Virus + fenetres qui s ouvrent toutes seules Fermé

Question

Bonjour, 

Voila j ai 2 soucis :

- detection de virus par AVIRA (ci joint rapport)
Avira Free Antivirus
Date de création du fichier de rapport : vendredi 5 juillet 2013  19:56


Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira Free Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Microsoft Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : PC1
Nom de l'ordinateur     : PC1-FA27360137D

Informations de version :
BUILD.DAT               : 13.0.0.3880    54853 Bytes  24/06/2013 15:13:00
AVSCAN.EXE              : 13.6.0.1722   634936 Bytes  01/07/2013 07:17:05
AVSCANRC.DLL            : 13.6.0.1550    63032 Bytes  01/07/2013 07:17:31
LUKE.DLL                : 13.6.0.1550    65080 Bytes  01/07/2013 07:19:44
AVSCPLR.DLL             : 13.6.0.1712    92216 Bytes  01/07/2013 07:17:32
AVREG.DLL               : 13.6.0.1550   247864 Bytes  01/07/2013 07:16:57
avlode.dll              : 13.6.2.1704   449592 Bytes  01/07/2013 07:16:51
avlode.rdf              : 13.0.1.18      26349 Bytes  21/06/2013 09:27:03
VBASE000.VDF            : 7.11.70.0   66736640 Bytes  04/04/2013 18:36:44
VBASE001.VDF            : 7.11.74.226  2201600 Bytes  30/04/2013 07:24:38
VBASE002.VDF            : 7.11.80.60   2751488 Bytes  28/05/2013 10:32:21
VBASE003.VDF            : 7.11.85.214  2162688 Bytes  21/06/2013 15:25:39
VBASE004.VDF            : 7.11.85.215     2048 Bytes  21/06/2013 15:25:39
VBASE005.VDF            : 7.11.85.216     2048 Bytes  21/06/2013 15:25:39
VBASE006.VDF            : 7.11.85.217     2048 Bytes  21/06/2013 15:25:39
VBASE007.VDF            : 7.11.85.218     2048 Bytes  21/06/2013 15:25:40
VBASE008.VDF            : 7.11.85.219     2048 Bytes  21/06/2013 15:25:40
VBASE009.VDF            : 7.11.85.220     2048 Bytes  21/06/2013 15:25:40
VBASE010.VDF            : 7.11.85.221     2048 Bytes  21/06/2013 15:25:40
VBASE011.VDF            : 7.11.85.222     2048 Bytes  21/06/2013 15:25:41
VBASE012.VDF            : 7.11.85.223     2048 Bytes  21/06/2013 15:25:41
VBASE013.VDF            : 7.11.85.224     2048 Bytes  21/06/2013 15:25:41
VBASE014.VDF            : 7.11.86.93    870400 Bytes  24/06/2013 10:29:59
VBASE015.VDF            : 7.11.86.223   331776 Bytes  25/06/2013 06:22:13
VBASE016.VDF            : 7.11.87.67    204800 Bytes  27/06/2013 13:41:24
VBASE017.VDF            : 7.11.87.157   247296 Bytes  28/06/2013 07:02:57
VBASE018.VDF            : 7.11.87.221   196608 Bytes  30/06/2013 18:27:52
VBASE019.VDF            : 7.11.88.51    356352 Bytes  02/07/2013 09:26:02
VBASE020.VDF            : 7.11.88.119   182272 Bytes  03/07/2013 06:26:42
VBASE021.VDF            : 7.11.88.213   266752 Bytes  05/07/2013 12:54:20
VBASE022.VDF            : 7.11.88.214     2048 Bytes  05/07/2013 12:54:20
VBASE023.VDF            : 7.11.88.215     2048 Bytes  05/07/2013 12:54:20
VBASE024.VDF            : 7.11.88.216     2048 Bytes  05/07/2013 12:54:20
VBASE025.VDF            : 7.11.88.217     2048 Bytes  05/07/2013 12:54:20
VBASE026.VDF            : 7.11.88.218     2048 Bytes  05/07/2013 12:54:20
VBASE027.VDF            : 7.11.88.219     2048 Bytes  05/07/2013 12:54:20
VBASE028.VDF            : 7.11.88.220     2048 Bytes  05/07/2013 12:54:20
VBASE029.VDF            : 7.11.88.221     2048 Bytes  05/07/2013 12:54:21
VBASE030.VDF            : 7.11.88.222     2048 Bytes  05/07/2013 12:54:21
VBASE031.VDF            : 7.11.88.224    10752 Bytes  05/07/2013 12:54:21
Version du moteur       : 8.2.12.70 
AEVDF.DLL               : 8.1.3.4       102774 Bytes  13/06/2013 17:08:10
AESCRIPT.DLL            : 8.1.4.130     487806 Bytes  04/07/2013 18:27:13
AESCN.DLL               : 8.1.10.4      131446 Bytes  27/03/2013 17:08:22
AESBX.DLL               : 8.2.5.12      606578 Bytes  15/06/2012 17:04:33
AERDL.DLL               : 8.2.0.128     688504 Bytes  13/06/2013 17:08:05
AEPACK.DLL              : 8.3.2.24      749945 Bytes  20/06/2013 10:27:49
AEOFFICE.DLL            : 8.1.2.60      205181 Bytes  18/06/2013 16:35:15
AEHEUR.DLL              : 8.1.4.450    6013306 Bytes  04/07/2013 18:27:09
AEHELP.DLL              : 8.1.27.4      266617 Bytes  27/06/2013 13:42:28
AEGEN.DLL               : 8.1.7.8       442742 Bytes  04/07/2013 18:26:13
AEEXP.DLL               : 8.4.0.34      201079 Bytes  04/06/2013 16:54:15
AEEMU.DLL               : 8.1.3.2       393587 Bytes  10/07/2012 17:19:19
AECORE.DLL              : 8.1.31.6      201081 Bytes  27/06/2013 13:42:22
AEBB.DLL                : 8.1.1.4        53619 Bytes  05/11/2012 17:39:13
AVWINLL.DLL             : 13.6.0.1550    23608 Bytes  01/07/2013 07:15:43
AVPREF.DLL              : 13.6.0.1550    48184 Bytes  01/07/2013 07:16:55
AVREP.DLL               : 13.6.0.1550   175672 Bytes  01/07/2013 07:16:59
AVARKT.DLL              : 13.6.0.1626   258104 Bytes  01/07/2013 07:16:14
AVEVTLOG.DLL            : 13.6.0.1550   164920 Bytes  01/07/2013 07:16:38
SQLITE3.DLL             : 3.7.0.1       397704 Bytes  08/04/2013 05:42:10
AVSMTP.DLL              : 13.6.0.1550    60472 Bytes  01/07/2013 07:17:42
NETNT.DLL               : 13.6.0.1550    13368 Bytes  01/07/2013 07:19:45
RCIMAGE.DLL             : 13.4.0.141   4782880 Bytes  08/04/2013 05:32:21
RCTEXT.DLL              : 13.6.0.1624    68664 Bytes  01/07/2013 07:15:43

