besoin d'aide infection Résolu/Fermé

Question

bonjour , je lance une bouteille a la mer voila depuis quelques jours quand je surf sur internet j'ai des petites pages de pubs qui s'insère dans mes pages " ads not by this site " " quelque soit le navigateur que j'emploie : internet explorer ou firefox je n'arrive pas a m'en débarrasser je rends les armes après avoir essayer plusieurs méthode : Malwarbytes , spybot , adwcleaner , j'ai aussi regarder les modules complémentaire installés mais rien c'est rester un échec complet si quelqu'un a la solution je suis preneuse je suis sous windows 7 

merci par avance

H.A.W.X · Answer

Bonjour,

Je voudrais cependant que tu appliques ses deux règles :

TOUT LES OUTILS DOIVENT ETRE LANCES DEPUIS LE BUREAU !!! 
TOUT LES RAPPORTS SONT A METTRE SUR http://upload.sosvirus.net/

La désinfection ne devrait pas durer trop longtemps ;)

---------------

Fais ceci :

~ https://www.sosvirus.net/#p4943

J'attends donc 1 rapports :
~ ZHPscan.txt ( sur http://upload.sosvirus.net/ )

raffine · Answer

merci pour ta réponse rapide je mis met de suite et poste le rapport

raffine · Answer

j'ai télécharger ZHP mais je ne vois pas comment lancer le scan il n'est pas pareil que le descriptif

H.A.W.X · Answer

Bonjour,

Je viens de vérifier, c'est bien ça, toutes les indications sont dans le lien ;)

raffine · Answer

j'ai trouver la bonne version j'effectue le scan et je te donne le rapport

raffine · Answer

j'ai mis le scan en route mais au bout de quelque seconde de recherche il me met un message " violation d'accès a l'adresse 0040743A dans le module ZHPDIAG.EXE écriture de l'adresse 00000000

raffine · Answer

impossible pour moi de faire le scan normalement

H.A.W.X · Answer

Bonsoir,

Ok, on change de scan ;)

Ceci stp :
~ http://sosvirus.net/viewtopic.php?f=281&t=576

raffine · Answer

bonjour , voici le lien du rapport :

http://upload.sosvirus.net/log/SosUpload.3e4223c025532e5d6ea6c8816510a7c1.txt

H.A.W.X · Answer

Bonjour,

Tu aurai du venir nous voir de suite au lieu de télécharger des logiciel pourris.
On va arranger cela !

Ceci stp :
~ http://sosvirus.net/viewtopic.php?f=281&t=594

J'attends 1 rapport :
¤ mbam.txt

raffine · Answer

merci pour ta patience , l'examen est en cours je poste le rapport des qu'il a terminer

raffine · Answer

voici le lien de mon rapport :

http://upload.sosvirus.net/log/SosUpload.2929ad910540d45267ac187515827124.txt

H.A.W.X · Answer

Bonsoir,

Tu as bien fait de venir, cette infection est particulièrement embêtante.
Pas de panique malwarebytes à fait du bon boulot ! ;)

On va vérifier qu'il n'y est pas de trâces :
~ http://www.sosvirus.net/viewtopic.php?f=281&t=662&p=4208#p4208

J'attends donc 1 rapport :
¤ TDSSKiller.¤¤¤¤ log.txt  ( sur http://upload.sosvirus.net/ )

raffine · Answer

je mis mets de suite

raffine · Answer

voila c'est fait 

http://upload.sosvirus.net/log/SosUpload.dda7fd80535f5fcf3d1e497ca3f55846.txt

H.A.W.X · Answer

Bonsoir,

TDSS à fait un très bon travail !

Je te conseille vivement de rester jusqu'à la fin de la désinfection ! :)

Ceci maintenant ( on avance :) ) :
~ http://sosvirus.net/viewtopic.php?f=281&t=603

J'attends donc 1 rapport :
¤ RKreport[0]¤D¤.txt ( sur http://upload.sosvirus.net/ )

raffine · Answer

bonjour , désoler pour hier soir je bossais tôt ce matin je fais ça de suite et je poste le rapport

raffine · Answer

voila les deux rapports 

http://upload.sosvirus.net/log/SosUpload.9265da5ac6ba0432c4f7e40fb7fd3d54.txt



http://upload.sosvirus.net/log/SosUpload.f399715601a35cf6c5d4e5d339bfcced.txt

H.A.W.X · Answer

Bonjour,

Aucun, souci je te prépare la suite !

A de suite ! ;)

raffine · Answer

pas de soucis

H.A.W.X · Answer

Bonjour,

Fais ceci stp, je veux vérifier quelque chose ;) :
~ http://www.sosvirus.net/viewtopic.php?f=281&t=803

J'attends donc 1 rapport :
¤  ESETSirefefCleaner.exe_¤¤¤¤¤¤¤.txt ( sur http://upload.sosvirus.net/ )

raffine · Answer

je t'envoie le rapport ici car j'ai bien le site d'hébergement mais il ne charge pas et je n'ai pas la case envoyer  

[2013.07.02 20:09:28.542] - 
[2013.07.02 20:09:28.542] -     ....................................
[2013.07.02 20:09:28.542] -   ..::::::::::::::::::....................
[2013.07.02 20:09:28.542] -   .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT..    Win32/Sirefef
[2013.07.02 20:09:28.542] -  .::EE::::EE:SS:::::::.EE....EE....TT......   Version: 1.1.0.12
[2013.07.02 20:09:28.542] -  .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT......   Built: Jul  1 2013
[2013.07.02 20:09:28.542] -  .::EE:::::::::::::SS:.EE..........TT......
[2013.07.02 20:09:28.552] -   .::EEEEEE:::SSSSSS::..EEEEEE.....TT.....    Copyright (c) ESET, spol. s r.o.
[2013.07.02 20:09:28.552] -   ..::::::::::::::::::....................    1992-2013. All rights reserved.
[2013.07.02 20:09:28.552] -     ....................................
[2013.07.02 20:09:28.552] - 
[2013.07.02 20:09:28.552] - --------------------------------------------------------------------------------
[2013.07.02 20:09:28.552] - 
[2013.07.02 20:09:28.552] - INFO: OS: 6.1.7601 SP1
[2013.07.02 20:09:28.552] - INFO: Product Type: Workstation
[2013.07.02 20:09:28.552] - INFO: WoW64: True
[2013.07.02 20:09:28.552] - INFO: Machine guid: FB238B7A-F8B3-43CD-98C2-870F4422D008 
[2013.07.02 20:09:28.552] - 
[2013.07.02 20:09:30.962] - INFO: EULA Accepted
[2013.07.02 20:09:30.962] - --------------------------------------------------------------------------------
[2013.07.02 20:09:30.962] - INFO: Scanning for system infection...
[2013.07.02 20:09:30.962] - --------------------------------------------------------------------------------
[2013.07.02 20:09:30.972] - 
[2013.07.02 20:09:30.972] - 
[2013.07.02 20:09:30.972] - INFO: Current Shell HKLM [explorer.exe].
[2013.07.02 20:09:30.972] - INFO: Current SubSystems [%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16].
[2013.07.02 20:09:30.982] - 
[2013.07.02 20:09:30.982] - INFO: Detected suspicious PE structure modification of [C:\Windows\system32\Services.exe] - [2F46C1760C531EB2B181F9076E552E8A].
[2013.07.02 20:09:31.022] - 
[2013.07.02 20:09:31.022] - INFO: Win64/Sirefef found

H.A.W.X · Answer

Bonsoir,

Ok deux manips à faire pour ce soir, ma première classique, comme les autres que je te mets si dessous :)

La seconde je posterai juste en dessous de ce messages pour que tu y vois clair.

A faire :
~ http://www.sosvirus.net/post5066.html#p5066

J'attends donc le rapport.

H.A.W.X · Answer

Deuxième étape :

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !! 
Attention !!! : cet outil peut etre détecté à tort comme virus 
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous 

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique. 

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp 

telecharge et enregistre Pre_Scan sur ton bureau : 

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon) 

ou , si le lien n'est pas fonctionnel : 

http://www.archive-host.com (renommé winlogon) 
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon) 

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill" 

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions : 

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr 
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif 
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com 

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler. 

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur. 

Laisse l'outil redemarrer ton pc. 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ ) 

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long) 

Heberge le rapport sur http://upload.sosvirus.net puis donne le lien obtenu en echange sur le forum où tu te fais aider

raffine · Answer

bonjour , désoler je n'ai pas pu être là avant alors voila pour la première partie 

http://upload.sosvirus.net/log/SosUpload.75e7661f6edc3649d7e15b53dcd9fa0f.log

http://upload.sosvirus.net/log/SosUpload.d92e7cc1ca1e7cf810f47681575c7ab0.log


je passe a l'étape suivante

raffine · Answer

impossible de passer a la deuxième partie des que le scan commence un message apparait " Windows à rencontré un problème critique et redemandera automatiquement dans une minute enregistrer votre travail " et juste avant de s'éteindre un autre message apparait avec un petite crois rouge avec écrit " line 51118 ... et je n'ai pas le temps de lire la suite le pc ce coupe et il redémarre normalement

H.A.W.X · Answer

Bonjour,

Ok ESET à fait son boulot, on passe à un Scan plus puissant pour finir l'infection, n réparera les services endommagés après ;)

Ceci juste avant le scan stp ;) :
~ http://sosvirus.net/viewtopic.php?f=281&t=604

Ceci stp :
~ http://sosvirus.net/viewtopic.php?f=281&t=597

J'attends donc 2 ou 3 rapport(s) :
¤ RKreport[X]¤H¤.txt ( sur http://upload.sosvirus.net/ )
¤ OTL.txt  ( sur http://upload.sosvirus.net/ )
¤ Extras.txt ( sur http://upload.sosvirus.net/ )

raffine · Answer

je le fait de suite

raffine · Answer

alors pour roguekiller le pre scan s'est dérouler normalement il na rien trouver je n'ai pas pu appuyer sur horst raz puisqu'il n'était pas coché 
( j'ai pas cliclé sur scan juste le pré scan qu'il fait a l'ouverture ) 

je fait l'autre maintenant et je te mets le ou les rapports

raffine · Answer

j'ai bien les deux autres rapports mais je n'arrive pas a les héberger quand j'envoie il me met le message suivants : Les fichiers avec l'extension .Txt ne peuvent pas ?tre uploadés !

H.A.W.X · Answer

Bonsoir,

Ok tente ici stp : https://www.cjoint.com/

raffine · Answer

http://cjoint.com/?3GdxaLxGSWg

raffine · Answer

étrange le lien tu arrive a l'ouvrir ?

raffine · Answer

deuxième lien 

http://cjoint.com/?3GdxdEINvXS

H.A.W.X · Answer

Bonsoir,

Oui aucun soucis ;)

Je ne pourrais très certainement pas te répondre avant demain soir, car j'ai des rendez vous. As tu constaté une amélioration tout de même ? 

Bonne soirée

raffine · Answer

oh que oui tu as fait de l'excellent travail il fonctionne très bien je vois nettement la différence

raffine · Answer

bonne soirée a toi a demain et merciiiiiiii tout plein

H.A.W.X · Answer

Bonsoir,

Comme promis me revoilà :)

Alors je fais le point. Quelques reste de ton infection car elle était bien conséquente ! Je pense que tu as du les attraper avec ces jeux de casino, je peux me tromper mais sache le ;)

Désinstaller tout ces logiciels via le panneau de configuration :

* CasinoSystemsStatic000
* ConanCasino
* CrazyLuckCasino
* GoldenCherryCasino
* Grandluxe
* Play2Win
* RockbetCasino
* Spybot
* SupremePlay
* Tradition2Casino
* VersaillesCasino

===================================================

Copie les lignes en gras ci dessous :

:OTL
DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O4 - HKU\S-1-5-21-1512378914-3223042171-750479366-1000..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe File not found
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
SafeBootMin:64bit: 17788739.sys - Driver
SafeBootMin:64bit: 59711102.sys - Driver
SafeBootMin: 17788739.sys - Driver
SafeBootMin: 59711102.sys - Driver
SafeBootNet:64bit: 17788739.sys - Driver
SafeBootNet:64bit: 59711102.sys - Driver
SafeBootNet: 17788739.sys - Driver
SafeBootNet: 59711102.sys - Driver
[2 C:\Windows\SysNative\*.tmp files -> C:\Windows\SysNative\*.tmp -> ]
[2013/05/11 16:12:17 | 000,000,000 | ---D | M] -- C:\Users\DAVID ET MONIA OCCAS\AppData\Roaming\Box24
[2013/06/06 01:01:06 | 000,000,000 | ---D | M] -- C:\Users\DAVID ET MONIA OCCAS\AppData\Roaming\Grandluxe
[8 C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp\*.tmp files -> C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp\*.tmp -> ]

:Files
C:\Program Files\Enigma Software Group
C:\Program Files (x86)\Spybot - Search & Destroy
ipconfig /flushdns /c

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"CasinoSystemsStatic000"=-
"ConanCasino"=-
"CrazyLuckCasino"=-
"GoldenCherryCasino"=-
"Grandluxe"=-
"Play2Win"=-
"RockbetCasino"=-
"SupremePlay"=-
"Tradition2Casino"=-
"VersaillesCasino"=-
[HKEY_USERS\S-1-5-21-1512378914-3223042171-750479366-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"William Hill CASINO CLUB"=-

:Commands
[emptytemp]
[createrestorepoint]

Puis suis ceci :
~ http://sosvirus.net/viewtopic.php?f=281&t=601

Je ne te donne que ça à faire, courage on voit le bout ! 
Encore un outil conséquent à passer après celui çi, puis on termine avec des scans beaucoup moins lourd et long ;)

++

raffine · Answer

bonsoir , a l'avenir je ferais attention je vais donc désinstaller tout ce petit monde là et ensuite je copie tout les lignes que tu as citer plus haut et ensuite je fait un coller dans le petit volet de OTL ?

raffine · Answer

voila j'ai terminer voici le rapport :

All processes killed
========== OTL ==========
Service esgiguard stopped successfully!
Service esgiguard deleted successfully!
File C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53707962-6F74-2D53-2644-206D7942484F}\ not found.
File C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll not found.
Registry value HKEY_USERS\S-1-5-21-1512378914-3223042171-750479366-1000\Software\Microsoft\Windows\CurrentVersion\Run\SpybotSD TeaTimer not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\ not found.
File C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll not found.
64bit-Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SafeBootMin 17788739.sys\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SafeBootMin 59711102.sys\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\17788739.sys\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\59711102.sys\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SafeBootNet 17788739.sys\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SafeBootNet 59711102.sys\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\17788739.sys\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\59711102.sys\ deleted successfully.
C:\Windows\SysNative\9230.tmp deleted successfully.
C:\Windows\SysNative\AA53.tmp deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\AppData\Roaming\Box24 folder moved successfully.
C:\Users\DAVID ET MONIA OCCAS\AppData\Roaming\Grandluxe folder moved successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp\7zSFB34.tmp folder deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp\is2BF4.tmp deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
sm60A4.tmp\SkinnedControls.dll deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
sm60A4.tmp\UserInfo.dll deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
sm60A4.tmp folder deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
sq74A0.tmp\SkinnedControls.dll deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
sq74A0.tmp\UserInfo.dll deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
sq74A0.tmp folder deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
sqF718.tmp\SkinnedControls.dll deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
sqF718.tmp\UserInfo.dll deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
sqF718.tmp folder deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
sr22E9.tmp\SkinnedControls.dll deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
sr22E9.tmp\UserInfo.dll deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
sr22E9.tmp folder deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
sv1D4D.tmp\SkinnedControls.dll deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
sv1D4D.tmp\UserInfo.dll deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
sv1D4D.tmp folder deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
sw3DD8.tmp\SkinnedControls.dll deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
sw3DD8.tmp\UserInfo.dll deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
sw3DD8.tmp folder deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
swAFDC.tmp\SkinnedControls.dll deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
swAFDC.tmp\UserInfo.dll deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp
swAFDC.tmp folder deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp\svry8.tmp folder deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp\utt6F37.tmp deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp\_iu14D2N.tmp deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp\~DF2DCA7BF454D3024D.TMP deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp\~DF6A145500C38D7703.TMP deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp\~DFC54A9B9AA2D2C906.TMP deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp\~DFED073D360C6994A5.TMP deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp\~nsu.tmp\Au_.exe deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Local Settings\Temp\~nsu.tmp folder deleted successfully.
========== FILES ==========
File\Folder C:\Program Files\Enigma Software Group not found.
C:\Program Files (x86)\Spybot - Search & Destroy folder moved successfully.
[color=#A23BEC]< ipconfig /flushdns /c >/color
Configuration IP de Windows
Cache de r'solution DNS vid'.
C:\Users\DAVID ET MONIA OCCAS\Desktop\cmd.bat deleted successfully.
C:\Users\DAVID ET MONIA OCCAS\Desktop\cmd.txt deleted successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CasinoSystemsStatic000 not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ConanCasino not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CrazyLuckCasino not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\GoldenCherryCasino not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Grandluxe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Play2Win not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RockbetCasino not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SupremePlay not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Tradition2Casino not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VersaillesCasino not found.
Registry value HKEY_USERS\S-1-5-21-1512378914-3223042171-750479366-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\William Hill CASINO CLUB not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: DAVID ET MONIA OCCAS
->Temp folder emptied: 8236732 bytes
->Temporary Internet Files folder emptied: 81319746 bytes
->FireFox cache emptied: 138642136 bytes
->Google Chrome cache emptied: 23618748 bytes
->Flash cache emptied: 6569 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 19226 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 51698 bytes
RecycleBin emptied: 14989641 bytes
 
Total Files Cleaned = 255,00 mb
 
Restore point Set: OTL Restore Point
 
OTL by OldTimer - Version 3.2.69.0 log created on 07042013_213226

Files\Folders moved on Reboot...
C:\Users\DAVID ET MONIA OCCAS\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

H.A.W.X · Answer

Bonsoir,

Ok.

Dernier scan long et ensuite on gère pour terminé et supprimer les petits intrus.

==================================================

 Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !! 
Attention !!! : cet outil peut etre détecté à tort comme virus 
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous 

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique. 

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp 

telecharge et enregistre Pre_Scan sur ton bureau : 

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon) 

ou , si le lien n'est pas fonctionnel : 

http://www.archive-host.com (renommé winlogon) 
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon) 

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill" 

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions : 

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr 
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif 
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com 

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler. 

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur. 

Laisse l'outil redemarrer ton pc. 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ ) 

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long) 

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

raffine · Answer

je me mets au travail

raffine · Answer

même problème qu'hier impossible de faire le scan " Windows à rencontré un problème critique et redemandera automatiquement dans une minute enregistrer votre travail " puis il s'éteint et un petit message apparait mais pas le temps de lire

H.A.W.X · Answer

Bonsoir,

Essayes de le passer en mode sans échec stp :)

raffine · Answer

d'accord je vais essayer

raffine · Answer

c'est le même problème en mode sans échec

raffine · Answer

d'accord

raffine · Answer

même soucis " vous allez être déconnecter  Windows à rencontré un problème critique et redemandera automatiquement dans une minute enregistrer votre travail "

déjà hier j'avais essayer avec les trois extension que tu m'avais donner mais rien y fait il coupe des le démarrage du scan

H.A.W.X · Answer

Bonsoir,

Ok je vais faire remonter l'info ;)

On clean le reste du système :
~ http://sosvirus.net/viewtopic.php?f=281&t=546

Ensuite :
~ http://sosvirus.net/viewtopic.php?f=281&t=611

J'attends donc 2 rapports :
¤ Adwcleaner.txt ( sur http://upload.sosvirus.net/ )
¤ SFT.txt ( sur http://upload.sosvirus.net/ )

raffine · Answer

très bien je fait ça et je poste mes rapports

raffine · Answer

voila le premier rapport :

http://upload.sosvirus.net/log/SosUpload.9073a2ce4a8c6cbf7f7c1b3636b3a1f2.txt

et le suivant :http://upload.sosvirus.net/log/SosUpload.26ccbe3379f264e86bad378d290953cd.txt

H.A.W.X · Answer

Bonsoir,

Ok dernier scan et on enlève tout les outils que je t'ai fais téléchargé ;)
~ http://sosvirus.net/viewtopic.php?f=281&t=576

J'attends donc 1 rapport :
¤ ZHPDiag.txt ( sur http://upload.sosvirus.net/ )

raffine · Answer

je fait ça de suite

raffine · Answer

voila c'est fait :

http://upload.sosvirus.net/log/SosUpload.91a9fb8da34847d7d5a55f6b5d44f530.txt

H.A.W.X · Answer

Bonsoir,

Copie les lignes en gras ci dessous :

SysRestore

[MD5.00000000000000000000000000000000] [APT] [{43B75D7C-F46F-47E0-B28C-CDD5A3CC5111}] (...) -- F:\Program Files\EuroKingCasino\Uninstall.exe (.not file.)   [0]
[MD5.00000000000000000000000000000000] [APT] [{8549C74B-F536-4E16-BDA3-135A7314DE74}] (...) -- C:\Program Files (x86)\GfedUsdfr7F\Casino.exe (.not file.)   [0]
[MD5.00000000000000000000000000000000] [APT] [{8D29651B-A5E3-4115-A416-B2E99588FC81}] (...) -- C:\Program Files (x86)\GfedUsdfr7F\Casino.exe (.not file.)   [0]
[MD5.00000000000000000000000000000000] [APT] [Express FilesUpdate] (...) -- C:\Program Files (x86)\ExpressFiles\EFUpdater.exe (.not file.)   [0]  
[MD5.00000000000000000000000000000000] [APT] [YourFile DownloaderUpdate] (...) -- C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe (.not file.)   [0]  
[HKCU\Software\Casino Del Rio]    
[HKLM\Software\Wow6432Node\StarterTV]  
O51 - MPSK:{65b1d879-a6ac-11e2-a642-806e6f6e6963}\AutoRun\command. (...) -- D:\Run.exe (.not file.)    
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe  =>Rootkit.TDSS
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe  =>Rootkit.TDSS
[HKLM\Software\Wow6432Node\Microsoft\Tracing\YourFile_RASAPI32] =>PUP.YourFileDownloader
[HKLM\Software\Wow6432Node\Microsoft\Tracing\YourFileUpdater_RASAPI32]
[HKLM\Software\Wow6432Node\Microsoft\Tracing\YourFileUpdater_RASMANCS] 
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD] 
O90 - PUC: "8EA7D6326587DA94C901A9DF379E892E" . (.Win Palace Euro Casino French.) -- C:\Windows\Installer\{236d7ae8-7856-49ad-9c10-9afd73e998e2}\ARPPRODUCTICON.exe    
 

FirewallRaz 
EmptyFlash 
Emptytemp

Puis suis ceci :
~ http://sosvirus.net/viewtopic.php?f=281&t=579

J'attends donc 1 rapport :
¤ ZHPFixReport.txt

Ensuite dit moi si tu as toujours des soucis ;)

raffine · Answer

je le fait de suite

raffine · Answer

voila le rapport

http://upload.sosvirus.net/log/SosUpload.738c93fbc06c968c2eb2a496df97c63a.txt

raffine · Answer

ça a l'air d'aller il a l'air de fonctionner normalement je vois une grande différence comparer au début avant la désinfection il exécute plus vite ce qu'on lui demande je n'ai plus ses fichu petites publicité que j'avais.
 j'avais désinstaller google chrome car je n'arrivais plus a y aller maintenant tout est rentré dans l'ordre grâce a toi tu as fait de l'excellent travail merci tout plein champion ou championne

H.A.W.X · Answer

Bonsoir,

Et bien je suis ravis pour toi ! ;D

Dernière étape :
~ http://sosvirus.net/viewtopic.php?f=281&t=547&start=20

Tu n'es pas obligé de poster le rapport ;)

Si tu n'as pas d'autres question, je te souhaite une bonne continuation !

Amicalement

raffine · Answer

apparemment j'avais une bonne infection sans ton aide j'y serais jamais arriver merci encore pour ta patience bonne continuation a toi je vais terminer la dernière étape

H.A.W.X · Answer

Oui effectivement elle était sérieuse !

Avec plaisir ! :)

H.A.W.X · Answer

Bonjour,

Un petit oublie de ma part, fait cecis stp :
~ http://sosvirus.net/viewtopic.php?f=281&t=604

++ ;)

raffiné · Answer

bonsoir , le pré scan est fini , il n'a rien trouvé d'anormal apparemment puisque que la case Host RAZ est griser on ne peu pas cliclé dessus

raffiné · Answer

d'accord je le fait de suite

raffiné · Answer

voila les rapports :

https://www.cjoint.com/?3GftXrIlVRM

https://www.cjoint.com/?3GftYsE6V0t

raffine · Answer

bonjour , l'accalmie n'aurais duré qu'un bref moment mon virus est revenu sniff ads not by this site est réapparu sur mes trois navigateur explorer , mozilla et sur chrome " message le certificat de sécurité du cite a été révoquer

H.A.W.X · Answer

Bonsoir,

Quel est ton soucis ? Essaye de me décrire au mieux stp ;)

raffine · Answer

ben en fête , les petite publicité revienne sur les page quand je surf elles se nomme ads enfin c'est ce qu'il y a écris en dessous parfois quand je surf sur google en passant par mozilla je clic sur le sujet qui m'intéresse et je suis redirigé sur un autre site et enfin sur google chrome  il m'indique le message suivant " message le certificat de sécurité du cite a été révoquer la page est toute rouge et sur internet explorer ça me fait pareil que sur mozilla les petites pub voila je sais pas si j'ai bien expliquer j'espère que tu comprendra merci d'avoir répondu

raffine · Answer

les petites pages de pub s'insère dans les pages que je visite

H.A.W.X · Answer

Bonsoir,

Peux tu me faire une capture d'écran je te pris ?

raffine · Answer

oui je te fait ça de suite

raffine · Answer

http://upload.sosvirus.net/image/RW

http://upload.sosvirus.net/image/Rv

et celui la c'est le capture sur google chrome 

http://upload.sosvirus.net/image/RJ

raffine · Answer

j'avais oublier de te faire la capture d'internet explorer 

http://upload.sosvirus.net/image/RK

H.A.W.X · Answer

Bonsoir,

Ok fais ceci pour vérifier mais pour oi rien d'infectieux ;)
~ http://sosvirus.net/viewtopic.php?f=281&t=576

J'attends donc 1 rapport :
¤ ZHPDiag.txt ( sur http://upload.sosvirus.net/ )

raffine · Answer

je fait ça de suite

raffine · Answer

tiens une dernière capture :

http://upload.sosvirus.net/image/Rt

allez je me mets au boulot

raffine · Answer

quand le scan c'est terminer le message suivant c'est afficher titre du message " nsloo kup exe-ordinal introuvable 

contenu du message : 

l'ordinal 1108 est introuvable dans la bibliothèque de liens dynamiques wsock32.dlll

a j'oubliais le lien du rapport 

http://upload.sosvirus.net/log/SosUpload.02fd57019a5c2a5d7e0cf8b388121010.txt

H.A.W.X · Answer

Encore des traces de ton infection :
~ http://www.sosvirus.net/viewtopic.php?f=281&t=662&p=4208#p4208 

J'attends donc 1 rapport : 
¤ TDSSKiller.¤¤¤¤ log.txt ( sur http://upload.sosvirus.net/ )

raffine · Answer

je fait ça de suite

raffine · Answer

voila le rapport 

http://upload.sosvirus.net/log/SosUpload.9f13c8022846cb7ab8eff9a1ad7cccc1.txt

H.A.W.X · Answer

Bonsoir,

Tu n'as pas suivit mes consignes. recommence stp ;)

raffine · Answer

désoler , la fatigue commence a me gagner ça t'ennuie si on continue demain ? car je travail demain

H.A.W.X · Answer

Bonjour,

Aucun soucis, j'attends ton rapport ;)

raffine · Answer

bonjour H.A.W.X 

voila les deux rapports :

http://upload.sosvirus.net/log/SosUpload.377282926904f95e49d592f2be645b41.txt

http://upload.sosvirus.net/log/SosUpload.3d413448d6531da38f5bb61181acdd22.txt

H.A.W.X · Answer

Bonjour,

TDSSKiller à été utilisé après le scan ZHPDiag par Raffine.

Le sujet est Résolu.

g3n-h@ckm@n · Answer

salut retente ceci :

http://security-helpzone.com/gen-hackman/pre_scan-2/canned-speech/

Besoin d'aide infection

86 réponses

Discussions similaires