Pc infecté ???

salut

Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

ok merciii

# AdwCleaner v2.202 - Rapport créé le 23/04/2013 à 15:40:53
# Mis à jour le 23/04/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits)
# Nom d'utilisateur : Mareva - MAREVA-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Mareva\Downloads\adwcleaner (2).exe
# Option [Suppression]

***** [Services] *****

***** [Fichiers / Dossiers] *****

Supprimé au redémarrage : C:\Users\Mareva\AppData\Roaming\Mozilla\Firefox\Profiles\vd7ug0ce.default\extensions\{1fd91a9c-410c-4090-bbcc-55d3450ef433}

***** [Registre] *****

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16470

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v10.0.5 (en-US)

Fichier : C:\Users\Mareva\AppData\Roaming\Mozilla\Firefox\Profiles\vd7ug0ce.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v26.0.1410.64

Fichier : C:\Users\Mareva\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée [l.53] : keyword = "search-results.com",
Supprimée [l.57] : search_url = "hxxp://dts.search-results.com/sr?src=crb&gct=ds&appid=484&systemid=406&apn_dtid[...]

*************************

AdwCleaner[R1].txt - [23435 octets] - [21/11/2012 17:15:00]
AdwCleaner[R2].txt - [10354 octets] - [23/04/2013 15:23:06]
AdwCleaner[R3].txt - [1460 octets] - [23/04/2013 15:29:42]
AdwCleaner[S1].txt - [23401 octets] - [21/11/2012 17:15:30]
AdwCleaner[S2].txt - [10041 octets] - [23/04/2013 15:23:31]
AdwCleaner[S3].txt - [1530 octets] - [23/04/2013 15:30:01]
AdwCleaner[S4].txt - [1581 octets] - [23/04/2013 15:40:53]

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

oulaaa !! bon ok j'espère ne pas faire d'erreur merciii

bah y a du texte mais c est pas mechant :)

https://www.cjoint.com/c/CDxqEJ6vmh9

j'espère ne pas m'être trompée merciii

ok il faudrait que tu desactives la sandbox d'avast dans l'onglet "protections supllementaires de celui-ci

ensuite lance cet outil , puis heberge comme tu l'as fait pour l'autre rapport sur https://www.cjoint.com/ ( Part_Look.txt qui se mettra sur ton bureau )

http://www.security-helpzone.com/Tools/g3n/Part_Look.exe

ok merci

il faut que je clique où sur le site ? look ??

sa m'a juste mis ça

Disk: 0 Size=477G
Pos MBRndx Type/Name Size Active Hide Start Sector Sectors
--- ------ ---------- ---- ------ ---- ------------ ------------
0 0 27-UNKNWN 13G No No 2,048 26,624,000
1 1 07-NTFS 100M Yes No 26,626,048 204,800
2 2 07-NTFS 464G No No 26,830,848 949,940,272

je t'avais demandé de l heberger mais c est bon j'ai pu le lire comme ca

==

relance pre_scan , clique sur diag , heberge le rapport pre_diag sur https://www.cjoint.com/ puis donne le lien obtenu

voilà

https://www.cjoint.com/c/CDxrwin4Ti0

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.04.23.04

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Mareva :: MAREVA-PC [administrateur]

23/04/2013 17:44:17
mbam-log-2013-04-23 (17-44-17).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 393792
Temps écoulé: 55 minute(s), 35 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 5
C:\Pre_Scan\Quarantine\C'_Users_Mareva_Downloads_eMuleSetup (1).exe.P_S (Adware.Hotbar) -> Mis en quarantaine et supprimé avec succès.
C:\Pre_Scan\Quarantine\C'_Users_Mareva_Downloads_eMuleSetup (2).exe.P_S (Adware.Hotbar) -> Mis en quarantaine et supprimé avec succès.
C:\Pre_Scan\Quarantine\C'_Users_Mareva_Downloads_eMuleSetup.exe.P_S (Adware.Hotbar) -> Mis en quarantaine et supprimé avec succès.
C:\Pre_Scan\Quarantine\C'_Users_Mareva_Downloads_tuto_googlechrome.exe.P_S (Trojan.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Mareva\Downloads\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin)

tu pourras quand on aura fini , virer iobit malware sert à rien pour mettre Avast
desinstalle aussi IMVU
desinstalle aussi toolbarFR

===

emule , arès, etc , c'est le meilleur moyen pour se faire infecter

===

tu es en chine ?