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Rootkits et logiciels malveillants actifs
Fichier de configuration......................: C:\Documents and Settings\All Users.WINDOWS\Application Data\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Documentation.................................: par défaut
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Recherche dans les programmes actifs..........: marche
Programmes en cours étendus...................: marche
Recherche du registre.........................: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Recherche sur tous les fichiers...............: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: intégral

Début de la recherche : vendredi 5 juillet 2013  19:56

La recherche d'objets cachés commence.

La recherche sur les processus démarrés commence :
Recherche en cours du processus 'rsmsink.exe' - '28' module(s) ont été recherchés
Recherche en cours du processus 'msdtc.exe' - '39' module(s) ont été recherchés
Recherche en cours du processus 'dllhost.exe' - '59' module(s) ont été recherchés
Recherche en cours du processus 'dllhost.exe' - '44' module(s) ont été recherchés
Recherche en cours du processus 'vssvc.exe' - '47' module(s) ont été recherchés
Recherche en cours du processus 'avscan.exe' - '88' module(s) ont été recherchés
Recherche en cours du processus 'firefox.exe' - '76' module(s) ont été recherchés
Recherche en cours du processus 'avcenter.exe' - '81' module(s) ont été recherchés
Recherche en cours du processus 'GoogleToolbarNotifier.exe' - '52' module(s) ont été recherchés
Recherche en cours du processus 'jusched.exe' - '20' module(s) ont été recherchés
Recherche en cours du processus 'avgnt.exe' - '62' module(s) ont été recherchés
Recherche en cours du processus 'alg.exe' - '32' module(s) ont été recherchés
Recherche en cours du processus 'Explorer.EXE' - '87' module(s) ont été recherchés
Recherche en cours du processus 'avshadow.exe' - '25' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '40' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '36' module(s) ont été recherchés
Recherche en cours du processus 'HPZipm12.exe' - '17' module(s) ont été recherchés
Recherche en cours du processus 'nvsvc32.exe' - '35' module(s) ont été recherchés
Recherche en cours du processus 'MDM.EXE' - '22' module(s) ont été recherchés
Recherche en cours du processus 'jqs.exe' - '84' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '33' module(s) ont été recherchés
Recherche en cours du processus 'avguard.exe' - '64' module(s) ont été recherchés
Recherche en cours du processus 'netdde.exe' - '25' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '33' module(s) ont été recherchés
Recherche en cours du processus 'sched.exe' - '39' module(s) ont été recherchés
Recherche en cours du processus 'spoolsv.exe' - '63' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '31' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '29' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '162' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '37' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '52' module(s) ont été recherchés
Recherche en cours du processus 'lsass.exe' - '57' module(s) ont été recherchés
Recherche en cours du processus 'services.exe' - '26' module(s) ont été recherchés
Recherche en cours du processus 'winlogon.exe' - '64' module(s) ont été recherchés
Recherche en cours du processus 'csrss.exe' - '12' module(s) ont été recherchés
Recherche en cours du processus 'smss.exe' - '2' module(s) ont été recherchés

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '2463' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:'
C:\Documents and Settings\PC1\Modèles\dwm.exe
  [RESULTAT]  Contient le modèle de détection du ver WORM/Ainslot.A.396

Début de la désinfection :
C:\Documents and Settings\PC1\Modèles\dwm.exe
  [RESULTAT]  Contient le modèle de détection du ver WORM/Ainslot.A.396
  [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '565c8420.qua' !


Fin de la recherche : vendredi 5 juillet 2013  21:34
Temps nécessaire:  1:38:24 Heure(s)

La recherche a été effectuée intégralement

   8657 Les répertoires ont été contrôlés
 403640 Des fichiers ont été contrôlés
      1 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      1 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      0 Impossible de scanner des fichiers
 403639 Fichiers non infectés
   4535 Les archives ont été contrôlées
      0 Avertissements
      1 Consignes
 335139 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

-et egalement un rapport zhp diag

https://www.cjoint.com/c/CGikHt29bRC

que faire avec ces virus ?

D autre part depuis quelques temps j ai des fenetres qui s ouvrent sans arret sans rien que je demande (ce sont toujours des fenetres avec des sites "bizarres" (voyance , chat dialogues chauds , gains d argent et etc ) bref des sites non recommandables 
comment supprimer ce "bug" ?

d avance merci a tous



Configuration: Windows XP / Firefox 22.0

Malekal_morte- · Answer

Salut,

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau (icone grise en bas à droite avec la flèche verte).
Lance le, clique sur [Suppression]  - je répète [SUPRESSION] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).  
Une fois le scan fini, un rapport s'ouvrira. Poste le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  


PUIS :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe
services.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message. 

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

steph42vert · Answer

merci

voici deja le rapport adwcleaner :(je fais le reste maintenant)


# AdwCleaner v2.304 - Rapport créé le 08/07/2013 à 10:57:08
# Mis à jour le 03/07/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : PC1 - PC1-FA27360137D
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\PC1\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\PC1\Application Data\Mozilla\Firefox\Profiles\fj8lv7c5.default\jetpack

***** [Registre] *****


***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v22.0 (fr)

Fichier : C:\Documents and Settings\PC1\Application Data\Mozilla\Firefox\Profiles\fj8lv7c5.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : C:\Documents and Settings\clément\Application Data\Mozilla\Firefox\Profiles\f3phnv5g.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : C:\Documents and Settings\mylène\Application Data\Mozilla\Firefox\Profiles\pjbmu8is.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Documents and Settings\PC1\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [4317 octets] - [03/06/2013 08:10:05]
AdwCleaner[R2].txt - [2003 octets] - [05/07/2013 19:15:14]
AdwCleaner[S1].txt - [398 octets] - [03/06/2013 08:11:05]
AdwCleaner[S2].txt - [4468 octets] - [03/06/2013 08:22:21]
AdwCleaner[S3].txt - [1827 octets] - [03/06/2013 10:58:01]
AdwCleaner[S4].txt - [1972 octets] - [17/06/2013 16:08:42]
AdwCleaner[S5].txt - [398 octets] - [05/07/2013 19:13:26]
AdwCleaner[S6].txt - [2066 octets] - [05/07/2013 19:16:31]
AdwCleaner[S7].txt - [398 octets] - [08/07/2013 10:55:02]
AdwCleaner[S8].txt - [2056 octets] - [08/07/2013 10:57:08]

########## EOF - C:\AdwCleaner[S8].txt - [2116 octets] ##########

steph42vert · Answer

ci joint le rapport OTL txt

https://pjjoint.malekal.com/files.php?id=20130708_k14g6w10u9v15

et le rapport extras txt

https://pjjoint.malekal.com/files.php?id=20130708_e13u7p5j12q11

Malekal_morte- · Answer

Tu utilises Firefox ?
Tu peux aller dans le menu Outils / Modules complémentaires et extensions.
Donne la liste.

steph42vert · Answer

oui j ai mozilla firefox ! pas bien ?

voci la liste des extensions (beaucoup doivent servir aux enfants je pense)

-adblock plus
-bitdefender quickscan
- deezer illimite
- dilandau
- downloadhelper
- fd_plugin initial rev
- firebug
 - fireform 
- firepicker
- microsoft net framework assistant
- tamper data
 - wot 
- yesscript
- test pilot (desactive)
- youtube movie downloader

steph42vert · Answer

ok je vais voir ce que ca donne apres supression de ces extensions .

par contre que penser des virus detectes par AVIRA ?
je laisse en quarantaine ou fait il faire autre chose ?

steph42vert · Answer

ok merci

Virus + fenetres qui s ouvrent toutes seules

7 réponses

Discussions similaires