Virus peut-être ?

Question

Bonjour,
http://ww17.scache.eorezo.com/html/engine/after.htm?&x_src_=1mwU9cubx%2FH6YoCR8zzO9okP1Zcpdl9BDpqxqYiczU%2FqYGtsTR1RK3CAqen5BexdWCSXm2THnxwDWFx5acgBXb6PFxegI4PQVQB1oDuqWrSJ%2Fv9ZYBVkfMUiBgoH%2BXUYxHBK%2B2Qn17bqKYU%2B8PXoGXO51%2BVj8GVrnVqTLTHP%2Bx9FJ01JIRN6NNKgyULefJY20xB60CZ%2F6jlBp5uAbhHLvg%3D%3D

g ce syte qui veut remplacez ma page d ouverture google merci pour votre aide 
un petit postage hijackthis 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:04:53, on 14/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\EoRezo\EoEngine.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Tempario Fiat Auto	empario.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office\OUTLOOK.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\EoRezo\EoAdv\EOREZO~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: Adobe Media Player.lnk = C:\Program Files\Adobe Media Player\Adobe Media Player.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

benurrr · Answer

Bonjour ;

télécharge malwarbyte http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebyte s anti malware a l'installation vérifie que mise a jour et lancer programme et scan complet sont bien cocher 

Une fois a jour, le programme va se lancer; clic sur l´onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression". 

A la fin du scan clique sur Afficher les résultats 

Suppression des éléments détectés >>>> clique sur Supprimer la sélection ou supprimer tout 
S'il t'es demandé de redémarrer >>> clique sur "Yes" 

Et tu poste le rapport générer 
et on attendant une réponse tu peut refaire un scan malwarbyte mais on mode sans échec car beaucoup plus efficace 

comment démarrer on mode sans échec ici tuto http://www.infos-du-net.com/forum/272325-11-tuto-demarrer-mode-echec

tu enregistre le rapport générer de façon a le retrouver et tu poste le nouveau rapport rapport


Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
mais C.. de penser que ­tu es libre...merci a australe13

sKe69 · Answer

Salut,

on va viré tout cela ^^


Fais ceci dans un premier temps :

Télécharge OAD ( par !aur3n7) : http://sosvirus.changelog.fr/OAD.exe 
----> Enregistre le sur ton bureau .

! deconnecte toi , fermes toute applications en cours et tes navigateurs , désactives tes défenses le temps de la manipe !

Double clique sur l'icone OAD pour le lancer 

- nom du fichier à rechercher :
-->tapes ou fais un copier coller de : EoRezo

- Type de recherche : sélectionne l'option 6 puis valide ["entrée"] 

OAD va maintenant rechercher le fichier. Laisses le travailler jusqu'à ce qu'il en ait terminé. 
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé. 

Note : suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient ...

->Sauvegardes ce rapport sur ton Bureau et fais un copier / coller de celui-ci dans ta prochaine réponse ...

Trying2 · Answer

Hello

Un virus, le mot est fort mais ...


Tu peux désinstaller le logiciel EoRezo et fixer ces lignes:

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\EoRezo\EoAdv\EOREZO~1.DLL 
C:\Program Files\EoRezo\EoEngine.exe 

Si celle ci ne t'inspire aucune utilité... n'hésite pas:
C:\Program Files\Tempario Fiat Auto	empario.exe

Trying2 · Answer

Olé, Bonjour à tous...

Je vois que le karcher est de sortie.
Je repars avec mon pistolet à eau.


Bon courage et excellente journée à tous..

sKe69 · Answer

bien ,

je te prépare la suite ... dans 2 minutes ... ^^

sKe69 · Answer

Bien ...

1- Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau. 

http://oldtimer.geekstogo.com/OTMoveIt3.exe

! Déconnectes toi et fermes toute tes applications en cours !
 
