settings\Application Data\Software

¤

¤¤¤¤¤¤¤¤¤¤ | Listing de : C:\WINDOWS\Installer\{612C34C7-5E90-47D8-9B5C-0F717DD82726}

C:\WINDOWS\Installer\{612C34C7-5E90-47D8-9B5C-0F717DD82726}\ARPPRODUCTICON.exe


¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x0000001d

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows XP MBR code detected




¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


Fin : 17:43:27

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

juju666 · Answer

Hello

tu avais installé une extension "je n'aime pas" pour facebook ? (le script qui ne répond pas c'est fbdislike = facebook dislike = facebook je n'aime pas => CQFD)

steph42vert · Answer

ok c est surement mon fils qui a installe cette extension car moi facebook c est niet !! 
peux tu m expliquer comment desinstaller cette extension ?
sachant que j ai egalement d autre messages divers qui me parlent de script a arreter

juju666 · Answer

ben faudrait apprendre à ton fils que les extensions facebook c'est de l'arnaque.

J'ai créé un sujet sur mon forum y'a quelques mois, voir : http://forums-fec.be/formations/index.php?topic=139.0

~~

refais moi un zhpdiag (en le lançant en administrateur)

++

steph42vert · Answer

voici le nouveau rapport

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120618_v12i10m8n1214

juju666 · Answer

Hello, de retour ^^

Fais passer ce fichier sur https://www.virustotal.com/gui/ :

C:\WINDOWS\system32\DRIVERS\BT848.sys 

Si le site te répond que le fichier a déjà été analysé, clique sur Reanalyse now
Poste le lien vers l'analyse une fois celle-ci terminée.

A+

steph42vert · Answer

j espere que j ai bien fait la procedure demandee : 

https://www.virustotal.com/gui/file/0d0b03fec1778a53b787a0cb5eb105413571a9bc42979af5eccd4f807f2f9686

juju666 · Answer

ok c'est clean :) 

juste j'aurais peut-être besoin de toi maintenant pour corriger un bug sur ZHPDiag, tu peux rester dans les parages ? 

Après ça on finalisera (nettoyage toussa) 

A+ et merci :D 

EDIT :

en fait c'est moi bug !

Rapport de ZHPDiag v1.28.32 par Nicolas Coolman, Update du 05/02/2012

c'est quoi ce ZHPDiag moisi pas mis à jour ? :)

Désinstalle-le puis télécharge la nouvelle version et refais moi un scan (voir plus haut dans mes consignes pour trouver le lien)

A+
 .::. Contributeur Sécurité .::.

steph42vert · Answer

voici le nouveau rapport

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120619_x12l13y15z11x13

juju666 · Answer

okok

copie ces lignes :

[MD5.00000000000000000000000000000000] [APT] [SoftwareUpdateTaskMachineCore] (...) -- C:\Program Files\Software\Update\SoftwareUpdate.exe (.not file.)    => Infection Diverse (Spyware.Boxore)
[MD5.00000000000000000000000000000000] [APT] [SoftwareUpdateTaskMachineUA] (...) -- C:\Program Files\Software\Update\SoftwareUpdate.exe (.not file.)    => Infection Diverse (Spyware.Boxore)
emptytemp
emptyflash

lance zhpfix
clique sur le H
clique sur GO
poste le rapport

steph42vert · Answer

que dois je faire des lignes copiées ??message precedent

sinon rapport zhp fix sans m etre servi de ces lignes 

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
Fichier d'export Registre : 
Run by PC1 at 19/06/2012 22:45:56
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Dossier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Tache planifiée ==========
SUPPRIME Task: SoftwareUpdateTaskMachineCore
SUPPRIME Task: SoftwareUpdateTaskMachineUA


========== Récapitulatif ==========
2 : Dossier(s)
2 : Fichier(s)
2 : Tache planifiée


End of clean in 00mn 03s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 23/02/2012 17:57:03 [1403]
C:\ZHP\ZHPFix[R2].txt - 19/06/2012 22:45:56 [845]

g3n-h@ckm@n · Answer

salut t'as pas cliqué sur "H" comme t'a dit JUJU avec les lignes en memoire dans la souris ^^

steph42vert · Answer

salut

desole mais je comprends pas . je copie les lignes puis j ouvre zhp fix ok? ensuite quand je clique sur H , les lignes que j ai copiées s affichent toutes seules !!! ensuite je clique sur GO et il me demande de confirmer le nettoyage : je dis oui et ensuite il travaille et fini par me donner ce rapport 

