Virus TR/Sirefef.A.50

chrisetx Messages postés 22 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai un souci avec un virus (trojan) détecté toutes les 3min par Avira.
Voici le lien du virus répertorié chez Avira :
http://www.avira.com/en/support-threats-summary/tid/7656/tlang/en

J'ai aussi une ou deux fois eu une autre alerte, genre TR/Rogue et peut etre un autre aussi.

Je précise que c'est bien la 1ere fois en 15 ans de surf que je n'arrive pas à m'en débarrasser, je fais bien attention mais là j'ai du le choper sur un site de pièces détachées pour électroménager et je n'ai rien vu venir.

A la base, c'est le virus "Live security platinium" (faux antivir) qui s'est installé et a du ouvrir une faille. J'ai je pense réussi à le supprimer mais avira détecte encore tout cela toutes les 3min.

J'ai passé plein de scan genre AD-R, Malwarebyte, Spyhunter, TDSSkiller, spybot...sans succès. Après je n'ai rien modifié comme code, juste scanné et nettoyé.

Si quelqu'un peut m'aider ou a des infos je suis preneur car pour le moment à part la sonnerie Avira je n'ai pas de problème mais je ne pense pas que cela puisse durer. Merci d'avance.

21 réponses

  • 1
  • 2
Résumé de la discussion

Problème récurrent d'infection détectée toutes les trois minutes par Avira, lié au cheval de Troie Live Security Platinum et à des alertes TR/Rogue sur Windows Vista après une visite sur un site de pièces détachées. Plusieurs conseils mettent en avant l'emploi d'outils dédiés au nettoyage, tels ComboFix, AdwCleaner et Malwarebytes, en désactivant temporairement la protection en temps réel pour ne pas gêner l'analyse. D'autres propositions incluent TDSSKiller pour les rootkits, RogueKiller et la désinstallation préalable de Spybot et SpyHunter, avec guides étape par étape et rapports à partager pour affiner le nettoyage. En dernier lieu, certains suggèrent d'exécuter MBAM en mode sans échec et d'examiner les résultats, afin de mieux évaluer la persistance et d'envisager des mesures préventives supplémentaires.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    hello c'est quoi cette prise en charge ????


    ▶ Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix

    Ferme les fenêtres de tous les programmes en cours.
    Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    Si tu es sur Windows XP, laisse-le installer la console de récupération.

    ▶ Ne touche à rien durant le scan

    ComboFix devrait redémarrer ton PC.

    ▶ n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
    4
  2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Désinstalle Spybot et SpyHunter

    Inutile et très inutile

    ======================

    Télécharge sur cette page: AdwCleaner (de Xplode)

    ▶ Lance-le

    clique sur Suppression et patiente le temps du nettoyage.

    ▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

    ======================

    ▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

    ▶ Exécute-le. Accepte la mise à jour.

    Uniquement en cas de problème de mise à jour:

    Télécharger mises à jour manuelles MBAM

    ● Exécute le fichier après l'installation de MBAM

    ▶ Sélectionne "Exécuter un examen complet"
    ▶ Clique sur "Rechercher"
    ▶ L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
    ▶ Ferme tes navigateurs.
    ▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

    Si MBAM demande à redémarrer le pc : ▶ fais-le.

    Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
    1
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. chrisetx Messages postés 22 Statut Membre
     
    Aussi fait, j'avais oublié de le mentionner...
    0
  5. chrisetx Messages postés 22 Statut Membre
     
    Mais après je ne sais pas trop comment il fonctionne celui la...
    0
  6. chrisetx Messages postés 22 Statut Membre
     
    Euh non je crois pas celui là. J'essaye.
    0
    1. Masked
       
      ok poste le rapport
      sinon ta essayer une restauration avant mercredi
      0
    2. chrisetx Messages postés 22 Statut Membre
       
      non pour la restauration, le virus ne va pas suivre ? j'ai jamais vu ce conseil sur les autres forum, j'ai surtout peur de perdre des docs que je ne peux pas sauvegarder tout de suite...
      0
    3. Masked
       
      regarde ce lien et dit si tu a eu des symptôme proche
      http://www.malekal.com/2011/07/05/sirefef-b-rootkit-win32-zaccess-max/
      il te propose (Sur Win7) de faire une restauration des le démarrage
      Tu a quelle Windows
      0
    4. chrisetx Messages postés 22 Statut Membre
       
      vista
      0
    5. Masked
       
      OK donc au pire des cas y a cette soluce qui peut marcher
      0
  7. chrisetx Messages postés 22 Statut Membre
     