Double cliques sur "OTMoveIt3.exe" pour ouvrir le prg . 
Puis copies ce qui se trouve en citation ci-dessous,
 
:Processes 
explorer.exe 

:Services 

:Reg 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64F56FC1-1272-44­CD-BA6E-39723696E350}\InprocServer32] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}\ProgID] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}\VersionIndependentProgID] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EoRezoBHO.EoBho] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EoRezoBHO.EoBho\CLSID] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EoRezoBHO.EoBho\CurVer] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EoRezoBHO.EoBho\CurVer] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EoRezoBHO.EoBho.1] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EoRezoBHO.EoBho.1\CLSID] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}\1.0] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}\1.0\0\win32] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}\1.0\HELPDIR] 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo] 
"DistributionServer1"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo] 
"DistributionServer2"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo] 
"FileServer"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo] 
"LogServer"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo] 
"MediaServer"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo] 
"ProfileServer"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo] 
"SoftServer"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo] 
"UpdateServer"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo] 
"PathInstall"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo\EoAdv] 
"EoAdv"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo\EoAdv] 
"PathInstall"=- 
[-HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo\EoEngine] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo\EoAdv] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EoEngine"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
"Inno Setup: App Path"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
"InstallLocation"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
"Inno Setup: Icon Group"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
"UninstallString"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
"QuietUninstallString"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
"Publisher"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
"URLInfoAbout"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
"HelpLink"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
"URLUpdateInfo"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
[-HKEY_USERS\S-1-5-21-1644491937-879983540-725345543-500\Software\EoRezo]
[-HKEY_USERS\S-1-5-21-1644491937-879983540-725345543-500\Software\EoRezo\EoAdv]
[-HKEY_USERS\S-1-5-21-1644491937-879983540-725345543-500\Software\EoRezo\EoEngine]
[-HKEY_USERS\S-1-5-21-1644491937-879983540-725345543-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\eorezo.com]
[-HKEY_USERS\S-1-5-21-1644491937-879983540-725345543-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\eorezo.com\scache]
[HKEY_USERS\S-1-5-21-1644491937-879983540-725345543-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\Program Files\EoRezo\EoEngine.exe"=-

:Files 
C:\Program Files\EoRezo\EoEngine.exe 
c:\Documents and Settings\Administrateur\Application Data\EoRezo 
c:\Documents and Settings\Administrateur\Local Settings\Temp\is-HPKPQ.tmp\EoRezo 
c:\Program Files\EoRezo 

:Commands 
[purity] 
[emptytemp] 
[start explorer] 
[Reboot] 



et colles le dans le cadre de gauche de OTMoveIt2 : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 
 
-> cliques sur MoveIt! pour lancer la suppression.
-> laisses travailler l'outil ... 

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : cliques sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"  
( " xxxx2008_xxxxxx.log "  )



2- refais un scan hijackthis et postes le nouveau rapport obtenu pour analyse ....

christophevillefranche · Answer

si je fais clean up il me dit de reboot yes ou no ???

Trying2 · Answer

Re

C'est pourtant pas bien compliqué.





Super désolé, la tentation était trop forte...


Bonne continuation.

sKe69 · Answer

ca a marcher mais quand mon ordi c remi en route 
il a suprimer moveit 

--> normal, tu as selectionné clean up ! .... il même du te virer hijackthis ...

si c'est le cas , retélécharges et ré-installes le ainsi :

Télécharges et installes le logiciel HijackThis : 

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe 
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " . 

tuto pour utilisation :
Regardes ici, c'est parfaitement expliqué en images (merci balltrap34), 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 
( Ne fixes encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

2- !! Déconnectes toi et fermes toute tes applications en cours !! 

Cliques sur le raccourci du bureau pour lancer le prg : 
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" 

---> Postes le rapport généré pour analyse ...

sKe69 · Answer

bon ... postes les message à la suite stp ...

la manipe n'a pas completement marché ...

Refait un scan OAD option 6 , avec ceci :

EoEngine

et recommences avec :

EoRezo


postes moi les deux rapports obtenus stp ...

sKe69 · Answer

Bon ...

1- Désactives le " tea timer " de Spybot S&D en t'aidant de ce tuto animé :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm

tu le réactivera une fois qu'on aura finit ensemble et pas avant ! Et à ce moment là , tu acceptera TOUTES les modifs de registre qu'il te proposera ...


2- On reprends ceci :


Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau. 

http://oldtimer.geekstogo.com/OTMoveIt3.exe

! Déconnectes toi et fermes toute tes applications en cours !
 