: 
Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
Fichier d'export Registre : 
Run by PC1 at 20/06/2012 08:55:28
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Dossier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Tache planifiée ==========
ABSENT Task: SoftwareUpdateTaskMachineCore
ABSENT Task: SoftwareUpdateTaskMachineUA


========== Récapitulatif ==========
2 : Dossier(s)
2 : Fichier(s)
2 : Tache planifiée


End of clean in 00mn 44s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 23/02/2012 17:57:03 [1403]
C:\ZHP\ZHPFix[R2].txt - 19/06/2012 21:45:56 [896]
C:\ZHP\ZHPFix[R3].txt - 19/06/2012 21:48:32 [943]
C:\ZHP\ZHPFix[R4].txt - 20/06/2012 08:55:28 [943]


lorsque je clique sur go pour lancer nettoyage internet se ferme d office !!
les lignes copiées ou dois je les integrer ?

juju666 · Answer

oui tu fais bien ...

regarde si tu as encore ce dossier : C:\Program Files\Software\

si oui supprime le

steph42vert · Answer

ok 
a priori ce dossier n est plus present

juju666 · Answer

dans ce cas c'est ok

Reste à faire le nettoyage : https://gen-hackman.kanak.fr/

steph42vert · Answer

bon a priori pas de plugins perimes : 

WhyIGotInfected v1.5.4(by Tigzy)
********************************

Run : 20/06/2012 clement - 11:43:19 [Normal Mode]
Machine : PC1-FA27360137D (1 CPUs) [PC1 : ADMIN]
OS: Microsoft Windows XP Professionnel Service Pack 3 (x86)

~~ Plugins check: ~~

UPTODATE [Microsoft Windows XP Professionnel] Current : Service Pack 3 -- Latest : Service Pack 3
UPTODATE [Firefox] Current : 13.0.1 -- Latest : 13.0.1
UPTODATE [Internet Explorer] Current : 8.0.6001.18702 -- Latest : 8.0.6001.18702
UPTODATE [Java 7] Current : 1.7.0_05 -- Latest : 1.7.0_05
UPTODATE [Adobe Reader] Current : 10 -- Latest : 10
UPTODATE [Adobe Flash] Current : 11.3.300.257 -- Latest : 11.3.300.257
UPTODATE [Adobe Flash ActiveX] Current : 11.3.300.257 -- Latest : 11.3.300.257
UPTODATE [Adobe Flash FF Plugin] Current : 11.3.300.257 -- Latest : 11.3.300.257


Finished
<C:\Documents and Settings\PC1\Bureau\WIGIReport[0].txt>
WIGIReport[0].txt

steph42vert · Answer

rapport delfix

# DelFix v8.8 - Rapport créé le 20/06/2012 à 11:46:33
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : PC1 - PC1-FA27360137D (Administrateur)
# Exécuté depuis : C:\Documents and Settings\PC1\Mes documents\Téléchargements\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\pre_scan
Supprimé : C:\ZHP
Supprimé : C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[R2].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Documents and Settings\PC1\Bureau\Pre_Scan.pif
Supprimé : C:\Documents and Settings\PC1\Bureau\Pre_Scan_17_06_2012_21_51_13.txt
Supprimé : C:\Documents and Settings\PC1\Bureau\Pre_script.txt
Supprimé : C:\Documents and Settings\PC1\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\PC1\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\PC1\Mes documents\Téléchargements\adwcleaner.exe
Supprimé : C:\Documents and Settings\PC1\Mes documents\Téléchargements\Pre_Scan.pif
Supprimé : C:\Documents and Settings\PC1\Mes documents\Téléchargements\WhyIGotInfected.exe
Supprimé : C:\Documents and Settings\PC1\Mes documents\Téléchargements\ZHPDiag2(1).exe
Supprimé : C:\Documents and Settings\PC1\Mes documents\Téléchargements\ZHPDiag2.exe
Supprimé : C:\Documents and Settings\All Users.WINDOWS\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users.WINDOWS\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users.WINDOWS\Bureau\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [2123 octets] - [20/06/2012 11:46:33]

########## EOF - C:\DelFix[S1].txt - [2247 octets] ##########

juju666 · Answer

pour moi c'est ok

on se quitte si plus de soucis ;)

steph42vert · Answer

ok ALORS GROS MERCI A VOUS pour votre aide precieuse et votre patience !!!

je viendrai vous dire prochainement comment fonctionne mon PC desormais 

a+

juju666 · Answer

je met en résolu

@+

VIRUS TR/Dropper.Gen - Page 2

Discussions similaires

Newsletters