    Sinon TDSSkiller n'a rien trouvé...
    0
  8. chrisetx Messages postés 22 Statut Membre
     
    Et le rapport RogueKiller :

    RogueKiller V8.0.2 [31/08/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur : _ [Droits d'admin]
    Mode : Recherche -- Date : 31/08/2012 16:49:57

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 5 ¤¤¤
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (proxy171.ac-dijon.fr:3128) -> TROUVÉ
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
    [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-4249258000-1679446350-1100494931-1000\$cced714b348e29baf6a11cacf2a4ea0f\n.) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    SSDT[75] : NtCreateSection @ 0x82866DE5 -> HOOKED (Unknown @ 0x8C6C4B96)
    SSDT[276] : NtRequestWaitReplyPort @ 0x82878F90 -> HOOKED (Unknown @ 0x8C6C4BA0)
    SSDT[289] : NtSetContextThread @ 0x828C806F -> HOOKED (Unknown @ 0x8C6C4B9B)
    SSDT[314] : NtSetSecurityObject @ 0x827F5038 -> HOOKED (Unknown @ 0x8C6C4BA5)
    SSDT[332] : NtSystemDebugControl @ 0x8282DEC1 -> HOOKED (Unknown @ 0x8C6C4BAA)
    SSDT[334] : NtTerminateProcess @ 0x82826143 -> HOOKED (Unknown @ 0x8C6C4B37)
    S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8C6C4BBE)
    S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8C6C4BC3)

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost
    ::1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD1600BEVT-22ZCT0 ATA Device +++++
    --- User ---
    [MBR] 9e4ec042fbeba2c0824041ec6aba1049
    [BSP] 5605fae4f07814a3ed28a8c84c6a7a6d : Acer tatooed MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10000 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20482048 | Size: 71317 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 166539264 | Size: 71308 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  9. chrisetx Messages postés 22 Statut Membre
     
    Bon, cela a été long mais bénéfique je crois: j'ai cru voir pendant la suppression le nom des fichiers où je pense qu'il y avait les trojans...Avira n'a pas sonné au démarrage en plus pour le moment... Je mets quand même le rapport Combo pour être sur :

