Virus Search.exe et Google

Fermé
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 - 11 avril 2013 à 18:42
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 - 13 mai 2013 à 21:12
Bonjour,
je suis actuellement devant un virus qui me pose quelques problèmes malgré son côté plutôt inoffensif.
En effet, pour une raison qui m'est inconnu depuis plusieurs mois maintenant, des fois quand je fais des requêtes sur google, une pop up de téléchargement me propose de télécharger "search" et stop ma requête. Il me suffit de dire non et de relancer la requête pour que cela fonctionne à nouveau mais c'est ennuyeux.

https://imageshack.com/

De plus, quand je vais sur google.fr j'arrive sur une page étrange le logo est zoomé et je ne peux pas tapper ma recherche.

https://imageshack.com/

Merci d'avance si vous pouvez m'aider
Cordialement

A voir également:

26 réponses

Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
12 avril 2013 à 11:00
Salut,
Télécharge AdwCleaner (merci à Xplode)
Lance AdwCleaner
Clique sur le bouton [ Suppression ]
Patiente...
Poste le rapport qui apparait en fin de recherche.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)

@+

1
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
12 avril 2013 à 20:58
Bonsoir,
* Télécharge puis enregistre sur le bureau de ton PC ZHPDiag

(de Nicolas Coolman) à partir : ce lien

* Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7)

* Clique sur l'icône en forme de loupe pour lancer le diagnostique

* Héberge le rapport ZHPDiag.txt de ton bureau sur : malekal.com ou cjoint.com

* Fais copier/coller le lien fourni dans ta prochaine réponse

* Aide ZHPDiag : <<< ICI >>>

@+
1
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
12 avril 2013 à 22:28
Voici le lien :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130412_s13i8e5i1011

(j'ai fais la maj avant de lancer)
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
12 avril 2013 à 23:07
Bonsoir,
1/
=> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").




[MD5.00000000000000000000000000000000] [APT] [{2B471819-8F6F-4144-929F-4ADF8518838F}] (...) -- E:\Setup.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [EISTI IPsec Automanager] (...) -- C:\Ipsec\eisti-ipsec.ps1' -Domain ccr.eisti.fr. -RuleName EISTI" (.not file.) [0]
[HKLM\Software\wglunz]
O43 - CFD: 02/07/2012 - 11:32:03 - [0] ----D C:\Users\Administrator\AppData\Local\Humanbalance
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] => Bing Search
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] => Bing Search
[HKLM\Software\Microsoft\Tracing\Setup_RASAPI32]
[HKLM\Software\Microsoft\Tracing\Setup_RASMANCS]

EmptyCLSID
EmptyFlash
EmptyTemp




=> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.

(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

=> Une fois ZHPFix ouvert, clique sur le bouton "Coller le presse-papier".

=> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

=> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

=> Une fois terminé, copie-colle le rapport dans ton prochain message.

=========================================

Aide : <<< ZHPFix ICI >>>

2/
/!\ ATTENTION : cette analyse peut durer quelques heures /!\

* Télécharge MBAM et installe le selon l'emplacement par défaut

https://www.malwarebytes.com/mwb-download/

* Installe-le puis configure-le comme indiqué : <<< ICI >>>

* si tu n'as rien modifié fais directement quitter sinon enregistrer

* Lance Malwarebytes' Anti-Malware

=================================

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

==> Ce logiciel gratuit est à garder.

=================================

* Fais la mise à jour

* Clique dans l'onglet "Recherche"

* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"

* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

* Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

* Clique sur OK puis "Afficher les résultats"

*Vérifie que toutes les lignes sont cochées

* Choisis l'option "Supprimer la sélection"

* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"

* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"

* Copie/colle le rapport dans le prochain message

Remarque :

- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant ce fichier puis en l'exécutant.
1
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
12 avril 2013 à 23:16
[MD5.00000000000000000000000000000000] [APT] [EISTI IPsec Automanager] (...) -- C:\Ipsec\eisti-ipsec.ps1' -Domain ccr.eisti.fr. -RuleName EISTI" (.not file.) [0]
je pense que cette ligne est pour mon école puis-je l'enlever ?
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
13 avril 2013 à 07:17
J'ai juste enlevé la ligne dont j'ai parlé au dessus :
https://pjjoint.malekal.com/files.php?id=20130412_x9u12k12w5d6 (Rapport I)

MBAM :
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.04.12.12

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 10.0.9200.16540
Administrator :: ADMIN-PC [administrateur]

12/04/2013 23:39:52
mbam-log-2013-04-12 (23-39-52).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 1031300
Temps écoulé: 5 heure(s), 33 minute(s), 25 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
13 avril 2013 à 07:38
La page d'accueil de google est redevenu normale :)
Comment avez vu su que c'était ces lignes ? ça m'intéresse également XD
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
13 avril 2013 à 11:00
Par contre le bug : https://imageshack.com/
persiste
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
13 avril 2013 à 18:17
On continue alors :
1/
Tu peux désactiver ces addons :
- cosmo player
- Google talk
- Pando web........
- Shockwave 11.6..............(tu as déjà: 11.7)
- Itunes application .....
- Siverlight
- Google update

2/
=> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").



[MD5.00000000000000000000000000000000] [APT] [EISTI IPsec Automanager] (...) -- C:\Ipsec\eisti-ipsec.ps1' -Domain ccr.eisti.fr. -RuleName EISTI" (.not file.) [0]
OPT:O4 - HKLM\..\Run: [nwiz] . (...) -- C:\Program Files\NVIDIA Corporation\nview\nwiz.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
OPT:SS - | Demand 30/08/2011 390504 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe





=> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.

(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

=> Une fois ZHPFix ouvert, clique sur le bouton "Coller le presse-papier".

=> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

=> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

=> Une fois terminé, copie-colle le rapport dans ton prochain message.

3/
Evite de télécharger les logiciels de P2P:
O42 - Logiciel: Pando Media Booster
O42 - Logiciel: µTorrent - (.BitTorrent Inc..)

1
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
13 avril 2013 à 18:28
1/ j'ai tout enlever sauf silverlight car je pense qu'il est nécessaire sur certain site.

2/
Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013
Fichier d'export Registre : 
Run by Administrator at 13/04/2013 18:26:05
High Elevated Privileges : OK
Windows 7 Business Edition, 32-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Clé(s) du Registre ==========
SUPPRIME Key: Service: Bonjour Service

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: nwiz
SUPPRIME RunValue: QuickTime Task

========== Tache planifiée ==========
SUPPRIME Task: EISTI IPsec Automanager


========== Récapitulatif ==========
1 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Tache planifiée


End of clean in 00mn 02s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 12/04/2013 22:37:14 [1254]
C:\ZHP\ZHPFix[R2].txt - 13/04/2013 17:25:43 [485]
C:\ZHP\ZHPFix[R3].txt - 13/04/2013 18:26:05 [829]


