Win32:Adware-gen impossible à supprimer

Résolu
Pandorea Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   -  
Pandorea Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,
je n'arrive pas à supprimer cette adware : Win32:Adware-gen [Adw]. Le logiciel antivirus installé sur cet ordinatur était .. juste avast. J'ai installé spybot et ad-aware, mais à chaque fois qu'ils tentent d'effectuer une analyse, l'ordinateur redémarre. : / Comme je ne m'y connais pas particulièrement en PC je ne sais déjà plus quoi faire. Je sais sinon que l'adware s'installe souvent dans les fichiers temp, mais ils n'en sont pas la source.

Merci d'avance pour votre aide...

113 réponses

Précédent
Réponse 21 / 113
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
si combofix toujours impossible fais ceci:


Accepte de suivre strictement cette procédure SVP:

1)-Télécharge The Avenger par Swandog46 sur le Bureau avec ce lien: < http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ >
Click sur Avenger.zip pour ouvrir le fichier; en extraire "avenger.exe" sur votre bureau

2)- Sélectionner ( mettre en surbrillance ) TOUT le texte en gras ci-dessous, et appuyer simultanément sur les touches (Ctrl+C):




drivers to unload:
Wju57


Files to delete:
C:\WINDOWS\system32\tfnngblh.dll
c:\smaq.exe/r
C:\WINDOWS\system32\gqunlaws.dll
c:\windows\system32\drivers\wju57.sys
C:\WINDOWS\system32\kaxbffyl.dll
C:\WINDOWS\system32\ipcpjuag.dll
C:\WINDOWS\system32\mwtpeybs.dll
C:\WINDOWS\system32\qpnmmmor.dll
C:\Documents and Settings\Pandore\Application Data\Anti-Virus-Pro.com
C:\Program Files\AntiVirusPro
C:\WINDOWS\system32\gqunlaws.dll
C:\WINDOWS\system32\accdd.ini2
C:\WINDOWS\system32\ddcca.dll
C:\WINDOWS\system32\ssqqqrs.dll
C:\WINDOWS\system32\drivers\Wju57.sys
C:\WINDOWS\system32\ddcca.dll

Registry keys to delete:
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{00B64E9C-1D4E-44F9-9441-0DE12C965A01}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{11241072-58BB-40CE-9171-0B2BDFB22E97}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1ad15e05-8894-4805-9b71-53a28306c196}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1E8FFFD3-CF45-490E-ACD3-85FE15A8D42C}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22481B3B-C037-4A26-AA1F-DDCDD5160DC7}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{346EFF42-3479-4051-A7FD-FCBB8887DAC3}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3660847C-FD73-46F9-9371-56E312BA3C0A}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3ACD83D9-41E3-458D-A0FA-4F590F4090FE}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{60ed0664-2325-4fac-85d3-fc3206962ee4}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{62a3fdc0-8e92-4ce7-bf52-e56fa97bac6c}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A97E1B61-3B4A-4A08-A337-76DE915B243B}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C03FD59D-9104-44B7-929A-9EAA0BA05211}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2E9F82D-7835-492C-892A-AFA2301AF6E5}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CF26FAC0-7D4E-46D8-AE64-B277B11443AC}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{db6f46ab-d548-41ef-9dd5-49147ad38ce6}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjkifc]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wju57.sys]





3)- Double-clic sur l'icône "avenger.exe" du bureau, puis [OK] ( sur le message qui s'affiche ).
•- Sous "Script file to execute" cocher le bouton ratio devant "Input Script Manually".
< http://img78.imageshack.us/img78/5258/screenshot265wz9.gif >
Puis clique sur l'icône " en forme de loupe " qui va ouvrir une nouvelle fenêtre "View/edit script"
Dans cette fenêtre, pointer la souris dans le coin supérieur gauche, cliquer 1 fois, puis appuyer simultanément sur les touches (CTL+V)
•- Cliquer Done
Ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
Réponds "Yes" deux fois quand demandé.