    ComboFix 12-08-30.05 - _ 31/08/2012 17:03:22.1.2 - x86
    Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3000.1701 [GMT 2:00]
    Lancé depuis: c:\users\_\Desktop\chrisetx.exe
    AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
    SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
    SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    * Un nouveau point de restauration a été créé
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\$recycle.bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\@
    c:\$recycle.bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\n
    c:\$recycle.bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\U\80000000.@
    c:\$recycle.bin\S-1-5-18\$cced714b348e29baf6a11cacf2a4ea0f\U\800000cb.@
    C:\DFRCECD.tmp
    c:\windows\system32\Cache
    c:\windows\system32\Oleaut32.1
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2012-07-28 au 2012-08-31 ))))))))))))))))))))))))))))))))))))
    .
    .
    2012-08-31 15:16 . 2012-08-31 15:22 -------- d-----w- c:\users\_\AppData\Local\temp
    2012-08-31 15:16 . 2012-08-31 15:16 -------- d-----w- c:\users\Mcx1\AppData\Local\temp
    2012-08-31 15:16 . 2012-08-31 15:16 -------- d-----w- c:\users\Elève\AppData\Local\temp
    2012-08-31 15:16 . 2012-08-31 15:16 -------- d-----w- c:\users\Default\AppData\Local\temp
    2012-08-31 14:39 . 2012-08-31 14:39 -------- d-----w- c:\program files\ZHPDiag
    2012-08-31 14:10 . 2012-08-31 14:42 -------- d-----w- C:\ZHP
    2012-08-31 14:08 . 2012-08-31 14:08 -------- d-----w- c:\program files\ZHPFix
    2012-08-31 11:10 . 2012-08-31 11:10 -------- d-----w- c:\program files\Ad-Remover
    2012-08-31 09:22 . 2012-08-31 09:22 -------- d-----w- C:\TDSSKiller_Quarantine
    2012-08-30 07:20 . 2012-08-30 07:20 110080 ----a-r- c:\users\_\AppData\Roaming\Microsoft\Installer\{9890A983-C203-434C-B2B0-2099E29FB7ED}\IconF7A21AF7.exe
    2012-08-30 07:20 . 2012-08-30 07:20 110080 ----a-r- c:\users\_\AppData\Roaming\Microsoft\Installer\{9890A983-C203-434C-B2B0-2099E29FB7ED}\IconD7F16134.exe
    2012-08-30 07:20 . 2012-08-30 07:20 110080 ----a-r- c:\users\_\AppData\Roaming\Microsoft\Installer\{9890A983-C203-434C-B2B0-2099E29FB7ED}\IconCAE74F08.exe
    2012-08-30 07:16 . 2012-08-30 07:20 -------- d-----w- c:\windows\9890A983C203434CB2B02099E29FB7ED.TMP
    2012-08-29 20:01 . 2012-08-29 20:01 -------- d-----w- c:\users\_\AppData\Roaming\Malwarebytes
    2012-08-29 20:01 . 2012-08-29 20:01 -------- d-----w- c:\programdata\Malwarebytes
    2012-08-29 20:01 . 2012-08-29 20:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2012-08-29 20:01 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
    2012-08-29 19:54 . 2012-08-30 07:20 -------- d-----w- C:\sh4ldr
    2012-08-29 19:54 . 2012-08-29 19:54 -------- d-----w- c:\program files\Enigma Software Group
    2012-08-29 19:54 . 2012-08-30 07:20 -------- d-----w- c:\windows\E89CB20F47BF47399536CA74215185AE.TMP
    2012-08-29 19:54 . 2012-08-30 07:16 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
    2012-08-29 09:57 . 2012-08-29 15:59 -------- d-----w- c:\programdata\Spybot - Search & Destroy
    2012-08-29 09:57 . 2012-08-29 09:57 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2012-08-29 09:29 . 2012-08-29 09:31 -------- d-----w- c:\programdata\036DFF980000035702CA74452F3B707C
    2012-08-15 06:54 . 2012-05-11 15:57 623616 ----a-w- c:\windows\system32\localspl.dll
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2012-08-29 09:29 . 2012-03-31 06:59 696520 ----a-w- c:\windows\system32\FlashPlayerApp.exe
    2012-08-29 09:29 . 2011-05-16 05:33 73416 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
    2012-08-23 07:15 . 2012-08-29 05:45 7022536 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{157514C5-E516-48EB-AF36-4685C70737B8}\mpengine.dll
    2012-08-13 19:34 . 2011-12-18 08:17 83392 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2012-08-13 19:34 . 2011-12-18 08:17 137928 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2012-06-06 18:59 . 2012-06-06 18:59 1070152 ----a-w- c:\windows\system32\MSCOMCTL.OCX
    2012-06-05 16:47 . 2012-07-12 06:24 1401856 ----a-w- c:\windows\system32\msxml6.dll
    2012-06-05 16:47 . 2012-07-12 06:24 1248768 ----a-w- c:\windows\system32\msxml3.dll
    2012-06-04 15:26 . 2012-07-12 06:24 440704 ----a-w- c:\windows\system32\drivers\ksecdd.sys
    2012-06-02 22:19 . 2012-06-21 05:34 53784 ----a-w- c:\windows\system32\wuauclt.exe
    2012-06-02 22:19 . 2012-06-21 05:34 45080 ----a-w- c:\windows\system32\wups2.dll
    2012-06-02 22:19 . 2012-06-21 05:34 35864 ----a-w- c:\windows\system32\wups.dll
    2012-06-02 22:19 . 2012-06-21 05:33 577048 ----a-w- c:\windows\system32\wuapi.dll
    2012-06-02 22:19 . 2012-06-21 05:34 1933848 ----a-w- c:\windows\system32\wuaueng.dll
    2012-06-02 22:12 . 2012-06-21 05:34 2422272 ----a-w- c:\windows\system32\wucltux.dll
    2012-06-02 22:12 . 2012-06-21 05:34 88576 ----a-w- c:\windows\system32\wudriver.dll
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
    @="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
    [HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
    2008-05-14 15:05 121392 ----a-w- c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-26 39408]
    "KiesHelper"="c:\program files\Samsung\Kies\KiesHelper.exe" [2011-01-29 888120]
    "KiesTrayAgent"="c:\program files\Samsung\Kies\KiesTrayAgent.exe" [2011-01-29 3372856]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-25 1049896]
    "BkupTray"="c:\program files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe" [2008-04-06 34040]
    "RtHDVCpl"="RtHDVCpl.exe" [2008-06-13 6183456]
    "Skytel"="Skytel.exe" [2007-11-21 1826816]
    "PLFSetI"="c:\windows\PLFSetI.exe" [2007-10-23 200704]
    "LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2008-09-10 809480]