3/
O42 - Logiciel: Pando Media Booster --> Utilisé que pour jouer à League of Legends (sinon je ne l'aurais pas)
O42 - Logiciel: µTorrent - (.BitTorrent Inc..) --> Utilisé de temps en temps mais je l'ai depuis très longtemps donc je ne pense pas que le problème vienne de là
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
13 avril 2013 à 18:31
[MD5.00000000000000000000000000000000] [APT] [EISTI IPsec Automanager] (...) -- C:\Ipsec\eisti-ipsec.ps1' -Domain ccr.eisti.fr. -RuleName EISTI" (.not file.) [0]
OPT:O4 - HKLM\..\Run: [nwiz] . (...) -- C:\Program Files\NVIDIA Corporation\nview\nwiz.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
OPT:SS - | Demand 30/08/2011 390504 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe

Quelle est l'effet de ces lignes ?
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
13 avril 2013 à 18:38
J'ai réussi a faire que les addons ne se réactivent pas depuis ccleaner (sinon elle se réactivait à chaque fois) -> par contre à chaque entré dans ccleaner il me dit une entré default qui est tj activé et une entré autre qui est le même logiciel souvent maj pareil activé
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
11 avril 2013 à 23:11
up :)
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
12 avril 2013 à 10:33
personne ?
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
12 avril 2013 à 12:21
# AdwCleaner v2.200 - Logfile created 04/12/2013 at 12:17:34
# Updated 02/04/2013 by Xplode
# Operating system : Windows 7 Professional Service Pack 1 (32 bits)
# User : Administrator - ADMIN-PC
# Boot Mode : Normal
# Running from : D:\Téléchargements\Divers\Programme Virus\AdwCleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****


***** [Internet Browsers] *****

-\\ Internet Explorer v10.0.9200.16537

[OK] Registry is clean.

-\\ Mozilla Firefox v20.0.1 (en-US)

File : C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\620navzd.default\prefs.js

[OK] File is clean.

*************************

AdwCleaner[S4].txt - [705 octets] - [12/04/2013 12:17:34]

########## EOF - C:\AdwCleaner[S4].txt - [764 octets] ##########
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
12 avril 2013 à 18:20
Est ce que tu peux poster le rapport : C:\ AdwCleaner[S1].Txt ?
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
12 avril 2013 à 19:05
Je ne l'ai plus j'avais déjà lancer ce logiciel par le passé,
j'ai supprimer les S1 -> S3 mais ils remontent à longtemps.
Le S4 est celui que je viens de faire
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
Modifié par Fish66 le 13/04/2013 à 13:04
Bonjour,
* [MD5.00000000000000000000000000000000] [APT] [EISTI IPsec Automanager] (...) -- C:\Ipsec\eisti-ipsec.ps1' -Domain ccr.eisti.fr. -RuleName EISTI" (.not file.) [0]
C'est une ligne inutile qu'on va supprimer! :-)
1/
Par contre le bug : https://imageshack.com/ 
persiste

As tu ce problème avec un autre navigateur ?

2/
Supprime les extensions inutiles de ton navigateur .

Aide : <<< ICI >>> ou encore : <<< ICI >>>

3/
Lance ZHPDiag depuis le bureau,ensuite coche tout au tournevis (aide ici) puis lance l'analyse, ferme le et héberge le rapport. colle le lien dans ta prochaine réponse

@+

¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
13 avril 2013 à 13:30
* [MD5.00000000000000000000000000000000] [APT] [EISTI IPsec Automanager] (...) -- C:\Ipsec\eisti-ipsec.ps1' -Domain ccr.eisti.fr. -RuleName EISTI" (.not file.) [0]
C'est une ligne inutile qu'on va supprimer! :-)
Donc je dois la supprimer depuis le programme ou je peux ne pas le faire (désolé je n'ai pas bien compris)

1/ Je dois dire que je n'utilise que Firefox et que je ne sais pas comment déclencher le bug donc je ne sais pas si j'arrive a le reproduire sur Internet Explorer (j'ai essayé sans succès pour le moment ).

je fais les 2/ et 3/ rapidement dans l'aprèm.

Meric pour ton aide en tout cas
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
13 avril 2013 à 14:22
Donc pour le 2/ j'ai mis a jour deux addons mais je ne sais pas lesquelles sont inutiles bien que certaines me semblent en double. Voici les images de mes addons :
https://imageshack.com/
https://imageshack.com/

3/ Rapport : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130413_p8r13t7e14i14
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
13 avril 2013 à 19:30
Il existe des processus inutile de les lancer au démarrage, c'est l'occasion alors d'améliorer la rapidité de ton PC ! :-)
-------------------------
Tu peux faire maintenant le ménage ci-dessous :
Updatechecker :


Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour

Tu peux l'utiliser une fois par semaine

===========================================

**Nettoyage

Suppression des outils de désinfections:

Télecharge Delfix sur ton bureau :

<<< ICI >>> ou <<< ICI >>>

* Coche la case suivante :

=> Supprimer les outils de désinfection (coché par défaut)

* Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.

* Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau

* Un rapport est sauvegardé dans le presse-papier : il te suffit de faire un clic droit et "coller" dans ta prochaine réponse pour me poster le rapport

===========================================        

<code>Défragmentation : :


Défragmente tes disques dur par defraggler

Tu peux lutiliser une fois par trimestre

===========================================

 Vacciner les supports amovibles :  :


*Télécharge : MKV (créé par El Desaparecido) sur ton Bureau.

*Si ton antivirus affiche une alerte, ignore-la et désactive l'antivirus temporairement.

*Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

*Double clique sur MKV.exe.

*Clique sur Vacciner.

===========================================

Nettoyage des fichiers et des clés de registre :


* Télécharge et installe CCleaner version Slim

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis

* Avancé et décoche la case Effacer uniquement les fichiers etc....

* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.

* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse .

** Aide ici : https://www.malekal.com/tutoriel-ccleaner/

Tu peux utiliser Ccleaner une fois par semaine

===========================================

Purger les points de restauration système:


* Désactive et réactive la restauration de système en suivant les procédures indiquées dans ces liens :

Windows XP

Windows Vista

Windows 7

* Après avoir vidé la restauration du système, il est nécessaire de créer un nouveau point de restauration ...

===========================================

Conseils :

1/ Je te conseille d'utiliser le navigateur Firefox et d'installer les modules

complémentaires WOT pour t'indiquer les sites douteux et Adblock plus pour bloquer les publicités...

2/ Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.

3/ Un peu de lecture :

* Les dangers du Peer-To-Peer, Emule etc..

* Comment Sécuriser son ordinateur...

*Pourquoi et comment je me fais infecter

*pourquoi maintenir son navigateur à jour
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
13 avril 2013 à 19:37
j'ai déjà fille hippo -> tous mes logiciels sont maj d'après fileHippo
je fais ccleaner
j'ai firefox avec adblock plus => non WOT je suis pas fan ^^
j'ai MBAM depuis bien longtemps
Je ne dl pas en P2P
Je défrage assez souvent avec JKDefrag

J'ai déjà delFix mais ça fait longtemps que je l'ai pas fait.
Je fais tous les étapes et jte redonne des news :)
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
13 avril 2013 à 19:45
Delfix :
# DelFix v10.2 - Logfile created 13/04/2013 at 19:39:06
# Updated 02/04/2013 by Xplode
# Username : Administrator - ADMIN-PC

~ Removing disinfection tools ...

