Demande d'aide pour supprimer un virus Fermé

Question

bonjour, est ce qu'une personne aurait la gentillesse de  m'aider à supprimer un virus étrange. le virus est le suivant:
Le fichier 'C:\Users\jamil\AppData\Local\{db50933e-216e-78f2-8e99-6f44dd13c661}\U\800000cb.@'
 contenait un virus ou un programme indésirable 'TR/ATRAPS.Gen2' [trojan].
Action(s) exécutée(s) :
Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '560537fc.qua' !

Merci d'avance de votre soutien

jamil82 · Answer

Aidez moi svp, je suis infecté, je ne sais pas quoi faire....

kalimusic · Answer

Bonsoir,

C'est la dernière variante de Sirefef.

== == == == == == == == == == == == == == == == == == == == == ==

Sauvegarde tes documents les plus importants.

 == == == == == == == == == == == == == == == == == == == == == ==

1. Télécharge  ComboFix de sUBs.
TRÈS IMPORTANT! : Enregistre ComboFix.exe sur le Bureau.

IMPORTANT : Ferme toutes tes applications en cours et désactive temporairement les programmes de protection (Antivirus, Antispywares, etc...).
Ils pourraient interférer avec l'outil, un clic droit sur l'icône du programme prés de l'heure permet généralement de le faire. 
En cas de difficultés se reporter ici : http://assiste.forum.free.fr/viewtopic.php?t=27097

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

&#x25CF; Lance ComboFix
&#x25CF; Accepte la licence d'utilisation et laisse toi guider par le programme.
&#x25CF; Accepte d'installer la console de récupération (sous XP)
&#x25CF; A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément. 

 Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt 

Notes :

&#9656; Ne rien faire et ne rien toucher pendant le travail de l'outil, risque de plantage complet de l'ordinateur.
&#9656; Ne pas relancer Combofix, si l'outil ne fonctionne pas, revenir sur le forum pour de nouvelles instructions.

Aide : Comment utiliser ComboFix

2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

A +

jamil82 · Answer

J'ai un gros problème, c'est que je suis en mode sans échec charge réseau je peux rien faire en mode normal. ça a planté et je suis perdu

jamil82 · Answer

mon pc est bloqué en mode normal.
a l'aide je suis perdu

jamil82 · Answer

ComboFix 12-06-28.01 - jamil 28/06/2012  20:52:00.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.2038.1075 [GMT 2:00]
Lancé depuis: c:\users\jamil\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\jamil\AppData\Local\{db50933e-216e-78f2-8e99-6f44dd13c661}
c:\users\jamil\AppData\Local\{db50933e-216e-78f2-8e99-6f44dd13c661}\@
c:\users\jamil\AppData\Local\{db50933e-216e-78f2-8e99-6f44dd13c661}