    "eDataSecurity Loader"="c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-05-14 526896]
    "ePower_DMC"="c:\program files\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2008-06-11 409600]
    "WarReg_PopUp"="c:\program files\Acer\WR_PopUp\WarReg_PopUp.exe" [2008-01-29 303104]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 136216]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 171032]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 170520]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-13 348664]
    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
    "Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
    .
    c:\users\Elève\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
    .
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    Camera Monitor HD.lnk - c:\program files\PIXELA\Everio MediaBrowser HD Edition\MBCameraMonitor.exe [2009-11-8 541976]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableUIADesktopToggle"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
    "DisableMonitoring"=dword:00000001
    .
    R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
    S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
    .
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
    2007-08-23 16:34 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2012-08-31 c:\windows\Tasks\Adobe Flash Player Updater.job
    - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 09:29]
    .
    2012-08-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-11-18 12:31]
    .
    2012-08-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-11-18 12:31]
    .
    .
    ------- Examen supplémentaire -------
    .
    uInternet Settings,ProxyServer = proxy171.ac-dijon.fr:3128
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    TCP: DhcpNameServer = 212.27.40.241 212.27.40.240
    DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} - hxxp://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20111123062837
    FF - ProfilePath - c:\users\_\AppData\Roaming\Mozilla\Firefox\Profiles\5tkoa6pv.default\
    FF - prefs.js: browser.search.selectedEngine - Yahoo
    FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=244506&p=
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    Toolbar-10 - (no file)
    HKCU-Run-Facebook Update - c:\users\_\AppData\Local\Facebook\Update\FacebookUpdate.exe
    HKLM-Run-eRecoveryService - (no file)
    HKLM-Run-NPSStartup - (no file)
    SafeBoot-62305102.sys
    AddRemove-DAEMON Tools Toolbar - c:\program files\DAEMON Tools Toolbar\uninst.exe
    AddRemove-EADM - c:\program files\Electronic Arts\EADM\Uninstall.exe
    AddRemove-Utilitaires Sierra - c:\program files\Sierra On-Line\sutil32.exe
    AddRemove-Windows Live OneCare safety scanner - c:\program files\Windows Live Safety Center\UnInstall.exe
    AddRemove-01_Simmental - c:\program files\Samsung\USB Drivers\01_Simmental\Uninstall.exe
    AddRemove-02_Siberian - c:\program files\Samsung\USB Drivers\02_Siberian\Uninstall.exe
    AddRemove-03_Swallowtail - c:\program files\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe
    AddRemove-04_semseyite - c:\program files\Samsung\USB Drivers\04_semseyite\Uninstall.exe
    AddRemove-07_Schorl - c:\program files\Samsung\USB Drivers\07_Schorl\Uninstall.exe
    AddRemove-16_Shrewsbury - c:\program files\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe
    AddRemove-24_flashusbdriver - c:\program files\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe
    AddRemove-25_escape - c:\program files\Samsung\USB Drivers\25_escape\Uninstall.exe
    .
    .
    .
    **************************************************************************
    Recherche de processus cachés ...
    .
    Recherche d'éléments en démarrage automatique cachés ...
    .
    Recherche de fichiers cachés ...
    .
    Scan terminé avec succès
    Fichiers cachés:
    .
    **************************************************************************
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msiserver]
    "ImagePath"="%systemroot%\system32\msiexec /V"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:000000b5
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------
    .
    - - - - - - - > 'Explorer.exe'(2728)
    c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
    c:\program files\Acer\Empowering Technology\eDataSecurity\x86\sysenv.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\progra~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE
    c:\program files\Avira\AntiVir Desktop\sched.exe
    c:\windows\system32\agrsmsvc.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
    c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
    c:\program files\Acer\Empowering Technology\Service\ETService.exe
    c:\windows\system32\FsUsbExService.Exe
    c:\program files\Common Files\LightScribe\LSSrvc.exe
    c:\acer\Mobility Center\MobilityService.exe
    c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
    c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
    c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
    c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
    c:\program files\Avira\AntiVir Desktop\avshadow.exe
    c:\windows\system32\wbem\unsecapp.exe
    c:\windows\system32\conime.exe
    c:\windows\system32\igfxsrvc.exe
    c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe
    c:\program files\Windows Media Player\wmpnetwk.exe
    c:\windows\servicing\TrustedInstaller.exe
    .
    **************************************************************************
    .
    Heure de fin: 2012-08-31 17:32:45 - La machine a redémarré
    ComboFix-quarantined-files.txt 2012-08-31 15:31
    .
    Avant-CF: 33 203 957 760 octets libres
    Après-CF: 33 652 826 112 octets libres
    .
    - - End Of File - - 09012EDA254DDD6B87FEB484C857D8C0
    0
  10. chrisetx Messages postés 22 Statut Membre
     