4)- The Avenger va automatiquement faire ce qui suit:
Il va re-démarrer le système.
Pendant le re-démarrage, il apparaîtra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaître les actions exécutées par The Avenger.
Ce fichier log se trouve ici : C:\avenger.txt

5)- Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta réponse avec un nouveau rapport hijackthis.
1
Réponse 22 / 113
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
essaye ceci:

Copiez/coller le texte ci-dessous dans le Bloc-note : (demarrer puis tous les programmes puis
accessoire)


drivers to unload:
Wju57


Files to delete:
C:\WINDOWS\system32\tfnngblh.dll
c:\smaq.exe/r
C:\WINDOWS\system32\gqunlaws.dll
c:\windows\system32\drivers\wju57.sys
C:\WINDOWS\system32\kaxbffyl.dll
C:\WINDOWS\system32\ipcpjuag.dll
C:\WINDOWS\system32\mwtpeybs.dll
C:\WINDOWS\system32\qpnmmmor.dll
C:\Documents and Settings\Pandore\Application Data\Anti-Virus-Pro.com
C:\Program Files\AntiVirusPro
C:\WINDOWS\system32\gqunlaws.dll
C:\WINDOWS\system32\accdd.ini2
C:\WINDOWS\system32\ddcca.dll
C:\WINDOWS\system32\ssqqqrs.dll
C:\WINDOWS\system32\drivers\Wju57.sys
C:\WINDOWS\system32\ddcca.dll

Registry keys to delete:
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{00B64E9C-1D4E-44F9-9441-0DE12C965A01}]HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{11241072-58BB-40CE-9171-0B2BDFB22E97}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1ad15e05-8894-4805-9b71-53a28306c196}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1E8FFFD3-CF45-490E-ACD3-85FE15A8D42C}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22481B3B-C037-4A26-AA1F-DDCDD5160DC7}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{346EFF42-3479-4051-A7FD-FCBB8887DAC3}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3660847C-FD73-46F9-9371-56E312BA3C0A}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3ACD83D9-41E3-458D-A0FA-4F590F4090FE}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{60ed0664-2325-4fac-85d3-fc3206962ee4}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{62a3fdc0-8e92-4ce7-bf52-e56fa97bac6c}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A97E1B61-3B4A-4A08-A337-76DE915B243B}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C03FD59D-9104-44B7-929A-9EAA0BA05211}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2E9F82D-7835-492C-892A-AFA2301AF6E5}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CF26FAC0-7D4E-46D8-AE64-B277B11443AC}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{db6f46ab-d548-41ef-9dd5-49147ad38ce6}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjkifc
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wju57.sys



Dans le menu du bloc notes, clic sur "Fichier" >> Enregistrer sous.
Choisis le bureau comme lieu d'enregistrement, puis dans:

Type -> choisis "tous les fichiers"
Nom du fichier -> remove.txt
clic sur enregistrer.



Téléchargez The Avenger

* Dézipez le contenu de l'archive sur votre bureau et doublez-clic sur avenger.exe
* Cliquez sur "Ok"
* Sélectionnez "Load Script from File" et cliquez sur l'icône en forme de dossier.
* Sélectionnez le fichier remove.txt qui est sur votre bureau
* Cliquez sur le feu vert pour lancer le script
* Cliquez sur "Oui"
* Acceptez de redémarrer le pc.
1
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
ne fais pas le message 71 mais le 72
0
Réponse 23 / 113
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
Télécharge ComboScan sur ton Bureau.
---> http://deckard.geekstogo.com/dss.exe

Ferme toutes les applications en cours ; antivirus, pare-feu, etc ..
Double-clic sur comboscan.exe A la fenêtre qui s'affiche, clic sur OK.
Soit patient ..
Le rapport Comboscan.txt s'affichera, copie et colle le contenu de ce fichier ici.
1
Réponse 24 / 113
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gaiaonline.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: (no name) - {00B64E9C-1D4E-44F9-9441-0DE12C965A01} - (no file)