Deleted : C:\ZHP
Deleted : C:\Program Files\Ad-Remover
Deleted : C:\Program Files\ZHPDiag
Deleted : C:\AdwCleaner[S4].txt
Deleted : C:\PhysicalDisk0_MBR.bin
Deleted : HKCU\Software\Ad-Remover
Deleted : HKLM\SOFTWARE\OldTimer Tools
Deleted : HKLM\SOFTWARE\AdwCleaner
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

########## - EOF - ##########

je faisais déjà ça avec ccleaner
je viens de vacciner mon pc avec MKV


Purger les points de restauration système: => je n'en avais pas il est désactivé pour ma part
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
13 avril 2013 à 19:48
Par contre le bug : https://imageshack.com/
persiste toujours
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
13 avril 2013 à 21:08
C'est nécessaire d'activer et avoir des points de restaurations!
------------------------
Désinstalle Firefox en utilisant revouninstaller
Télécharge Revo-uninstaller

Exécute ce fichier pour installation

*******Aide Revo-uninstaller*******
===============================
*Télécharge Firefox <<<ici

*Enregistre le fichier téléchargé sur le bureau de ton PC

*Exécute ce fichier pour installation de la dernière version de Firefox

Tiens moi au courant

@+
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
13 avril 2013 à 23:51
Je viens de désinstaller et réinstaller et je suis revenu à la case départ, mon google refait le bug du départ ainsi que le bug qui n'avait pas été corrigé
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
14 avril 2013 à 07:24
Euh depuis que j'ai vacciné mes disques durs je ne peux plus changer le nom de ceux ci également est-ce normal ?
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
Modifié par Fish66 le 14/04/2013 à 12:01
Bonjour,
* Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.

(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)


* Lance OTL
* Sous Personnalisation, copie-colle le texte en gras ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c



* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le lien pjjoint ici ensuite pour pouvoir être consultés.

========================
On va continuer après demain

@+


¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
14 avril 2013 à 14:01
/!\ Depuis que j'ai vacciné mes disques durs je ne peux plus changer le nom de ceux ci également est-ce normal ?

Rapport : https://pjjoint.malekal.com/files.php?id=20130414_b15s12w5l7x15
et https://pjjoint.malekal.com/files.php?id=20130414_g6v11g10n14s10
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
15 avril 2013 à 20:00
Je viens d'avoir un nouveau pc et j'ai eu le même virus en une journée
Le site d'où le virus pouvait venir est donnée comme bon par WOT
Un script greaseMonkey pourrait-il être la cause de tout ceci ?
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
15 avril 2013 à 21:01
Bonsoir,
Pour le moment on va continuer avec l'ancien PC!
1/
Relance OTL

- Sous XP double-clic sur l'icône pour lancer l'outil.

- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.

* Dans la partie "Personnalisation", copie/colle les instructions suivantes :

:OTL

FF - prefs.js..browser.startup.homepage: "https://www.eistiens.net/"
FF - prefs.js..network.proxy.backup.ftp: "proxy.cergy.eisti.fr"
FF - prefs.js..network.proxy.backup.ftp_port: 3128
FF - prefs.js..network.proxy.backup.gopher: "proxy.cergy.eisti.fr"
FF - prefs.js..network.proxy.backup.gopher_port: 3128
FF - prefs.js..network.proxy.backup.socks: "proxy.cergy.eisti.fr"
FF - prefs.js..network.proxy.backup.socks_port: 3128
FF - prefs.js..network.proxy.backup.ssl: "proxy.cergy.eisti.fr"
FF - prefs.js..network.proxy.backup.ssl_port: 3128
FF - prefs.js..network.proxy.ftp: "proxy.cergy.eisti.fr"
FF - prefs.js..network.proxy.ftp_port: 3128
FF - prefs.js..network.proxy.gopher: "proxy.cergy.eisti.fr"
FF - prefs.js..network.proxy.gopher_port: 3128
FF - prefs.js..network.proxy.http: "proxy.cergy.eisti.fr"
FF - prefs.js..network.proxy.http_port: 3128
FF - prefs.js..network.proxy.no_proxies_on: " .eisti.fr, localhost, 192.168.0.0/16, 172.16.0.0/31, 1.1.1.1/24, 42.0.0.0/8"
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "proxy.cergy.eisti.fr"
FF - prefs.js..network.proxy.socks_port: 3128
FF - prefs.js..network.proxy.ssl: "proxy.cergy.eisti.fr"
FF - prefs.js..network.proxy.ssl_port: 3128
FF - prefs.js..network.proxy.type: 1
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20110912164842.dll (McAfee, Inc.)
[2013/04/11 11:17:43 | 000,000,000 | -HSD | C] -- C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
@Alternate Data Stream - 138 bytes -> C:\ProgramData\TEMP:A1EDB939
@Alternate Data Stream - 1323 bytes -> C:\ProgramData\Microsoft:mHw1dWBKHPiwXAeSXiQRMg
@Alternate Data Stream - 1200 bytes -> C:\ProgramData\Microsoft:XBYphuBXejROnhit5clRPAqpI
@Alternate Data Stream - 1110 bytes -> C:\ProgramData\Microsoft:kMfjJaVtLIB6TIho5vAg


:Commands

[purity]
[emptytemp]
[reboot]




* Clique sur le bouton Correction.

* Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.

* Accepte en cliquant sur OK.

* Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles

2/
* Telecharge et install link officiel : >>>USBFix ICI<<<

ou : >>> ICI <<<

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

* Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris

:exécuter en tant qu'administrateur pour vista/seven), l'installation se fera

automatiquement

* Clique sur "Recherche"

* Laisse travailler l'outil

* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur : C:\UsbFix.txt )
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
15 avril 2013 à 21:22
All processes killed
========== OTL ==========
Prefs.js: "https://www.eistiens.net/" removed from browser.startup.homepage
Prefs.js: "proxy.cergy.eisti.fr" removed from network.proxy.backup.ftp
Prefs.js: 3128 removed from network.proxy.backup.ftp_port
Prefs.js: "proxy.cergy.eisti.fr" removed from network.proxy.backup.gopher
Prefs.js: 3128 removed from network.proxy.backup.gopher_port
Prefs.js: "proxy.cergy.eisti.fr" removed from network.proxy.backup.socks
Prefs.js: 3128 removed from network.proxy.backup.socks_port
Prefs.js: "proxy.cergy.eisti.fr" removed from network.proxy.backup.ssl
Prefs.js: 3128 removed from network.proxy.backup.ssl_port
Prefs.js: "proxy.cergy.eisti.fr" removed from network.proxy.ftp
Prefs.js: 3128 removed from network.proxy.ftp_port
Prefs.js: "proxy.cergy.eisti.fr" removed from network.proxy.gopher
Prefs.js: 3128 removed from network.proxy.gopher_port
Prefs.js: "proxy.cergy.eisti.fr" removed from network.proxy.http
Prefs.js: 3128 removed from network.proxy.http_port
Prefs.js: " .eisti.fr, localhost, 192.168.0.0/16, 172.16.0.0/31, 1.1.1.1/24, 42.0.0.0/8" removed from network.proxy.no_proxies_on
Prefs.js: true removed from network.proxy.share_proxy_settings
Prefs.js: "proxy.cergy.eisti.fr" removed from network.proxy.socks
Prefs.js: 3128 removed from network.proxy.socks_port
Prefs.js: "proxy.cergy.eisti.fr" removed from network.proxy.ssl
Prefs.js: 3128 removed from network.proxy.ssl_port
Prefs.js: 1 removed from network.proxy.type
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin\ deleted successfully.
C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll moved successfully.
Registry key HKEY_CURRENT_USER\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin\ deleted successfully.
File C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}\ deleted successfully.
File move failed. C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20110912164842.dll scheduled to be moved on reboot.
C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} folder moved successfully.
ADS C:\ProgramData\TEMP:A1EDB939 deleted successfully.
ADS C:\ProgramData\Microsoft:mHw1dWBKHPiwXAeSXiQRMg deleted successfully.
ADS C:\ProgramData\Microsoft:XBYphuBXejROnhit5clRPAqpI deleted successfully.
ADS C:\ProgramData\Microsoft:kMfjJaVtLIB6TIho5vAg deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 49724 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Administrator
->Temp folder emptied: 2350704 bytes
->Temporary Internet Files folder emptied: 1441355 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 31659280 bytes
->Flash cache emptied: 58830 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 57472 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 57344 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 34,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 04152013_211108

