Nettoyage à cause de virus/troyens

[Résolu/Fermé]
Signaler
Messages postés
1220
Date d'inscription
lundi 25 juin 2012
Statut
Membre
Dernière intervention
7 août 2014
-
Messages postés
1220
Date d'inscription
lundi 25 juin 2012
Statut
Membre
Dernière intervention
7 août 2014
-
Bonjour,

Depuis quelques jours, le soir, sur un de mes PC, une petite musique se met en route.
Pourtant, pas de virus à priori( scan avec Antivir ).

J'aimerais cependant faire un petit nettoyage de routine.
En effet, je sens que quelque chose ne tourne pas rond ( ralentissements énormes parfois).

Par quoi commencer ? Hijackthis ? Autre ?

Merci d'avance.

7 réponses

Messages postés
1220
Date d'inscription
lundi 25 juin 2012
Statut
Membre
Dernière intervention
7 août 2014
1 765
@techinfo :

Bonsoir,

Spybot => Obsolète.
"roguer killeur" => n'existe pas.

Euh, je crois que je vais attendre un contrib' sécurité pour éviter les bêtises ^^.
Messages postés
385
Date d'inscription
jeudi 23 décembre 2010
Statut
Membre
Dernière intervention
20 avril 2020
49
roguekiller.

spyboot n'est pas obsolète du tout enfin c'est vous qui voyer....Je l'utilie et je peux vous dire que j'en suis tres content et qu'il me résou environ 80 % de mes souci de virus bien sur il faux faire les mise à jour

salut en effet spybot est tout juste bon à nettoyer les cookies , si c est ca que tu apelles des virus.....

====

bref

▶ Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

▶ Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
▶ Double cliquez sur UsbFix.exe.

▶ Cliquez sur Suppression.
▶ Laissez travailler l'outil.

▶ À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

▶ Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
Tutoriel vidéo

========================

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste son rapport.

Messages postés
1220
Date d'inscription
lundi 25 juin 2012
Statut
Membre
Dernière intervention
7 août 2014
1 765
Attention, le lien USBFix est HS.
Celui-ci est bon : http://www.commentcamarche.net/download/telecharger-34079838-usbfix
Messages postés
1220
Date d'inscription
lundi 25 juin 2012
Statut
Membre
Dernière intervention
7 août 2014
1 765
Premier rapport :

############################## | UsbFix V 7.097 | [Suppression]

Utilisateur: surcouf (Administrateur) # SURCOUF-PC
Mis à jour le 02/09/2012 par El Desaparecido
Lancé à 21:55:38 | 17/10/2012

Site Web: https://www.sosvirus.net/
Forum: http://forum.eldesaparecido.com
Fichier suspect ? : http://eldesaparecido.com/upload.php
Contact: contact@eldesaparecido.com

PC: SAMSUNG ELECTRONICS CO., LTD. (NF110/NF210/NF310 ) (X86-based PC
CPU: Intel(R) Atom(TM) CPU N550 @ 1.50GHz (1500)
RAM -> [Total : 2037 | Free : 1296]
BIOS: Phoenix SecureCore(tm) NB Version 02MY.M019.20101004.JIP
BOOT: Normal boot

OS: Microsoft Windows 7 Édition Starter (6.1.7601 32-Bit) # Service Pack 1
WB: Windows Internet Explorer 9.0.8112.16421

SC: Security Center Service [(!) Disabled]
WU: Windows Update Service [(!) Disabled]
AV: Avira Desktop [Enabled | Updated]
FW: Windows FireWall Service [(!) Disabled]

C:\ (%systemdrive%) -> Disque fixe # 87 Go (27 Go libre(s) - 31%) [] # NTFS
D:\ -> Disque amovible # 30 Go (9 Go libre(s) - 30%) [STORE N GO] # FAT32

