Pc infesté (.gifs revenant sur le bureau)

Résolu
pam974 Messages postés 110 Statut Membre -  
pam974 Messages postés 110 Statut Membre -
Bonjour,
des .gifs reviennent sur le bureau à chaque démarrage, impossible de les supprimer (le pc tourne sous xp).
quelqu'un peut-il m'aider?
Merci pour toute l'aide des différents contributeurs

18 réponses

  1. fabul Messages postés 42151 Date d'inscription   Statut Modérateur Dernière intervention   6 066
     
    Salut,

    Fais un nettoyage avec AdwCleaner

    Fais un nettoyage avec Malwarebytes, A l'installation, décoche l'essai de la version premium.

    Installe RegRun Reanimator

    Clic sur "Fix problems".

    Clic sur "Scan windows startup...".

    Coche la case "Use deep level scanning once (For advanced users)".

    Clic sur "Make scan now".

    Clic sur "Fix problems".

    Si il y a plus d'une douzaine de détections, Prohibited/Suspicious , dit le , on passera a autre chose.

    Clic-droit dans le milieu de la fenêtre et choisit "Save to file" pour copier le résultat dans un fichier texte.

    Nomme le 1 (tout court), le .txt sera généré automatiquement.

    Clic sur la flèche verte pour passer a l'item suivant, fait comme pour le premier et nomme le 2, et ainsi de suite avec les autres.

    A la fin, clic sur "Exit".

    Poste les résultats contenus dans les fichiers texte dans ton prochain message.

    Met un espace d'une ligne entre chaque item détecté pour que ça soit lisible.
    0
  2. pam974 Messages postés 110 Statut Membre 2
     
    merci! apparement rien de détecter:

    Item Name: .js
    Author: Unknown
    Related File: C:\WINDOWS\SysWow64\WScript.exe "%1" %*
    Type: Main File Extensions

    Item Name: Lexmark Enhanced TCP/IP Port
    Author:
    Related File: C:\WINDOWS\system32\LMABLMPM.DLL
    Type: Print Monitors

    Item Name: DivXMediaServer
    Author:
    Current Setting: C:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe
    Type: Registry Run

    Item Name: winzip32.exe
    Author: WinZip Computing, Inc.
    Related File: C:\PROGRA~1\WINZIP\WINZIP32.EXE
    Type: Running Processes

    je voulais te dire que je suis obligé de passer par un autre ordi pour répondre car le pc qui est sur xp, celui qui est infesté ne me permet pas de répondre ..je ne sais pas pourquoi.
    0
  3. fabul Messages postés 42151 Date d'inscription   Statut Modérateur Dernière intervention   6 066
     
    C'est pas normal ça:

    Item Name: .js
    Author: Unknown
    Related File: C:\WINDOWS\SysWow64\WScript.exe "%1" %*
    Type: Main File Extensions

    Refait l'analyse et pour cet item: --> Get It Out --> Delete --> Reboot
    0
  4. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    @fabul

    Si besoin je suis là ça ressemble à une infection
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. fabul Messages postés 42151 Date d'inscription   Statut Modérateur Dernière intervention   6 066
     
    Ce que j'ai détecté oui,

    A part ça, ensuite, tu peux continuer si tu veux.
    0
  7. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    pam

    ▶ Télécharge ici : FRST (de Farbar)
    !!! En fonction de ta version de Windows, prends la "32-Bit Version" ou la "64-Bit Version" !!!
    Aide : va dans Démarrer > Panneau de configuration > Système pour savoir si tu es sous 32 bits ou 64 bits.

    ▶ Double-clique sur l'icône FRST.exe pour lancer le programme. (Sous Windows Vista, 7 et 8, il faut faire un clic droit dessus, puis exécuter en tant qu'administrateur.) Clique ensuite sur Oui lorsqu'un message d'avertissement (Disclaimer) s'affiche.

    ▶ Sur le menu principal, clique sur le bouton Scan et patiente le temps de l'analyse.

    ▶ A la fin du scan, deux rapports s'affichent, FRST.txt et Addition.txt Poste les rapports dans ta prochaine réponse.