Files\Folders moved on Reboot...
File move failed. C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20110912164842.dll scheduled to be moved on reboot.
C:\Users\Administrator\AppData\Local\Temp\McAfeeLogs\UpdaterUI_ADMIN-PC.log moved successfully.
C:\Users\Administrator\AppData\Local\Temp\McAfeeLogs\UpdaterUI_ADMIN-PC_error.log moved successfully.
C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...


2/ Je n'utilise pas ou quasiment jamais de clé usb ;)

############################## | UsbFix V 7.121 | [Research]

User: Administrator (Administrator) # ADMIN-PC
Updated 07/04/2013 by El Desaparecido
Started at 21:15:49 | 15/04/2013

Website: https://www.sosvirus.net/
Upload Malware: http://upload.sosvirus.org/
Contact: contact@sosvirus.org

PC: Hewlett-Packard (HP EliteBook 8540p) (X86-based PC)
CPU: Intel(R) Core(TM) i5 CPU M 520 @ 2.40GHz (2400)
RAM -> [Total : 3061 | Free : 1601]
BIOS: Default System BIOS
BOOT: Normal boot

OS: Microsoft Windows 7 Professional (6.1.7601 32-Bit) # Service Pack 1
WB: Windows Internet Explorer 10.0.9200.16540

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: McAfee VirusScan Enterprise [Enabled | Updated]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Fixed drive # 89 Gb (19 Mb free - 21%) [Saï] # NTFS
D:\ -> Fixed drive # 96 Gb (7 Mb free - 7%) [Akira] # NTFS
E:\ -> CD-ROM
F:\ -> Fixed drive # 65 Gb (4 Mb free - 6%) [Akira] # NTFS
G:\ -> CD-ROM
H:\ -> CD-ROM

################## | Active Processes |

C:\Windows\system32\csrss.exe (620)
C:\Windows\system32\wininit.exe (688)
C:\Windows\system32\csrss.exe (696)
C:\Windows\system32\services.exe (748)
C:\Windows\system32\lsass.exe (764)
C:\Windows\system32\lsm.exe (772)
C:\Windows\system32\winlogon.exe (856)
C:\Windows\system32\svchost.exe (920)
C:\Windows\system32\nvvsvc.exe (984)
C:\Windows\system32\svchost.exe (1012)
C:\Windows\system32\atiesrxx.exe (1072)
C:\Windows\System32\svchost.exe (1144)
C:\Windows\System32\svchost.exe (1184)
C:\Windows\system32\svchost.exe (1216)
C:\Windows\system32\svchost.exe (1240)
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_1fb74af29935fce6\STacSV.exe (1276)
C:\Windows\system32\svchost.exe (1568)
C:\Windows\system32\Hpservice.exe (1676)
C:\Windows\system32\atieclxx.exe (1684)
C:\Windows\system32\vcsFPService.exe (1748)
C:\Windows\system32\svchost.exe (1788)
C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe (1928)
C:\Windows\system32\nvvsvc.exe (1936)
C:\Windows\system32\WLANExt.exe (1992)
C:\Windows\system32\conhost.exe (2000)
C:\Windows\System32\spoolsv.exe (616)
C:\Windows\system32\taskeng.exe (624)
C:\Windows\system32\svchost.exe (700)
C:\Windows\system32\svchost.exe (1780)
C:\Windows\system32\svchost.exe (680)
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (2160)
C:\Windows\system32\taskhost.exe (2260)
C:\Windows\system32\Dwm.exe (2380)
C:\Windows\Explorer.EXE (2408)
C:\Windows\system32\AEADISRV.EXE (2536)
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_1fb74af29935fce6\aestsrv.exe (2628)
C:\Program Files\LSI SoftModem\agrsmsvc.exe (2656)
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (2676)
C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (2788)
C:\Windows\system32\lxdxcoms.exe (2828)
C:\Program Files\McAfee\Common Framework\FrameworkService.exe (2868)
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe (2944)
C:\Windows\system32\mfevtps.exe (3012)
C:\Program Files\McAfee\VirusScan Enterprise\mfeann.exe (3040)
C:\Windows\system32\conhost.exe (3048)
C:\Program Files\Autodesk\3ds Max Design 2013\NVIDIA\raysat_3dsmax2013_32server.exe (3112)
C:\Program Files\Palm, Inc\novacomd\x86\novacomd.exe (3140)
C:\Program Files\OCS Inventory Agent\ocsservice.exe (3164)
C:\Program Files\McAfee\Common Framework\naPrdMgr.exe (3212)
C:\Windows\system32\svchost.exe (3492)
C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe (3528)
C:\Windows\system32\nutsrv4.exe (3748)
C:\Windows\system32\svchost.exe (3840)
C:\Windows\system32\SearchIndexer.exe (3604)
C:\Windows\system32\SearchProtocolHost.exe (4072)
C:\Windows\system32\SearchFilterHost.exe (3888)
C:\Program Files\McAfee\Common Framework\UdaterUI.exe (1312)
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe (1124)
C:\Program Files\Windows Sidebar\sidebar.exe (2564)
C:\Program Files\SuperCopier2\SuperCopier2.exe (3260)
C:\Program Files\Launchy\Launchy.exe (3884)
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe (4068)
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe (4172)
C:\Windows\system32\wbem\wmiprvse.exe (4208)
C:\Program Files\McAfee\Common Framework\McTray.exe (4216)
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe (4448)
C:\Program Files\Windows Media Player\wmpnetwk.exe (4600)
C:\Windows\System32\svchost.exe (4788)
C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE (5020)
C:\Program Files\Mozilla Firefox\firefox.exe (5456)
C:\Program Files\Mozilla Firefox\plugin-container.exe (6036)
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_169.exe (6072)
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_7_700_169.exe (6092)
C:\Windows\system32\sppsvc.exe (808)
C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (5448)
C:\UsbFix\Go.exe (3964)
C:\Windows\system32\wbem\wmiprvse.exe (3628)

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [] -
HKLM\SOFTWARE | Run : [McAfeeUpdaterUI] - "C:\Program Files\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
HKLM\SOFTWARE | Run : [ShStatEXE] - "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
HKLM\SOFTWARE | Run : [QlbCtrl.exe] - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
HKLM\SOFTWARE | RunOnce : [] -
HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-1473703241-3050498058-855472996-500\SOFTWARE | Run : [Sidebar] - C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKU\S-1-5-21-1473703241-3050498058-855472996-500\SOFTWARE | Run : [SuperCopier2.exe] - C:\Program Files\SuperCopier2\SuperCopier2.exe
HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Files # Infected Folders |

Found ! C:\Users\Administrator\AppData\Roaming\Thunderbird\prefs.js
Found ! C:\Users\Administrator\AppData\Roaming\Thunderbird
Found ! D:\Data Firefox\prefs.js
Found ! D:\Data Firefox\sessionstore.js
Found ! C:\Users\Administrator\AppData\Local\PUTTY.RND

################## | Registry |

Found ! HKLM\software\microsoft\shared tools\msconfig\startupreg\
Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr

################## | Mountpoints2 |



################## | Vaccin |

(!) This computer is not vaccinated!

