Virus qui bloque les antivirus

Fermé
Mat Lcrx Messages postés 21 Date d'inscription dimanche 17 février 2013 Statut Membre Dernière intervention 5 mars 2013 - 17 févr. 2013 à 23:32
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 - 19 mars 2013 à 00:17
Bonjour,

Voila j'ai un virus qui bloque mes antivirus et qui me change pas page d'accueil par la page "Software Education"
J'ai fais un scan minutieux avast après un scan au démarrage il a trouver des fichiers infectés mais le virus est toujours la. J'ai donc fais un scan en mode sans echec avec Malwarebytes pareil il a trouver des fichiers que j'ai supprimé mais rien a changer. J'ai fais un scan avec Spybot pareil rien a changer j'ai nettoyer avec Ccleaner mais pas de changement non plus.

Donc si quelqu'un aurait une solution pour mon problème merci de m'aider

Cordialement


A voir également:

37 réponses

g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
18 févr. 2013 à 05:04
salut desinstalle sybot c'est de la crotte en barre

=====

Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt
0
Mat Lcrx Messages postés 21 Date d'inscription dimanche 17 février 2013 Statut Membre Dernière intervention 5 mars 2013
18 févr. 2013 à 21:34
Merci de mettre occupé de mon cas.

J'ai fais tout ce que tu ma dis voila le rapport :



# AdwCleaner v2.112 - Rapport créé le 18/02/2013 à 21:30:10
# Mis à jour le 10/02/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : LACROIX - LACROIX-PC
# Mode de démarrage : Mode sans échec avec prise en charge réseau
# Exécuté depuis : C:\Users\LACROIX\Desktop\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\AVG Secure Search
Dossier Supprimé : C:\Program Files (x86)\Common Files\AVG Secure Search
Dossier Supprimé : C:\ProgramData\AVG Secure Search
Dossier Supprimé : C:\Users\LACROIX\AppData\Local\AVG Secure Search
Dossier Supprimé : C:\Users\LACROIX\AppData\LocalLow\AVG Secure Search
Dossier Supprimé : C:\Users\LACROIX\AppData\Roaming\BrowserCompanion
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\avg-secure-search.xml
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\AVG Secure Search
Clé Supprimée : HKCU\Software\Complitly
Clé Supprimée : HKCU\Software\IGearSettings
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKLM\Software\AVG Secure Search
Clé Supprimée : HKLM\Software\AVG Security Toolbar
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\Software\BrowserCompanion
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{1FDFF5A2-7BB1-48E1-8081-7236812B12B2}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{20EDC024-43C5-423E-B7F5-FD93523E0D9F}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{373ED12D-B306-43AC-9485-A7C5133DC34C}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{442F13BC-2031-42D5-9520-437F65271153}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BB711CB0-C70B-482E-9852-EC05EBD71DBB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{ED6535E7-F778-48A5-A060-549D30024511}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\Complitly.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\ScriptHelper.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\tdataprotocol.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\updatebho.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\ViProtocol.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\wit4ie.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AVG Secure Search.BrowserWndAPI
Clé Supprimée : HKLM\SOFTWARE\Classes\AVG Secure Search.BrowserWndAPI.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AVG Secure Search.PugiObj
Clé Supprimée : HKLM\SOFTWARE\Classes\AVG Secure Search.PugiObj.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\viprotocol
Clé Supprimée : HKLM\SOFTWARE\Classes\S
Clé Supprimée : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi
Clé Supprimée : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi.1
Clé Supprimée : HKLM\SOFTWARE\Classes\SuggestMeYes.SuggestMeYesBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\SuggestMeYes.SuggestMeYesBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{01BCB858-2F62-4F06-A8F4-48F927C15333}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{74FB6AFD-DD77-4CEB-83BD-AB2B63E63C93}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{8830DDF0-3042-404D-A62C-384A85E34833}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{955B782E-CDC8-4CEE-B6F6-AD7D541A8D8A}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{C2AC8A0E-E48E-484B-A71C-C7A937FAAB94}
Clé Supprimée : HKLM\SOFTWARE\Classes\ViProtocol.ViProtocolOLE
Clé Supprimée : HKLM\SOFTWARE\Classes\ViProtocol.ViProtocolOLE.1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C6FDD0C3-266A-4DC3-B459-28C697C44CDC}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{F25AF245-4A81-40DC-92F9-E9021F207706}
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin
Clé Supprimée : HKLM\Software\SimplyGen
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{B658800C-F66E-4EF3-AB85-6C0C227862A9}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F25AF245-4A81-40DC-92F9-E9021F207706}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{817923CB-4744-4216-B250-CF7EDA8F1767}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{C9AE652B-8C99-4AC2-B556-8B501182874E}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\bodddioamolcibagionmmobehnbhiakf
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\dlfienamagdnkekbbbocojppncdambda
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F25AF245-4A81-40DC-92F9-E9021F207706}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4FFBB818-B13C-11E0-931D-B2664824019B}_is1
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\AVG Secure Search
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{817923CB-4744-4216-B250-CF7EDA8F1767}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C9AE652B-8C99-4AC2-B556-8B501182874E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [Avg@toolbar]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{95B7759C-8C7F-4BF1-B163-73684A933233}]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16464

