Virus récalcitrant

thrut Messages postés 56 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,

Si je vous écris aujourd'hui c'est parce que j'ai repéré hier un programme suspect que je n'avais pas téléchargé. Le programme était nommé comme quelque chose du genre "bsbsbssbs..." excusez mon oubli. Suite à cela je supprime ce dernier et lance Avast pour faire un scan. Ce dernier était désactivé et ne je ne parvenais pas à le réactiver, il m'informait d'une erreur l'empêchant de se relancer. Il a fallu que je le remette à jour et à ce moment j'ai pu lancer un scan et il a détecté sept fichiers infectés, je l'ai mis en quarantaine et supprimé par la suite.
Le problème est que je suis certain de ne pas avoir terminé le travail car une fenêtre publicitaire s'affiche quasiment sur chaque site et certains sites ne répondent pas ce qui ne m'arrivait jamais auparavant.
Ne sachant pas utiliser hitjackthis, roguekiller et autres logiciel plus poussés. Une aide afin d'éliminer totalement ce fichu virus serait la bienvenue.
En vous remerciant.

34 réponses

  • 1
  • 2
  1. g3n-h@ckm@n
     
    salut

    Télécharge et enregistre ADWCleaner sur ton bureau :

    Lance le,(Pour vista et seven => clic droit "executer en tant qu'administrateur")

    clique sur suppression et poste C:\Adwcleaner[Sx].txt
    0
  2. thrut Messages postés 56 Statut Membre 11
     
    Premièrement merci de m'aider. J'ai lancé Adwcleaner et voici son rapport.

    # AdwCleaner v2.009 - Rapport créé le 25/11/2012 à 13:57:25
    # Mis à jour le 24/11/2012 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : Tosh - TOSH-TOSH
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Users\Tosh\Downloads\AdwCleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Program Files (x86)\Conduit
    Dossier Supprimé : C:\ProgramData\Partner
    Dossier Supprimé : C:\Users\Tosh\AppData\Local\Conduit
    Dossier Supprimé : C:\Users\Tosh\AppData\Local\Google\Chrome\User Data\Default\Extensions\ehdmaehkiiampolokajdcelladmnopgp
    Dossier Supprimé : C:\Users\Tosh\AppData\Local\Temp\CT3128284
    Dossier Supprimé : C:\Users\Tosh\AppData\LocalLow\boost_interprocess
    Dossier Supprimé : C:\Users\Tosh\AppData\LocalLow\Conduit
    Dossier Supprimé : C:\Users\Tosh\AppData\Roaming\Mozilla\Firefox\Profiles\d9ncnva5.default\CT3128284
    Dossier Supprimé : C:\Users\Tosh\AppData\Roaming\Mozilla\Firefox\Profiles\d9ncnva5.default\extensions\{8e5025c2-8ea3-430d-80b8-a14151068a6d}
    Dossier Supprimé : C:\Users\Tosh\AppData\Roaming\Mozilla\Firefox\Profiles\d9ncnva5.default\Smartbar
    Supprimé au redémarrage : C:\Users\Tosh\AppData\Local\Google\Chrome\User Data\Default\Extensions\ehdmaehkiiampolokajdcelladmnopgp

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
    Clé Supprimée : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
    Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
    Clé Supprimée : HKCU\Software\Conduit
    Clé Supprimée : HKCU\Software\Google\Chrome\Extensions\ehdmaehkiiampolokajdcelladmnopgp
    Clé Supprimée : HKCU\Software\Softonic
    Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT3128284
    Clé Supprimée : HKLM\Software\Conduit
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\ehdmaehkiiampolokajdcelladmnopgp
    Clé Supprimée : HKLM\SOFTWARE\Software

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16421

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v16.0.2 (fr)

    Nom du profil : default
    Fichier : C:\Users\Tosh\AppData\Roaming\Mozilla\Firefox\Profiles\d9ncnva5.default\prefs.js