c:\users\jamil\AppData\Local\{db50933e-216e-78f2-8e99-6f44dd13c661}\U\00000001.@
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-05-28 au 2012-06-28  ))))))))))))))))))))))))))))))))))))
.
.
2012-06-28 19:00 . 2012-06-28 19:00	--------	d-----w-	c:\users\jamil\AppData\Local	emp
2012-06-28 19:00 . 2012-06-28 19:00	--------	d-----w-	c:\users\Public\AppData\Local	emp
2012-06-28 19:00 . 2012-06-28 19:00	--------	d-----w-	c:\users\postgres\AppData\Local	emp
2012-06-28 19:00 . 2012-06-28 19:00	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-06-28 19:00 . 2012-06-28 19:00	--------	d-----w-	c:\users\Administrateur\AppData\Local	emp
2012-06-26 15:03 . 2012-06-26 15:07	--------	d-----w-	c:\users\jamil\AppData\Roaming
aviextras
2012-06-26 15:03 . 2012-06-26 15:03	--------	d-----w-	c:\program files\Naviextras
2012-06-26 14:16 . 2012-05-31 03:41	6762896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{9FE3817C-E001-45A1-B571-ECB23CCC7A8A}\mpengine.dll
2012-06-22 08:22 . 2012-06-22 08:22	770384	----a-w-	c:\program files\Mozilla Firefox\msvcr100.dll
2012-06-22 08:22 . 2012-06-22 08:22	421200	----a-w-	c:\program files\Mozilla Firefox\msvcp100.dll
2012-06-19 07:37 . 2012-06-02 22:19	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-19 07:37 . 2012-06-02 22:19	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-19 07:37 . 2012-06-02 22:19	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-19 07:37 . 2012-06-02 22:12	2422272	----a-w-	c:\windows\system32\wucltux.dll
2012-06-19 07:37 . 2012-06-02 22:19	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-19 07:37 . 2012-06-02 22:19	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-19 07:37 . 2012-06-02 22:12	88576	----a-w-	c:\windows\system32\wudriver.dll
2012-06-19 07:36 . 2012-06-02 13:19	171904	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-19 07:36 . 2012-06-02 13:12	33792	----a-w-	c:\windows\system32\wuapp.exe
2012-06-14 08:32 . 2012-06-14 08:32	--------	d-----w-	c:\users\jamil\AppData\Local\Macromedia
2012-05-30 19:44 . 2012-05-30 19:44	--------	d-----w-	c:\program files\Adobe Media Player
2012-05-30 11:34 . 2012-05-30 11:34	--------	d-----w-	c:\users\jamil\AppData\Roaming\VistaCodecs
2012-05-30 11:33 . 2012-05-30 11:34	--------	d-----w-	c:\program files\VistaCodecPack
2012-05-30 11:32 . 2012-05-30 11:34	--------	d-----w-	c:\programdata\VistaCodecs
2012-05-30 11:03 . 2012-05-30 11:03	242240	----a-w-	c:\windows\system32\drivers\dtsoftbus01.sys
2012-05-30 11:03 . 2012-05-30 11:06	--------	d-----w-	c:\users\jamil\AppData\Roaming\DAEMON Tools Lite
2012-05-30 11:02 . 2012-05-30 11:06	--------	d-----w-	c:\programdata\DAEMON Tools Lite
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-23 23:05 . 2012-04-03 07:58	426184	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-06-23 23:05 . 2011-05-16 06:28	70344	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-22 07:38 . 2011-03-28 16:36	19736	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2012-05-23 09:03 . 2012-05-23 09:03	40776	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2012-04-04 13:56 . 2010-10-11 13:56	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-04-03 08:16 . 2012-05-10 07:24	3602816	----a-w-	c:\windows\system32
tkrnlpa.exe
2012-04-03 08:16 . 2012-05-10 07:24	3550080	----a-w-	c:\windows\system32
toskrnl.exe
2012-06-22 08:22 . 2012-05-24 15:07	85472	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.