Double cliques sur "OTMoveIt3.exe" pour ouvrir le prg . 
Puis copies ce qui se trouve en citation ci-dessous,
 

:Processes 
explorer.exe 

:Services 

:Reg 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64F56FC1-1272-44­CD-BA6E-39723696E350}\InprocServer32] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}\ProgID] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}\VersionIndependentProgID] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EoRezoBHO.EoBho] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EoRezoBHO.EoBho\CLSID] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EoRezoBHO.EoBho\CurVer] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EoRezoBHO.EoBho\CurVer] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EoRezoBHO.EoBho.1] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EoRezoBHO.EoBho.1\CLSID] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}\1.0] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}\1.0\0\win32] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}\1.0\HELPDIR] 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo] 
"DistributionServer1"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo] 
"DistributionServer2"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo] 
"FileServer"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo] 
"LogServer"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo] 
"MediaServer"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo] 
"ProfileServer"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo] 
"SoftServer"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo] 
"UpdateServer"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo] 
"PathInstall"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo\EoAdv] 
"EoAdv"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo\EoAdv] 
"PathInstall"=- 
[-HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo\EoEngine] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo\EoAdv] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EoEngine"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
"Inno Setup: App Path"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
"InstallLocation"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
"Inno Setup: Icon Group"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
"UninstallString"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
"QuietUninstallString"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
"Publisher"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
"URLInfoAbout"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
"HelpLink"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]
"URLUpdateInfo"=-
[-HKEY_USERS\S-1-5-21-1644491937-879983540-725345543-500\Software\EoRezo]
[-HKEY_USERS\S-1-5-21-1644491937-879983540-725345543-500\Software\EoRezo\EoAdv]
[-HKEY_USERS\S-1-5-21-1644491937-879983540-725345543-500\Software\EoRezo\EoEngine]
[-HKEY_USERS\S-1-5-21-1644491937-879983540-725345543-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\eorezo.com]
[-HKEY_USERS\S-1-5-21-1644491937-879983540-725345543-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\eorezo.com\scache]
[HKEY_USERS\S-1-5-21-1644491937-879983540-725345543-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\Program Files\EoRezo\EoEngine.exe"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\EoEngine]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\EoEngine\DEBUG]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\eoEngine_is1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"EoEngine"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1]

:Files 
C:\Program Files\EoRezo\EoEngine.exe 
c:\Documents and Settings\Administrateur\Application Data\EoRezo 
c:\Documents and Settings\Administrateur\Local Settings\Temp\is-HPKPQ.tmp\EoRezo 
c:\Program Files\EoRezo 

:Commands 
[purity] 
[emptytemp] 
[start explorer] 
[Reboot]


et colles le dans le cadre de gauche de OTMoveIt2 : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 
 
-> cliques sur MoveIt! (et pas sur autre chose ! ) pour lancer la suppression.
-> laisses travailler l'outil ... 

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : cliques sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"  
( " xxxx2008_xxxxxx.log "  )

sKe69 · Answer

Reboot ton PC et Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles" 
( " xxxx2008_xxxxxx.log " )

sKe69 · Answer

Bon ... ET POSTE A LA SUITE DE CE MESSAGE .... merci


Refais un scan hijackthis et postes le nouveau rapport obtenu ...

sKe69 · Answer

Bon ... je pense qu"en mode sans échec , cela devrai passer ...


Donc fais la manipe d'OTMoveIt3 comme indiqué ici  : 
http://www.commentcamarche.net/forum/affich 8879051 virus peu etre?#19

mais tu la lances en mode sans échec :

 /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ). 
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...


Une fois fais et le pc rebooter par Otmoveit (si tout ce passe bien ) , tu sera de reour en mode normal et tu me posteras le log obtenu ...

sKe69 · Answer

Ok ... à demain ... ;)

sKe69 · Answer

Salut ,

c'est bizard que le prg marche pas chez toi ... -_-'


soit , il y a peut-être une bestiole qui l'empèche de tourner ...

fais ceci ( en mode normal ) :


Télécharges GenProc  (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip 

!!Déconnectes toi et fermes tes application en cours !!

Dézippes (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .  

Ouvres le dossier Genproc :
double-cliques sur GenProc.bat et laisses faire ...

Une fois terminé, postes le contenu du rapport qui s'ouvre ... 

Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
 
IMPORTANT : postes le rapport et ne fait rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

Sacabouffe · Answer

Salut
Vlà un message qui pasait pas.

Rapport GenProc 2.118 [1] effectué le 15/10/2008 à 9:32:55,51 - Windows XP

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :

- MSNFix (!aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau.


***** Copie la suite de la procédure dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ (choisis ta session courante "Christophe") *****


# Etape 2/

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste, dans la même réponse :
- Le contenu du rapport MSNfix situé sur le Bureau ;
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
voilaa merci

Bonne continuation ;-)

sKe69 · Answer

Ok merci ... ;)




1- Fermes toutes tes applications et déconnectes toi .

Relances Hijackthis mais click sur " Do a scan only " 
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . 
Tu vas cliquer sur les carrés des lignes suivantes : 

O2 - BHO: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\EoRezo\EoAdv\EOREZO~1.DLL (file missing) 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime 
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe" 
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe 
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE 


Tu cliques en bas sur le bouton FIX CHECKED et valides .


2- Mets à jours ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :
* Adobe Reader :
-> désinstalles avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Important : si tu as une imprimante ,désactives la et la débranches du PC avant de faire la mise à jour.
-> télécharges et installes la dernière version ici : 
http://www.commentcamarche.net/telecharger/telecharger 27 acrobat reader 


3- Télécharges : - CCleaner 
https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ). 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage 
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


4- refais un scan hijackthis , postes le nouveau rapport obtenu et dis moi si il y a du mieux ...

sKe69 · Answer

pendant le nettoyage antivir ma dit trojan 
tr/dldr.ub.hzvtrojan

--> tu as pu mettre ne quarantaine ? ...


Fais ceci pour nettoyer dans les coins :

Télécharges MalwareByte's : 
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php
 
Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

Potasses le tuto pour te familiariser avec le prg : 
https://forum.pcastuces.com/sujet.asp?f=31&s=3
https://www.androidworld.fr/ 
( cela dis, il est très simple d'utilisation ).

Impératif : Démarrer en mode sans echec .

 /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ). 
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...
 
Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! )  et supprimes tout ce qu'il peut trouver, c'est à dire :
-->Laisses le scan se terminer,puis à la fin tu cliques sur "résultat" . 
-->Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

Redémarres ton PC ( mode normal ). 

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...

sKe69 · Answer

Hep ... c'est ici que cela ce passe :

http://www.commentcamarche.net/forum/affich 8879051 virus peu etre?#36


merci ...^^

sKe69 · Answer

bien ...

 ce syte qui veut remplacez ma page d ouverture google 

--> ce problème est règlé maintenant non ? encore des soucis ? ....

si tout est ok , on finalise ...

sKe69 · Answer

On va rescanner ton PC avec ton AV ...


fais comme ceci :

mets AntiVir à jour .

Aide AntiVir : https://www.malekal.com/avira-free-security-antivirus-gratuit/

Si jamais tu as un problème avec la mise à jour , regardes ici :
http://www.commentcamarche.net/faq/sujet 8622 mise a jour d antivir impossible  


Fais ce réglage supplémentaire :

***************************************
Une fois AntiVir ouvert click sur configuration et coches la case "expert mode" . 
*Puis click sur configuration en haut a droite; dans la nouvelle fenetre à gauche ->scanner -> coches "scan all files" et en dessous ->scanner priority = High 
*coches : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir. 
*puis sur la droite, coches les cases suivantes : 
scan boot sectors of selected drives 
scan master boot sectors 
scan memory 
search for rootkit before scan 
et décoches : 
ignore off line files 
*toujours a gauche -> scan -> deploie -> heuristique -> macrovirus heuristic = coché et en dessous -> win32 heuristic la case cochée et high detection level aussi ...

---> cliques sur "OK" pour valider le réglage ...
****************************************

Une fois fait , 
Impératif : Démarrer en mode sans echec .

 /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ). 
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...
 