O2 - BHO: (no name) - {11241072-58BB-40CE-9171-0B2BDFB22E97} - (no file)
O2 - BHO: (no name) - {1ad15e05-8894-4805-9b71-53a28306c196} - (no file)
O2 - BHO: (no name) - {1E8FFFD3-CF45-490E-ACD3-85FE15A8D42C} - (no file)
O2 - BHO: (no name) - {22481B3B-C037-4A26-AA1F-DDCDD5160DC7} - (no file)

O2 - BHO: (no name) - {346EFF42-3479-4051-A7FD-FCBB8887DAC3} - (no file)
O2 - BHO: (no name) - {3660847C-FD73-46F9-9371-56E312BA3C0A} - (no file)
O2 - BHO: (no name) - {4854196A-4AA7-4232-9945-B4D853F45231} - C:\WINDOWS\system32\ddcca.dll
O2 - BHO: (no name) - {60ed0664-2325-4fac-85d3-fc3206962ee4} - (no file)
O2 - BHO: (no name) - {62a3fdc0-8e92-4ce7-bf52-e56fa97bac6c} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A97E1B61-3B4A-4A08-A337-76DE915B243B} - (no file)

O2 - BHO: e404 helper - {C03FD59D-9104-44B7-929A-9EAA0BA05211} - (no file)
O2 - BHO: {43aa8068-c7c8-3ad8-c644-c0ce74ca5f0c} - {c0f5ac47-ec0c-446c-8da3-8c7c8608aa34} - C:\WINDOWS\system32\xvkcmigm.dll
O2 - BHO: (no name) - {C2E9F82D-7835-492C-892A-AFA2301AF6E5} - (no file)
O2 - BHO: (no name) - {CF26FAC0-7D4E-46D8-AE64-B277B11443AC} - (no file)
O2 - BHO: (no name) - {dbabe930-af45-434f-ab22-447a3304be5b} - (no file)

O4 - HKLM\..\Run: [320d18a1] rundll32.exe "C:\WINDOWS\system32\frveutth.dll",b

O4 - HKCU\..\Run: [updateMgr] c:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O20 - Winlogon Notify: ljjkifc - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll

_____________________



scan avec vundofix (colle le rapport)

Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4

Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.

Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.


puis :




virtumondebegone (colle le rapport)

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe



________________

Copiez/coller le texte ci-dessous dans le Bloc-note : (demarrer puis tous les programmes puis
accessoire)


drivers to unload:
Wju57


Files to delete:
C:\WINDOWS\system32\tfnngblh.dll
c:\smaq.exe/r
C:\WINDOWS\system32\gqunlaws.dll
c:\windows\system32\drivers\wju57.sys
C:\WINDOWS\system32\kaxbffyl.dll
C:\WINDOWS\system32\ipcpjuag.dll
C:\WINDOWS\system32\mwtpeybs.dll
C:\WINDOWS\system32\qpnmmmor.dll
C:\Documents and Settings\Pandore\Application Data\Anti-Virus-Pro.com
C:\Program Files\AntiVirusPro
C:\WINDOWS\system32\gqunlaws.dll
C:\WINDOWS\system32\accdd.ini2
C:\WINDOWS\system32\ddcca.dll
C:\WINDOWS\system32\ssqqqrs.dll
C:\WINDOWS\system32\drivers\Wju57.sys
C:\WINDOWS\system32\ddcca.dll
C:\WINDOWS\system32\xvkcmigm.dll

Registry keys to delete:
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{00B64E9C-1D4E-44F9-9441-0DE12C965A01}]HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{11241072-58BB-40CE-9171-0B2BDFB22E97}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1ad15e05-8894-4805-9b71-53a28306c196}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1E8FFFD3-CF45-490E-ACD3-85FE15A8D42C}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22481B3B-C037-4A26-AA1F-DDCDD5160DC7}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{346EFF42-3479-4051-A7FD-FCBB8887DAC3}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3660847C-FD73-46F9-9371-56E312BA3C0A}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3ACD83D9-41E3-458D-A0FA-4F590F4090FE}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{60ed0664-2325-4fac-85d3-fc3206962ee4}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{62a3fdc0-8e92-4ce7-bf52-e56fa97bac6c}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A97E1B61-3B4A-4A08-A337-76DE915B243B}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C03FD59D-9104-44B7-929A-9EAA0BA05211}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2E9F82D-7835-492C-892A-AFA2301AF6E5}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CF26FAC0-7D4E-46D8-AE64-B277B11443AC}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{db6f46ab-d548-41ef-9dd5-49147ad38ce6}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjkifc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wju57.sys
320d18a1"=-


Dans le menu du bloc notes, clic sur "Fichier" >> Enregistrer sous.
Choisis le bureau comme lieu d'enregistrement, puis dans:

Type -> choisis "tous les fichiers"
Nom du fichier -> remove.txt
clic sur enregistrer.



Téléchargez The Avenger

* Dézipez le contenu de l'archive sur votre bureau et doublez-clic sur avenger.exe
* Cliquez sur "Ok"
* Sélectionnez "Load Script from File" et cliquez sur l'icône en forme de dossier.
* Sélectionnez le fichier remove.txt qui est sur votre bureau
* Cliquez sur le feu vert pour lancer le script
* Cliquez sur "Oui"
* Acceptez de redémarrer le pc.
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 113
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :

C:\WINDOWS\system32\tfnngblh.dll
c:\smaq.exe/r
C:\WINDOWS\system32\gqunlaws.dll
c:\windows\system32\drivers\wju57.sys
C:\WINDOWS\system32\kaxbffyl.dll
C:\WINDOWS\system32\ipcpjuag.dll
C:\WINDOWS\system32\mwtpeybs.dll
C:\WINDOWS\system32\qpnmmmor.dll
C:\Documents and Settings\Pandore\Application Data\Anti-Virus-Pro.com
C:\Program Files\AntiVirusPro
C:\WINDOWS\system32\gqunlaws.dll
C:\WINDOWS\system32\accdd.ini2
C:\WINDOWS\system32\ddcca.dll
C:\WINDOWS\system32\ssqqqrs.dll
C:\WINDOWS\system32\drivers\Wju57.sys
C:\WINDOWS\system32\ddcca.dll
C:\WINDOWS\system32\xvkcmigm.dll
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{00B64E9C-1D4E-44F9-9441-0DE12C965A01}]HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{11241072-58BB-40CE-9171-0B2BDFB22E97}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjkifc


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
______________


Désactives tes protection , antivirus....



Driver ::
Wju57


File::
c:\smaq.exe/r
C:\WINDOWS\system32\gqunlaws.dll
c:\windows\system32\drivers\wju57.sys
C:\WINDOWS\system32\kaxbffyl.dll
C:\WINDOWS\system32\ipcpjuag.dll
C:\WINDOWS\system32\mwtpeybs.dll
C:\WINDOWS\system32\qpnmmmor.dll
C:\Documents and Settings\Pandore\Application Data\Anti-Virus-Pro.com
C:\Program Files\AntiVirusPro
C:\WINDOWS\system32\gqunlaws.dll
C:\WINDOWS\system32\accdd.ini2
C:\WINDOWS\system32\ddcca.dll
C:\WINDOWS\system32\ssqqqrs.dll
C:\WINDOWS\system32\drivers\Wju57.sys
C:\WINDOWS\system32\ddcca.dll



Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{00B64E9C-1D4E-44F9-9441-0DE12C965A01}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{11241072-58BB-40CE-9171-0B2BDFB22E97}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1ad15e05-8894-4805-9b71-53a28306c196}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1E8FFFD3-CF45-490E-ACD3-85FE15A8D42C}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22481B3B-C037-4A26-AA1F-DDCDD5160DC7}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{346EFF42-3479-4051-A7FD-FCBB8887DAC3}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3660847C-FD73-46F9-9371-56E312BA3C0A}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3ACD83D9-41E3-458D-A0FA-4F590F4090FE}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{60ed0664-2325-4fac-85d3-fc3206962ee4}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{62a3fdc0-8e92-4ce7-bf52-e56fa97bac6c}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A97E1B61-3B4A-4A08-A337-76DE915B243B}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C03FD59D-9104-44B7-929A-9EAA0BA05211}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2E9F82D-7835-492C-892A-AFA2301AF6E5}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CF26FAC0-7D4E-46D8-AE64-B277B11443AC}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{db6f46ab-d548-41ef-9dd5-49147ad38ce6}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjkifc]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wju57.sys]





Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
1
Réponse 26 / 113
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
ok

toujours ces deux là , essaye de faire la suite pour les virer:

c:\windows\system32\drivers\wju57.sys
C:\WINDOWS\system32\ddcca.dll
1
Réponse 27 / 113
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
meme apres désactivation de tes antivirus....?


________________


Télécharge The Avenger (Swandog46) sur ton bureau

* Clic droit sur Avenger.zip
* Extrais avenger.exe sur ton bureau (clic sur "extraire")


Copie le texte ci dessous EN ENTIER en le sélectionnant puis en faisant CTRL+C (copier) : et mets le dans
la partie blanche (input script here)


registry keys to delete:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wju57.sys]


Files to delete:
C:\WINDOWS\system32\drivers\Wju57.sys
C:\WINDOWS\system32\ddcca.dll

Drivers to unload:
Wju57



puis clique sur EXECUTE

Note: Ce code a été créé spécifiquement pour cet utilisateur ! Si vous n'êtes pas cet utilisateur en question, ne suivez pas ces instructions au risque d'endommager votre PC !!!


The Avenger va faire ceci :

* Il va redémarrer ton PC
* Lors du redémarrage du PC, une console noire va apparaître, ne pas s'inquiéter c'est normal !
* Après le rédémarrage, il va ouvrir un rapport avec les actions qu'il a effectué. Ce rapport est situé ici : C:\avenger.txt
* Tous les fichiers supprimés sont gardés en mémoire et compressés dans ce fichier : C:\avenger\backup.zip

Copie et colle le contenu de ce fichier dans ta prochaine réponse : c:\avenger.txt









1
Réponse 28 / 113
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
esssaye avec ceci:






registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wju57.sys


Files to delete:
C:\WINDOWS\system32\drivers\Wju57.sys
C:\WINDOWS\system32\ddcca.dll

Drivers to unload:
Wju57
1
Réponse 29 / 113
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
essaye avec ceci

sinon je regarderai pour faire autrement vu que tu ne peux faire combofix!



drivers to unload:
Wju57

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wju57.sys



Files to Delete:
C:\WINDOWS\system32\drivers\Wju57.sys
C:\WINDOWS\system32\ddcca.dll
1
Réponse 30 / 113
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
the avenger :

Sélectionne cette liste :

Drivers to unload:
Wju57


Files to delete:
C:\WINDOWS\system32\drivers\Wju57.sys
C:\WINDOWS\system32\ddcca.dll


registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wju57.sys
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3ACD83D9-41E3-458D-A0FA-4F590F4090FE}


--> Clic droit copier

- Ouvre le Bloc-Note et clic sur le menu Edition/Coller afin de coller le contenu qui est dans le cadre ci-dessus
- Enregistre le fichier sur ton bureau sous le nom remove.txt

- Télécharge The Avenger : http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
- Dézip le contenu de l'archive sur ton bureau et double-clic sur avenger.exe
- Clique sur "Ok"
- Sélectionne "Load Script from File" et clique sur l'icône en forme de dossier.
- Sélectionne le fichier remove.txt qui est sur ton bureau
- Clique sur le feu vert pour lancer le script
- Clique sur "Oui"
- Accepte de redémarrer ton pc.

Quand le PC a redémarre ouvre le fichier C:\avenger.txt et copie/colle le contenu ici.

@+
1
Réponse 31 / 113
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
tu a bien donné le nom de remove.txt au fichier?


_______________

avec combofix: tu l'enregistre bien sur le bureau ? et tu donne le bon nom au fichier créer (attention aux majuscules)?
1
Pandorea
 
Voui voui. Bon j'essaye ce que tu m'as marqué
0
Réponse 32 / 113
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
sinon essaye ceci:



* Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

n´y touche pas

redemarre en mode sans echec:

Comment redémarrer en mode sans echec?

Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
capture d´ecran : http://www.coupdepoucepc.com/
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
Ps : si F8 ne marche pas utilise la touche F5.

Note : en mode sans echec tu n´auras plus acces au net alors imprime ou copie les instructions ci dessous dans un fichier texte que tu pourras consulter a souhait
une fois en mode sans echec.

Fix.reg

Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(x)) :

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
REGEDIT4

C:\WINDOWS\system32\drivers\Wju57.sys
C:\WINDOWS\system32\ddcca.dll
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wju57.sys
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3ACD83D9-41E3-458D-A0FA-4F590F4090FE}


XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Note : Regedit4 est sur la premiere ligne dans le bloc note et il y a une ligne blanche a la fin.
Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

ca doit ressembler a ca une fois enrregistré :

http://img520.imageshack.us/img520/4251/screenshot005ps2.png

quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

C:\WINDOWS\system32\drivers\Wju57.sys
C:\WINDOWS\system32\ddcca.dll



* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

Redemarre normalement et post le rapport de ot_move it ici stp ainsi qu´un nouveau rapport hijack this.
1
Pandorea
 
Alors après une galère innomable pour lancer le PC en mode sans échec (plantait tout le temps!), j'ai réussi, j'ai fais tout ce que tu m'avais marqué, OTMoveIt m'a demandé de redémarrer le PC pour finir la suppresion, OK, et là le PC a planté donc bon, je ne sais pas si ça a marché.

Voilà le rapport :

[Custom Input]
< C:\WINDOWS\system32\drivers\Wju57.sys >
File move failed. C:\WINDOWS\system32\drivers\Wju57.sys scheduled to be moved on reboot.
< C:\WINDOWS\system32\ddcca.dll >
DllUnregisterServer procedure not found in C:\WINDOWS\system32\ddcca.dll
C:\WINDOWS\system32\ddcca.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\ddcca.dll scheduled to be moved on reboot.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 04232008_114708

:) Les rapports suivants arrivent
0
Réponse 33 / 113
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
ensuite que tu y arrive ou pas tu me collera un rapport hijackthis et comboscan pour voir

Télécharge ComboScan sur ton Bureau.
---> http://deckard.geekstogo.com/dss.exe

Ferme toutes les applications en cours ; antivirus, pare-feu, etc ..
Double-clic sur comboscan.exe A la fenêtre qui s'affiche, clic sur OK.
Soit patient ..
Le rapport Comboscan.txt s'affichera, copie et colle le contenu de ce fichier ici.
1
Réponse 34 / 113
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
non il persiste, et je vois que pendant ton absence tu a rechopé des infections! tu as fais une restauration?


on va déjà virer le maximum d'infections vundo avant le script
_______________


Fais DEMARRER puis EXECUTER et tape mrt puis clique ok et suis la procedure (logiciel de windows se mettant a jour tous les moi et pouvant virer depuis mars des infections vundo)

____________

scan avec vundofix (colle le rapport)

Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4

Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.

Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.

puis :

virtumondebegone (colle le rapport)