jamil82 · Answer

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"recinfo"="c:\recinfo\recinfo.exe" [2008-02-13 52224]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2012-04-17 3671872]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-06 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-06 154392]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-06 138008]
"RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 4669440]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2007-07-26 192512]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-04-04 843712]
"AdobeCS5ServiceManager"="c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 406992]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Recherche accélérée.lnk - c:\program files\Microsoft Office\Office\FINDFAST.EXE [1998-4-15 111376]
Serveur réseau.lnk - c:\program files\WIBUKEY\Server\WkSvMgr.exe [2009-3-31 3768320]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^ACS Alarme.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ACS Alarme.lnk
backup=c:\windows\pss\ACS Alarme.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Démarrage d'Office.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Démarrage d'Office.lnk
backup=c:\windows\pss\Démarrage d'Office.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^PDFCreator.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\PDFCreator.lnk
backup=c:\windows\pss\PDFCreator.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^Users^jamil^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Outil de notification Live Search.lnk]
path=c:\users\jamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Outil de notification Live Search.lnk
backup=c:\windows\pss\Outil de notification Live Search.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
2007-04-03 16:50 1603152 ----a-w- c:\program files\Canon\MyPrinter\BJMYPRT.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenu]
2007-05-14 16:01 644696 ----a-w- c:\program files\Canon\SolutionMenu\CNSLMAIN.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2008-04-01 09:39 486856 ----a-w- c:\program files\DAEMON Tools Lite\daemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google EULA Launcher]
2008-05-28 11:40 20480 ----a-w- c:\program files\Google\Google EULA\GoogleEULALauncher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2012-03-08 16:50 4280184 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 12:57 153136 ----a-w- c:\program files\Common Files\Nero\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE4]
2007-02-04 10:02 79400 ----a-w- c:\program files\ScanSoft\OmniPageSE4\OpWareSE4.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
2009-04-11 06:28 1233920 ----a-w- c:\program files\Windows Sidebar\sidebar.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
.
R3 <NtDriverName>;<NtDriverName>;c:\windows\System32\Drivers\<NtDriverName>.sys [x]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenu du dossier 'Tâches planifiées'
.
2012-06-28 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-03 23:05]
.
2012-06-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-29 18:36]
.
2012-06-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-29 18:36]
.
2012-06-28 c:\windows\Tasks\User_Feed_Synchronization-{C2F46DC0-92B9-44C8-BE76-09DF7F55EC81}.job
- c:\windows\system32\msfeedssync.exe [2012-06-13 03:24]

jamil82 · Answer

------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{90EAE591-7E7E-434a-8E28-ECFD00071806} - c:\program files\PokerStars.FR\PokerStarsUpdate.exe
IE: {{A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - c:\poker\CDPoker\casino.exe
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\jamil\AppData\Roaming\Mozilla\Firefox\Profiles\kxigmt2c.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: network.proxy.type - 0
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-28 21:00
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Heure de fin: 2012-06-28  21:05:23
ComboFix-quarantined-files.txt  2012-06-28 19:05
.
Avant-CF: 4 584 001 536 octets libres
Après-CF: 4 709 416 960 octets libres
.
- - End Of File - - 22ED5C9715F2692AEBEFD17D33E13E4C

kalimusic · Answer

ok,

Tu as accès au mode normal maintenant ?

A +

jamil82 · Answer

non, je suis en mode sans échec

kalimusic · Answer

ComboFix n'a pas réussi semble t-il à supprimer l'infection totalement.
L'impossibilité de démarrer en mode normal date de quel événement ?

Nous allons utiliser cet outil de diagnostic :

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe, l'interface principale s'ouvre.
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
netsvcs 
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
wshelper.dll
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
&#9656; &#9656; OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

Aide : Tutorial OTL (par Malekal)

A +

jamil82 · Answer

je suis arrivé en me mettre en mode normal, je procède de la meme manière

kalimusic · Answer

oui, tout à fait.
héberge les rapports cette fois car ils sont plus long que celui de ComboFix.

A +

jamil82 · Answer

http://cjoint.com/?BFCwto4idrg

jamil82 · Answer

http://cjoint.com/?BFCwuBPTGa5

jamil82 · Answer

Je peux fermer OTL ou pas svp?

kalimusic · Answer

ok,

== == == == == == == == == == == == == == == == == == == == == ==

Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL.

 == == == == == == == == == == == == == == == == == == == == == ==

Relance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions hébergées ici 
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles 