    Les rapport se trouvent ici : C:\FRST\Logs

    ▶ Envoie-les sur https://www.cjoint.com/ et poste les liens obtenus en échange.
    0
  8. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Tu peux désinstaller Spybot

    # Télécharge UsbFix par El Desaparecido sur ton Bureau.
    # Si ton antivirus affiche une alerte, ignore-la et désactive l'antivirus temporairement.

    # Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
    # Double clique sur UsbFix.exe.

    # Clique sur Options, dans le menu BBCode choisis CCM.
    # Valide en cliquant sur Appliquer.
    # UsbFix se relancera pour prendre en compte tes réglages.
    # Clique maintenant sur Nettoyage.


    # Laisse travailler l'outil, ton bureau ne sera pas accessible durant la phase de nettoyage, c'est normal.

    # À la fin du scan, un rapport va s'afficher, poste-le dans ta prochaine réponse sur le forum.
    # Le rapport est aussi sauvegardé à la racine du disque système.
    (C:\Usbfix\Log\UsbFix [Clean ...txt).
    ( CTRL+A pour sélectionner, CTRL+C pour copier et CTRL+V pour coller )
    # ->> Tutoriel (aide) en images sur le site de l'auteur.

    Si problème il y a il existe toujours une solution
    ~~~~~~ Cs ~~~~~~
    0
  9. pam974 Messages postés 110 Statut Membre 2
     
    voici le rapport
    [b]############################## | UsbFix V 7.812 | [Nettoyage][/b]

    Utilisateur: MARIDO (Administrateur) # MATIS
    Mis à jour le 03/02/2015 par El Desaparecido - SosVirus
    Lancé à 19:20:15 | 22/01/2009

    Site Web : [url=http://www.usbfix.net/]https://www.usbfix.net/[/url]
    Changelog : [url=http://www.usbfix.net/maj/]https://www.usb-antivirus.com/fr/maj/[/url]
    Assistance : [url=http://www.sosvirus.net/forum-virus-securite.html]https://depannageinformatique.org/acheter/reservation/?f=6[/url]
    Détection en Live : [url=http://comment-supprimer.fr/]http://comment-supprimer.fr/[/url]
    Contact : [url=http://www.usbfix.net/contact/]https://www.usb-antivirus.com/fr/contact/[/url]

    [b]################## | System information |[/b]

    CPU: Intel(R) Core(TM)2 Quad CPU Q8300 @ 2.50GHz
    RAM -> [Total : 1790 Mo | Free : 1110 Mo]
    Boot: Normal boot

    OS: Microsoft Windows XP (5.1.2600 32-Bit) Service Pack 3
    WB: Internet Explorer : 8.00.6001.18702
    WB: Mozilla Firefox : 35.0.1

    [b]################## | Security Information |[/b]

    AS: Malwarebytes Anti-Malware : 2.0.4.1028
    FW: Windows Firewall [Actif]
    SC: Security Center [Actif]
    WU: Windows Update [Actif]

    [b]################## | Disk Information |[/b]

    C:\ (%SystemDrive%) -> Disque fixe # 466 Go (314 Go libre(s) - 67%) [Disque dur] # NTFS
    E:\ -> Disque amovible # 7 Go (86 Mo libre(s) - 1%) [] # FAT32
    F:\ -> Disque amovible # 4 Go (4 Go libre(s) - 100%) [ANNIEPHOTO] # FAT32

    [b]################## | Recherche générique |[/b]

    Supprimé! C:\Documents and Settings\MARIDO\Application Data\java\webview\.lock
    Supprimé! C:\Documents and Settings\MARIDO\Application Data\java
    Supprimé! C:\Documents and Settings\MARIDO\Application Data\java
    Supprimé! C:\Documents and Settings\MARIDO\Application Data\java

    (!) Fichiers temporaires supprimés. (180.712706565857 MB)

    [b]################## | Registre |[/b]

    [b]################## | Regedit Run |[/b]

    F2 - HKLM\..\Winlogon : [Shell] Explorer.exe
    F2 - HKLM\..\Winlogon : [Userinit] C:\WINDOWS\system32\userinit.exe,
    04 - HKCU\..\Run : [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    04 - HKLM\..\Run : [RTHDCPL] RTHDCPL.EXE
    04 - HKLM\..\Run : [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"
    04 - HKLM\..\Run : [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
    04 - HKLM\..\Run : [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    04 - HKLM\..\Run : [DivXMediaServer] C:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe
    04 - HKU\S-1-5-19\..\Run : [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
    04 - HKU\S-1-5-20\..\Run : [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
    04 - HKU\S-1-5-21-319776181-2945039842-2872973954-1005\..\Run : [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    04 - HKU\S-1-5-18\..\Run : [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

