Ordi pe etre infecté??

Résolu
clatomlis3 Messages postés 22 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,


j'ai des fenetres publicitaires qui s'ouvre toute seule alors que le bloqueur de fenetres est activé et certaines pages internet sont déviés (je fais une recherche sur google et j'arrive sur totalement autre chose ou sur une page qui me dit que je suis rediriger. j'ai fait un scan avec mon antivirus mais il ne trouve rien. y'a til un virus ds mon ordi et surtout comment le detecter et le supprimer?? merci

30 réponses

  • 1
  • 2
  1. g3n-h@ckm@n
     
    salut

    Télécharge et enregistre ADWcleaner sur ton bureau :

    ADWCleaner (Merci à Xplode)

    Lance le,

    (Pour vista et seven => clic droit "executer en tant qu'administrateur")

    clique sur suppression et poste son rapport.
    0
  2. clatomlis3 Messages postés 22 Statut Membre
     
    voila le rapport de suppression
    # AdwCleaner v2.001 - Rapport créé le 13/09/2012 à 10:13:20
    # Mis à jour le 09/09/2012 par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : MARTIN CHRISTOPHE - TRONCONNAIE
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Documents and Settings\MARTIN CHRISTOPHE\Local Settings\Temporary Internet Files\Content.IE5\3NY4668L\adwcleaner[1].exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Program Files\MacroGaming

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\AGI
    Clé Supprimée : HKCU\Software\Binary Noise\mPlayer\kiwee_toolbar_installer.exe
    Clé Supprimée : HKCU\Software\MediaHoldings
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{6F282B65-56BF-4BD1-A8B2-A4449A05863D}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A0AADCD-3A72-4B5F-900F-E3BB5A838E2A}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A93C934-025B-4C3A-B38E-9654A7003239}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6F282B65-56BF-4BD1-A8B2-A4449A05863D}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CFC4F59B-A2DA-4e12-B337-52A4F871E10C}
    Clé Supprimée : HKLM\Software\AGI
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{A5461FCA-320C-4D6F-A150-A53823CE8142}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\contenthandler.dll
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3BF72F68-72D8-461D-A884-329D936C5581}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{4260E0CC-0F75-462E-88A3-1E05C248BF4C}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{6E15D3C4-C6FC-4F02-B130-77CC5B1F09DB}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{78E9D883-93CD-4072-BEF3-38EE581E2839}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{83AC1413-FCE4-4A46-9DD5-4F31F306E71F}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E6375F37-E4D1-4F51-B651-4658C27AC5BF}
    Clé Supprimée : HKLM\SOFTWARE\Classes\contenthandler.contentselection
    Clé Supprimée : HKLM\SOFTWARE\Classes\contenthandler.contentselection.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5663B370-F3C3-40D1-9C46-0E800AA4D0E8}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
    Clé Supprimée : HKLM\Software\ImInstaller
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{6E15D3C4-C6FC-4F02-B130-77CC5B1F09DB}
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.6001.18702

    Restauré : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
    Restauré : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
    Restauré : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
    Restauré : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

    *************************

    AdwCleaner[R1].txt - [2964 octets] - [13/09/2012 10:12:40]
    AdwCleaner[S1].txt - [3227 octets] - [13/09/2012 10:13:20]

    ########## EOF - C:\AdwCleaner[S1].txt - [3287 octets] ##########
    0
  3. g3n-h@ckm@n
     
    Attention !!! : cet outil peut etre détecté à tort comme virus
    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://forums-fec.be/gen-hackman/Pre_Scan.exe

    mirroirs :

    http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
    http://www.archive-host.com

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
    0
  4. clatomlis3 Messages postés 22 Statut Membre
     
    pre scan 130921012 11 00 07
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    t'as pas coupé antivir , resultat l'outil n'a pas pu travailler normalement ! c'est ecrit pourtant...

    ===

    relance-le clique sur Diag , puis heberge le rapport de la meme maniere que le precedent .
    0
  7. g3n-h@ckm@n
     
    réponds à la suite stp

    ==

    desinstalle tout Java on mettra le dernier

    ==

    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

    C:\WINDOWS\system32\c_7265170.nls

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
    0
  8. clatomlis3 Messages postés 22 Statut Membre
     
    désolé , je n'ai pas su coller le lien j'envoie la page

    SHA256: 95fe53495fbacd7d24e748de391a91136fe561cbbbfdb9f6ab3a88ab81cf6036
    SHA1: 17938b805e1ea4fc3e19a9a744deecf97bea9b90
    MD5: 3d96a2ae41ddaa814a776c6b0f8c21bb
    Taille du fichier: 174,5 KB (178692 octets)
    Nom du fichier: c_7265170.nls
    Type de fichier: inconnu
    Détection du rapport: 4/40
    Date d'analyse: 13/09/2012 12:26:55 UTC (il ya 2 Heures)