################## | E.O.F | https://www.sosvirus.net/ |



Pas de problème l'autre ordinateur n'est pas important c'est juste pour dire que ça vient sûrement d'une addons genre greaseMonkey je pense car je n'ai pas spécialement visité de site bizarre ce matin.
De même tu ne m'as toujours pas répondu pour la vaccination des DD.
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
16 avril 2013 à 21:17
Bonsoir,
De même tu ne m'as toujours pas répondu pour la vaccination des DD.

Je t'ai demandé de lancer USBFix our cette raison.
Tout d'abord on va supprimer les infections qui se trouvent dans ton DD.
==============================
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

* Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris

:exécuter en tant qu'administrateur pour vista/seven), l'installation se fera

automatiquement

* Clique sur "Suppression"

* Laisse travailler l'outil

* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur : C:\UsbFix.txt )

@+


0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
16 avril 2013 à 22:13
############################## | UsbFix V 7.121 | [Deletion]

User: Administrator (Administrator) # ADMIN-PC
Updated 07/04/2013 by El Desaparecido
Started at 22:01:35 | 16/04/2013

Website: https://www.sosvirus.net/
Upload Malware: http://upload.sosvirus.org/
Contact: contact@sosvirus.org

PC: Hewlett-Packard (HP EliteBook 8540p) (X86-based PC)
CPU: Intel(R) Core(TM) i5 CPU M 520 @ 2.40GHz (2400)
RAM -> [Total : 3061 | Free : 1816]
BIOS: Default System BIOS
BOOT: Normal boot

OS: Microsoft Windows 7 Professional (6.1.7601 32-Bit) # Service Pack 1
WB: Windows Internet Explorer 10.0.9200.16540

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: McAfee VirusScan Enterprise [Enabled | Updated]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Fixed drive # 89 Gb (18 Mb free - 20%) [Saï] # NTFS
D:\ -> Fixed drive # 96 Gb (7 Mb free - 7%) [Akira] # NTFS
E:\ -> CD-ROM
F:\ -> Fixed drive # 65 Gb (4 Mb free - 6%) [Akira] # NTFS
G:\ -> CD-ROM
H:\ -> CD-ROM

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [] -
HKLM\SOFTWARE | Run : [McAfeeUpdaterUI] - "C:\Program Files\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
HKLM\SOFTWARE | Run : [ShStatEXE] - "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
HKLM\SOFTWARE | Run : [QlbCtrl.exe] - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
HKLM\SOFTWARE | RunOnce : [] -
HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-1473703241-3050498058-855472996-500\SOFTWARE | Run : [Sidebar] - C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKU\S-1-5-21-1473703241-3050498058-855472996-500\SOFTWARE | Run : [SuperCopier2.exe] - C:\Program Files\SuperCopier2\SuperCopier2.exe
HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe

################## | Stopped processes |

Stopped! C:\Windows\system32\nvvsvc.exe (948)
Stopped! C:\Windows\system32\atiesrxx.exe (1080)
Stopped! C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_1fb74af29935fce6\STacSV.exe (1292)
Stopped! C:\Windows\system32\Hpservice.exe (1604)
Stopped! C:\Windows\system32\atieclxx.exe (1712)
Stopped! C:\Windows\system32\vcsFPService.exe (1724)
Stopped! C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe (1912)
Stopped! C:\Windows\system32\nvvsvc.exe (1920)
Stopped! C:\Windows\system32\WLANExt.exe (1980)
Stopped! C:\Windows\system32\conhost.exe (1992)
Stopped! C:\Windows\System32\spoolsv.exe (456)
Stopped! C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (2108)
Stopped! C:\Windows\system32\AEADISRV.EXE (2140)
Stopped! C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_1fb74af29935fce6\aestsrv.exe (2168)
Stopped! C:\Program Files\LSI SoftModem\agrsmsvc.exe (2196)
Stopped! C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (2216)
Stopped! C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (2292)
Stopped! C:\Windows\system32\taskhost.exe (2432)
Stopped! C:\Windows\system32\lxdxcoms.exe (2548)
Stopped! C:\Program Files\McAfee\Common Framework\FrameworkService.exe (2768)
Stopped! C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe (2824)
Stopped! C:\Windows\system32\mfevtps.exe (2856)
Stopped! C:\Program Files\Autodesk\3ds Max Design 2013\NVIDIA\raysat_3dsmax2013_32server.exe (2888)
Stopped! C:\Program Files\McAfee\VirusScan Enterprise\mfeann.exe (2900)
Stopped! C:\Windows\system32\conhost.exe (2920)
Stopped! C:\Program Files\Palm, Inc\novacomd\x86\novacomd.exe (2972)
Stopped! C:\Program Files\OCS Inventory Agent\ocsservice.exe (3128)
Stopped! C:\Program Files\McAfee\Common Framework\UdaterUI.exe (3284)
Stopped! C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe (3312)
Stopped! C:\Program Files\McAfee\Common Framework\naPrdMgr.exe (3336)
Stopped! C:\Program Files\Windows Sidebar\sidebar.exe (3388)
Stopped! C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe (3428)
Stopped! C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe (3560)
Stopped! C:\Windows\system32\nutsrv4.exe (3796)
Stopped! C:\Program Files\SuperCopier2\SuperCopier2.exe (3916)
Stopped! C:\Program Files\Launchy\Launchy.exe (3956)
Stopped! C:\Program Files\McAfee\Common Framework\McTray.exe (1656)
Stopped! C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe (2708)
Stopped! C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe (4064)
Stopped! C:\Windows\system32\SearchIndexer.exe (2912)
Stopped! C:\Program Files\Windows Media Player\wmpnetwk.exe (2404)
Stopped! C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE (3952)
Stopped! C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (2924)
Stopped! D:\Jeux\LoL\League of Legends\RADS\system\rads_user_kernel.exe (624)
Stopped! D:\Jeux\LoL\League of Legends\RADS\projects\lol_launcher\releases\0.0.0.133\deploy\LoLLauncher.exe (4764)
Stopped! D:\Jeux\LoL\League of Legends\RADS\projects\lol_air_client\releases\0.0.1.0\deploy\LolClient.exe (636)
Stopped! C:\Program Files\Hewlett-Packard\Shared\hpqToaster.exe (5096)
Stopped! C:\Program Files\Skype\Phone\Skype.exe (2540)
Stopped! C:\Program Files\Skype\Updater\Updater.exe (2304)

################## | Files # Infected Folders |

Deleted ! C:\Users\Administrator\AppData\Roaming\Thunderbird\prefs.js
Deleted ! C:\Users\Administrator\AppData\Roaming\Thunderbird
Deleted ! D:\Data Firefox\prefs.js
Deleted ! D:\Data Firefox\sessionstore.js
Deleted ! C:\Users\Administrator\AppData\Local\PUTTY.RND

(!) Temporary files deleted.

