Sujet Précédent Sujet Suivant

Virus récalcitrant

thrut Messages postés 56 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

Si je vous écris aujourd'hui c'est parce que j'ai repéré hier un programme suspect que je n'avais pas téléchargé. Le programme était nommé comme quelque chose du genre "bsbsbssbs..." excusez mon oubli. Suite à cela je supprime ce dernier et lance Avast pour faire un scan. Ce dernier était désactivé et ne je ne parvenais pas à le réactiver, il m'informait d'une erreur l'empêchant de se relancer. Il a fallu que je le remette à jour et à ce moment j'ai pu lancer un scan et il a détecté sept fichiers infectés, je l'ai mis en quarantaine et supprimé par la suite.
Le problème est que je suis certain de ne pas avoir terminé le travail car une fenêtre publicitaire s'affiche quasiment sur chaque site et certains sites ne répondent pas ce qui ne m'arrivait jamais auparavant.
Ne sachant pas utiliser hitjackthis, roguekiller et autres logiciel plus poussés. Une aide afin d'éliminer totalement ce fichu virus serait la bienvenue.
En vous remerciant.

A voir également:

34 réponses

  • 1
  • 2
Réponse 1 / 34
Utilisateur anonyme
 
salut

Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt
0
Réponse 2 / 34
thrut Messages postés 56 Statut Membre 11
 
Premièrement merci de m'aider. J'ai lancé Adwcleaner et voici son rapport.

# AdwCleaner v2.009 - Rapport créé le 25/11/2012 à 13:57:25
# Mis à jour le 24/11/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Tosh - TOSH-TOSH
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Tosh\Downloads\AdwCleaner.exe
# Option [Suppression]

***** [Services] *****

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\Conduit
Dossier Supprimé : C:\ProgramData\Partner
Dossier Supprimé : C:\Users\Tosh\AppData\Local\Conduit
Dossier Supprimé : C:\Users\Tosh\AppData\Local\Google\Chrome\User Data\Default\Extensions\ehdmaehkiiampolokajdcelladmnopgp
Dossier Supprimé : C:\Users\Tosh\AppData\Local\Temp\CT3128284
Dossier Supprimé : C:\Users\Tosh\AppData\LocalLow\boost_interprocess
Dossier Supprimé : C:\Users\Tosh\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Tosh\AppData\Roaming\Mozilla\Firefox\Profiles\d9ncnva5.default\CT3128284
Dossier Supprimé : C:\Users\Tosh\AppData\Roaming\Mozilla\Firefox\Profiles\d9ncnva5.default\extensions\{8e5025c2-8ea3-430d-80b8-a14151068a6d}
Dossier Supprimé : C:\Users\Tosh\AppData\Roaming\Mozilla\Firefox\Profiles\d9ncnva5.default\Smartbar
Supprimé au redémarrage : C:\Users\Tosh\AppData\Local\Google\Chrome\User Data\Default\Extensions\ehdmaehkiiampolokajdcelladmnopgp

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Google\Chrome\Extensions\ehdmaehkiiampolokajdcelladmnopgp
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT3128284
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\ehdmaehkiiampolokajdcelladmnopgp
Clé Supprimée : HKLM\SOFTWARE\Software

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v16.0.2 (fr)

Nom du profil : default
Fichier : C:\Users\Tosh\AppData\Roaming\Mozilla\Firefox\Profiles\d9ncnva5.default\prefs.js