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v18.0.2 (fr)

Fichier : C:\Users\LACROIX\AppData\Roaming\Mozilla\Firefox\Profiles\rfijjgg0.default\prefs.js

C:\Users\LACROIX\AppData\Roaming\Mozilla\Firefox\Profiles\rfijjgg0.default\user.js ... Supprimé !

Supprimée : user_pref("browser.search.defaultenginename", "AVG Secure Search");
Supprimée : user_pref("browser.search.selectedEngine", "AVG Secure Search");
Supprimée : user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
Supprimée : user_pref("extensions.BabylonToolbar_i.babExt", "");
Supprimée : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=108988");
Supprimée : user_pref("extensions.BabylonToolbar_i.hardId", "6459e9a6000000000000c86000a71c4f");
Supprimée : user_pref("extensions.BabylonToolbar_i.id", "6459e9a6000000000000c86000a71c4f");
Supprimée : user_pref("extensions.BabylonToolbar_i.instlDay", "15405");
Supprimée : user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
Supprimée : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
Supprimée : user_pref("extensions.BabylonToolbar_i.tlbrId", "base");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1722:00:16");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
Supprimée : user_pref("extensions.helperbar.SmartbarDisabled", false);
Supprimée : user_pref("extensions.helperbar.SmartbarStateMinimaized", false);
Supprimée : user_pref("keyword.URL", "hxxps://isearch.avg.com/search?cid={D1970C2A-A43C-4D18-BD2C-D40FF12132B6}&[...]

*************************

AdwCleaner[S1].txt - [11503 octets] - [18/02/2013 21:30:10]

########## EOF - C:\AdwCleaner[S1].txt - [11564 octets] ##########
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
19 févr. 2013 à 10:25
re

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

http://www.archive-host.com (renommé winlogon)

ou

http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider


0
Mat Lcrx Messages postés 21 Date d'inscription dimanche 17 février 2013 Statut Membre Dernière intervention 5 mars 2013
19 févr. 2013 à 23:19
Re

Voila j'ai fais le scan tout c'est bien passer. Le virus ne l'a pas bloquer ni rien tout a marcher du premier coup

Je te transmet le lien que tu ma demander https://www.cjoint.com/?CBtxsal36nh

Merci
0
Mat Lcrx Messages postés 21 Date d'inscription dimanche 17 février 2013 Statut Membre Dernière intervention 5 mars 2013
19 févr. 2013 à 23:24
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
20 févr. 2013 à 11:43
re

relance l outil , clique sur diag , heberge le rapport pre_diag et donne le lien
0
Mat Lcrx Messages postés 21 Date d'inscription dimanche 17 février 2013 Statut Membre Dernière intervention 5 mars 2013
20 févr. 2013 à 18:18
Re

J'ai lancer le diag et voila le rapport https://www.cjoint.com/?CBusrdwDys9
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
20 févr. 2013 à 18:41
à mon avis tes protections tournent pendant l'utilsation des outils.....sandbox ou autre

====

selectionne ce texte puis ctrl + C

Kill::

Key::
[HKU\S-1-5-21-4250398988-646148064-3751493753-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[0f52]
[HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE]
[HKLM\Software\wow6432Node\MozillaPlugins\@microsoft.com/GENUINE]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[QuickTime Task]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]
[HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]|[QuickTime Task]
[HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]

File|Fold::
C:\Users\LACROIX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\5d105.js
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\5d105.js
C:\Users\LACROIX\AppData\Roaming\19
C:\ProgramData\Spybot - Search & Destroy
C:\Windows\Tasks\ROC_JAN2013_TB_rmv.job
C:\Windows\System32\Tasks\ROC_JAN2013_TB_rmv
C:\Windows\System32\Tasks\Safer-Networking

Driver::
1D9FB5BC09
519C47E5FB70B9EA

Clean::

MBR::

Reboot::


Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
0
Mat Lcrx Messages postés 21 Date d'inscription dimanche 17 février 2013 Statut Membre Dernière intervention 5 mars 2013
20 févr. 2013 à 18:58
J'ai fais ce que tu ma dis voila le rapport

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0219 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

LACROIX : Windows 7 Home Premium (64 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 18:45:26

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤



End : 18:45:26

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤



Oui j'avais oublier d'enlever avast
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
20 févr. 2013 à 18:59
ah non t'as pas fait ce que j'ai dit ....
0
Mat Lcrx Messages postés 21 Date d'inscription dimanche 17 février 2013 Statut Membre Dernière intervention 5 mars 2013
20 févr. 2013 à 19:01
D'accord bah je vais recommencer
0
Mat Lcrx Messages postés 21 Date d'inscription dimanche 17 février 2013 Statut Membre Dernière intervention 5 mars 2013
20 févr. 2013 à 19:20
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0219 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

LACROIX : Windows 7 Home Premium (64 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 18:46:09

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Stopped Processes

(888) -- atiesrxx.exe
(1076) -- atieclxx.exe
(1352) -- FBAgent.exe
(1372) -- AsLdrSrv.exe
(1424) -- GFNEXSrv.exe
(1668) -- spoolsv.exe
(1920) -- armsvc.exe
(2020) -- Fuel.Service.exe
(1112) -- AppleMobileDeviceService.exe
(1508) -- mDNSResponder.exe
(1164) -- ijplmsvc.exe
(1616) -- MsgPlusForSkypeService.exe
(2088) -- WLIDSVC.EXE
(2260) -- WLIDSVCM.EXE
(2504) -- taskhost.exe
(2600) -- taskeng.exe
(2660) -- explorer.exe
(2844) -- ACMON.exe
(2852) -- HControl.exe
(2860) -- sensorsrv.exe
(3012) -- ATKOSD2.exe
(3028) -- BatteryLife.exe
(3276) -- ATKOSD.exe
(3516) -- AsScrPro.exe
(3540) -- ACEngSvr.exe
(3576) -- KBFiltr.exe
(3596) -- WDC.exe
(3620) -- CLMLSvc.exe
(3736) -- RAVCpl64.exe
(3904) -- rundll32.exe
(4016) -- RAVBg64.exe
(4060) -- BJMYPRT.EXE
(4068) -- sidebar.exe
(4080) -- msnmsgr.exe
(3232) -- IDMan.exe
(3616) -- SearchIndexer.exe
(1972) -- wscript.exe
(3732) -- ONENOTEM.EXE
(3500) -- iTunesHelper.exe
(1200) -- wmpnetwk.exe
(3916) -- CNSEMAIN.EXE
(4152) -- CNMNSST.exe
(4264) -- iPodService.exe
(4296) -- IEMonitor.exe
(4116) -- splwow64.exe
(4828) -- DTShellHlp.exe
(3324) -- ctfmon.exe
(5788) -- firefox.exe
(5148) -- SearchProtocolHost.exe
(2952) -- SearchFilterHost.exe

¤¤¤¤¤¤¤¤¤¤ | Deletion | Drivers | Services

Service : 1D9FB5BC09 Not actif
Service : 519C47E5FB70B9EA Not actif

Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_1D9FB5BC09]
Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_1D9FB5BC09]
Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_1D9FB5BC09]
Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_519C47E5FB70B9EA]
Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_519C47E5FB70B9EA]
Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_519C47E5FB70B9EA]


¤

¤¤¤¤¤¤¤¤¤¤ | Registry Deletions


Value Deleted : [HKU\S-1-5-21-4250398988-646148064-3751493753-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:0f52
Key Deleted : HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE
Key Deleted : HKLM\Software\wow6432Node\MozillaPlugins\@microsoft.com/GENUINE
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:QuickTime Task
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:iTunesHelper
Value Deleted : [HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]:QuickTime Task
Value Deleted : [HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]:iTunesHelper