################## | Registry |

Deleted ! HKLM\software\microsoft\shared tools\msconfig\startupreg\
Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr

################## | Mountpoints2 |


################## | Listing |

[24/01/2013 - 14:25:58 | SHD ] C:\$RECYCLE.BIN
[28/02/2013 - 22:38:05 | D ] C:\.Trash-1000
[14/04/2013 - 10:28:17 | D ] C:\Apps
[10/06/2009 - 23:42:20 | N | 24] C:\autoexec.bat
[13/04/2013 - 19:40:59 | RASHD ] C:\autorun.inf
[06/04/2010 - 14:25:20 | N | 0] C:\backup.LOG
[06/04/2010 - 14:25:20 | N | 0] C:\backup.LOG1
[06/04/2010 - 14:25:20 | N | 0] C:\backup.LOG2
[13/10/2011 - 15:26:35 | SHD ] C:\Boot
[20/11/2010 - 04:40:08 | RASH | 383786] C:\bootmgr
[06/04/2010 - 23:24:16 | N | 8192] C:\BOOTSECT.BAK
[14/04/2013 - 14:18:52 | D ] C:\Config.Msi
[10/06/2009 - 23:42:20 | N | 10] C:\config.sys
[14/07/2009 - 06:53:55 | SHD ] C:\Documents and Settings
[07/11/2007 - 08:00:40 | N | 17734] C:\eula.1028.txt
[07/11/2007 - 08:00:40 | N | 17734] C:\eula.1031.txt
[07/11/2007 - 08:00:40 | N | 10134] C:\eula.1033.txt
[07/11/2007 - 08:00:40 | N | 17734] C:\eula.1036.txt
[07/11/2007 - 08:00:40 | N | 17734] C:\eula.1040.txt
[07/11/2007 - 08:00:40 | N | 118] C:\eula.1041.txt
[07/11/2007 - 08:00:40 | N | 17734] C:\eula.1042.txt
[07/11/2007 - 08:00:40 | N | 17734] C:\eula.2052.txt
[07/11/2007 - 08:00:40 | N | 17734] C:\eula.3082.txt
[05/07/2011 - 08:45:20 | D ] C:\found.000
[08/11/2011 - 09:24:07 | D ] C:\found.001
[07/11/2007 - 08:00:40 | N | 1110] C:\globdata.ini
[16/04/2013 - 19:40:11 | ASH | 2407620608] C:\hiberfil.sys
[18/02/2012 - 02:10:07 | D ] C:\HP
[07/11/2007 - 08:03:18 | N | 562688] C:\install.exe
[07/11/2007 - 08:00:40 | N | 843] C:\install.ini
[07/11/2007 - 08:03:18 | N | 76304] C:\install.res.1028.dll
[07/11/2007 - 08:03:18 | N | 96272] C:\install.res.1031.dll
[07/11/2007 - 08:03:18 | N | 91152] C:\install.res.1033.dll
[07/11/2007 - 08:03:18 | N | 97296] C:\install.res.1036.dll
[07/11/2007 - 08:03:18 | N | 95248] C:\install.res.1040.dll
[07/11/2007 - 08:03:18 | N | 81424] C:\install.res.1041.dll
[07/11/2007 - 08:03:18 | N | 79888] C:\install.res.1042.dll
[07/11/2007 - 08:03:18 | N | 75792] C:\install.res.2052.dll
[07/11/2007 - 08:03:18 | N | 96272] C:\install.res.3082.dll
[07/04/2010 - 17:06:34 | N | 0] C:\IO.SYS
[08/02/2012 - 09:12:46 | D ] C:\logs
[07/04/2010 - 17:06:34 | N | 0] C:\MSDOS.SYS
[08/04/2010 - 15:06:04 | RHD ] C:\MSOCache
[12/04/2010 - 10:50:10 | D ] C:\oracle
[16/04/2013 - 19:40:14 | ASH | 3210162176] C:\pagefile.sys
[14/07/2009 - 04:37:05 | D ] C:\PerfLogs
[14/04/2013 - 10:31:33 | D ] C:\Program Files
[15/04/2013 - 21:11:24 | HD ] C:\ProgramData
[13/03/2013 - 19:47:44 | D ] C:\QUARANTINE
[15/01/2012 - 13:59:14 | D ] C:\swsetup
[14/04/2013 - 13:40:06 | SHD ] C:\System Volume Information
[04/02/2013 - 12:50:25 | D ] C:\Temp
[16/04/2013 - 22:07:58 | D ] C:\UsbFix
[16/04/2013 - 21:37:20 | N | 2155] C:\UsbFix [Clean 1] ADMIN-PC.txt
[16/04/2013 - 22:08:07 | A | 9088] C:\UsbFix [Clean 2] ADMIN-PC.txt
[15/04/2013 - 21:22:34 | N | 6914] C:\UsbFix [Scan 1] ADMIN-PC.txt
[06/04/2010 - 14:12:32 | D ] C:\Users
[07/11/2007 - 08:00:40 | N | 5686] C:\vcredist.bmp
[07/11/2007 - 08:09:22 | N | 1442522] C:\VC_RED.cab
[07/11/2007 - 08:12:28 | N | 232960] C:\VC_RED.MSI
[13/04/2012 - 22:08:02 | D ] C:\wamp
[14/04/2013 - 10:21:16 | D ] C:\Windows
[17/03/2013 - 10:32:03 | SHD ] D:\$RECYCLE.BIN
[08/04/2013 - 21:21:06 | D ] D:\.Trash-1000
[13/04/2013 - 19:40:59 | RASHD ] D:\autorun.inf
[07/02/2013 - 14:44:14 | D ] D:\Cours
[16/04/2013 - 22:07:57 | D ] D:\Data Firefox
[09/11/2011 - 21:29:23 | D ] D:\Emulation
[02/03/2013 - 23:30:40 | D ] D:\Jeux
[13/11/2011 - 16:41:30 | D ] D:\Manga
[11/04/2013 - 18:30:17 | D ] D:\My Documents
[08/03/2013 - 21:19:32 | D ] D:\Spéctacle Fort Scénés
[20/09/2011 - 19:05:53 | SHD ] D:\System Volume Information
[15/04/2013 - 21:15:15 | D ] D:\Téléchargements
[15/04/2013 - 21:11:08 | D ] D:\_OTL
[02/03/2013 - 19:12:02 | SHD ] F:\$RECYCLE.BIN
[04/03/2013 - 20:55:15 | D ] F:\Anime
[13/04/2013 - 19:40:59 | RASHD ] F:\autorun.inf
[01/03/2013 - 10:14:38 | D ] F:\Japon
[09/11/2011 - 12:02:12 | SHD ] F:\System Volume Information
[04/04/2013 - 11:53:14 | D ] F:\Séries
[31/03/2013 - 00:24:22 | N | 4641814] F:\URI3_Blagues.mp4
[31/03/2013 - 00:20:46 | N | 36267794] F:\URI3_Blop.mp4
[31/03/2013 - 00:28:30 | N | 64490343] F:\URI3_Hakim.mp4
[31/03/2013 - 00:39:14 | N | 59769764] F:\URI3_JPF.mp4
[31/03/2013 - 00:44:50 | N | 89013409] F:\URI3_Zou.mp4