===

selectionne ce texte , puis CTRL + C :

Kill::

Key::
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DE939062-7FA0-4030-9E4F-283C392D32AB}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DE939062-7FA0-4030-9E4F-283C392D32AB}]
[HKU\S-1-5-21-626529243-327759216-3920316985-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C1ED9DA0-AFD0-4b90-AC6A-D3874F591014},]
[HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{2318C2B1-4965-11D4-9B18-009027A5CD4F}]
[HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{963B125B-8B21-49A2-A3A8-E37092276531}]
[HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}]
[HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C9A6357B-25CC-4BCF-96C1-78736985D412}]
[HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{000F18F2-09EB-4A59-82B2-5AE4184C39C3}]
[HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00CBB66B-1D3B-46D3-9577-323A336ACB50}]
[HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011341191}]
[HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{74F475FA-6C75-43BD-AAB9-ECDA6184F600}]
[HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{963B125B-8B21-49A2-A3A8-E37092276531}]
[HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9E131A93-EED7-4BEB-B015-A0ADB30B5646}]
[HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C9A6357B-25CC-4BCF-96C1-78736985D412}]
[HKU\S-1-5-21-626529243-327759216-3920316985-1000\Software\ilividtoolbargaw]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{16AF57E8-7F29-4F1B-AE68-408A8ABFA8DB}]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{1D349167-9DF6-4F53-BEDA-E4F29891A843}]
[HKLM\Software\Microsoft\windows\CurrentVersion\Uninstall\ilividtoolbargaw]
[HKLM\Software\Wow6432Node\Microsoft\windows\CurrentVersion\Uninstall\ilividtoolbargaw]
[HKCR\CLSID\{33333333-3333-3333-3333-330033343391}]
[HKCR\CLSID\{22222222-2222-2222-2222-220022342291}]

File|Fold::
C:\Users\Mareva\AppData\Roaming\Mozilla\Firefox\Profiles\vd7ug0ce.default\extensions\{1FD91A9C-410C-4090-BBCC-55D3450EF433}
C:\Program Files (x86)\Mozilla Firefox\extensions\toolbar@iadah.com
C:\Program Files (x86)\Mozilla Firefox\extensions\{1FD91A9C-410C-4090-BBCC-55D3450EF433}
C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
C:\e6af8098f50fb5739419aa3e67fdc4
C:\0041f9359bb794fe47
C:\e3c90ef989fb3b6f5ae992da
C:\8eb161bfab8b9abe35eedee8cd0b57
C:\Users\Mareva\Desktop\ssk_claro.exe
C:\Users\Mareva\Downloads\AdbeRdrUpd94*.msp
C:\Users\Mareva\AppData\Roaming\stats.txt
C:\Users\Mareva\AppData\Local\{*}
C:\Program Files (x86)\GUMC5D4.tmp
C:\Windows\System32\Tasks\CreateChoiceProcessTask
C:\Windows\System32\Tasks\Browser Manager

Clean::

Mbr::

Reboot::


Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

le programme a travaillé le pc s'est éteint puis rallumé mais aucun texte nul part !!

non non je n'habite pas en Chine , bien en France

j'avais dû faire une mauvaise manipulation je l'ai relancé

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0416 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Mareva : Windows 7 Home Premium (64 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 20:20:07

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Stopped Processes

(800) -- ASCService.exe
(1436) -- spoolsv.exe
(1504) -- IMFsrv.exe
(1592) -- armsvc.exe
(1636) -- dsiwmis.exe
(1692) -- ePowerSvc.exe
(1724) -- GREGsvc.exe
(1756) -- LMS.exe
(1796) -- IScheduleSvc.exe
(1940) -- UpdaterService.exe
(2008) -- WLIDSVC.EXE
(1344) -- WLIDSVCM.EXE
(2108) -- taskeng.exe
(2196) -- taskhost.exe
(2208) -- explorer.exe
(2320) -- AmIcoSinglun64.exe
(2632) -- igfxtray.exe
(2052) -- SearchIndexer.exe
(2676) -- SynTPEnh.exe
(3212) -- SynTPHelper.exe
(3300) -- wmpnetwk.exe
(3312) -- Ares.exe
(3384) -- Lightshot.exe
(3432) -- ASCTray.exe
(3112) -- SearchProtocolHost.exe
(3472) -- IMF.exe
(3220) -- chrome.exe
(1348) -- chrome.exe
(3872) -- chrome.exe
(848) -- chrome.exe
(3972) -- chrome.exe
(2460) -- chrome.exe
(2424) -- UNS.exe
(4644) -- TrustedInstaller.exe
(4792) -- wuauclt.exe
(5096) -- SearchFilterHost.exe