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe


puis Symantec Vundo Remove Tool B

https://www.broadcom.com/support/security-center

et Symantec Vundo Remove Tool

https://www.broadcom.com/support/security-center
____________


télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :
C:\WINDOWS\system32\accdd.ini2
C:\WINDOWS\system32\kriicumx.dll
C:\WINDOWS\system32\hnktoogo.dll
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{00B64E9C-1D4E-44F9-9441-0DE12C965A01}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{11241072-58BB-40CE-9171-0B2BDFB22E97}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1ad15e05-8894-4805-9b71-53a28306c196}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1E8FFFD3-CF45-490E-ACD3-85FE15A8D42C}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22481B3B-C037-4A26-AA1F-DDCDD5160DC7}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{346EFF42-3479-4051-A7FD-FCBB8887DAC3}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3660847C-FD73-46F9-9371-56E312BA3C0A}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{60ed0664-2325-4fac-85d3-fc3206962ee4}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{62a3fdc0-8e92-4ce7-bf52-e56fa97bac6c}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A97E1B61-3B4A-4A08-A337-76DE915B243B}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2E9F82D-7835-492C-892A-AFA2301AF6E5}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CF26FAC0-7D4E-46D8-AE64-B277B11443AC}
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d821fbdd-9326-4982-b34d-18d113ea919b}
C:\WINDOWS\system32\dxwsvwvc.dll


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.


______________

colle un rapport antivir
_______________

recolle un comboscan et on reverra pour un script pour virer ce qui reste
1
Réponse 35 / 113
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
bon passe à la suite
1
Réponse 36 / 113
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
colle un rapport antivir
_______________

recolle un comboscan et on reverra pour un script pour virer ce qui reste
1
Réponse 37 / 113
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
analyse ces fichiers sur virus total et si inféctés tu les mets dans la citation otmovit aussi: https://www.virustotal.com/gui/


C:\WINDOWS\system32\oajpgcow.dll
C:\WINDOWS\system32\vrdyspfg.dll
C:\WINDOWS\system32\itdpvggm.dll
C:\WINDOWS\system32\cfqcvlmk.dll
C:\WINDOWS\system32\hempixji.dll
C:\WINDOWS\system32\eqorbqdw.dll
C:\WINDOWS\system32\xxdsvwsu.dll
C:\WINDOWS\system32\upneawoe.ini2

______________

refais otmovit et mets ceci dans la citation:

C:\WINDOWS\system32\ddcca.dll
C:\WINDOWS\system32\dpfuahoi.dll
C:\WINDOWS\system32\tnqljllh.dll
C:\WINDOWS\system32\efhaenmt.dll
C:\WINDOWS\system32\aehkcwwd.dll
C:\WINDOWS\system32\wsxcmvof.dll
C:\WINDOWS\system32\dpkgcvrd.dll
C:\WINDOWS\system32\anjddrgr.dll
C:\WINDOWS\system32\cryiqxsr.dll
C:\WINDOWS\system32\ergwdbvb.dll
C:\WINDOWS\system32\gwtsdnwi.dll
C:\WINDOWS\system32\bxyvdjjs.dll
C:\WINDOWS\system32\fvxnytns.dll
C:\WINDOWS\system32\accdd.ini2



_______________________________________

vire ce qui est dnas le dossier vundofic backups en allant dans poste de travail puis C puis
C:\VundoFix Backups\yeklqnbl.dll.bad

__________________________________________

vire ce qui est dans moved files en allant dans poste de travail puis C puis OTMOVIT

__________________________________________

repare windows avec zeb restore; http://telechargement.zebulon.fr/zeb-restore.html
____________________________________________
essaye de refaire ceci si impossible recolle un comboscan

telecharge combofix:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs ! sans le renommer cette fois




Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :






Driver ::
Wju57


File::

C:\WINDOWS\system32\fvxnytns.dll
C:\WINDOWS\system32\ddcca.dll
C:\WINDOWS\system32\bxyvdjjs.dll
C:\WINDOWS\system32\ddcca.dll
C:\WINDOWS\system32\drivers\Wju57.sys
C:\WINDOWS\system32\ddcca.dll



Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{00B64E9C-1D4E-44F9-9441-0DE12C965A01}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{11241072-58BB-40CE-9171-0B2BDFB22E97}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1ad15e05-8894-4805-9b71-53a28306c196}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1B4AA3F4-A0C1-4ECB-9472-0BDE8DEE0B92}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1E8FFFD3-CF45-490E-ACD3-85FE15A8D42C}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22481B3B-C037-4A26-AA1F-DDCDD5160DC7}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{346EFF42-3479-4051-A7FD-FCBB8887DAC3}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3660847C-FD73-46F9-9371-56E312BA3C0A}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{60ed0664-2325-4fac-85d3-fc3206962ee4}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{62a3fdc0-8e92-4ce7-bf52-e56fa97bac6c}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7b62003c-7798-4b38-a287-8a52d625f5a8}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A97E1B61-3B4A-4A08-A337-76DE915B243B}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2E9F82D-7835-492C-892A-AFA2301AF6E5}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CF26FAC0-7D4E-46D8-AE64-B277B11443AC}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{dbabe930-af45-434f-ab22-447a3304be5b}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"320d18a1"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjkifc]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wju57.sys]
@="Driver"-







Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
1
Réponse 38 / 113
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
relance hijackhis et fix ces lignes:


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.gaiaonline.com/?login_success=1

O2 - BHO: (no name) - {00B64E9C-1D4E-44F9-9441-0DE12C965A01} - (no file)

O2 - BHO: {8654a3cc-fc15-2cf8-0ba4-52c8611f2dd0} - {0dd2f116-8c25-4ab0-8fc2-51cfcc3a4568} - C:\WINDOWS\system32\lvjykfmu.dll (file missing)
O2 - BHO: (no name) - {11241072-58BB-40CE-9171-0B2BDFB22E97} - (no file)
O2 - BHO: (no name) - {1ad15e05-8894-4805-9b71-53a28306c196} - (no file)
O2 - BHO: (no name) - {1E8FFFD3-CF45-490E-ACD3-85FE15A8D42C} - (no file)
O2 - BHO: (no name) - {22481B3B-C037-4A26-AA1F-DDCDD5160DC7} - (no file)

O2 - BHO: (no name) - {346EFF42-3479-4051-A7FD-FCBB8887DAC3} - (no file)
O2 - BHO: (no name) - {3660847C-FD73-46F9-9371-56E312BA3C0A} - (no file)
O2 - BHO: (no name) - {60ed0664-2325-4fac-85d3-fc3206962ee4} - (no file)
O2 - BHO: (no name) - {62a3fdc0-8e92-4ce7-bf52-e56fa97bac6c} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {A97E1B61-3B4A-4A08-A337-76DE915B243B} - (no file)

O2 - BHO: (no name) - {C2E9F82D-7835-492C-892A-AFA2301AF6E5} - (no file)
O2 - BHO: (no name) - {CF26FAC0-7D4E-46D8-AE64-B277B11443AC} - (no file)
O2 - BHO: (no name) - {dbabe930-af45-434f-ab22-447a3304be5b} - (no file)

O4 - HKLM\..\Run: [BM313e2b3d] Rundll32.exe "C:\WINDOWS\system32\dvvyffhh.dll",s
O4 - HKLM\..\Run: [320d18a1] rundll32.exe "C:\WINDOWS\system32\pprvrqjy.dll",b

O20 - Winlogon Notify: ljjkifc - C:\WINDOWS\


____________

recolle un hijckhtis et antivir a plus
1
Réponse 39 / 113
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
ok
vire ce qui est en quarantaine dans antivir, désactive ta restauration systeme puis redemarre l'ordi puis réactive là
et verifie que antivir ne trouve rien


si rien c'est bon!!!
1
Réponse 40 / 113
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
ok parfait pour verifier fais sdfix:




Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum












__________________________


sinon pour finir : pour proteger gratos ton ordinateur:






pour protéger gratos ton ordi

securite

mettre un antivirus

AVAST en français ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions:

MalwareByte's Anti-Malware + SPYBOT
+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...


--------
un pare feu :
celui de Windows ou mieux KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
zonealarm

-----------

CCLEANER pour effacer les traces de surf
------------
naviguer de preference avec firefox ou opera ou safari moins touchés par les infections
1

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses
Pb Windows 7, .EXE n'est pas app win32 valide
Witeric -
Lio -

15 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
PUADlManager:Win32/OfferCore
tenmalade -
tenmalade -

2 réponses