    Si cela confirme que je suis "clean", vous avez des conseils pour éviter que cela ne se reproduise, à part Avira ?
    0
  11. chrisetx Messages postés 22 Statut Membre
     
    J'ai eu un nouveau truc : "icone google en bas à droite qui me disait que l'on tentait d'accéder aux paramètres google" pendant l'execution d'adw, c'est normal ?

    Sinon le Rapport ADW et je fais la suite maintenant :

    # AdwCleaner v2.000 - Rapport créé le 31/08/2012 à 17:57:07
    # Mis à jour le 30/08/2012 par Xplode
    # Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
    # Nom d'utilisateur : _ - PC-DE-_
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Users\_\Downloads\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    ***** [Registre] *****

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16421

    Restauré : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
    Restauré : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

    -\\ Mozilla Firefox v3.5.4 (fr)

    Nom du profil : default
    Fichier : C:\Users\_\AppData\Roaming\Mozilla\Firefox\Profiles\5tkoa6pv.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    -\\ Google Chrome v [Impossible d'obtenir la version]

    Fichier : C:\Users\_\AppData\Local\Google\Chrome\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[R1].txt - [8891 octets] - [31/08/2012 13:17:22]
    AdwCleaner[S1].txt - [9357 octets] - [31/08/2012 13:18:02]
    AdwCleaner[S3].txt - [1268 octets] - [31/08/2012 13:57:55]
    AdwCleaner[R2].txt - [1298 octets] - [31/08/2012 17:56:44]
    AdwCleaner[S4].txt - [1351 octets] - [31/08/2012 17:57:07]

    ########## EOF - C:\AdwCleaner[S4].txt - [1411 octets] ##########
    0
  12. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Vi.

    Passe à MBAM :)
    0
  13. chrisetx Messages postés 22 Statut Membre
     
    Problème pendant scan MBAM : écran bleu disant que l'ordi s'éteignait pour pas planter...
    Que fais-je ? Je relance ou pas ? Merci de m'aider c'est gentil.
    0
  14. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    hum bizarre

    on va voir ce qu'il veut dire par cet écran bleu

    Télécharge ici : Blue screen View
    Décompresse l'archive sur ton Bureau.
    Double clique sur le fichier BlueScreenView.exe pour le lancer. (Clic droit Executer en tant qu'administrateur sous Vista/Seven)

    A la fin du scan, , clique sur Edit puis Select All.
    Puis rends-toi dans File et Save Selected Items.
    Sauve le rapport sous BSOD.txt.
    Ouvre BSOD.txt dans le Bloc-notes, copie son contenu et poste le dans ta réponse.
    0
  15. chrisetx Messages postés 22 Statut Membre
     
    Voila :

    ==================================================
    Dump File : Mini083112-02.dmp
    Crash Time : 31/08/2012 18:23:15
    Bug Check String : KERNEL_DATA_INPAGE_ERROR
    Bug Check Code : 0x0000007a
    Parameter 1 : 0xc0572228
    Parameter 2 : 0xc0000185
    Parameter 3 : 0x4e12e860
    Parameter 4 : 0xae4453d1
    Caused By Driver : mrxsmb10.sys
    Caused By Address : mrxsmb10.sys+1d3d1
    File Description : Longhorn SMB Downlevel SubRdr
    Product Name : Microsoft® Windows® Operating System
    Company : Microsoft Corporation
    File Version : 6.0.6002.18490 (vistasp2_gdr.110706-0539)
    Processor : 32-bit
    Crash Address : ntkrnlpa.exe+7cbf8
    Stack Address 1 : ntkrnlpa.exe+77f4a
    Stack Address 2 : ntkrnlpa.exe+992f1
    Stack Address 3 : ntkrnlpa.exe+4dd94
    Computer Name :
    Full Path : C:\Windows\Minidump\Mini083112-02.dmp
    Processors Count : 2
    Major Version : 15
    Minor Version : 6002
    Dump File Size : 147 616
    ==================================================