    Supprimée : user_pref("CT3128284.1000082.isPlayDisplay", "true");
    Supprimée : user_pref("CT3128284.1000082.state", "{\"state\":\"stopped\",\"text\":\"RMC\",\"description\":\"RMC\[...]
    Supprimée : user_pref("CT3128284.1000234.TWC_TMP_city", "MEUDON");
    Supprimée : user_pref("CT3128284.1000234.TWC_TMP_country", "FR");
    Supprimée : user_pref("CT3128284.3128284a129638404769606799000000paramsGK0", "{\"updateReqTime\":1349632530727,\[...]
    Supprimée : user_pref("CT3128284.ENABALE_HISTORY", "{\"dataType\":\"string\",\"data\":\"true\"}");
    Supprimée : user_pref("CT3128284.ENABLE_RETURN_WEB_SEARCH_ON_THE_PAGE", "{\"dataType\":\"string\",\"data\":\"tru[...]
    Supprimée : user_pref("CT3128284.FirstTime", "true");
    Supprimée : user_pref("CT3128284.FirstTimeFF3", "true");
    Supprimée : user_pref("CT3128284.LoginRevertSettingsEnabled", false);
    Supprimée : user_pref("CT3128284.RSS_Pub_Config", "{\"settings\":{\"icon\":\"hxxp://storage.conduit.com/bankimag[...]
    Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000ReadItemsArr", "%7B%22574917%22%3A0%2C%22[...]
    Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000cat0", "%5B%7B%22type%22%3A%22rss%22%2C%2[...]
    Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000cat1", "%5B%7B%22type%22%3A%22rss%22%2C%2[...]
    Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000embeddedVersion", "2.4.0");
    Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000feedsObj", "%7B%22channels%22%3A%7B%22id%[...]
    Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000lastReportTime", "1349632531389 ");
    Supprimée : user_pref("CT3128284.RSSapp3128284a129638404769606799000000newFeeds", "newFeeds");
    Supprimée : user_pref("CT3128284.RevertSettingsEnabled", true);
    Supprimée : user_pref("CT3128284.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT312[...]
    Supprimée : user_pref("CT3128284.UserID", "UN51290593464041116");
    Supprimée : user_pref("CT3128284.addressBarTakeOverEnabledInHidden", "true");
    Supprimée : user_pref("CT3128284.autoDisableScopes", -1);
    Supprimée : user_pref("CT3128284.browser.search.defaultthis.engineName", true);
    Supprimée : user_pref("CT3128284.defaultSearch", "true");
    Supprimée : user_pref("CT3128284.embeddedsData", "[{\"appId\":\"129638404645388048\",\"apiPermissions\":{\"cross[...]
    Supprimée : user_pref("CT3128284.enableAlerts", "always");
    Supprimée : user_pref("CT3128284.enableSearchFromAddressBar", "true");
    Supprimée : user_pref("CT3128284.firstTimeDialogOpened", "true");
    Supprimée : user_pref("CT3128284.fixPageNotFoundError", "true");
    Supprimée : user_pref("CT3128284.fixPageNotFoundErrorInHidden", "true");
    Supprimée : user_pref("CT3128284.fixUrls", true);
    Supprimée : user_pref("CT3128284.installId", "SecondOffer1.exe");
    Supprimée : user_pref("CT3128284.installType", "ConduitNSISIntegration");
    Supprimée : user_pref("CT3128284.isCheckedStartAsHidden", true);
    Supprimée : user_pref("CT3128284.isEnableAllDialogs", "{\"dataType\":\"string\",\"data\":\"true\"}");
    Supprimée : user_pref("CT3128284.isFirstTimeToolbarLoading", "false");
    Supprimée : user_pref("CT3128284.isNewTabEnabled", false);
    Supprimée : user_pref("CT3128284.isPerformedSmartBarTransition", "true");
    Supprimée : user_pref("CT3128284.isToolbarShrinked", "{\"dataType\":\"string\",\"data\":\"false\"}");
    Supprimée : user_pref("CT3128284.keyword", true);
    Supprimée : user_pref("CT3128284.migrateAppsAndComponents", true);
    Supprimée : user_pref("CT3128284.navigationAliasesJson", "{\"EB_MAIN_FRAME_URL\":\"hxxp%3A%2F%2Fwww.google.fr%2F[...]
    Supprimée : user_pref("CT3128284.newSettings", "{\"dataType\":\"boolean\",\"data\":\"true\"}");
    Supprimée : user_pref("CT3128284.openThankYouPage", "false");
    Supprimée : user_pref("CT3128284.openUninstallPage", "true");
    Supprimée : user_pref("CT3128284.search.searchAppId", "129638404645388048");
    Supprimée : user_pref("CT3128284.search.searchCount", "0");
    Supprimée : user_pref("CT3128284.searchInNewTabEnabled", "false");
    Supprimée : user_pref("CT3128284.searchInNewTabEnabledInHidden", "true");
    Supprimée : user_pref("CT3128284.selectToSearchBoxEnabled", "{\"dataType\":\"string\",\"data\":\"true\"}");
    Supprimée : user_pref("CT3128284.serviceLayer_service_login_isFirstLoginInvoked", "{\"dataType\":\"boolean\",\"d[...]
    Supprimée : user_pref("CT3128284.serviceLayer_service_login_loginCount", "{\"dataType\":\"number\",\"data\":\"4\[...]
    Supprimée : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_activeCTID", "{\"dataType\":\"string\",\"d[...]
    Supprimée : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_activeDownloadUrl", "{\"dataType\":\"strin[...]
    Supprimée : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_activeToolbarName", "{\"dataType\":\"strin[...]
    Supprimée : user_pref("CT3128284.serviceLayer_service_toolbarGrouping_invoked", "{\"dataType\":\"string\",\"data[...]
    Supprimée : user_pref("CT3128284.serviceLayer_service_usage_toolbarUsageCount", "{\"dataType\":\"number\",\"data[...]
    Supprimée : user_pref("CT3128284.serviceLayer_services_appTrackingFirstTime_lastUpdate", "1349632524931");
    Supprimée : user_pref("CT3128284.serviceLayer_services_appsMetadata_lastUpdate", "1349892294064");
    Supprimée : user_pref("CT3128284.serviceLayer_services_gottenAppsContextMenu_lastUpdate", "1349632526505");
    Supprimée : user_pref("CT3128284.serviceLayer_services_login_10.10.27.6_lastUpdate", "1352836237005");
    Supprimée : user_pref("CT3128284.serviceLayer_services_login_10.13.40.15_lastUpdate", "1353803441291");
    Supprimée : user_pref("CT3128284.serviceLayer_services_otherAppsContextMenu_lastUpdate", "1349632526450");
    Supprimée : user_pref("CT3128284.serviceLayer_services_searchAPI_lastUpdate", "1349632523821");
    Supprimée : user_pref("CT3128284.serviceLayer_services_serviceMap_lastUpdate", "1353803440858");
    Supprimée : user_pref("CT3128284.serviceLayer_services_toolbarContextMenu_lastUpdate", "1349632526395");
    Supprimée : user_pref("CT3128284.serviceLayer_services_toolbarSettings_lastUpdate", "1353803441193");
    Supprimée : user_pref("CT3128284.serviceLayer_services_translation_lastUpdate", "1353803441209");
    Supprimée : user_pref("CT3128284.settingsINI", true);
    Supprimée : user_pref("CT3128284.shouldFirstTimeDialog", "false");
    Supprimée : user_pref("CT3128284.smartbar.CTID", "CT3128284");
    Supprimée : user_pref("CT3128284.smartbar.Uninstall", "0");
    Supprimée : user_pref("CT3128284.smartbar.homepage", true);
    Supprimée : user_pref("CT3128284.smartbar.isHidden", true);
    Supprimée : user_pref("CT3128284.smartbar.toolbarName", "01NET.com ");
    Supprimée : user_pref("CT3128284.startPage", "userChanged");
    Supprimée : user_pref("CT3128284.toolbarBornServerTime", "7-10-2012");
    Supprimée : user_pref("CT3128284.toolbarCurrentServerTime", "25-11-2012");
    Supprimée : user_pref("CT3128284.twitter_v1.8.0_twitter_app_open_t_f", "false");
    Supprimée : user_pref("CT3128284.upgradeFromClearSBVersion", true);
    Supprimée : user_pref("CT3128284_Firefox.csv", "[{\"from\":\"Abs Layer\",\"action\":\"loading toolbar\",\"time\"[...]
    Supprimée : user_pref("Smartbar.ConduitHomepagesList", "");
    Supprimée : user_pref("Smartbar.ConduitSearchEngineList", "01NET.com Customized Web Search");
    Supprimée : user_pref("Smartbar.ConduitSearchUrlList", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3128284[...]
    Supprimée : user_pref("Smartbar.keywordURLSelectedCTID", "CT3128284");
    Supprimée : user_pref("browser.search.selectedEngine", "01NET.com Customized Web Search");
    Supprimée : user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3128284&SearchSource=2&q=[...]
    Supprimée : user_pref("smartbar.conduitSearchAddressUrlList", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT[...]
    Supprimée : user_pref("smartbar.originalSearchAddressUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT312[...]

