Pc infesté (.gifs revenant sur le bureau)

Résolu/Fermé
pam974 Messages postés 99 Date d'inscription jeudi 9 février 2012 Statut Membre Dernière intervention 7 mai 2017 - 10 févr. 2015 à 11:34
pam974 Messages postés 99 Date d'inscription jeudi 9 février 2012 Statut Membre Dernière intervention 7 mai 2017 - 14 févr. 2015 à 09:45
Bonjour,
des .gifs reviennent sur le bureau à chaque démarrage, impossible de les supprimer (le pc tourne sous xp).
quelqu'un peut-il m'aider?
Merci pour toute l'aide des différents contributeurs


A voir également:

18 réponses

fabul Messages postés 39393 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 22 décembre 2024 5 445
10 févr. 2015 à 11:40
Salut,

Fais un nettoyage avec AdwCleaner

Fais un nettoyage avec Malwarebytes, A l'installation, décoche l'essai de la version premium.

Installe RegRun Reanimator

Clic sur "Fix problems".

Clic sur "Scan windows startup...".

Coche la case "Use deep level scanning once (For advanced users)".

Clic sur "Make scan now".

Clic sur "Fix problems".

Si il y a plus d'une douzaine de détections, Prohibited/Suspicious , dit le , on passera a autre chose.

Clic-droit dans le milieu de la fenêtre et choisit "Save to file" pour copier le résultat dans un fichier texte.

Nomme le 1 (tout court), le .txt sera généré automatiquement.

Clic sur la flèche verte pour passer a l'item suivant, fait comme pour le premier et nomme le 2, et ainsi de suite avec les autres.

A la fin, clic sur "Exit".

Poste les résultats contenus dans les fichiers texte dans ton prochain message.

Met un espace d'une ligne entre chaque item détecté pour que ça soit lisible.
0
pam974 Messages postés 99 Date d'inscription jeudi 9 février 2012 Statut Membre Dernière intervention 7 mai 2017 2
10 févr. 2015 à 17:26
merci! apparement rien de détecter:

Item Name: .js
Author: Unknown
Related File: C:\WINDOWS\SysWow64\WScript.exe "%1" %*
Type: Main File Extensions

Item Name: Lexmark Enhanced TCP/IP Port
Author:
Related File: C:\WINDOWS\system32\LMABLMPM.DLL
Type: Print Monitors

Item Name: DivXMediaServer
Author:
Current Setting: C:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe
Type: Registry Run

Item Name: winzip32.exe
Author: WinZip Computing, Inc.
Related File: C:\PROGRA~1\WINZIP\WINZIP32.EXE
Type: Running Processes

je voulais te dire que je suis obligé de passer par un autre ordi pour répondre car le pc qui est sur xp, celui qui est infesté ne me permet pas de répondre ..je ne sais pas pourquoi.
0
fabul Messages postés 39393 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 22 décembre 2024 5 445
Modifié par fabul le 10/02/2015 à 17:48
C'est pas normal ça:

Item Name: .js
Author: Unknown
Related File: C:\WINDOWS\SysWow64\WScript.exe "%1" %*
Type: Main File Extensions

Refait l'analyse et pour cet item: --> Get It Out --> Delete --> Reboot
0
lilidurhone Messages postés 43347 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 31 octobre 2024 3 806
10 févr. 2015 à 17:32
@fabul

Si besoin je suis là ça ressemble à une infection
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
fabul Messages postés 39393 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 22 décembre 2024 5 445
10 févr. 2015 à 17:33
Ce que j'ai détecté oui,

A part ça, ensuite, tu peux continuer si tu veux.
0
lilidurhone Messages postés 43347 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 31 octobre 2024 3 806
10 févr. 2015 à 17:34
pam

▶ Télécharge ici : FRST (de Farbar)
!!! En fonction de ta version de Windows, prends la "32-Bit Version" ou la "64-Bit Version" !!!
Aide : va dans Démarrer > Panneau de configuration > Système pour savoir si tu es sous 32 bits ou 64 bits.

▶ Double-clique sur l'icône FRST.exe pour lancer le programme. (Sous Windows Vista, 7 et 8, il faut faire un clic droit dessus, puis exécuter en tant qu'administrateur.) Clique ensuite sur Oui lorsqu'un message d'avertissement (Disclaimer) s'affiche.

▶ Sur le menu principal, clique sur le bouton Scan et patiente le temps de l'analyse.

▶ A la fin du scan, deux rapports s'affichent, FRST.txt et Addition.txt Poste les rapports dans ta prochaine réponse.