    [b]################## | UsbFix - Information |[/b]

    Info : [url=https://www.youtube.com/watch?v=vUZYYASd7FE]Comment supprimer l'infection des raccourcis sur USB ? (Video)[/url]
    Info : [url=http://www.usbfix.net/2014/10/supprimer-virus-raccourcis-usb/]L'infection des raccourcis USB, c'est quoi ?[/url]
    Détection en Live : [url=http://comment-supprimer.fr/]http://comment-supprimer.fr/[/url]

    [b]################## | Hijack |[/b]

    [b]################## | C:\ %SystemDrive% - Disque Fixe (NTFS) |[/b]

    [05/01/2009 - 15:39:35 | A | 0 Ko] - C:\essai.txt
    [24/03/2010 - 10:19:46 | A | 1 Ko] - C:\lang.txt
    [26/03/2010 - 18:03:36 | A | 1 Ko] - C:\_Sid.txt
    [24/03/2010 - 13:09:45 | D] - C:\DeskUpdate.tmp
    [22/01/2009 - 18:35:46 | ASH | 2095104 Ko] - C:\pagefile.sys
    [22/01/2009 - 18:35:47 | ASH | 1833388 Ko] - C:\hiberfil.sys
    [16/03/2009 - 21:09:24 | A | 0 Ko] - C:\CONFIG.SYS
    [16/03/2009 - 21:09:24 | RASH | 0 Ko] - C:\IO.SYS
    [16/03/2009 - 21:09:24 | RASH | 0 Ko] - C:\MSDOS.SYS
    [21/01/2009 - 06:59:54 | D] - C:\Config.Msi
    [24/03/2010 - 13:11:19 | A | 2 Ko] - C:\RHDSetup.log
    [24/07/2010 - 10:51:57 | A | 46 Ko] - C:\MDACSET.log
    [24/03/2010 - 10:14:03 | RASH | 0 Ko] - [[url=https://www.virustotal.com/file/b36fcb2926059198a0dd95c6c5da54d71e677fe0a0dd8b577034fd19fcc633a7/analysis/1423010062/]VirusTotal[/url] - (0/56)] - C:\boot.ini
    [15/03/2014 - 13:59:39 | A | 0 Ko] - [[url=https://www.virustotal.com/file/6249ddd9d8c806c82d84fa4432836e828f759ed9b50752028c4eae3d8fedd9c9/analysis/1423064559/]VirusTotal[/url] - (0/56)] - C:\AVScanner.ini
    [16/01/2014 - 04:40:14 | A | 476 Ko] - [[url=https://www.virustotal.com/file/0161447605bb18b7b0a99df1733a49d3a4eab53e38cb263363b01a3c0a0c94e0/analysis/1419969660/]VirusTotal[/url] - (0/56)] - C:\SecurityScanner.dll
    [14/04/2008 - 16:00:00 | N | 46 Ko] - [[url=https://www.virustotal.com/file/8f7186a71684dd114e89cc908ed9400192bc3a47fb288cce4c5c27d0f5d3afa4/analysis/1423650032/]VirusTotal[/url] - (0/57)] - C:\NTDETECT.COM
    [14/04/2008 - 16:00:00 | N | 5 Ko] - C:\Bootfont.bin
    [16/03/2009 - 21:09:24 | A | 0 Ko] - C:\AUTOEXEC.BAT
    [14/04/2008 - 16:00:00 | RASH | 246 Ko] - C:\ntldr
    [07/01/2009 - 18:40:14 | D] - C:\706457bc83a8da4aa1
    [20/01/2009 - 15:02:34 | D] - C:\AdwCleaner
    [21/01/2009 - 16:54:05 | D] - C:\FRST
    [22/01/2009 - 17:19:43 | D] - C:\WINDOWS
    [22/01/2009 - 18:34:41 | RD] - C:\Program Files
    [22/01/2009 - 19:08:49 | D] - C:\UsbFix
    [24/03/2010 - 10:33:17 | SHD] - C:\RECYCLER
    [24/03/2010 - 12:03:00 | D] - C:\OEMDRV
    [25/03/2010 - 14:42:51 | RHD] - C:\MSOCache
    [26/03/2010 - 13:29:12 | D] - C:\Logic
    [10/07/2010 - 09:25:47 | D] - C:\FlashLIB
    [07/03/2014 - 19:30:45 | D] - C:\Nouveau dossier
    [19/07/2014 - 18:12:17 | D] - C:\Disque amovible (H)
    [22/09/2014 - 14:52:16 | D] - C:\unzipped
    [18/11/2014 - 16:16:12 | D] - C:\Documents and Settings
    [18/11/2014 - 16:43:12 | A | 0 Ko] - C:\Cookies
    [21/12/2014 - 08:23:50 | D] - C:\Fraps