Lances un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ... 
Redémarres ton PC et postes moi le rapport obtenu ... Aides toi bien du tuto ;) 



A demain ...

sKe69 · Answer

salut,

1- supprimes tout ce qui est dans la quarantaine d'Antivir ( via celle-ci bien sûr )


2- refais un coup de CCleaner ( registre compris )


3- Fais ce dernier scan en ligne ... et si tout est Ok , on cloture ... ^^


Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >. 
Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...). 
- On va te demander de télécharger un contôle active x, accepte . 
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer. 
- Sauvegardes le rapport qui sera généré, puis copies/colles le dans ta prochaine réponse pour analyse et attends la suite ... 

--> tuto : 
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

Note : 
*Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.

*S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3 
Rappel : le scan est à faire sous Internet Explorer !

sKe69 · Answer

Bien ... 1- Fermes toutes tes applications et déconnectes toi . Relances Hijackthis mais click sur " Do a scan only " Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . Tu vas cliquer sur les carrés des lignes suivantes : O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" Tu cliques en bas sur le bouton FIX CHECKED et valides . Si et seulement si tu n'as plus de soucis , fais la suite : 2- Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau. http://pc-system.fr/ Déconnectes toi et fermes bien toutes tes applications en cours . Lances le . *Cliques sur Recherche et laisses le scan se terminer (cela peut être long). *Cliques sur Suppression pour finaliser. *Tu peux, si tu le souhaites, te servir des Options facultatives *Cliques sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) : ---> Postes ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) . Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . Puis enfin supprimes Toolscleaner2 ... 3- Refais un coup de CCleaner ( registre compris ) . 4- Purge de la restauration système *Désactives ta restauration : Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK --->Redémarres ton PC *Réactives ta restauration : Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK --->Redémarres ton PC ( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ). 5- Crées un point de restauration de ton PC : Aller dans le Menu Démarrer puis dans Programmes, - Ensuite dans Accessoires et enfin dans Outils système, - Choisir "Restauration du système", - Sélectionner "Créer un point de restauration", - Cliquer sur "Suivant", - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple : << Point restauration sain >> . --> Cliquer sur "Créer" et le point de restauration se créé automatiquement. ---> une fois terminé, dis moi ce que cela a donné ... =)

sKe69 · Answer

Ecoute , laisse tomber la manipe ... et merci de poster à la suite de ce message MERCI ! ... ce topic devient un vrai foutoir ...



fais ceci pour demain :


Télécharges Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable  sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Fermes bien toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . 

* Devant l'option "List files/folders created ..." , tu choisis : 2 months 

* cliques ensuite sur " Continue " pour lancer l'analyse ...


( Note : Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.)


-> laisses faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note). 

Postes le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

sKe69 · Answer

Salut,

voilà la suite :


1- Important :
Branches toutes tes unités externes au PC ( DD externes , clé USB , lecteur mp3, ect...) mais sans les ouvrir ! 
Tu les retireras après la manipe ... 



2- Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau. 

http://oldtimer.geekstogo.com/OTMoveIt3.exe

! Déconnectes toi et fermes toute tes applications en cours !
 
Double cliques sur "OTMoveIt3.exe" pour ouvrir le prg . 
Puis copies ce qui se trouve en citation ci-dessous,
 

:Processes
explorer.exe

:Services

:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3] 
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UWAS6V_0001_N91M2208]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SDR6V_Check] 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7f12ed4c-2964-11dc-9dae-00161763d95d}] 

:Files
C:\Program Files\Everest Poker 
C:\Program Files\Fichiers communs\DriveCleaner 2006 Free\SDRmon.exe 
D:\autorun.exe 
E:\.\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe 
C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe 

:Commands
[emptytemp]
[start explorer]
[Reboot]


et colles le dans le cadre de gauche de OTMoveIt3 : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 
 
-> cliques sur MoveIt! pour lancer la suppression.
-> laisses travailler l'outil ... 

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : cliques sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"  
( " xxxx2008_xxxxxx.log "  )



3- refaisq un scan RSIT et postes le nouveau rapport "log.txt" obtenu pour analyse ...

sKe69 · Answer

et ben ... -_-

RSIT , c'est cela :
http://www.commentcamarche.net/forum/affich 8879051 virus peu etre?page=2#48


Et pour :  tr/trash.gen 

il me faudrais plus de précision ( fichiers conserné , emplacement , ect ... ) .

