Virus
Résolu/Fermé
maria_ferrari
Messages postés
19
Date d'inscription
dimanche 6 janvier 2013
Statut
Membre
Dernière intervention
12 janvier 2013
-
6 janv. 2013 à 22:14
Utilisateur anonyme - 12 janv. 2013 à 22:55
Utilisateur anonyme - 12 janv. 2013 à 22:55
A voir également:
- Virus
- Svchost.exe virus - Guide
- Faux message virus iphone - Forum iPhone
- Operagxsetup virus ✓ - Forum Virus
- Produkey virus ✓ - Forum Windows 10
- Vérificateur de lien virus - Guide
13 réponses
maria_ferrari
Messages postés
19
Date d'inscription
dimanche 6 janvier 2013
Statut
Membre
Dernière intervention
12 janvier 2013
8 janv. 2013 à 19:07
8 janv. 2013 à 19:07
Désolé, je n'ai pas tout compris à certains échanges, et j'ai cru que vous discutiez entre vous ^^''
Voici toujours le lien vers le OTL.txt :
https://www.cjoint.com/?3Aitadgpbe5
Quant au fichier extras.txt, merci de me donner la marche à suivre pour l'obtenir car je ne sais pas où aller le pécher.
Voici toujours le lien vers le OTL.txt :
https://www.cjoint.com/?3Aitadgpbe5
Quant au fichier extras.txt, merci de me donner la marche à suivre pour l'obtenir car je ne sais pas où aller le pécher.
Utilisateur anonyme
Modifié par g3n-h@ckm@n le 8/01/2013 à 19:38
Modifié par g3n-h@ckm@n le 8/01/2013 à 19:38
ca va pas...
il me manque la moitié des infos...
on va le refaire comme ca :
clic droit "executer en tant que...." sur OTL.exe pour le lancer.
? => Clique ici pour voir la Configuration
? Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
net.exe
iastor.sys
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT
? Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)
??? NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
il me manque la moitié des infos...
on va le refaire comme ca :
clic droit "executer en tant que...." sur OTL.exe pour le lancer.
? => Clique ici pour voir la Configuration
? Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
net.exe
iastor.sys
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT
? Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)
??? NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
maria_ferrari
Messages postés
19
Date d'inscription
dimanche 6 janvier 2013
Statut
Membre
Dernière intervention
12 janvier 2013
8 janv. 2013 à 21:42
8 janv. 2013 à 21:42
Utilisateur anonyme
8 janv. 2013 à 21:51
8 janv. 2013 à 21:51
recommence en desactivant la sandbox d'avast
maria_ferrari
Messages postés
19
Date d'inscription
dimanche 6 janvier 2013
Statut
Membre
Dernière intervention
12 janvier 2013
8 janv. 2013 à 21:54
8 janv. 2013 à 21:54
Heu... normalement, elle était désactivée.
maria_ferrari
Messages postés
19
Date d'inscription
dimanche 6 janvier 2013
Statut
Membre
Dernière intervention
12 janvier 2013
8 janv. 2013 à 21:57
8 janv. 2013 à 21:57
Attends, le texte de personnalisation, je l'ai recopié à partir du mail que j'ai reçu, c'est peut-être ça qui a faussé l'analyse. Je recommence.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
8 janv. 2013 à 22:03
8 janv. 2013 à 22:03
ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous "Personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_146.dll File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@WildTangent.com/GamesAppPresenceDetector,Version=1.0: C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\Registered\0\NP_wtapp.dll ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
""=-
:Files
C:\ProgramData\SaveByclick
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SaveByclick
:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous "Personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_146.dll File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@WildTangent.com/GamesAppPresenceDetector,Version=1.0: C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\Registered\0\NP_wtapp.dll ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
""=-
:Files
C:\ProgramData\SaveByclick
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SaveByclick
:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
maria_ferrari
Messages postés
19
Date d'inscription
dimanche 6 janvier 2013
Statut
Membre
Dernière intervention
12 janvier 2013
8 janv. 2013 à 22:45
8 janv. 2013 à 22:45
Aucun rapport ne s'est ouvert après le redémarrage.
