Virus qui bloque les antivirus

Mat Lcrx Messages postés 21 Statut Membre -  
g3n-h@ckm@n Messages postés 14350 Statut Membre -
Bonjour,

Voila j'ai un virus qui bloque mes antivirus et qui me change pas page d'accueil par la page "Software Education"
J'ai fais un scan minutieux avast après un scan au démarrage il a trouver des fichiers infectés mais le virus est toujours la. J'ai donc fais un scan en mode sans echec avec Malwarebytes pareil il a trouver des fichiers que j'ai supprimé mais rien a changer. J'ai fais un scan avec Spybot pareil rien a changer j'ai nettoyer avec Ccleaner mais pas de changement non plus.

Donc si quelqu'un aurait une solution pour mon problème merci de m'aider

Cordialement

37 réponses

  • 1
  • 2
Résumé de la discussion

Un utilisateur fait face à un virus bloquant les antivirus et redirigeant la page d'accueil vers Software Education, malgré des scans avec Avast, Malwarebytes, Spybot et CCleaner en mode normal ou sans échec. Les échanges préconisent l’utilisation d’OTL en mode administrateur avec des paramètres, puis l’analyse du système et l’hébergement des rapports sur un service externe pour les partager sans publier le contenu. D’autres intervenants recommandent de désactiver Avast avant les analyses et d’effectuer des scans plus approfondis avec Malwarebytes ou SEAF, en notant des éléments détectés et l’indication 195.190.13.58. Un élément technique récurrent est l’utilisation d’outils de diagnostic système comme SEAF et OTL, des procédures longues mais potentiellement efficaces pour nettoyer des infections persistantes lorsque les antivirus classiques échouent.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    salut desinstalle sybot c'est de la crotte en barre

    =====

    Télécharge et enregistre ADWCleaner sur ton bureau :

    Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

    clique sur suppression et poste C:\Adwcleaner[Sx].txt
    0
  2. Mat Lcrx Messages postés 21 Statut Membre
     
    Merci de mettre occupé de mon cas.

    J'ai fais tout ce que tu ma dis voila le rapport :

    # AdwCleaner v2.112 - Rapport créé le 18/02/2013 à 21:30:10
    # Mis à jour le 10/02/2013 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : LACROIX - LACROIX-PC
    # Mode de démarrage : Mode sans échec avec prise en charge réseau
    # Exécuté depuis : C:\Users\LACROIX\Desktop\AdwCleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Program Files (x86)\AVG Secure Search
    Dossier Supprimé : C:\Program Files (x86)\Common Files\AVG Secure Search
    Dossier Supprimé : C:\ProgramData\AVG Secure Search
    Dossier Supprimé : C:\Users\LACROIX\AppData\Local\AVG Secure Search
    Dossier Supprimé : C:\Users\LACROIX\AppData\LocalLow\AVG Secure Search
    Dossier Supprimé : C:\Users\LACROIX\AppData\Roaming\BrowserCompanion
    Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\avg-secure-search.xml
    Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\AVG Secure Search
    Clé Supprimée : HKCU\Software\Complitly
    Clé Supprimée : HKCU\Software\IGearSettings
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706}
    Clé Supprimée : HKCU\Software\Softonic
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}
    Clé Supprimée : HKLM\Software\AVG Secure Search
    Clé Supprimée : HKLM\Software\AVG Security Toolbar
    Clé Supprimée : HKLM\Software\Babylon
    Clé Supprimée : HKLM\Software\BrowserCompanion
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{1FDFF5A2-7BB1-48E1-8081-7236812B12B2}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{20EDC024-43C5-423E-B7F5-FD93523E0D9F}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{373ED12D-B306-43AC-9485-A7C5133DC34C}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{442F13BC-2031-42D5-9520-437F65271153}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BB711CB0-C70B-482E-9852-EC05EBD71DBB}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{ED6535E7-F778-48A5-A060-549D30024511}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\Complitly.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\ScriptHelper.EXE
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\tdataprotocol.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\updatebho.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\ViProtocol.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\wit4ie.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AVG Secure Search.BrowserWndAPI
    Clé Supprimée : HKLM\SOFTWARE\Classes\AVG Secure Search.BrowserWndAPI.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\AVG Secure Search.PugiObj
    Clé Supprimée : HKLM\SOFTWARE\Classes\AVG Secure Search.PugiObj.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
    Clé Supprimée : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\viprotocol
    Clé Supprimée : HKLM\SOFTWARE\Classes\S
    Clé Supprimée : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi
    Clé Supprimée : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\SuggestMeYes.SuggestMeYesBHO
    Clé Supprimée : HKLM\SOFTWARE\Classes\SuggestMeYes.SuggestMeYesBHO.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{01BCB858-2F62-4F06-A8F4-48F927C15333}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{74FB6AFD-DD77-4CEB-83BD-AB2B63E63C93}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{8830DDF0-3042-404D-A62C-384A85E34833}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{955B782E-CDC8-4CEE-B6F6-AD7D541A8D8A}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{C2AC8A0E-E48E-484B-A71C-C7A937FAAB94}
    Clé Supprimée : HKLM\SOFTWARE\Classes\ViProtocol.ViProtocolOLE
    Clé Supprimée : HKLM\SOFTWARE\Classes\ViProtocol.ViProtocolOLE.1
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C6FDD0C3-266A-4DC3-B459-28C697C44CDC}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{F25AF245-4A81-40DC-92F9-E9021F207706}
    Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin
    Clé Supprimée : HKLM\Software\SimplyGen
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{95B7759C-8C7F-4BF1-B163-73684A933233}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{B658800C-F66E-4EF3-AB85-6C0C227862A9}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F25AF245-4A81-40DC-92F9-E9021F207706}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{817923CB-4744-4216-B250-CF7EDA8F1767}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{C9AE652B-8C99-4AC2-B556-8B501182874E}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\bodddioamolcibagionmmobehnbhiakf
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\dlfienamagdnkekbbbocojppncdambda
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F25AF245-4A81-40DC-92F9-E9021F207706}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4FFBB818-B13C-11E0-931D-B2664824019B}_is1
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\AVG Secure Search
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{817923CB-4744-4216-B250-CF7EDA8F1767}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C9AE652B-8C99-4AC2-B556-8B501182874E}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
    Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [Avg@toolbar]
    Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{95B7759C-8C7F-4BF1-B163-73684A933233}]
    Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16464