Supprimée : user_pref("CT3128284.1000082.isPlayDisplay", "true");
Supprimée : user_pref("CT3128284.1000082.state", "{\"state\":\"stopped\",\"text\":\"RMC\",\"description\":\"RMC\[...]
Supprimée : user_pref("CT3128284.1000234.TWC_TMP_city", "MEUDON");
Supprimée : user_pref("CT3128284.1000234.TWC_TMP_country", "FR");
Supprimée : user_pref("CT3128284.3128284a129638404769606799000000paramsGK0", "{\"updateReqTime\":1349632530727,\[...]
Supprimée : user_pref("CT3128284.ENABALE_HISTORY", "{\"dataType\":\"string\",\"data\":\"true\"}");
Supprimée : user_pref("CT3128284.ENABLE_RETURN_WEB_SEARCH_ON_THE_PAGE", "{\"dataType\":\"string\",\"data\":\"tru[...]
Supprimée : user_pref("CT3128284.FirstTime", "true");
Supprimée : user_pref("CT3128284.FirstTimeFF3", "true");
Supprimée : user_pref("CT3128284.LoginRevertSettingsEnabled", false);
Supprimée : user_pref("CT3128284.RSS_Pub_Config", "{\"settings\":{\"icon\":\"hxxp://storage.conduit.com/bankimag[...]
Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000ReadItemsArr", "%7B%22574917%22%3A0%2C%22[...]
Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000cat0", "%5B%7B%22type%22%3A%22rss%22%2C%2[...]
Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000cat1", "%5B%7B%22type%22%3A%22rss%22%2C%2[...]
Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000embeddedVersion", "2.4.0");
Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000feedsObj", "%7B%22channels%22%3A%7B%22id%[...]
Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000lastReportTime", "1349632531389 ");
Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000newFeeds", "newFeeds");
Supprimée : user_pref("CT3128284.RevertSettingsEnabled", true);
Supprimée : user_pref("CT3128284.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT312[...]
Supprimée : user_pref("CT3128284.UserID", "UN51290593464041116");
Supprimée : user_pref("CT3128284.addressBarTakeOverEnabledInHidden", "true");
Supprimée : user_pref("CT3128284.autoDisableScopes", -1);
Supprimée : user_pref("CT3128284.browser.search.defaultthis.engineName", true);
Supprimée : user_pref("CT3128284.defaultSearch", "true");
Supprimée : user_pref("CT3128284.embeddedsData", "[{\"appId\":\"129638404645388048\",\"apiPermissions\":{\"cross[...]
Supprimée : user_pref("CT3128284.enableAlerts", "always");
Supprimée : user_pref("CT3128284.enableSearchFromAddressBar", "true");
Supprimée : user_pref("CT3128284.firstTimeDialogOpened", "true");
Supprimée : user_pref("CT3128284.fixPageNotFoundError", "true");
Supprimée : user_pref("CT3128284.fixPageNotFoundErrorInHidden", "true");
Supprimée : user_pref("CT3128284.fixUrls", true);
Supprimée : user_pref("CT3128284.installId", "SecondOffer1.exe");
Supprimée : user_pref("CT3128284.installType", "ConduitNSISIntegration");
Supprimée : user_pref("CT3128284.isCheckedStartAsHidden", true);
Supprimée : user_pref("CT3128284.isEnableAllDialogs", "{\"dataType\":\"string\",\"data\":\"true\"}");
Supprimée : user_pref("CT3128284.isFirstTimeToolbarLoading", "false");
Supprimée : user_pref("CT3128284.isNewTabEnabled", false);
Supprimée : user_pref("CT3128284.isPerformedSmartBarTransition", "true");
Supprimée : user_pref("CT3128284.isToolbarShrinked", "{\"dataType\":\"string\",\"data\":\"false\"}");
Supprimée : user_pref("CT3128284.keyword", true);
Supprimée : user_pref("CT3128284.migrateAppsAndComponents", true);
Supprimée : user_pref("CT3128284.navigationAliasesJson", "{\"EB_MAIN_FRAME_URL\":\"hxxp%3A%2F%2Fwww.google.fr%2F[...]
Supprimée : user_pref("CT3128284.newSettings", "{\"dataType\":\"boolean\",\"data\":\"true\"}");
Supprimée : user_pref("CT3128284.openThankYouPage", "false");
Supprimée : user_pref("CT3128284.openUninstallPage", "true");
Supprimée : user_pref("CT3128284.search.searchAppId", "129638404645388048");
Supprimée : user_pref("CT3128284.search.searchCount", "0");