Les rapport se trouvent ici : C:\FRST\Logs

▶ Envoie-les sur https://www.cjoint.com/ et poste les liens obtenus en échange.
0
pam974 Messages postés 99 Date d'inscription jeudi 9 février 2012 Statut Membre Dernière intervention 7 mai 2017 2
11 févr. 2015 à 14:14
voici les 2 liens pour rapport:

http://cjoint.com/?EBlokPBRwCH

https://www.cjoint.com/c/EBlookqJ13z
0
lilidurhone Messages postés 43347 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 31 octobre 2024 3 806
Modifié par lilidurhone le 11/02/2015 à 20:57
Tu peux désinstaller Spybot

# Télécharge UsbFix par El Desaparecido sur ton Bureau.
# Si ton antivirus affiche une alerte, ignore-la et désactive l'antivirus temporairement.

# Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
# Double clique sur UsbFix.exe.

# Clique sur Options, dans le menu BBCode choisis CCM.
# Valide en cliquant sur Appliquer.
# UsbFix se relancera pour prendre en compte tes réglages.
# Clique maintenant sur Nettoyage.


# Laisse travailler l'outil, ton bureau ne sera pas accessible durant la phase de nettoyage, c'est normal.

# À la fin du scan, un rapport va s'afficher, poste-le dans ta prochaine réponse sur le forum.
# Le rapport est aussi sauvegardé à la racine du disque système.
(C:\Usbfix\Log\UsbFix [Clean ...txt).
( CTRL+A pour sélectionner, CTRL+C pour copier et CTRL+V pour coller )
# ->> Tutoriel (aide) en images sur le site de l'auteur.



Si problème il y a il existe toujours une solution
~~~~~~ Cs ~~~~~~
0
pam974 Messages postés 99 Date d'inscription jeudi 9 février 2012 Statut Membre Dernière intervention 7 mai 2017 2
12 févr. 2015 à 17:08
voici le rapport
[b]############################## | UsbFix V 7.812 | [Nettoyage][/b]

Utilisateur: MARIDO (Administrateur) # MATIS
Mis à jour le 03/02/2015 par El Desaparecido - SosVirus
Lancé à 19:20:15 | 22/01/2009

Site Web : [url=http://www.usbfix.net/]https://www.usbfix.net/[/url]
Changelog : [url=http://www.usbfix.net/maj/]https://www.usb-antivirus.com/fr/maj/[/url]
Assistance : [url=http://www.sosvirus.net/forum-virus-securite.html]https://depannageinformatique.org/acheter/reservation/?f=6[/url]
Détection en Live : [url=http://comment-supprimer.fr/]http://comment-supprimer.fr/[/url]
Contact : [url=http://www.usbfix.net/contact/]https://www.usb-antivirus.com/fr/contact/[/url]

[b]################## | System information |[/b]

CPU: Intel(R) Core(TM)2 Quad CPU Q8300 @ 2.50GHz
RAM -> [Total : 1790 Mo | Free : 1110 Mo]
Boot: Normal boot

OS: Microsoft Windows XP (5.1.2600 32-Bit) Service Pack 3
WB: Internet Explorer : 8.00.6001.18702
WB: Mozilla Firefox : 35.0.1

[b]################## | Security Information |[/b]

AS: Malwarebytes Anti-Malware : 2.0.4.1028
FW: Windows Firewall [Actif]
SC: Security Center [Actif]
WU: Windows Update [Actif]

[b]################## | Disk Information |[/b]

C:\ (%SystemDrive%) -> Disque fixe # 466 Go (314 Go libre(s) - 67%) [Disque dur] # NTFS
E:\ -> Disque amovible # 7 Go (86 Mo libre(s) - 1%) [] # FAT32
F:\ -> Disque amovible # 4 Go (4 Go libre(s) - 100%) [ANNIEPHOTO] # FAT32

[b]################## | Recherche générique |[/b]

Supprimé! C:\Documents and Settings\MARIDO\Application Data\java\webview\.lock
Supprimé! C:\Documents and Settings\MARIDO\Application Data\java
Supprimé! C:\Documents and Settings\MARIDO\Application Data\java
Supprimé! C:\Documents and Settings\MARIDO\Application Data\java

(!) Fichiers temporaires supprimés. (180.712706565857 MB)

[b]################## | Registre |[/b]


[b]################## | Regedit Run |[/b]

F2 - HKLM\..\Winlogon : [Shell] Explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] C:\WINDOWS\system32\userinit.exe,
04 - HKCU\..\Run : [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
04 - HKLM\..\Run : [RTHDCPL] RTHDCPL.EXE
04 - HKLM\..\Run : [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"
04 - HKLM\..\Run : [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKLM\..\Run : [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
04 - HKLM\..\Run : [DivXMediaServer] C:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe
04 - HKU\S-1-5-19\..\Run : [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
04 - HKU\S-1-5-20\..\Run : [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
04 - HKU\S-1-5-21-319776181-2945039842-2872973954-1005\..\Run : [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
04 - HKU\S-1-5-18\..\Run : [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

[b]################## | UsbFix - Information |[/b]

Info : [url=https://www.youtube.com/watch?v=vUZYYASd7FE]Comment supprimer l'infection des raccourcis sur USB ? (Video)[/url]
Info : [url=http://www.usbfix.net/2014/10/supprimer-virus-raccourcis-usb/]L'infection des raccourcis USB, c'est quoi ?[/url]
Détection en Live : [url=http://comment-supprimer.fr/]http://comment-supprimer.fr/[/url]

[b]################## | Hijack |[/b]


[b]################## | C:\ %SystemDrive% - Disque Fixe (NTFS) |[/b]

[05/01/2009 - 15:39:35 | A | 0 Ko] - C:\essai.txt
[24/03/2010 - 10:19:46 | A | 1 Ko] - C:\lang.txt
[26/03/2010 - 18:03:36 | A | 1 Ko] - C:\_Sid.txt
[24/03/2010 - 13:09:45 | D] - C:\DeskUpdate.tmp
[22/01/2009 - 18:35:46 | ASH | 2095104 Ko] - C:\pagefile.sys
[22/01/2009 - 18:35:47 | ASH | 1833388 Ko] - C:\hiberfil.sys
[16/03/2009 - 21:09:24 | A | 0 Ko] - C:\CONFIG.SYS
[16/03/2009 - 21:09:24 | RASH | 0 Ko] - C:\IO.SYS
[16/03/2009 - 21:09:24 | RASH | 0 Ko] - C:\MSDOS.SYS
[21/01/2009 - 06:59:54 | D] - C:\Config.Msi
[24/03/2010 - 13:11:19 | A | 2 Ko] - C:\RHDSetup.log
[24/07/2010 - 10:51:57 | A | 46 Ko] - C:\MDACSET.log
[24/03/2010 - 10:14:03 | RASH | 0 Ko] - [[url=https://www.virustotal.com/file/b36fcb2926059198a0dd95c6c5da54d71e677fe0a0dd8b577034fd19fcc633a7/analysis/1423010062/]VirusTotal[/url] - (0/56)] - C:\boot.ini
[15/03/2014 - 13:59:39 | A | 0 Ko] - [[url=https://www.virustotal.com/file/6249ddd9d8c806c82d84fa4432836e828f759ed9b50752028c4eae3d8fedd9c9/analysis/1423064559/]VirusTotal[/url] - (0/56)] - C:\AVScanner.ini
[16/01/2014 - 04:40:14 | A | 476 Ko] - [[url=https://www.virustotal.com/file/0161447605bb18b7b0a99df1733a49d3a4eab53e38cb263363b01a3c0a0c94e0/analysis/1419969660/]VirusTotal[/url] - (0/56)] - C:\SecurityScanner.dll
[14/04/2008 - 16:00:00 | N | 46 Ko] - [[url=https://www.virustotal.com/file/8f7186a71684dd114e89cc908ed9400192bc3a47fb288cce4c5c27d0f5d3afa4/analysis/1423650032/]VirusTotal[/url] - (0/57)] - C:\NTDETECT.COM
[14/04/2008 - 16:00:00 | N | 5 Ko] - C:\Bootfont.bin
[16/03/2009 - 21:09:24 | A | 0 Ko] - C:\AUTOEXEC.BAT
[14/04/2008 - 16:00:00 | RASH | 246 Ko] - C:\ntldr
[07/01/2009 - 18:40:14 | D] - C:\706457bc83a8da4aa1
[20/01/2009 - 15:02:34 | D] - C:\AdwCleaner
[21/01/2009 - 16:54:05 | D] - C:\FRST
[22/01/2009 - 17:19:43 | D] - C:\WINDOWS
[22/01/2009 - 18:34:41 | RD] - C:\Program Files
[22/01/2009 - 19:08:49 | D] - C:\UsbFix
[24/03/2010 - 10:33:17 | SHD] - C:\RECYCLER
[24/03/2010 - 12:03:00 | D] - C:\OEMDRV
[25/03/2010 - 14:42:51 | RHD] - C:\MSOCache
[26/03/2010 - 13:29:12 | D] - C:\Logic
[10/07/2010 - 09:25:47 | D] - C:\FlashLIB
[07/03/2014 - 19:30:45 | D] - C:\Nouveau dossier
[19/07/2014 - 18:12:17 | D] - C:\Disque amovible (H)
[22/09/2014 - 14:52:16 | D] - C:\unzipped
[18/11/2014 - 16:16:12 | D] - C:\Documents and Settings
[18/11/2014 - 16:43:12 | A | 0 Ko] - C:\Cookies
[21/12/2014 - 08:23:50 | D] - C:\Fraps

[b]################## | E:\ - Disque USB (FAT32) |[/b]

[22/12/2014 - 01:42:34 | D] - E:\VIDEO

[b]################## | F:\ - Disque USB (FAT32) |[/b]

[24/10/2011 - 11:25:56 | A | 0 Ko] - F:\Musique.lnk

[b]################## | Vaccin |[/b]

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

[b]################## | E.O.F | [url=http://www.sosvirus.net/]https://www.sosvirus.net/[/url] | [url=http://www.usbfix.net/]https://www.usbfix.net/[/url] |[/b]
0
lilidurhone Messages postés 43347 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 31 octobre 2024 3 806
12 févr. 2015 à 17:24
ça doit aller mieux?
0
pam974 Messages postés 99 Date d'inscription jeudi 9 février 2012 Statut Membre Dernière intervention 7 mai 2017 2
12 févr. 2015 à 18:58
ca n'a pas pu faire de mal..mais les .gifs (des smileys apparemment) sont encore présents sur le bureau et se reinstallent à chaque demarrage. je laisse une copie d'écran en piece jointe pour que tu comprennes ce que je veux dire.
0
fabul Messages postés 39393 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 22 décembre 2024 5 445
Modifié par fabul le 12/02/2015 à 19:20
La seule chose que j'ai vu d'anormal, c'est ça: https://forums.commentcamarche.net/forum/affich-31536524-pc-infeste-gifs-revenant-sur-le-bureau#3

Ça n'a pas été corrigé ?

Ça semble ètre un fichier Microsoft quoi que peut être infecté.

Peux tu le faire analyser sur Virustotal et nous donner le lien après l'analyse ?

https://www.virustotal.com/gui/
0
pam974 Messages postés 99 Date d'inscription jeudi 9 février 2012 Statut Membre Dernière intervention 7 mai 2017 2
13 févr. 2015 à 10:23
1)l'ordi de mon fils est sous xp est apparemment je dois activer les cookies pour arriver sur le site de virustotal..j'ai essayé mais je n'y arrive pas.
2) que faudra-t-il faire après ? que dois je faire analyser? un fichier? une url?
par avance merci!
0
pam974 Messages postés 99 Date d'inscription jeudi 9 février 2012 Statut Membre Dernière intervention 7 mai 2017 2
13 févr. 2015 à 15:50
j'ai réussi une étape, il s'agissait de remettre a l'heure le pc! il etait en 2009..j'ai donc pu deja faire que le pc accepte les cookies, là il lance des mises à jour peut être que cela ira mieux.
que faut-il que je fasse analyser sur virus total ?
0
yoann090 Messages postés 9180 Date d'inscription mercredi 12 août 2009 Statut Contributeur sécurité Dernière intervention 13 avril 2016 1 689
13 févr. 2015 à 15:57
Hello,

Juste une question as tu essayé d'ouvrir un de ces fichiers ?
Ils sont peut être en rapport avec Minecraft qui se trouve sur le pc de votre fils.

++
0
pam974 Messages postés 99 Date d'inscription jeudi 9 février 2012 Statut Membre Dernière intervention 7 mai 2017 2
13 févr. 2015 à 16:11
c'est bon ils ont disparu je les ai virés mis dans la poubelle le probleme venait certainenement qu'ils n'apparaissaient pas tous sur le bureau j'ai donc reorganisé les icones du bureau par type et je les ai supprimé, puis j'ai répété l'opération 6 ou 7 fois! Quelques fichiers étaient des smileys et il y avait aussi des fichiers liés a minecraft que j'ai supprimé aussi.
merci pour l'aide de tout le monde!
0
yoann090 Messages postés 9180 Date d'inscription mercredi 12 août 2009 Statut Contributeur sécurité Dernière intervention 13 avril 2016 1 689
13 févr. 2015 à 16:14
Content que ton problème soit résolu, attends quand même le retour de lilidurhone, histoire de repartir avec un pc tout propre niveau infection ;)
bonne fin de journée
0
lilidurhone Messages postés 43347 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 31 octobre 2024 3 806
13 févr. 2015 à 16:43
Refais frst
0
pam974 Messages postés 99 Date d'inscription jeudi 9 février 2012 Statut Membre Dernière intervention 7 mai 2017 2
14 févr. 2015 à 09:45
ok désolé j'ai déjà marqué "résolu"
voici les 2 rapports :
https://www.cjoint.com/c/EBoj2kfBvWY

https://www.cjoint.com/c/EBoj3icBZYh
0