################## | Processus Actif |

C:\windows\system32\csrss.exe (532)
C:\windows\system32\wininit.exe (588)
C:\windows\system32\csrss.exe (596)
C:\windows\system32\services.exe (636)
C:\windows\system32\lsass.exe (652)
C:\windows\system32\lsm.exe (660)
C:\windows\system32\svchost.exe (784)
C:\windows\system32\winlogon.exe (852)
C:\windows\system32\svchost.exe (908)
C:\windows\System32\svchost.exe (992)
C:\windows\system32\svchost.exe (1068)
C:\windows\system32\svchost.exe (1188)
C:\windows\system32\svchost.exe (1288)
C:\windows\System32\spoolsv.exe (1508)
C:\Program Files\Avira\AntiVir Desktop\sched.exe (1556)
C:\Program Files\Avira\AntiVir Desktop\avguard.exe (1852)
C:\windows\system32\taskhost.exe (1868)
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (1932)
C:\windows\Explorer.EXE (1988)
C:\Program Files\Bonjour\mDNSResponder.exe (128)
C:\windows\System32\svchost.exe (552)
c:\Program Files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe (892)
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe (548)
C:\windows\system32\svchost.exe (1240)
C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\12.2.6\ToolbarUpdater.exe (2116)
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (2172)
C:\Program Files\Windows Sidebar\sidebar.exe (2212)
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (2900)
C:\windows\system32\conhost.exe (2908)
C:\windows\system32\svchost.exe (2956)
C:\windows\system32\taskeng.exe (3192)
C:\Program Files\Windows Media Player\wmpnetwk.exe (3420)
C:\windows\system32\wbem\wmiprvse.exe (3656)
C:\windows\system32\wbem\wmiprvse.exe (3668)
C:\windows\system32\hkcmd.exe (1864)
C:\windows\system32\igfxtray.exe (2944)
C:\windows\system32\igfxpers.exe (1328)
C:\windows\system32\igfxsrvc.exe (3132)
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe (1656)
C:\windows\System32\svchost.exe (4352)
C:\windows\system32\Dwm.exe (3832)
C:\windows\system32\WLANExt.exe (1984)
C:\windows\system32\conhost.exe (1440)
C:\windows\system32\svchost.exe (4464)
C:\Program Files\Mozilla Firefox\firefox.exe (2556)
C:\UsbFix\Go.exe (3224)
C:\Windows\system32\WUDFHost.exe (3964)

################## | Processus Stoppés |

Stoppé! C:\windows\System32\spoolsv.exe (1508)
Stoppé! C:\Program Files\Avira\AntiVir Desktop\sched.exe (1556)
Stoppé! C:\Program Files\Avira\AntiVir Desktop\avguard.exe (1852)
Stoppé! C:\windows\system32\taskhost.exe (1868)
Stoppé! C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (1932)
Stoppé! C:\Program Files\Bonjour\mDNSResponder.exe (128)
Stoppé! c:\Program Files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe (892)
Stoppé! c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe (548)
Stoppé! C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\12.2.6\ToolbarUpdater.exe (2116)
Stoppé! C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (2172)
Stoppé! C:\Program Files\Windows Sidebar\sidebar.exe (2212)
Stoppé! C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (2900)
Stoppé! C:\windows\system32\conhost.exe (2908)
Stoppé! C:\windows\system32\taskeng.exe (3192)
Stoppé! C:\Program Files\Windows Media Player\wmpnetwk.exe (3420)
Stoppé! C:\windows\system32\hkcmd.exe (1864)
Stoppé! C:\windows\system32\igfxtray.exe (2944)
Stoppé! C:\windows\system32\igfxpers.exe (1328)
Stoppé! C:\windows\system32\igfxsrvc.exe (3132)
Stoppé! C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe (1656)
Stoppé! C:\windows\system32\WLANExt.exe (1984)
Stoppé! C:\windows\system32\conhost.exe (1440)
Stoppé! C:\Program Files\Mozilla Firefox\firefox.exe (2556)
Stoppé! C:\Windows\system32\WUDFHost.exe (3964)

################## | Éléments infectieux |

Non supprimé ! C:\$RECYCLE.BIN\S-1-5-18
Non supprimé ! C:\$RECYCLE.BIN\S-1-5-21-3912383593-2352673496-10441196-1000
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3912383593-2352673496-10441196-500

(!) Fichiers temporaires supprimés.

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{873a9868-485d-11e1-8afa-001bb1d3626c}

################## | Listing |

[13/10/2012 - 14:17:55 | SHD ] C:\$Recycle.Bin
[19/06/2012 - 13:28:37 | D ] C:\3437655b323d406373c354871d
[10/06/2009 - 23:42:20 | N | 24] C:\autoexec.bat
[21/09/2012 - 08:51:54 | D ] C:\Config.Msi
[10/06/2009 - 23:42:20 | N | 10] C:\config.sys
[14/07/2009 - 06:53:55 | SHD ] C:\Documents and Settings
[14/05/2012 - 19:06:37 | D ] C:\ebf6724d2d0a54f5acf5ff60
[15/10/2012 - 23:22:20 | ASH | 2136260608] C:\hiberfil.sys
[21/10/2010 - 04:14:50 | D ] C:\Intel
[19/06/2012 - 13:52:36 | RHD ] C:\MSOCache
[15/10/2012 - 23:22:22 | ASH | 2136260608] C:\pagefile.sys
[14/07/2009 - 04:37:05 | D ] C:\PerfLogs
[12/10/2012 - 20:57:56 | D ] C:\Program Files
[13/10/2012 - 17:07:48 | HD ] C:\ProgramData
[07/04/2011 - 18:50:31 | SHD ] C:\Recovery
[21/10/2010 - 04:17:56 | N | 2047] C:\RHDSetup.log
[07/04/2011 - 18:53:58 | N | 196] C:\setup.log
[13/10/2012 - 21:07:51 | SHD ] C:\System Volume Information
[17/10/2012 - 21:59:43 | D ] C:\UsbFix
[17/10/2012 - 21:55:52 | A | 4923] C:\UsbFix.txt
[07/04/2011 - 18:51:52 | D ] C:\Users
[19/08/2012 - 20:12:31 | D ] C:\W7P_Backups
[29/06/2012 - 11:48:12 | D ] C:\wamp
[13/10/2012 - 14:24:44 | D ] C:\Windows

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F |
Messages postés
1220
Date d'inscription
lundi 25 juin 2012
Statut
Membre
Dernière intervention
7 août 2014
1 765
# AdwCleaner v2.005 - Rapport créé le 17/10/2012 à 22:25:27
# Mis à jour le 14/10/2012 par Xplode
# Système d'exploitation : Windows 7 Starter Service Pack 1 (32 bits)
# Nom d'utilisateur : surcouf - SURCOUF-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\surcouf\Downloads\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\AVG Secure Search
Dossier Supprimé : C:\Program Files\Common Files\AVG Secure Search
Dossier Supprimé : C:\ProgramData\AVG Secure Search
Dossier Supprimé : C:\Users\surcouf\AppData\Local\AVG Secure Search
Dossier Supprimé : C:\Users\surcouf\AppData\LocalLow\AVG Secure Search
Dossier Supprimé : C:\Users\surcouf\AppData\Roaming\pdfforge
Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\avg-secure-search.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\AVG Secure Search
Clé Supprimée : HKCU\Software\IGearSettings
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706}
Clé Supprimée : HKLM\Software\AVG Secure Search
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{1FDFF5A2-7BB1-48E1-8081-7236812B12B2}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BB711CB0-C70B-482E-9852-EC05EBD71DBB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\ScriptHelper.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\ViProtocol.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AVG Secure Search.BrowserWndAPI
Clé Supprimée : HKLM\SOFTWARE\Classes\AVG Secure Search.BrowserWndAPI.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AVG Secure Search.PugiObj
Clé Supprimée : HKLM\SOFTWARE\Classes\AVG Secure Search.PugiObj.1
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B658800C-F66E-4EF3-AB85-6C0C227862A9}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CC5AD34C-6F10-4CB3-B74A-C2DD4D5060A3}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{F25AF245-4A81-40DC-92F9-E9021F207706}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
Clé Supprimée : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\viprotocol
Clé Supprimée : HKLM\SOFTWARE\Classes\S
Clé Supprimée : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi
Clé Supprimée : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi.1
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{74FB6AFD-DD77-4CEB-83BD-AB2B63E63C93}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{C2AC8A0E-E48E-484B-A71C-C7A937FAAB94}
Clé Supprimée : HKLM\SOFTWARE\Classes\ViProtocol.ViProtocolOLE
Clé Supprimée : HKLM\SOFTWARE\Classes\ViProtocol.ViProtocolOLE.1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F25AF245-4A81-40DC-92F9-E9021F207706}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C6FDD0C3-266A-4DC3-B459-28C697C44CDC}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{F25AF245-4A81-40DC-92F9-E9021F207706}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AVG Secure Search
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{95B7759C-8C7F-4BF1-B163-73684A933233}]
Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [Avg@toolbar]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v16.0.1 (fr)

Nom du profil : default
Fichier : C:\Users\surcouf\AppData\Roaming\Mozilla\Firefox\Profiles\fadmqr9f.default\prefs.js

C:\Users\surcouf\AppData\Roaming\Mozilla\Firefox\Profiles\fadmqr9f.default\user.js ... Supprimé !

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v19.0.1084.56

Fichier : C:\Users\surcouf\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée [l.11] : homepage = "hxxp://isearch.avg.com/?cid={BA2910DB-EE88-4590-8CCC-898CF3F6F31D}&mid=02293563eff347d0bf40d152f7378b9f-c09db140e20f4e49097908bab49c612e722fc23b&lang=fr&ds=st011&pr=sa&d=2012-06-19 11:26:49&v=11.1.0.7&sap=hp",
Supprimée [l.1379] : homepage = "hxxp://isearch.avg.com/?cid={BA2910DB-EE88-4590-8CCC-898CF3F6F31D}&mid=02293563eff347d0bf40d152f7378b9f-c09db140e20f4e49097908bab49c612e722fc23b&lang=fr&ds=st011&pr=sa&d=2012-06-19 11:26:49&v=11.1.0.7&sap=hp",

*************************

AdwCleaner[S1].txt - [5900 octets] - [17/10/2012 22:25:27]

########## EOF - C:\AdwCleaner[S1].txt - [5960 octets] ##########
Messages postés
1220
Date d'inscription
lundi 25 juin 2012
Statut
Membre
Dernière intervention
7 août 2014
1 765
Aaaarg ! Je vais devenir dingue : la musique est toujours présente ( déclenchée à l'instant ).

Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Messages postés
1220
Date d'inscription
lundi 25 juin 2012
Statut
Membre
Dernière intervention
7 août 2014
1 765
Hello,

Suite à un autre soucis (suppression de toutes les sessions, même celle admin, à cause d'une mauvaise manip'), j'ai été obligé de formater mon PC et de réinstaller Windows.

ok merci d'etre passé prevenir .
Messages postés
1220
Date d'inscription
lundi 25 juin 2012
Statut
Membre
Dernière intervention
7 août 2014
1 765
:-)
Messages postés
385
Date d'inscription
jeudi 23 décembre 2010
Statut
Membre
Dernière intervention
20 avril 2020
49
Bonjour, je vous conseille de passer spyboot puis roguekiller.

Sivous avez des application à désinstaller utiliser total unistall qui enleve les fichiers résiduel aprs une désinstallation clasique plus les enregistrement dans la base de registre