Supprimée : user_pref("CT3128284.searchInNewTabEnabled", "false");
Supprimée : user_pref("CT3128284.searchInNewTabEnabledInHidden", "true");
Supprimée : user_pref("CT3128284.selectToSearchBoxEnabled", "{\"dataType\":\"string\",\"data\":\"true\"}");
Supprimée : user_pref("CT3128284.serviceLayer_service_login_isFirstLoginInvoked", "{\"dataType\":\"boolean\",\"d[...]
Supprimée : user_pref("CT3128284.serviceLayer_service_login_loginCount", "{\"dataType\":\"number\",\"data\":\"4\[...]
Supprimée : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_activeCTID", "{\"dataType\":\"string\",\"d[...]
Supprimée : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_activeDownloadUrl", "{\"dataType\":\"strin[...]
Supprimée : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_activeToolbarName", "{\"dataType\":\"strin[...]
Supprimée : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_invoked", "{\"dataType\":\"string\",\"data[...]
Supprimée : user_pref("CT3128284.serviceLayer_service_usage_toolbarUsageCount", "{\"dataType\":\"number\",\"data[...]
Supprimée : user_pref("CT3128284.serviceLayer_services_appTrackingFirstTime_lastUpdate", "1349632524931");
Supprimée : user_pref("CT3128284.serviceLayer_services_appsMetadata_lastUpdate", "1349892294064");
Supprimée : user_pref("CT3128284.serviceLayer_services_gottenAppsContextMenu_lastUpdate", "1349632526505");
Supprimée : user_pref("CT3128284.serviceLayer_services_login_10.10.27.6_lastUpdate", "1352836237005");
Supprimée : user_pref("CT3128284.serviceLayer_services_login_10.13.40.15_lastUpdate", "1353803441291");
Supprimée : user_pref("CT3128284.serviceLayer_services_otherAppsContextMenu_lastUpdate", "1349632526450");
Supprimée : user_pref("CT3128284.serviceLayer_services_searchAPI_lastUpdate", "1349632523821");
Supprimée : user_pref("CT3128284.serviceLayer_services_serviceMap_lastUpdate", "1353803440858");
Supprimée : user_pref("CT3128284.serviceLayer_services_toolbarContextMenu_lastUpdate", "1349632526395");
Supprimée : user_pref("CT3128284.serviceLayer_services_toolbarSettings_lastUpdate", "1353803441193");
Supprimée : user_pref("CT3128284.serviceLayer_services_translation_lastUpdate", "1353803441209");
Supprimée : user_pref("CT3128284.settingsINI", true);
Supprimée : user_pref("CT3128284.shouldFirstTimeDialog", "false");
Supprimée : user_pref("CT3128284.smartbar.CTID", "CT3128284");
Supprimée : user_pref("CT3128284.smartbar.Uninstall", "0");
Supprimée : user_pref("CT3128284.smartbar.homepage", true);
Supprimée : user_pref("CT3128284.smartbar.isHidden", true);
Supprimée : user_pref("CT3128284.smartbar.toolbarName", "01NET.com ");
Supprimée : user_pref("CT3128284.startPage", "userChanged");
Supprimée : user_pref("CT3128284.toolbarBornServerTime", "7-10-2012");
Supprimée : user_pref("CT3128284.toolbarCurrentServerTime", "25-11-2012");
Supprimée : user_pref("CT3128284.twitter_v1.8.0_twitter_app_open_t_f", "false");
Supprimée : user_pref("CT3128284.upgradeFromClearSBVersion", true);
Supprimée : user_pref("CT3128284_Firefox.csv", "[{\"from\":\"Abs Layer\",\"action\":\"loading toolbar\",\"time\"[...]
Supprimée : user_pref("Smartbar.ConduitHomepagesList", "");
Supprimée : user_pref("Smartbar.ConduitSearchEngineList", "01NET.com Customized Web Search");
Supprimée : user_pref("Smartbar.ConduitSearchUrlList", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3128284[...]
Supprimée : user_pref("Smartbar.keywordURLSelectedCTID", "CT3128284");
Supprimée : user_pref("browser.search.selectedEngine", "01NET.com Customized Web Search");
Supprimée : user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3128284&SearchSource=2&q=[...]
Supprimée : user_pref("smartbar.conduitSearchAddressUrlList", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT[...]
Supprimée : user_pref("smartbar.originalSearchAddressUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT312[...]