Utilisateur anonyme
8 janv. 2013 à 22:58
8 janv. 2013 à 22:58
alors il est dans C:\_OTL\Moved Files\la_date_et_l'heure.txt
maria_ferrari
Messages postés
19
Date d'inscription
dimanche 6 janvier 2013
Statut
Membre
Dernière intervention
12 janvier 2013
9 janv. 2013 à 09:10
9 janv. 2013 à 09:10
OK, je regarderai ce soir s'il y est.
Par contre, je me demande si je n'ai pas fait une gaffe : après avoir fait cette correction, je suis allée voir si j'avais toujours le problème et il y a l'un de ces fameux liens indésirables que je voyais toujours au même endroit et a priori il n'y était plus. Je me suis donc dit que c'était bon.
Par contre, la manip ayant supprimé tous mes pluggins, j'ai voulu au moins réinstaller flash player pour vérifier que tout marchait bien comme avant. Et je me suis aperçue après avoir fait ça que finalement mon problème n'était pas résolu. Est-ce que ça peut poser problème pour la suite des opérations ?
Par contre, je me demande si je n'ai pas fait une gaffe : après avoir fait cette correction, je suis allée voir si j'avais toujours le problème et il y a l'un de ces fameux liens indésirables que je voyais toujours au même endroit et a priori il n'y était plus. Je me suis donc dit que c'était bon.
Par contre, la manip ayant supprimé tous mes pluggins, j'ai voulu au moins réinstaller flash player pour vérifier que tout marchait bien comme avant. Et je me suis aperçue après avoir fait ça que finalement mon problème n'était pas résolu. Est-ce que ça peut poser problème pour la suite des opérations ?
maria_ferrari
Messages postés
19
Date d'inscription
dimanche 6 janvier 2013
Statut
Membre
Dernière intervention
12 janvier 2013
9 janv. 2013 à 17:56
9 janv. 2013 à 17:56
Oui, c'est mon gros défaut ^^'''' Je vais tâcher d'éviter dans prendre sur mon ordinateur personnel tant que le problème n'est pas résolu. J'attendrai ton feu vert.
Donc, flash player peut poser problème pour la suite des opérations ?
Je peux éventuellement refaire la manip de correction (à condition, bien sûr, qu'on puisse faire cette manip deux fois).
Autre chose : cette manipulation m'a créer plein de raccourcis de dossier (raccourcis faux qui plus est "le chemin spécifié est introuvable"), c'est normal ?
Donc, flash player peut poser problème pour la suite des opérations ?
Je peux éventuellement refaire la manip de correction (à condition, bien sûr, qu'on puisse faire cette manip deux fois).
Autre chose : cette manipulation m'a créer plein de raccourcis de dossier (raccourcis faux qui plus est "le chemin spécifié est introuvable"), c'est normal ?
Utilisateur anonyme
9 janv. 2013 à 18:00
9 janv. 2013 à 18:00
supprime
tu as trouvé le rapport ?
tu as trouvé le rapport ?
maria_ferrari
Messages postés
19
Date d'inscription
dimanche 6 janvier 2013
Statut
Membre
Dernière intervention
12 janvier 2013
9 janv. 2013 à 18:01
9 janv. 2013 à 18:01
Je suis sur mon PC du boulot, je ne serai sur mon ordi perso qu'à 19 h 15 (au plus tôt).
maria_ferrari
Messages postés
19
Date d'inscription
dimanche 6 janvier 2013
Statut
Membre
Dernière intervention
12 janvier 2013
9 janv. 2013 à 18:08
9 janv. 2013 à 18:08
Par "supprimer", tu entends que je désinstalle simplement flashplayer ou que je recommence la manip ?
....
A moins que tu parles de supprimer les raccourcis qui servent à rien ^^
....
A moins que tu parles de supprimer les raccourcis qui servent à rien ^^
maria_ferrari
Messages postés
19
Date d'inscription
dimanche 6 janvier 2013
Statut
Membre
Dernière intervention
12 janvier 2013
9 janv. 2013 à 19:25
9 janv. 2013 à 19:25
J'ai bien trouvé le répertoire, mais pas de fichier txt à l'intérieur.