Poste le rapport, A +

jamil82 · Answer

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}\ not found.
HKEY_USERS\S-1-5-21-3643216993-835776371-3470278333-1000\Software\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-3643216993-835776371-3470278333-1000\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}\ not found.
Registry value HKEY_USERS\S-1-5-21-3643216993-835776371-3470278333-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry value HKEY_USERS\S-1-5-21-3643216993-835776371-3470278333-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
Registry value HKEY_USERS\S-1-5-21-3643216993-835776371-3470278333-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{31CF9EBE-5755-4A1D-AC25-2834D952D9B4} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{A68FC757-51CF-4f3c-B13A-BFB8CA69BB99}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A68FC757-51CF-4f3c-B13A-BFB8CA69BB99}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{A68FC757-51CF-4f3c-B13A-BFB8CA69BB99}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A68FC757-51CF-4f3c-B13A-BFB8CA69BB99}\ not found.
C:	st224F.tmp deleted successfully.
C:	st24EE.tmp deleted successfully.
C:	st25F7.tmp deleted successfully.
C:	st2AA9.tmp deleted successfully.
C:	st3302.tmp deleted successfully.
C:	st420F.tmp deleted successfully.
C:	st47E9.tmp deleted successfully.
C:	st49FB.tmp deleted successfully.
C:	st4F77.tmp deleted successfully.
C:	st5C33.tmp deleted successfully.
C:	st5CC0.tmp deleted successfully.
C:	st6E6C.tmp deleted successfully.
C:	st79C2.tmp deleted successfully.
C:	st7A9C.tmp deleted successfully.
C:	st87A6.tmp deleted successfully.
C:	st8EC8.tmp deleted successfully.
C:	st9FB8.tmp deleted successfully.
C:	stC11.tmp deleted successfully.
C:	stC7B2.tmp deleted successfully.
C:	stC7F.tmp deleted successfully.
C:	stE33D.tmp deleted successfully.
C:	stE7D0.tmp deleted successfully.
C:	stED2C.tmp deleted successfully.
C:	stF5C4.tmp deleted successfully.
C:	stF91E.tmp deleted successfully.
C:	stF96C.tmp deleted successfully.
C:	stFC78.tmp deleted successfully.
ADS C:\ProgramData\TEMP:C31F31E6 deleted successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{52B27A2D-00F6-4C3C-9593-56488388027C} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{52B27A2D-00F6-4C3C-9593-56488388027C}\ not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{A236CB09-DA0B-4CA4-9776-5AF39D4013AC} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A236CB09-DA0B-4CA4-9776-5AF39D4013AC}\ not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 78991 bytes
->Flash cache emptied: 405 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 56502 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: jamil
->Temp folder emptied: 33368 bytes
->Temporary Internet Files folder emptied: 43521656 bytes
->Java cache emptied: 1789156 bytes
->FireFox cache emptied: 59815536 bytes
->Flash cache emptied: 88972 bytes
 
User: postgres
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 56502 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 8472970 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 14489471 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 749 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 122,00 mb
 
 
OTL by OldTimer - Version 3.2.53.0 log created on 06282012_225301

Files\Folders moved on Reboot...
File move failed. C:\Windows	emp\gnserv.dat scheduled to be moved on reboot.
File move failed. C:\Windows	emp\hlktmp scheduled to be moved on reboot.
File move failed. C:\Windows	emp\spserv.dat scheduled to be moved on reboot.

PendingFileRenameOperations files...
[2012/06/28 22:56:39 | 000,001,024 | -H-- | M] () C:\Windows	emp\gnserv.dat : Unable to obtain MD5
[2012/06/28 22:56:34 | 008,405,015 | ---- | M] () C:\Windows	emp\hlktmp : Unable to obtain MD5
[2012/06/28 22:56:39 | 000,001,024 | -H-- | M] () C:\Windows	emp\spserv.dat : Unable to obtain MD5

Registry entries deleted on Reboot...

kalimusic · Answer

ok,

Encore des soucis ?

A +

jamil82 · Answer

plus rien là, tu penses que c'est terminé toi?

kalimusic · Answer

oui, je ne sais pas pourquoi l'infection s'est mal installé, enfin pas complètement.
ou Antivir la bloquée ou en partie nettoyée mais sur ton système, elle n'était pas très coriace.
Si pour toi aussi c'est ok, je donne la procédure de fin.