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Tosh\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée [l.8] : homepage = "hxxp://search.conduit.com/?ctid=CT3128284&SearchSource=48",
Supprimée [l.12] : urls_to_restore_on_startup = [ "hxxp://search.conduit.com/?ctid=CT3128284&SearchSource=48"[...]
Supprimée [l.242] : homepage = "hxxp://search.conduit.com/?ctid=CT3128284&SearchSource=48",
Supprimée [l.378] : urls_to_restore_on_startup = [ "hxxp://search.conduit.com/?ctid=CT3128284&SearchSource=48" ]

*************************

AdwCleaner[S2].txt - [10781 octets] - [25/11/2012 13:57:25]

########## EOF - C:\AdwCleaner[S2].txt - [10842 octets] ##########
0
Réponse 3 / 34
Utilisateur anonyme
 
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

C:\Pre_Scan\Process\Close.log

0
Réponse 4 / 34
thrut Messages postés 56 Statut Membre 11
 
Voici le rapport de Pre Scan

https://www.cjoint.com/?BKzpLQL4Sbv

et voici le Close.log

https://www.cjoint.com/?BKzpN25aFvV
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 34
Utilisateur anonyme
 
relance l'outil , clique sur Scan | Kill il a pas fini son travail , puis re-héberge le rapport
0
Réponse 6 / 34
thrut Messages postés 56 Statut Membre 11
 
Voici le second rapport en espérant qu'il soit complet:

https://www.cjoint.com/?BKztohbXzkY
0
Réponse 7 / 34
Utilisateur anonyme
 
ok relance l'outil , clique sur diag puis donne le lien du rapport hébergé
0
Réponse 8 / 34
thrut Messages postés 56 Statut Membre 11
 
Voici le rapport Diag:

https://www.cjoint.com/?BKzuWr4xoje
0
Réponse 9 / 34
Utilisateur anonyme
 
Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : https://www.cjoint.com/?BKzvNWLNGbi

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
0
Réponse 10 / 34
thrut Messages postés 56 Statut Membre 11
 
Voici le rapport Pre Script:

https://www.cjoint.com/?BKzwxHmGRqa
0
Réponse 11 / 34
Utilisateur anonyme
 
ok refais un diag voir ?
0
Réponse 12 / 34
thrut Messages postés 56 Statut Membre 11
 
Voici le rapport Diag:

https://www.cjoint.com/?BKzxebfbq0f
0
Réponse 13 / 34
Utilisateur anonyme
 
retelecharge-le et refais l'option scan|kill stp

¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
0
Réponse 14 / 34
thrut Messages postés 56 Statut Membre 11
 
Voici le rapport Scan Kill:

https://www.cjoint.com/?BKAjzRJgvWC
0
Réponse 15 / 34
Utilisateur anonyme
 
selectionne ce texte :

Unhide::
2

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
0
Réponse 16 / 34
thrut Messages postés 56 Statut Membre 11
 
Voici le rapport pré script:

https://www.cjoint.com/?BKAvbZpWkTR
0
Réponse 17 / 34
Utilisateur anonyme
 
t'as rien collé dedans
0
Réponse 18 / 34
thrut Messages postés 56 Statut Membre 11
 
Désolé de pouvoir répondre que par intermittence mais avec les cours de la fac je n'ai pas toujours le temps de m'occuper du virus.
Sinon concernant le script j'ai copié ce texte "Unhide:: 2" comme indiqué mais le seul rapport que j'obtient est celui ci. https://www.cjoint.com/?BKBrRP5byDp
Je ne sais pas si j'ai copié le bon texte ou si c'est le script qui bug.
Excusez mon manque de connaissances en la matière.
0
Réponse 19 / 34
Utilisateur anonyme
 
si tu l'as copié comme ca

Unhide:: 2

c'est normal que ca ait pas marché
0
Réponse 20 / 34
thrut Messages postés 56 Statut Membre 11
 
Non je l'ai copié sous la forme suivante:

Unhide::
2

Voici un autre exemple: https://www.cjoint.com/?3KBu6AoCwMF

Contrairement aux fois précédentes, l'outil ne travail pas très longtemps, je ne sait pas si c'est un problème mais je préfère le signaler.
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses