S.O.S Trojan.ADH.2

Fermé
iness - Modifié par Malekal_morte- le 22/05/2014 à 10:26
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 22 mai 2014 à 13:42
Bonjour,

Voilà mon antivirus Norton m'affiche un risque élevé du virus Torjan.ADH.2 et je n'ai pas su comment le supprimer!

Merci d'avances pour votre aide

A voir également:

5 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
22 mai 2014 à 10:25
Salut,

Détecté dans quel fichier?
0
Je ne sais vraiment pas! Le message affiché par Norton est comme suit :
"Menaces détectées:
Torjan.ADH.2 Echec de la suppression - Accès refusé"
Mais je ne sais vraiment pas d'où est-ce qu'elle vient cette menace!
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
22 mai 2014 à 11:01
humm ca n'aide pas bcp,

pour voir :


Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE


0
Voilà les deux liens des deux rapports :

http://pjjoint.malekal.com/files.php?id=OTL_20140522_l14r10e8p5d9

http://pjjoint.malekal.com/files.php?id=OTL_Extras_20140522_m8k8v15o14u12
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
22 mai 2014 à 13:42
Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis :

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:


:OTL
SRV - [2014/05/18 10:50:32 | 003,543,056 | ---- | M] (Aztec Media Inc) [Auto | Running] -- C:\Program Files (x86)\Settings Manager\systemk\SystemkService.exe -- (SystemkService)
SRV - [2014/01/22 22:20:30 | 000,107,520 | ---- | M] () [Auto | Running] -- C:\Users\iness\AppData\Roaming\defaulttab\defaulttab\dtupdate.exe -- (DefaultTabUpdate)
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2476}: URL = https://fr.search.yahoo.com/yhs/search?hspart=aztec&hsimp=yhs-default&type=ds_114_476&p=&rnd=1263538647¶m1=sid%3D476%3Aaid%3D114%3Aver%3D12692%3Atm%3D340%3Asrc%3Dds%3Alng%3Den%3Aitype%3Da%3Auip%3D1540432858%3Aup%3D{searchTerms} <b>[Pays US - 107.21.223.107]</b>
E - HKLM\..\URLSearchHook: {e44a1809-4d10-4ab8-b343-3326b64c7cdd} - C:\Program Files (x86)\entrusted\prxtbent2.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {4ACD99F9-105F-4334-9C23-963E93E9DD63}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2476}: URL = https://fr.search.yahoo.com/yhs/search?hspart=aztec&hsimp=yhs-default&type=ds_114_476&p=&rnd=1263538647¶m1=sid%3D476%3Aaid%3D114%3Aver%3D12692%3Atm%3D340%3Asrc%3Dds%3Alng%3Den%3Aitype%3Da%3Auip%3D1540432858%3Aup%3D{searchTerms} <b>[Pays US - 23.23.140.1]</b>
FF - prefs.js..browser.search.defaultthis.engineName: entrusted Customized Web Search
FF - prefs.js..browser.search.defaulturl: http://search.conduit.com/ResultsExt.aspx?ctid=CT3281675&CUI=UN18590429772910817&UM=2&SearchSource=3&q={searchTerms}&sspv=SP_FFNSP08 <b>[Pays NL - 195.78.120.88]</b>
FF - prefs.js..browser.search.order.1: default-search.net
FF - prefs.js..browser.search.param.yahoo-fr: chr-greentree_ff&type=302398
FF - prefs.js..browser.search.selectedEngine: default-search.net
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: https://www.default-search.net/?sid=476&aid=114&itype=a&ver=12692&tm=340&src=hmp <b>[Pays US - 107.21.223.107]</b>
FF - prefs.js..extensions.enabledAddons: addon%40defaulttab.com:2.4
FF - prefs.js..extensions.enabledAddons: YoutubeDownloader%40PeterOlayev.com:2.3.0
FF - prefs.js..extensions.enabledAddons: moveplayer%40movenetworks.com:7
FF - prefs.js..extensions.enabledAddons: %7BB1FC07E1-E05B-4567-8891-E63FBE545BA8%7D:1.2.0
FF - prefs.js..extensions.enabledAddons: %7BBBDA0591-3099-440a-AA10-41764D9DB4DB%7D:12.2.0.5%20-%201
FF - prefs.js..extensions.enabledAddons: %7BF04D2D30-776C-4d02-8627-8E4385ECA58D%7D:2014.7.0.47
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:29.0.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:2.1.3.20100310105313
FF - prefs.js..extensions.enabledItems: moveplayer@movenetworks.com:7
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:4.3
FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.3
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
FF - prefs.js..extensions.enabledItems: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}:3.2.5.2
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}:3.2.5.2
FF - prefs.js..extensions.enabledItems: {37483b40-c254-4a72-bda4-22ee90182c1e}:3.2.5.2
FF - prefs.js..keyword.URL: https://fr.search.yahoo.com/yhs/search?hspart=aztec&hsimp=yhs-default&type=ds_114_476&p=&rnd=1263538647¶m1=sid%3D476%3Aaid%3D114%3Aver%3D12692%3Atm%3D340%3Asrc%3Dds%3Alng%3Den%3Aitype%3Da%3Auip%3D1540432858%3Aup%3D <b>[Pays US - 23.23.140.1]</b>
IE - HKU\S-1-5-21-2430432086-568991834-181393442-1000\..\URLSearchHook: {e44a1809-4d10-4ab8-b343-3326b64c7cdd} - C:\Program Files (x86)\entrusted\prxtbent2.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-2430432086-568991834-181393442-1000\..\URLSearchHook: {ef79f67a-6ad7-4715-a0f8-932fca442023} - No CLSID value found
IE - HKU\S-1-5-21-2430432086-568991834-181393442-1000\..\SearchScopes,DefaultScope = {36377DD7-B3EB-42f5-986F-680BAF59BA9D}
IE - HKU\S-1-5-21-2430432086-568991834-181393442-1000\..\SearchScopes\{36377DD7-B3EB-42f5-986F-680BAF59BA9D}: URL = https://www.iwin.com/home?NMR=1{searchTerms} <b>[Pays - ]</b>
IE - HKU\S-1-5-21-2430432086-568991834-181393442-1000\..\SearchScopes\{4ACD99F9-105F-4334-9C23-963E93E9DD63}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3281675&CUI=UN91159116422452926&UM=2&SSPV=SP_IENSP08 <b>[Pays NL - 195.78.120.88]</b>
IE - HKU\S-1-5-21-2430432086-568991834-181393442-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2476}: URL = https://fr.search.yahoo.com/yhs/search?hspart=aztec&hsimp=yhs-default&type=ds_114_476&p=&rnd=1263538647¶m1=sid%3D476%3Aaid%3D114%3Aver%3D12692%3Atm%3D340%3Asrc%3Dds%3Alng%3Den%3Aitype%3Da%3Auip%3D1540432858%3Aup%3D{searchTerms} <b>[Pays US - 23.23.140.1]</b>
IE - HKU\S-1-5-21-2430432086-568991834-181393442-1000\..\SearchScopes\{ABA84941-C3CC-4CCB-A445-FA5B41F31318}: URL = http://www.mysearchresults.com/search?c=3523&t=01&q={searchTerms} <b>[Pays US - 108.168.157.127]</b>
IE - HKU\S-1-5-21-2430432086-568991834-181393442-1000\..\SearchScopes\{D9DCFD46-86AE-461C-822B-E289EDD1D4BE}: URL = https://en.softonic.com{searchTerms}&SearchSource=4&cc=&r=442 <b>[Pays ES - 46.28.209.17]</b>
[2014/05/19 11:46:57 | 000,000,000 | ---D | M] (Settings Manager) -- C:\Users\iness\AppData\Roaming\mozilla\Firefox\Profiles\upc9xovk.default\extensions\{1ED03F15-1006-1C66-CCA5-15A00B80A7B7}
[2010/11/11 11:36:14 | 000,000,000 | ---D | M] (Move Media Player) -- C:\USERS\INESS\APPDATA\ROAMING\MOVE NETWORKS
O2 - BHO: (DefaultTab Browser Helper) - {7F6AFBF1-E065-4627-A2FD-810366367D01} - C:\Users\iness\AppData\Roaming\defaulttab\defaulttab\DefaultTabBHO.dll (Search Results LLC.)
O3 - HKU\S-1-5-21-2430432086-568991834-181393442-1000\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.
O4 - HKU\S-1-5-21-2430432086-568991834-181393442-1000..\Run: [BackgroundContainer] C:\Users\iness\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll (Conduit Ltd.)
O36 - AppCertDlls: x64 - (C:\Program Files (x86)\Settings Manager\systemk\x64\sysapcrt.dll) - C:\Program Files (x86)\Settings Manager\systemk\x64\sysapcrt.dll ()
[2014/05/19 11:46:50 | 000,000,000 | ---D | C] -- C:\ProgramData\systemk
[2014/05/07 18:47:03 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Settings Manager

* poste le rapport ici

puis redémarre l'ordinateur
0