Voilà une impression écran de ce que ça donne :
https://www.cjoint.com/?CAjtykZ0aUo
Voilà une impression écran de ce que ça donne :
https://www.cjoint.com/?CAjtykZ0aUo
Utilisateur anonyme
9 janv. 2013 à 19:28
9 janv. 2013 à 19:28
je comprends pas ce que tu fais.....
maria_ferrari
Messages postés
19
Date d'inscription
dimanche 6 janvier 2013
Statut
Membre
Dernière intervention
12 janvier 2013
9 janv. 2013 à 19:36
9 janv. 2013 à 19:36
Je t'ai mis une impression écran pour te montrer ce qu'il y avait dans le répertoire _OTL.
C'est à dire beaucoup de répertoires et très peu de fichiers (et pas du tout de fichiers txt)
J'ai un dossier intitulé avec la date et l'heure = 01082013_222712, mais pas de fichier txt à l'intérieur.
C'est à dire beaucoup de répertoires et très peu de fichiers (et pas du tout de fichiers txt)
J'ai un dossier intitulé avec la date et l'heure = 01082013_222712, mais pas de fichier txt à l'intérieur.
maria_ferrari
Messages postés
19
Date d'inscription
dimanche 6 janvier 2013
Statut
Membre
Dernière intervention
12 janvier 2013
9 janv. 2013 à 19:56
9 janv. 2013 à 19:56
Y a aucun fichier txt dans le répertoire _OTL à aucun niveau, ni directement dans _OTL, ni directement dans MovedFiles, ni nulle part dans ce dossier.
Et pas de fichier txt non plus directement dans c:
Je précise à toutes fins utiles que j'ai affiché les fichiers et dossiers cachés.
Et pas de fichier txt non plus directement dans c:
Je précise à toutes fins utiles que j'ai affiché les fichiers et dossiers cachés.
Utilisateur anonyme
9 janv. 2013 à 20:10
9 janv. 2013 à 20:10
refais une analyse OTL selon les consignes ?
maria_ferrari
Messages postés
19
Date d'inscription
dimanche 6 janvier 2013
Statut
Membre
Dernière intervention
12 janvier 2013
9 janv. 2013 à 21:09
9 janv. 2013 à 21:09
Utilisateur anonyme
9 janv. 2013 à 21:14
9 janv. 2013 à 21:14
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
maria_ferrari
Messages postés
19
Date d'inscription
dimanche 6 janvier 2013
Statut
Membre
Dernière intervention
12 janvier 2013
10 janv. 2013 à 08:56
10 janv. 2013 à 08:56
J'ai manqué de temps hier, je le fais ce soir.
Utilisateur anonyme
10 janv. 2013 à 10:14
10 janv. 2013 à 10:14
bien à te lire :)
maria_ferrari
Messages postés
19
Date d'inscription
dimanche 6 janvier 2013
Statut
Membre
Dernière intervention
12 janvier 2013
10 janv. 2013 à 20:49
10 janv. 2013 à 20:49
Voilà.
J'ai fait une analyse hier soir que j'ai dû interrompre au bout de 13 minutes parce que j'avais pas le temps... il est ressorti de cette analyse un fichier infecté (que j'ai supprimé) :
https://www.cjoint.com/?3AkuTvGh16M
J'en ai fait une autre ce soir (vraiment complète cette fois... et il n'y avait plus aucun fichier infecté
https://www.cjoint.com/?3AkuVgQCRrK
Donc, celui que j'ai trouvé hier était le seul.
Par contre, j'ai toujours mes fameux liens indésirables (par exemple, j'en ai sur mon premier post en haut de cette page sur le mot "firefox", si je positionne ma souris dessus, ça fait "click to continuer > by browse to save"... et si je clique ça m'envoie sur une page "ClickCompare".
J'ai fait une analyse hier soir que j'ai dû interrompre au bout de 13 minutes parce que j'avais pas le temps... il est ressorti de cette analyse un fichier infecté (que j'ai supprimé) :
https://www.cjoint.com/?3AkuTvGh16M
J'en ai fait une autre ce soir (vraiment complète cette fois... et il n'y avait plus aucun fichier infecté
https://www.cjoint.com/?3AkuVgQCRrK
Donc, celui que j'ai trouvé hier était le seul.