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v18.0.2 (fr)

    Fichier : C:\Users\LACROIX\AppData\Roaming\Mozilla\Firefox\Profiles\rfijjgg0.default\prefs.js

    C:\Users\LACROIX\AppData\Roaming\Mozilla\Firefox\Profiles\rfijjgg0.default\user.js ... Supprimé !

    Supprimée : user_pref("browser.search.defaultenginename", "AVG Secure Search");
    Supprimée : user_pref("browser.search.selectedEngine", "AVG Secure Search");
    Supprimée : user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
    Supprimée : user_pref("extensions.BabylonToolbar_i.babExt", "");
    Supprimée : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=108988");
    Supprimée : user_pref("extensions.BabylonToolbar_i.hardId", "6459e9a6000000000000c86000a71c4f");
    Supprimée : user_pref("extensions.BabylonToolbar_i.id", "6459e9a6000000000000c86000a71c4f");
    Supprimée : user_pref("extensions.BabylonToolbar_i.instlDay", "15405");
    Supprimée : user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
    Supprimée : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
    Supprimée : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
    Supprimée : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
    Supprimée : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
    Supprimée : user_pref("extensions.BabylonToolbar_i.tlbrId", "base");
    Supprimée : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
    Supprimée : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1722:00:16");
    Supprimée : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
    Supprimée : user_pref("extensions.helperbar.SmartbarDisabled", false);
    Supprimée : user_pref("extensions.helperbar.SmartbarStateMinimaized", false);
    Supprimée : user_pref("keyword.URL", "hxxps://isearch.avg.com/search?cid={D1970C2A-A43C-4D18-BD2C-D40FF12132B6}&[...]

    *************************

    AdwCleaner[S1].txt - [11503 octets] - [18/02/2013 21:30:10]

    ########## EOF - C:\AdwCleaner[S1].txt - [11564 octets] ##########
    0
  3. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    re

    Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
    Attention !!! : cet outil peut etre détecté à tort comme virus
    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://www.archive-host.com (renommé winlogon)

    ou

    http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

    si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut que des fenêtres noires clignotent , laisse-le travailler.

    Laisse l'outil redemarrer ton pc.