    -\\ Google Chrome v [Impossible d'obtenir la version]

    Fichier : C:\Users\Tosh\AppData\Local\Google\Chrome\User Data\Default\Preferences

    Supprimée [l.8] : homepage = "hxxp://search.conduit.com/?ctid=CT3128284&SearchSource=48",
    Supprimée [l.12] : urls_to_restore_on_startup = [ "hxxp://search.conduit.com/?ctid=CT3128284&SearchSource=48"[...]
    Supprimée [l.242] : homepage = "hxxp://search.conduit.com/?ctid=CT3128284&SearchSource=48",
    Supprimée [l.378] : urls_to_restore_on_startup = [ "hxxp://search.conduit.com/?ctid=CT3128284&SearchSource=48" ]

    *************************

    AdwCleaner[S2].txt - [10781 octets] - [25/11/2012 13:57:25]

    ########## EOF - C:\AdwCleaner[S2].txt - [10842 octets] ##########
    0
  3. g3n-h@ckm@n
     
    Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
    Attention !!! : cet outil peut etre détecté à tort comme virus
    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

    telecharge et enregistre Pre_Scan sur ton bureau :

    https://forums-fec.be/gen-hackman/Pre_Scan.exe

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    https://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut que des fenêtres noires clignotent , laisse-le travailler.

    Laisse l'outil redemarrer ton pc.

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

    afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

    C:\Pre_Scan\Process\Close.log

    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. g3n-h@ckm@n
     
    relance l'outil , clique sur Scan | Kill il a pas fini son travail , puis re-héberge le rapport
    0
  6. g3n-h@ckm@n
     
    ok relance l'outil , clique sur diag puis donne le lien du rapport hébergé
    0
  7. g3n-h@ckm@n
     
    Attention !!! pense à re-désactiver tes protections

    Clique sur ce lien : https://www.cjoint.com/?BKzvNWLNGbi

    Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  8. g3n-h@ckm@n
     
    retelecharge-le et refais l'option scan|kill stp

    ¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
    0
  9. g3n-h@ckm@n
     
    selectionne ce texte :

    Unhide::
    2


    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  10. thrut Messages postés 56 Statut Membre 11
     
    Désolé de pouvoir répondre que par intermittence mais avec les cours de la fac je n'ai pas toujours le temps de m'occuper du virus.
    Sinon concernant le script j'ai copié ce texte "Unhide:: 2" comme indiqué mais le seul rapport que j'obtient est celui ci. https://www.cjoint.com/?BKBrRP5byDp
    Je ne sais pas si j'ai copié le bon texte ou si c'est le script qui bug.
    Excusez mon manque de connaissances en la matière.
    0
  11. g3n-h@ckm@n
     
    si tu l'as copié comme ca

    Unhide:: 2

    c'est normal que ca ait pas marché
    0
  12. thrut Messages postés 56 Statut Membre 11
     
    Non je l'ai copié sous la forme suivante:

    Unhide::
    2

    Voici un autre exemple: https://www.cjoint.com/?3KBu6AoCwMF

    Contrairement aux fois précédentes, l'outil ne travail pas très longtemps, je ne sait pas si c'est un problème mais je préfère le signaler.
    0
  • 1
  • 2