Par contre, j'ai toujours mes fameux liens indésirables (par exemple, j'en ai sur mon premier post en haut de cette page sur le mot "firefox", si je positionne ma souris dessus, ça fait "click to continuer > by browse to save"... et si je clique ça m'envoie sur une page "ClickCompare".
maria_ferrari
Messages postés
19
Date d'inscription
dimanche 6 janvier 2013
Statut
Membre
Dernière intervention
12 janvier 2013
12 janv. 2013 à 14:22
12 janv. 2013 à 14:22
Plus personne ne me répondant, j'ai à nouveau fait des recherches. Cette fois-ci, je suis tombée sur des solutions moins complexes et plus rapides. L'une d'elle (désactiver shockwave dans les modules complémentaires de firefox) permettait de ne plus voir ces liens s'afficher... cependant, comme l'a justement fait remarquer un des intervenants, le problème n'était certes plus visible (ce qui est toujours un mieux), mais existait toujours (en témoignent les lenteurs de connexion qui elles étaient toujours là).
Certains invitaient à aller voir dans les programmes s'il n'y en aurait pas un qui n'aurait rien à faire là (notamment si l'un d'entre eux s'appelle "I want this"), mais de ce côté-ci, chez moi, rien à redire.
Par contre, j'ai finalement trouvé le coupable dans les modules complémentaires de firefox : une extention nommée SaveByClick dont je n'avais jamais demandé l'installation. Je l'ai supprimée et il semble que mon problème soit résolu (je ne vois plus de liens alors que j'ai réactivé Shockwave et ma connexion semble un peu plus vigoureuse).
Donc, j'ai a priori trouvé la solution à mon problème et je poste ceci pour vous en informer et pour que mon expérience serve à d'autres.
Certains invitaient à aller voir dans les programmes s'il n'y en aurait pas un qui n'aurait rien à faire là (notamment si l'un d'entre eux s'appelle "I want this"), mais de ce côté-ci, chez moi, rien à redire.
Par contre, j'ai finalement trouvé le coupable dans les modules complémentaires de firefox : une extention nommée SaveByClick dont je n'avais jamais demandé l'installation. Je l'ai supprimée et il semble que mon problème soit résolu (je ne vois plus de liens alors que j'ai réactivé Shockwave et ma connexion semble un peu plus vigoureuse).
Donc, j'ai a priori trouvé la solution à mon problème et je poste ceci pour vous en informer et pour que mon expérience serve à d'autres.
Utilisateur anonyme
Modifié par g3n-h@ckm@n le 12/01/2013 à 20:48
Modifié par g3n-h@ckm@n le 12/01/2013 à 20:48
bonsoir désolé je t'ai perdu en route
ma connection en ce moment étant incertaine , il se peut que je tombe sur un post ( comme le tien) , et que au moment de répondre cela me marque page introuvable....donc dès que ma connection va mieux , ben vu que je t'ai déja lue , tu n'apparais plus en gras dans mes interventions ce qui faot que tu pars aux oubliettes
tu aurais du faire un "UP" mais ca tu ne pouvais pas le savoir....si tu as resolu ton souci tant mieux par contre je te suggère de faire ce menage à ton pc ca lui fera le plus grand bien
https://gen-hackman.kanak.fr/
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
ma connection en ce moment étant incertaine , il se peut que je tombe sur un post ( comme le tien) , et que au moment de répondre cela me marque page introuvable....donc dès que ma connection va mieux , ben vu que je t'ai déja lue , tu n'apparais plus en gras dans mes interventions ce qui faot que tu pars aux oubliettes
tu aurais du faire un "UP" mais ca tu ne pouvais pas le savoir....si tu as resolu ton souci tant mieux par contre je te suggère de faire ce menage à ton pc ca lui fera le plus grand bien
https://gen-hackman.kanak.fr/
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
maria_ferrari
Messages postés
19
Date d'inscription
dimanche 6 janvier 2013
Statut
Membre
Dernière intervention
12 janvier 2013
12 janv. 2013 à 22:46
12 janv. 2013 à 22:46
Merci ^^
7 janv. 2013 à 09:03
Pour essayer de me débarrasser du problème, j'ai exécuté :
- OTL
- CCcleaner
- ZHPDiag (et ensuite ZHPFix)
ça n'a rien donné, mais m'est avis que mes manipulations étaient incomplètes.
7 janv. 2013 à 09:06
héberge OTL.txt et extras.txt sur https://www.cjoint.com/ et poste les 2 liens