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    re

    relance l outil , clique sur diag , heberge le rapport pre_diag et donne le lien
    0
  6. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    à mon avis tes protections tournent pendant l'utilsation des outils.....sandbox ou autre

    ====

    selectionne ce texte puis ctrl + C

    Kill::

    Key::
    [HKU\S-1-5-21-4250398988-646148064-3751493753-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[0f52]
    [HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE]
    [HKLM\Software\wow6432Node\MozillaPlugins\@microsoft.com/GENUINE]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[QuickTime Task]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]
    [HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]|[QuickTime Task]
    [HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]

    File|Fold::
    C:\Users\LACROIX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\5d105.js
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\5d105.js
    C:\Users\LACROIX\AppData\Roaming\19
    C:\ProgramData\Spybot - Search & Destroy
    C:\Windows\Tasks\ROC_JAN2013_TB_rmv.job
    C:\Windows\System32\Tasks\ROC_JAN2013_TB_rmv
    C:\Windows\System32\Tasks\Safer-Networking

    Driver::
    1D9FB5BC09
    519C47E5FB70B9EA

    Clean::

    MBR::

    Reboot::


    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  7. Mat Lcrx Messages postés 21 Statut Membre
     
    J'ai fais ce que tu ma dis voila le rapport

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0219 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    LACROIX : Windows 7 Home Premium (64 bits)

    Switchs : https://gen-hackman.kanak.fr/

    New restorepoint created

    Script : 18:45:26

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    End : 18:45:26

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

    Oui j'avais oublier d'enlever avast
    0
  8. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    ah non t'as pas fait ce que j'ai dit ....
    0
    1. Mat Lcrx Messages postés 21 Statut Membre
       
      D'accord bah je vais recommencer
      0
  9. Mat Lcrx Messages postés 21 Statut Membre
     
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0219 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    LACROIX : Windows 7 Home Premium (64 bits)

    Switchs : https://gen-hackman.kanak.fr/

    New restorepoint created

    Script : 18:46:09

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ | Stopped Processes

    (888) -- atiesrxx.exe
    (1076) -- atieclxx.exe
    (1352) -- FBAgent.exe
    (1372) -- AsLdrSrv.exe
    (1424) -- GFNEXSrv.exe
    (1668) -- spoolsv.exe
    (1920) -- armsvc.exe
    (2020) -- Fuel.Service.exe
    (1112) -- AppleMobileDeviceService.exe
    (1508) -- mDNSResponder.exe
    (1164) -- ijplmsvc.exe
    (1616) -- MsgPlusForSkypeService.exe
    (2088) -- WLIDSVC.EXE
    (2260) -- WLIDSVCM.EXE
    (2504) -- taskhost.exe
    (2600) -- taskeng.exe
    (2660) -- explorer.exe
    (2844) -- ACMON.exe
    (2852) -- HControl.exe
    (2860) -- sensorsrv.exe
    (3012) -- ATKOSD2.exe
    (3028) -- BatteryLife.exe
    (3276) -- ATKOSD.exe
    (3516) -- AsScrPro.exe
    (3540) -- ACEngSvr.exe
    (3576) -- KBFiltr.exe
    (3596) -- WDC.exe
    (3620) -- CLMLSvc.exe
    (3736) -- RAVCpl64.exe
    (3904) -- rundll32.exe
    (4016) -- RAVBg64.exe
    (4060) -- BJMYPRT.EXE
    (4068) -- sidebar.exe
    (4080) -- msnmsgr.exe
    (3232) -- IDMan.exe
    (3616) -- SearchIndexer.exe
    (1972) -- wscript.exe
    (3732) -- ONENOTEM.EXE
    (3500) -- iTunesHelper.exe
    (1200) -- wmpnetwk.exe
    (3916) -- CNSEMAIN.EXE
    (4152) -- CNMNSST.exe
    (4264) -- iPodService.exe
    (4296) -- IEMonitor.exe
    (4116) -- splwow64.exe
    (4828) -- DTShellHlp.exe
    (3324) -- ctfmon.exe
    (5788) -- firefox.exe
    (5148) -- SearchProtocolHost.exe
    (2952) -- SearchFilterHost.exe

    ¤¤¤¤¤¤¤¤¤¤ | Deletion | Drivers | Services

    Service : 1D9FB5BC09 Not actif
    Service : 519C47E5FB70B9EA Not actif

    Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_1D9FB5BC09]
    Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_1D9FB5BC09]
    Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_1D9FB5BC09]
    Deleted : [HKLM\..\ControlSet001\..\Root\LEGACY_519C47E5FB70B9EA]
    Deleted : [HKLM\..\ControlSet002\..\Root\LEGACY_519C47E5FB70B9EA]
    Deleted : [HKLM\..\CurrentControlSet\..\Root\LEGACY_519C47E5FB70B9EA]