################## | Vaccin |

C:\Autorun.inf -> Vaccine created by UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccine created by UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccine created by UsbFix (El Desaparecido)

################## | E.O.F | https://www.sosvirus.net/ |
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
17 avril 2013 à 21:23
Bonsoir,
Comment fonctionne ton PC maintenant ?
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
17 avril 2013 à 21:32
le google apparâit bien mais la pop up de dl continue ^^
Mais j'ai l'impression que c'est que sur firefox
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
Modifié par Fish66 le 18/04/2013 à 20:59
Bonsoir,
Tu peux essayer avec google chrome : http://www.google.com/intl/fr/chrome/browser/
Tiens moi au c ourant
@+
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
21 avril 2013 à 12:09
Salut, je ne suis pas souvent sur Chrome car je ne l'ai pas sur le pc mais je n'ai jamais eu ce problème depuis chrome depuis l'autre ordinateur infecté. Donc le problème doit être propre à Firefox.
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
30 avril 2013 à 22:10
Bonsoir,
Avant d'utiliser ComboFix :



Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix

* Télécharge Defogger (de jpshortstuff) sur ton Bureau

* Lance le

* Une fenêtre apparait : clique sur "Disable"

* Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

===================================================

Attention, avant de commencer, lis attentivement la procédure

********************************************************

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\

* Fais un clic droit sur ce lien, enregistre le dans ton bureau sous un autre nom exemple « ton pseudo.exe »

Voici Aide combofix

* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\



*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION

(si il te propose de l'installer remets internet)

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

*Note : Le rapport se trouve également là : C:\ComboFix.txt
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
1 mai 2013 à 14:56
bonjour,
j'ai refais une désinstallation complète de Firefox cette fois ci en supprimant à la main tous les modules et scripts greasemonkey.
Et j'ai réinstallé, pour le moment j'ai tout remis au semblable sauf les scripts greasemonkey et je n'ai pas encore eu de bug.
je vous tiens au courant après 1 ou 2 jours de test .
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
1 mai 2013 à 18:44
Bonsoir,
à priori le "virus" n'est plus là donc bonne nouvelle pour le moment

Mauvais nouvelle : j'ai réinstallé par exemple WOT, FoxyProxy et d'autre et les icones ne s'affichent pas (ou plus), et je n'arrive pas à les avoir même en allant des personnaliser...
De même à l'instant je viens de voir que tous mes bookmarks ne s'affichent plus (alors qu'il le faisat il y a 30 minutes) - ils sont toujours là mais la liste se coupe avant la fin.
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
1 mai 2013 à 19:58
Encore bonsoir,
J'ai fais pas mal de chose : réintialisation de firefox et suppression cache / cookies etc ...
Et je viens de faire le ComboFix

le rapport : https://pjjoint.malekal.com/files.php?id=20130501_u15b14c12d8g13

(les bookmarks bug toujours, à priori l'un de mes bookmarks est mort, enfin je ne peux pas le double cliquer ni le supprimer c'est étrange...)
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
1 mai 2013 à 20:55
Bonsoir,
j'ai résolu le problème des bookmarks bien que je pense qu'il est intéressant de noter qu'il est apparu de nul part donc peut être inquiétant ...
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
1 mai 2013 à 21:25
Bonsoir,
* Télécharge sur le bureau RogueKiller (par tigzy)

https://www.luanagames.com/index.fr.html

* ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

* Quitte tous tes programmes en cours

* Lance RogueKiller.exe

Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe

* Laisse le prescan se terminer, clique sur Scan

* Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message


0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
1 mai 2013 à 21:53
Bonsoir, voici le rapport obtenu

RogueKiller V8.5.4 [Mar 18 2013] by Tigzy
mail : tigzyRK<at>gmail<dot>com
Feedback : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Website : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Blog : http://tigzyrk.blogspot.com/

Operating System : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Started in : Normal mode
User : Administrator [Admin rights]
Mode : Scan -- Date : 01/05/2013 21:52:28
| ARK || FAK || MBR |

¤¤¤ Bad processes : 0 ¤¤¤

¤¤¤ Registry Entries : 8 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (proxy.cergy.eisti.fr:3128) -> FOUND
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> FOUND
[HJ DESK] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver : [LOADED] ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK3256GSY ATA Device +++++
--- User ---
[MBR] 7ab1bb6de75f45ae0f60be4532f36c5d
[BSP] 11d1e84fdb8683d2781d59e0513d122a : Linux MBR Code
Partition table:
0 - [XXXXXX] LINUX (0x83) [VISIBLE] Offset (sectors): 63 | Size: 7 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16065 | Size: 91565 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 187542871 | Size: 146899 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 488392704 | Size: 66770 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Finished : << RKreport[1]_S_01052013_215228.txt >>
RKreport[1]_S_01052013_215228.txt
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
1 mai 2013 à 22:29
Relance RogueKiller, choisis "Suppression" et poste le rapport stp
Ensuite
Lance Malwarebytes, supprime ce qu'il trouve puis poste le rapport

A demain

Bonne nuit
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
2 mai 2013 à 07:26
Bonjour,
voici les deux rapports

RogueKiller V8.5.4 [Mar 18 2013] by Tigzy
mail : tigzyRK<at>gmail<dot>com
Feedback : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Website : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Blog : http://tigzyrk.blogspot.com/

Operating System : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Started in : Normal mode
User : Administrator [Admin rights]
Mode : Remove -- Date : 01/05/2013 22:35:48
| ARK || FAK || MBR |

¤¤¤ Bad processes : 0 ¤¤¤

¤¤¤ Registry Entries : 8 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (proxy.cergy.eisti.fr:3128) -> NOT REMOVED, USE PROXYFIX
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> DELETED
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REPLACED (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver : [LOADED] ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK3256GSY ATA Device +++++
--- User ---
[MBR] 7ab1bb6de75f45ae0f60be4532f36c5d
[BSP] 11d1e84fdb8683d2781d59e0513d122a : Linux MBR Code
Partition table:
0 - [XXXXXX] LINUX (0x83) [VISIBLE] Offset (sectors): 63 | Size: 7 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16065 | Size: 91565 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 187542871 | Size: 146899 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 488392704 | Size: 66770 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Finished : << RKreport[3]_D_01052013_223548.txt >>
RKreport[1]_S_01052013_215228.txt ; RKreport[2]_S_01052013_223428.txt ; RKreport[3]_D_01052013_223548.txt


Malwarebytes Anti-Malware (PRO) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.05.01.07

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 10.0.9200.16540
Administrator :: ADMIN-PC [administrateur]

Protection: Activé

01/05/2013 22:37:59
mbam-log-2013-05-01 (22-37-59).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 1004519
Temps écoulé: 5 heure(s), 3 minute(s), 55 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
2 mai 2013 à 08:20
Bonjour,
Sinon j'utilise un logiciel pour la maintenance de mon pc : Wise Care
Le connaissez-vous ? Est-il bien ?
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
2 mai 2013 à 20:38
Bonsoir,
Un dossier RK_Quarantine a été créé, puis-je le supprimer ?
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
Modifié par Fish66 le 2/05/2013 à 22:04
Bonsoir,
* Wise Care est un outil de nettoyage et d'optimisation .., il ressemble à Ccleaner
*
 Un dossier RK_Quarantine a été créé, puis-je le supprimer ?