    ==================================================
    Dump File : Mini083112-01.dmp
    Crash Time : 31/08/2012 12:53:18
    Bug Check String : DRIVER_IRQL_NOT_LESS_OR_EQUAL
    Bug Check Code : 0x000000d1
    Parameter 1 : 0x00000000
    Parameter 2 : 0x000000ff
    Parameter 3 : 0x00000008
    Parameter 4 : 0x00000000
    Caused By Driver : hal.dll
    Caused By Address : hal.dll+7838
    File Description : Hardware Abstraction Layer DLL
    Product Name : Microsoft® Windows® Operating System
    Company : Microsoft Corporation
    File Version : 6.0.6002.18005 (lh_sp2rtm.090410-1830)
    Processor : 32-bit
    Crash Address : ntkrnlpa.exe+4df99
    Stack Address 1 :
    Stack Address 2 :
    Stack Address 3 :
    Computer Name :
    Full Path : C:\Windows\Minidump\Mini083112-01.dmp
    Processors Count : 2
    Major Version : 15
    Minor Version : 6002
    Dump File Size : 149 664
    ==================================================

    ==================================================
    Dump File : Mini082912-01.dmp
    Crash Time : 29/08/2012 22:22:04
    Bug Check String : KERNEL_DATA_INPAGE_ERROR
    Bug Check Code : 0x0000007a
    Parameter 1 : 0xc0453560
    Parameter 2 : 0xc0000185
    Parameter 3 : 0x4b947860
    Parameter 4 : 0x8a6aca9a
    Caused By Driver : ataport.SYS
    Caused By Address : ataport.SYS+fa9a
    File Description : ATAPI Driver Extension
    Product Name : Microsoft® Windows® Operating System
    Company : Microsoft Corporation
    File Version : 6.0.6002.18005 (lh_sp2rtm.090410-1830)
    Processor : 32-bit
    Crash Address : ntkrnlpa.exe+7cbf8
    Stack Address 1 : ntkrnlpa.exe+77f4a
    Stack Address 2 : ntkrnlpa.exe+992f1
    Stack Address 3 : ntkrnlpa.exe+4dd94
    Computer Name :
    Full Path : C:\Windows\Minidump\Mini082912-01.dmp
    Processors Count : 2
    Major Version : 15
    Minor Version : 6002
    Dump File Size : 147 664
    ==================================================
    0
  16. chrisetx Messages postés 22 Statut Membre
     
    Arf...memtest marche pas pour 3go (la version windows) et en 3 fois cela a planté...bref je laisse tombé ce problème là.
    Pour le virus j'espère qu'il est vaincu, en tout cas il n'est plus visible je n'ai plus d'alerte...
    Merci pour tout.
    0
  17. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Oui mais j'aurais bien voulu mon MBAM moi ...

    Fais le en mode sans échec voir
    0
    1. Masked
       
      mdr
      le vent
      0
    2. chrisetx Messages postés 22 Statut Membre
       
      Il n'ya rien de drôle, j'ai emmené hier soir ma fille de 2ans aux urgences pédiatriques donc le pc est passé après... De plus j'ai déjà remercié juju666 qui m'a bien aidé lui...et je souhaite en rester là car je n'ai plus d'alertes et je n'ai pas envie de perdre des données sur ce pc sachant que c'est un ordi professionel donc pas officiellement le mien. Encore merci de m'avoir aider juju666. Bonne route à tous.
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      ok :)
      0
    4. Masked
       
      je n ai rien contre toi chrisetx mais un peu contre jujju666 car il a intervenu de façon radical alors que j allai te proposer exactement les même solution désoler Chrisetx enfin le principale c est que tu na plut d infection
      0
    5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      lol ....
      0
  18. Masked
     
    ok et ZHPfix ?
    -1
    1. Masked
       
      ÇA FAIT Longtemps que tu a se virus ?
      0
    2. chrisetx Messages postés 22 Statut Membre
       
      mercredi
      0
    3. chrisetx Messages postés 22 Statut Membre
       
      euh je suis sur zhp là mais faut faire quoi...?
      0
    4. Masked
       
      Vas a la racine de l installation et Click sur ZHPDiag (de Nicolas coolman)
      puis la loop et poste le rapport
      0
    5. chrisetx Messages postés 22 Statut Membre
       
      je dois pas avoir le bon zhpfix car de zhpdiag dans la racine
      0
  • 1
  • 2