A +

jamil82 · Answer

oui c'est ok, merci énormément :)

kalimusic · Answer

Parfait,

 == == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

1. Ouvre la commande Exécuter en pressant Windows + R 
&#x25CF; Dans la boite de dialogue, tape ComboFix /Uninstall 
&#x25CF; Valide par Ok puis suivre les invites à l'écran.
&#x25CF; Un message confirme que ComboFix a été désinstallé. 

2. Lance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle :

:commands
[clearallrestorepoints]
&#x25CF; Clique sur le bouton Correction. 

3. Relance OTL 
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
&#x25CF; Supprime les outils et les rapports restants éventuellement sur ton Bureau


== == == == == == == == MISES A JOUR == == == == == == == ==

Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/ ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !! 

Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html

 == == == == == == == == == == == == == == == == == == == == == ==

 La sécurité de son PC, c'est quoi ? (par Malekal)    

 == == == == == == == == == == == == == == == == == == == == == ==
 
Bonne continuation

jamil82 · Answer

SALUT, l'antivir me remet un message je ne sais pas pourquoi si je suis protégé au maximum:
Le fichier 'C:\Users\jamil\AppData\Roaming\Mozilla\Firefox\Profiles\kxigmt2c.default\sessionstore.js'
 contenait un virus ou un programme indésirable 'JS/ForcePopup.Is.AI' [virus].
Action(s) exécutée(s) :
Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '54abfebb.qua' !

kalimusic · Answer

Bonsoir, 

Certainement un résidu dans la cache du navigateur. 
Procède comme ceci afin de vider le cache : https://support.mozilla.org/fr/kb/comment-vider-le-cache-de-firefox?redirectlocale=fr&redirectslug=vider-cache-effacer-fichiers-temporaires 
Relance une analyse avec Antivir et tiens moi au courant. 

A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

jamil82 · Answer

la page ne s'ouvre pas!!! il me met "page introuvable'

kalimusic · Answer

Effectivement, en mettant un point à la fin de ma phrase, le lien n'est plus valide.

https://support.mozilla.org/fr/kb/comment-vider-le-cache-de-firefox?redirectlocale=fr&redirectslug=vider-cache-effacer-fichiers-temporaires

c'est mieux :)

jamil82 · Answer

oui, lol, j'ai toujours l'alerte de mon antivirus

jamil82 · Answer

Le fichier 'C:\Users\jamil\AppData\Roaming\Mozilla\Firefox\Profiles\kxigmt2c.default\sessionstore.js'
 contenait un virus ou un programme indésirable 'JS/ForcePopup.Is.AI' [virus].
Action(s) exécutée(s) :
Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '5550f78e.qua' !

kalimusic · Answer

Referme Firefox

Supprime le fichier sessionstore.js et toutes ses copies, sessionstore-1.js, sessionstore-2.js, etc...

A +

jamil82 · Answer

désolé, je n'ai pas tout compris.

kalimusic · Answer

Dans ce répertoire C:\Users\jamil\AppData\Roaming\Mozilla\Firefox\Profiles\kxigmt2c.default
Supprime tous les fichiers sessionstore.js
il se recréera, ce fichier enregistre les fenêtres et onglets ouverts pour pouvoir les restaurer au cas où.

A +

jamil82 · Answer

je suis allé sous le répertoire "users "puis "jamil", j'ai lancé la recherche "sessionstore.js" de ce fichier, j'ai rien trouvé, est ce que c'est normal d'après vous ?

jamil82 · Answer

et puis je n'ai plus le message d'alerte qui me perturbe maintenant....

kalimusic · Answer

ok, tiens moi au courant au prochain scan de Antivir.

A +

jamil82 · Answer

j'ai scanner le disque C et D et l'antivir a rien détecté comme problèmes, je crois qu'il y a  plus rien de nuisibles :) grâce à toi.

kalimusic · Answer

ok,

Mais dans un tel fichier, cela pouvait être qu'un résidu (ou une fausse alerte).

Bonne soirée

jamil82 · Answer

merci encore et Bonne soirée à toi.

Demande d'aide pour supprimer un virus

37 réponses

Discussions similaires