On va suppimer tous les rapports et les outils de désinfection...
Tu peux lancer Delfix : https://forums.commentcamarche.net/forum/affich-27571527-virus-search-exe-et-google#23





¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
Modifié par clad58 le 2/05/2013 à 21:54
Bonsoir,

# DelFix v10.2 - Logfile created 02/05/2013 at 21:36:52
# Updated 02/04/2013 by Xplode
# Username : Administrator - ADMIN-PC

~ Removing disinfection tools ...

Deleted : C:\Qoobox
Deleted : C:\USBFix
Deleted : C:\Users\Administrator\Desktop\RK_Quarantine
Deleted : C:\AdwCleaner[R1].txt
Deleted : C:\AdwCleaner[S1].txt
Deleted : C:\ComboFix.txt
Deleted : C:\UsbFix [Clean 1] ADMIN-PC.txt
Deleted : C:\UsbFix [Clean 2] ADMIN-PC.txt
Deleted : C:\UsbFix [Scan 1] ADMIN-PC.txt
Deleted : C:\Windows\grep.exe
Deleted : C:\Windows\PEV.exe
Deleted : C:\Windows\NIRCMD.exe
Deleted : C:\Windows\MBR.exe
Deleted : C:\Windows\SED.exe
Deleted : C:\Windows\SWREG.exe
Deleted : C:\Windows\SWSC.exe
Deleted : C:\Windows\SWXCACLS.exe
Deleted : C:\Windows\Zip.exe
Deleted : HKCU\Software\USBFix
Deleted : HKLM\SOFTWARE\OldTimer Tools
Deleted : HKLM\SOFTWARE\AdwCleaner
Deleted : HKLM\SOFTWARE\Swearware
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix

########## - EOF - ##########

J'ai fait toutes les étapes au dessus.
A priori tout va bien :) par contre auriez-vous une idée de la provenance du virus en question car je ne vois pas.
GreaseMonkey est-il d'après vous un mauvais plugin ?
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
2 mai 2013 à 22:40
Bonsoir,
J'ai quand même l'impression de toujours être infecté par quelques choses :
ralentissement sur certains site,
à l'instant j'étais entrain d'écrire du texte et je suis passé en maj sans que le bouton soit appuyé.
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
2 mai 2013 à 23:47
Bonsoir, le plus embêtant dans tous ça c'est que certains de mes plugins ne s'affichent pas :
par exemple là, j'ai installé Auto-Pager mais il ne s'affiche pas ni en icone ni dans le menu Outils alors qu'il devrait se trouver dans les deux menus...
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
3 mai 2013 à 21:32
Bonsoir,
* Ouvre ton menu démarrer

-> Si tu es sur XP, ouvre exécuter, tape cmd et valide par pression sur la touche Enter

-> Sur Vista/Seven, dans le champ "Recherche" tape cmd , sur le résultat qui apparait, clic droit > exécuter en tant qu'administrateur

* Dans la fenêtre noire, tape sfc /scannow et laisse Windows réparer les fichiers.
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
3 mai 2013 à 22:29
Bonsoir,
Voici le résultat :
https://pjjoint.malekal.com/files.php?id=20130503_z15s156z8y13

et ce qu'il a dit : dans la console (le truc noir ;D)

Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. All rights reserved.
--------------------->sfc /scannow

Beginning system scan. This process will take some time.

Beginning verification phase of system scan.
Verification 100% complete.
Windows Resource Protection found corrupt files but was unable to fix some of them.
Details are included in the CBS.Log windir\Logs\CBS\CBS.log. For example
C:\Windows\Logs\CBS\CBS.log
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
3 mai 2013 à 23:52
Bonsoir,
je suis un peu embête car j'ai encore des bugs assez étrange :
- ma navigation privée ne se lance pas toujours des fois elle n'est pas lancé mais je n'arrive pas à la lancer ni avec le raccourci clavier ni depuis le menu
- J'ai eu a l'instant le premier bug (celui du logo google zoomé) puis il est revenu normal...

Je ne comprends pas de quoi cela vient >_<
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
4 mai 2013 à 00:01
Bonsoir,
je confirme le virus est de retour même chose
Aucun des sites que j'ai visité n'étaient marqués comme dangereux par WOT
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
5 mai 2013 à 10:35
Bonjour,
*Télécharge Dr Web CureIt sur ton Bureau

* Exécute le.

*Alerte "protection renforcée" cliquer sur >> OK

*Clique sur "mettre à jour" et ensuite sur "commencer le scan", patiente et laisse travailler l'outil durant l'analyse

*Si détection >> Quarantaine

*Clique sur "fichier" et "enregistrer le rapport", poste le dans ta prochaine réponse

*Sers-toi du tutoriel ci-dessous pour l'utilisation de Dr Web

Tutoriel

-----------------------------------------------------------------------

Voici : un tutoriel explicatif

-----------------------------------------------------------------------


0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
5 mai 2013 à 12:51
Bonjour,
je viens de faire les scans.
Premièrement, je n'ai pas trouvé de bouton "mettre à jour" même dans les icones et deuxièmement, je n'ai pas non plus trouvé de bouton "fichier" pour enregistrer le rapport.

Pour ce qui est des scans :
Le premier (sans changer les options) à donné comme résultat : 0 menace
Le deuxième (avec toutes les cases cochés dans les options de recherche) à donné comme résultat : 0 menace
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
5 mai 2013 à 13:38
Re,
On va essayer de réparer ton windows d'une autre facon en suivant : ce tutoriel
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
5 mai 2013 à 14:16
Bonjour,
euh c'est un pc de mon école donc je n'ai pas eu de cd Windows fourni. Mais avant de faire ça voici un peu la situation :

Récemment, je n'ai plus le problème du "search.exe" (mais bon je ne me réjouis pas trop vite) mais d'autre problèmes (peut être liées je ne sais pas)
Mais je ne peux plus lancer la navigation privée (est-ce liée à la beta de firefox ? ), certaines des icones d'add-ons ne s'affichent pas (par exemple autoPager...)
0
clad58 Messages postés 75 Date d'inscription jeudi 3 août 2006 Statut Membre Dernière intervention 13 mai 2013 1
5 mai 2013 à 14:27
Mais je ne peux plus lancer la navigation privée (est-ce liée à la beta de firefox ? ), certaines des icones d'add-ons ne s'affichent pas (par exemple autoPager...)

Ce problème est réglé et était dû à l'add-on Web Developper... :'(

Pour ce qui est du "search.exe" je ne le vois pas encore donc bonne nouvelle mais j'ai peur qu'il revienne aussi vite... Comment m'en protéger ? ^o)
0