¤¤¤¤¤¤¤¤¤¤ | Registry Deletions

Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DE939062-7FA0-4030-9E4F-283C392D32AB}
Key Deleted : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DE939062-7FA0-4030-9E4F-283C392D32AB}
Key Deleted : HKU\S-1-5-21-626529243-327759216-3920316985-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C1ED9DA0-AFD0-4b90-AC6A-D3874F591014},
Key Deleted : HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{2318C2B1-4965-11D4-9B18-009027A5CD4F}
Key Deleted : HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{963B125B-8B21-49A2-A3A8-E37092276531}
Key Deleted : HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Key Deleted : HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C9A6357B-25CC-4BCF-96C1-78736985D412}
Key Deleted : HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Deleted : HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{000F18F2-09EB-4A59-82B2-5AE4184C39C3}
Key Deleted : HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00CBB66B-1D3B-46D3-9577-323A336ACB50}
Key Deleted : HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011341191}
Key Deleted : HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{74F475FA-6C75-43BD-AAB9-ECDA6184F600}
Key Deleted : HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{963B125B-8B21-49A2-A3A8-E37092276531}
Key Deleted : HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9E131A93-EED7-4BEB-B015-A0ADB30B5646}
Key Deleted : HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C9A6357B-25CC-4BCF-96C1-78736985D412}
Key Deleted : HKU\S-1-5-21-626529243-327759216-3920316985-1000\Software\ilividtoolbargaw
Value Deleted : [HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]:{16AF57E8-7F29-4F1B-AE68-408A8ABFA8DB}
Value Deleted : [HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]:{1D349167-9DF6-4F53-BEDA-E4F29891A843}
Key Deleted : HKLM\Software\Microsoft\windows\CurrentVersion\Uninstall\ilividtoolbargaw
Key Deleted : HKLM\Software\Wow6432Node\Microsoft\windows\CurrentVersion\Uninstall\ilividtoolbargaw
Key Deleted : HKCR\CLSID\{33333333-3333-3333-3333-330033343391}
Key Deleted : HKCR\CLSID\{22222222-2222-2222-2222-220022342291}

¤

C:\Users\Mareva\AppData\Roaming\Mozilla\Firefox\Profiles\vd7ug0ce.default\extensions\{1FD91A9C-410C-4090-BBCC-55D3450EF433} : Not Found !
C:\Program Files (x86)\Mozilla Firefox\extensions\toolbar@iadah.com : Not Found !
C:\Program Files (x86)\Mozilla Firefox\extensions\{1FD91A9C-410C-4090-BBCC-55D3450EF433} : Not Found !
C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} : Not Found !
C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} : Not Found !
C:\e6af8098f50fb5739419aa3e67fdc4 : Not Found !
C:\0041f9359bb794fe47 : Not Found !
C:\e3c90ef989fb3b6f5ae992da : Not Found !
C:\8eb161bfab8b9abe35eedee8cd0b57 : Not Found !
C:\Users\Mareva\Desktop\ssk_claro.exe : Not Found !
C:\Users\Mareva\Downloads\AdbeRdrUpd94*.msp : Not Found !
C:\Users\Mareva\AppData\Roaming\stats.txt : Not Found !
Impossible to move Folder : |D| - C:\Users\Mareva\AppData\Local\{*}
C:\Program Files (x86)\GUMC5D4.tmp : Not Found !
C:\Windows\System32\Tasks\CreateChoiceProcessTask : Not Found !
C:\Windows\System32\Tasks\Browser Manager : Not Found !

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version: Windows 7 Home Premium Edition
Windows Information: (build 7600), 64-bit
Base Board Manufacturer: Packard Bell
BIOS Manufacturer: Phoenix Technologies LTD
System Manufacturer: Packard Bell
System Product Name: EasyNote LM85
Logical Drives Mask: 0x0000000c

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows 2008 MBR code detected

64 bits Not supported by MBR.exe , Dump : C:\Pre_Scan\MBR.Bin

¤

¤¤¤¤¤¤¤¤¤¤ | Disk cleaning

Disk cleaned

¤

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 20:20:57

ok alors tu as des dns qui vont en chine.....

tu n'as aucun rapport avec la chine ?

descends dans cette page :

https://www.ip-tracker.org/locator/ip-lookup.php?ip=192.51.104.23

edit::

en fait non c'est au japon lol

¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