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | Registry Deletions

    Value Deleted : [HKU\S-1-5-21-4250398988-646148064-3751493753-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:0f52
    Key Deleted : HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE
    Key Deleted : HKLM\Software\wow6432Node\MozillaPlugins\@microsoft.com/GENUINE
    Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:QuickTime Task
    Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:iTunesHelper
    Value Deleted : [HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]:QuickTime Task
    Value Deleted : [HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]:iTunesHelper

    ¤

    C:\Users\LACROIX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\5d105.js : Not Found !
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\5d105.js : Not Found !
    Folder Moved to quarantine successfully : |SHD| - C:\Users\LACROIX\AppData\Roaming\19
    Impossible to move Folder : |D| - C:\ProgramData\Spybot - Search & Destroy
    File Moved to quarantine successfully : |A| - C:\Windows\Tasks\ROC_JAN2013_TB_rmv.job
    File Moved to quarantine successfully : |A| - C:\Windows\System32\Tasks\ROC_JAN2013_TB_rmv
    Folder Moved to quarantine successfully : |D| - C:\Windows\System32\Tasks\Safer-Networking

    ¤¤¤¤¤¤¤¤¤¤ | MBR

    Windows Version: Windows 7 Home Premium Edition
    Windows Information: Service Pack 1 (build 7601), 64-bit
    Base Board Manufacturer: ASUSTeK Computer Inc.
    BIOS Manufacturer: American Megatrends Inc.
    System Manufacturer: ASUSTeK Computer Inc.
    System Product Name: K73BR
    Logical Drives Mask: 0x0000003c

    Analysis of file "C:\Pre_Scan\MBR.bin":
    Windows 7 MBR code detected

    64 bits Not supported by MBR.exe , Dump : C:\Pre_Scan\MBR.Bin

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | Disk cleaning

    Disk cleaned

    ¤

    End : 18:47:10

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
    0
  10. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  11. Mat Lcrx Messages postés 21 Statut Membre
     
    J'ai fais le scan malwarebyte.

    Malwarebytes Anti-Malware (Essai) 1.70.0.1100
    www.malwarebytes.org

    Version de la base de données: v2013.02.20.06

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    LACROIX :: LACROIX-PC [administrateur]

    Protection: Activé

    20/02/2013 19:39:53
    mbam-log-2013-02-20 (19-39-53).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 422186
    Temps écoulé: 1 heure(s), 28 minute(s), 50 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NofolderOptions (Hijack.FolderOptions) -> Données: 1 -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 3
    HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer\control panel|HomePage (PUM.Hijack.HomePageControl) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel|HomePage (PUM.Hijack.HomePageControl) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
    HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig (Windows.Tool.Disabled) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    0
  12. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    il reste des soucis ?
    0
  13. Mat Lcrx Messages postés 21 Statut Membre
     
    Pour le moment j'ai plu de fenetre avast qui s'allume mais je ne peux toujours pas mettre google en page d'accueil c'est encore Software education
    0
  14. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    sur quel navigateur ?
    0
  15. Mat Lcrx Messages postés 21 Statut Membre
     
    Bah moi j'utilise firefox
    0
    1. Mat Lcrx Messages postés 21 Statut Membre
       
      et sur internet explorer je viens de regarder
      0
  16. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    c'est quoi le nom exact ?
    0
  17. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    Télécharge SEAF.exe de C_XX

    *Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

    *Une fenêtre va s'ouvrir .

    *Tape www.sftwred.info

    dans cette fenêtre

    confirme la recherche "aussi" dans le registre et [Entrée].

    *Patiente pendant la recherche.

    *Une fenêtre avec un log.txt va s'afficher.

    *Copie/colle ce rapport dans ta prochaine réponse.
    0
  18. Mat Lcrx Messages postés 21 Statut Membre
     
    Ce que Seaf m'affiche

    1. ========================= SEAF 1.0.1.0 - C_XX
    2.
    3. Commencé à: 22:48:43 le 20/02/2013
    4.
    5. Valeur(s) recherchée(s):
    6. www.sftwred.info
    7.
    8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
    9.
    10. (!) --- Recherche registre
    11.
    12. ====== Fichier(s) ======
    13.
    14. Aucun fichier trouvé
    15.
    16.
    17. ====== Entrée(s) du registre ======
    18.
    19. Aucun élément dans le registre trouvé
    20.
    21. =========================
    22.
    23. Fin à: 22:59:15 le 20/02/2013
    24. 698946 Éléments analysés
    25.
    26. =========================
    27. E.O.F
    0
  • 1
  • 2