¤

C:\Users\LACROIX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\5d105.js : Not Found !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\5d105.js : Not Found !
Folder Moved to quarantine successfully : |SHD| - C:\Users\LACROIX\AppData\Roaming\19
Impossible to move Folder : |D| - C:\ProgramData\Spybot - Search & Destroy
File Moved to quarantine successfully : |A| - C:\Windows\Tasks\ROC_JAN2013_TB_rmv.job
File Moved to quarantine successfully : |A| - C:\Windows\System32\Tasks\ROC_JAN2013_TB_rmv
Folder Moved to quarantine successfully : |D| - C:\Windows\System32\Tasks\Safer-Networking

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version: Windows 7 Home Premium Edition
Windows Information: Service Pack 1 (build 7601), 64-bit
Base Board Manufacturer: ASUSTeK Computer Inc.
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: ASUSTeK Computer Inc.
System Product Name: K73BR
Logical Drives Mask: 0x0000003c

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows 7 MBR code detected


64 bits Not supported by MBR.exe , Dump : C:\Pre_Scan\MBR.Bin

¤


¤¤¤¤¤¤¤¤¤¤ | Disk cleaning

Disk cleaned

¤


End : 18:47:10

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
20 févr. 2013 à 19:29
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)


0
Mat Lcrx Messages postés 21 Date d'inscription dimanche 17 février 2013 Statut Membre Dernière intervention 5 mars 2013
20 févr. 2013 à 21:22
J'ai fais le scan malwarebyte.

Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.02.20.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
LACROIX :: LACROIX-PC [administrateur]

Protection: Activé

20/02/2013 19:39:53
mbam-log-2013-02-20 (19-39-53).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 422186
Temps écoulé: 1 heure(s), 28 minute(s), 50 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NofolderOptions (Hijack.FolderOptions) -> Données: 1 -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 3
HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer\control panel|HomePage (PUM.Hijack.HomePageControl) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel|HomePage (PUM.Hijack.HomePageControl) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig (Windows.Tool.Disabled) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
20 févr. 2013 à 21:33
il reste des soucis ?
0
Mat Lcrx Messages postés 21 Date d'inscription dimanche 17 février 2013 Statut Membre Dernière intervention 5 mars 2013
20 févr. 2013 à 21:35
Pour le moment j'ai plu de fenetre avast qui s'allume mais je ne peux toujours pas mettre google en page d'accueil c'est encore Software education
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
20 févr. 2013 à 21:49
sur quel navigateur ?
0
Mat Lcrx Messages postés 21 Date d'inscription dimanche 17 février 2013 Statut Membre Dernière intervention 5 mars 2013
20 févr. 2013 à 21:50
Bah moi j'utilise firefox
0
Mat Lcrx Messages postés 21 Date d'inscription dimanche 17 février 2013 Statut Membre Dernière intervention 5 mars 2013
20 févr. 2013 à 21:51
et sur internet explorer je viens de regarder
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
20 févr. 2013 à 22:30
c'est quoi le nom exact ?
0
Mat Lcrx Messages postés 21 Date d'inscription dimanche 17 février 2013 Statut Membre Dernière intervention 5 mars 2013
20 févr. 2013 à 22:36
C'est sa http://www.sftwred.info/redirect.cgi

Et voila ce que je vois https://www.cjoint.com/?CBuwJ59qz2E
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
20 févr. 2013 à 22:45
Télécharge SEAF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape www.sftwred.info

dans cette fenêtre

confirme la recherche "aussi" dans le registre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.
0
Mat Lcrx Messages postés 21 Date d'inscription dimanche 17 février 2013 Statut Membre Dernière intervention 5 mars 2013
20 févr. 2013 à 23:00
Ce que Seaf m'affiche

1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 22:48:43 le 20/02/2013
4.
5. Valeur(s) recherchée(s):
6. www.sftwred.info
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19. Aucun élément dans le registre trouvé
20.
21. =========================
22.
23. Fin à: 22:59:15 le 20/02/2013
24. 698946 Éléments analysés
25.
26. =========================
27. E.O.F
0