    00Plus de détails
    Antivirus Résulter Mettre à jour
    AntiVir - 20120913
    Antiy-AVL - 20120911
    Avast Win32: RLoader-B 20120913
    AVG - 20120913
    BitDefender - 20120913
    CAT-QuickHeal - 20120913
    ClamAV - 20120913
    Commtouch - 20120913
    Comodo - 20120913
    DrWeb - 20120913
    Emsisoft - 20120913
    eSafe - 20120911
    ESET NOD32- - 20120912
    F-Prot - 20120913
    F-Secure Gen: Trojan.Heur.LP.bi5 @ aqUaStf 20120913
    Fortinet - 20120830
    GData Win32: RLoader-B 20120913
    Ikarus - 20120913
    Jiangmin - 20120913
    K7AntiVirus - 20120912
    Kaspersky - 20120913
    McAfee - 20120913
    McAfee-GW-Edition Heuristic.BehavesLike.Exploit.CodeExec.O 20120912
    Microsoft - 20120913
    Normand - 20120913
    NPROTECT - 20120913
    Panda - 20120912
    PCTools - 20120913
    Hausse - 20120912
    Sophos - 20120913
    SUPERAntiSpyware - 20120911
    Symantec - 20120913
    TheHacker - 20120911
    TotalDefense - 20120912
    TrendMicro - 20120913
    TrendMicro HouseCall- - 20120913
    VBA32 - 20120913
    VIPRE - 20120913
    ViRobot - 20120913
    VirusBuster - 20120913

    Commentaires
    Votes
    Informations complémentaires
    Pas de commentaires
    0
  9. g3n-h@ckm@n
     
    le lien en haut de la page dans la barre d'adresses
    0
  10. g3n-h@ckm@n
     
    desinstalle toutes tes versions de java
    desinstalle kiwee Toolbar

    ==

    Attention !!! pense à re-désactiver tes protections

    Clique sur ce lien : https://www.cjoint.com/?BInpxaUz9ob

    Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    0
  11. clatomlis3 Messages postés 22 Statut Membre
     
    je n'ai pas kiwee tolbar?? mais goolgle tolbar je desactive?
    0
    1. clatomlis3 Messages postés 22 Statut Membre
       
      je pense aussi a voir toute desinstaller java , j'en voie pas d'autre
      0
    2. clatomlis3 Messages postés 22 Statut Membre
       
      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.0913 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

      MARTIN CHRISTOPHE : Microsoft Windows XP (32 bits)

      Switchs : https://gen-hackman.kanak.fr/

      Script : 15:42:31

      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

      ¤¤¤¤¤¤¤¤¤¤ | Deletion | Drivers | Services

      Service : 5713 Not actif

      Deleted : [HKLM\..\CCS\..\Root\LEGACY_5713]
      Deleted : [HKLM\..\CCS\Services\5713]
      Deleted : [HKLM\..\CS001\..\Root\LEGACY_5713]
      Deleted : [HKLM\..\CS002\..\Root\LEGACY_5713]
      Deleted : [HKLM\..\CS002\Services\5713]


      ¤

      ¤¤¤¤¤¤¤¤¤¤ | Registry Deletions

      Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:QuickTime Task
      Key Deleted : HKU\S-1-5-21-3554713957-3993665925-3511962456-1005\Software\Microsoft\Internet Explorer\SearchScopes\{0BC6E3FA-78EF-4886-842C-5A1258C4455A}
      Key Deleted : HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0BC6E3FA-78EF-4886-842C-5A1258C4455A}
      Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{358E6F10-DE8A-4602-8424-179CA217F8EE}
      Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C6A861C-B233-4994-AFB1-C158EE4FC578}
      Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
      Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA}
      Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}
      Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA}
      Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}
      Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}
      Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
      Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
      Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
      Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
      Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
      Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}

      ¤

      Impossible to move File : |A| - C:\WINDOWS\system32\c_7265170.nls
      Folder Deleted : |D| - C:\1ec019313b548393268cea0281b1a1
      Folder Deleted : |D| - C:\8099e5792c11ad0471
      Folder Deleted : |D| - C:\cd61faf077ddb3bf5079d54feba3
      Folder Deleted : |D| - C:\Documents and Settings\MARTIN CHRISTOPHE\Local Settings\Application Data\Kiwee Toolbar

      ¤¤¤¤¤¤¤¤¤¤ | MBR


      ¤


      ¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

      Nettoyage du disque effectué

      ¤


      Fin : 15:44:21

      ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
      0
  12. g3n-h@ckm@n
     
    refais-en un avec juste ca :

    Kill::

    Replace::
    "C:\WINDOWS\system32\c_7265170.nls" "c:\Pre_Scan\Quarantine\c_7265170.nls.P_S"

    Reboot

    0
  13. clatomlis3 Messages postés 22 Statut Membre
     
    j'ai fait la manip mais l'ordi s'éteint et rien ne s'affiche de plus sur le bureau est ce normal?
    0
  14. g3n-h@ckm@n
     
    oui
    regarde si tu as toujours ce fichier :

    C:\WINDOWS\system32\c_7265170.nls
    0
  15. clatomlis3 Messages postés 22 Statut Membre
     
    je cherche comment? désolé je suis pas une experte
    0
    1. clatomlis3 Messages postés 22 Statut Membre
       
      j'ai fait recherche de fichier avec le nom inscrit , il dit le trouver que dans le pré diag du 13092012.
      0
  16. g3n-h@ckm@n
     
    demarrer > poste de travail > disque local C: > windows > system32

    et tu cherches le fichier :

    c_7265170.nls

    ¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
    0
  17. clatomlis3 Messages postés 22 Statut Membre
     
    oui il est toujours la
    0
  • 1
  • 2