    [b]################## | E:\ - Disque USB (FAT32) |[/b]

    [22/12/2014 - 01:42:34 | D] - E:\VIDEO

    [b]################## | F:\ - Disque USB (FAT32) |[/b]

    [24/10/2011 - 11:25:56 | A | 0 Ko] - F:\Musique.lnk

    [b]################## | Vaccin |[/b]

    C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
    E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
    F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

    [b]################## | E.O.F | [url=http://www.sosvirus.net/]https://www.sosvirus.net/[/url] | [url=http://www.usbfix.net/]https://www.usbfix.net/[/url] |[/b]
    0
  10. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    ça doit aller mieux?
    0
  11. pam974 Messages postés 110 Statut Membre 2
     
    ca n'a pas pu faire de mal..mais les .gifs (des smileys apparemment) sont encore présents sur le bureau et se reinstallent à chaque demarrage. je laisse une copie d'écran en piece jointe pour que tu comprennes ce que je veux dire.
    0
  12. fabul Messages postés 42151 Date d'inscription   Statut Modérateur Dernière intervention   6 066
     
    La seule chose que j'ai vu d'anormal, c'est ça: https://forums.commentcamarche.net/forum/affich-31536524-pc-infeste-gifs-revenant-sur-le-bureau#3

    Ça n'a pas été corrigé ?

    Ça semble ètre un fichier Microsoft quoi que peut être infecté.

    Peux tu le faire analyser sur Virustotal et nous donner le lien après l'analyse ?

    https://www.virustotal.com/gui/
    0
  13. pam974 Messages postés 110 Statut Membre 2
     
    1)l'ordi de mon fils est sous xp est apparemment je dois activer les cookies pour arriver sur le site de virustotal..j'ai essayé mais je n'y arrive pas.
    2) que faudra-t-il faire après ? que dois je faire analyser? un fichier? une url?
    par avance merci!
    0
  14. pam974 Messages postés 110 Statut Membre 2
     
    j'ai réussi une étape, il s'agissait de remettre a l'heure le pc! il etait en 2009..j'ai donc pu deja faire que le pc accepte les cookies, là il lance des mises à jour peut être que cela ira mieux.
    que faut-il que je fasse analyser sur virus total ?
    0
  15. yoann090 Messages postés 10597 Statut Contributeur sécurité 1 697
     
    Hello,

    Juste une question as tu essayé d'ouvrir un de ces fichiers ?
    Ils sont peut être en rapport avec Minecraft qui se trouve sur le pc de votre fils.

    ++
    0
  16. pam974 Messages postés 110 Statut Membre 2
     
    c'est bon ils ont disparu je les ai virés mis dans la poubelle le probleme venait certainenement qu'ils n'apparaissaient pas tous sur le bureau j'ai donc reorganisé les icones du bureau par type et je les ai supprimé, puis j'ai répété l'opération 6 ou 7 fois! Quelques fichiers étaient des smileys et il y avait aussi des fichiers liés a minecraft que j'ai supprimé aussi.
    merci pour l'aide de tout le monde!
    0
    1. yoann090 Messages postés 10597 Statut Contributeur sécurité 1 697
       
      Content que ton problème soit résolu, attends quand même le retour de lilidurhone, histoire de repartir avec un pc tout propre niveau infection ;)
      bonne fin de journée
      0
  17. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Refais frst
    0