Si il le faut , postes mois une capture d'ecran de l'alerte ... aides toi de cette astuce :
http://www.commentcamarche.net/faq/sujet 5606 montrer une copie d ecran

christophevillefranche · Answer

ogfile of random's system information tool 1.04 (written by random/random)
Run by Christophe at 2008-10-17 10:40:50
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 7 GB (9%) free of 76 GB
Total RAM: 958 MB (47% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:40:55, on 17/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Microsoft Office\Office\OUTLOOK.EXE
C:\Program Files\Fiat\ePER\j2sdk1.4.1\bin\javaw.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32	askmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\ZHD4X3O6\RSIT[1].exe
C:\Program Files\Trend Micro\HijackThis\Christophe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: Adobe Media Player.lnk = C:\Program Files\Adobe Media Player\Adobe Media Player.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

sKe69 · Answer

bon ...

1- Important : 
Branches toutes tes unités externes au PC ( DD externes , clé USB , lecteur mp3, ect...) mais sans les ouvrir ! 
Tu les retireras après la manipe ... 


2- Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche : 
C:\WINDOWS\Winchat.ini

Cliques sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copies le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


Fais de même pour :
C:\WINDOWS\system32\ef06118e-.txt 
D:\autorun.exe 

postes moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

christophevillefranche · Answer

C:\WINDOWS\Winchat.ini  
RAPPORT 
Fichier Winchat.ini reçu le 2008.10.17 11:01:35 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 0/36 (0%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 40 et 57 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.10.17.1 2008.10.17 - 
AntiVir 7.9.0.5 2008.10.17 - 
Authentium 5.1.0.4 2008.10.17 - 
Avast 4.8.1248.0 2008.10.15 - 
AVG 8.0.0.161 2008.10.16 - 
BitDefender 7.2 2008.10.17 - 
CAT-QuickHeal 9.50 2008.10.17 - 
ClamAV 0.93.1 2008.10.17 - 
DrWeb 4.44.0.09170 2008.10.17 - 
eSafe 7.0.17.0 2008.10.16 - 
eTrust-Vet 31.6.6152 2008.10.17 - 
Ewido 4.0 2008.10.16 - 
F-Prot 4.4.4.56 2008.10.16 - 
F-Secure 8.0.14332.0 2008.10.17 - 
Fortinet 3.113.0.0 2008.10.17 - 
GData 19 2008.10.17 - 
Ikarus T3.1.1.44.0 2008.10.17 - 
K7AntiVirus 7.10.497 2008.10.16 - 
Kaspersky 7.0.0.125 2008.10.17 - 
McAfee 5407 2008.10.16 - 
Microsoft 1.4005 2008.10.17 - 
NOD32 3530 2008.10.17 - 
Norman 5.80.02 2008.10.16 - 
Panda 9.0.0.4 2008.10.17 - 
PCTools 4.4.2.0 2008.10.17 - 
Prevx1 V2 2008.10.17 - 
Rising 20.66.41.00 2008.10.17 - 
SecureWeb-Gateway 6.7.6 2008.10.17 - 
Sophos 4.34.0 2008.10.17 - 
Sunbelt 3.1.1730.1 2008.10.17 - 
Symantec 10 2008.10.17 - 
TheHacker 6.3.1.0.116 2008.10.16 - 
TrendMicro 8.700.0.1004 2008.10.17 - 
VBA32 3.12.8.7 2008.10.16 - 
ViRobot 2008.10.17.1425 2008.10.17 - 
VirusBuster 4.5.11.0 2008.10.16 - 
Information additionnelle 
File size: 122 bytes 
MD5...: 4c6fdc3508e86e083a129515d18c1949 
SHA1..: 1ca642cbd9433142756eb576af4be9de2750f109 
SHA256: 66093dcf44f971fe305498f349fca62493c90938243b10c7660192594507c102 
SHA512: 7f0bc26065ae8046acea245f5bc30fc9bf8cf6e1f45a83401c6e04d5857f796c
630d277a22271e7892ae65d4e7dcdd2ace377781ba37cedc2c8e1cb90cea6889 
PEiD..: - 
TrID..: File type identification
Generic INI configuration (100.0%) 
PEInfo: - 





RAPPORT 
C:\WINDOWS\system32\ef06118e-.           VOILA CE QU IL ME DIT txt0 bytes size received / Se ha recibido un archivo vacio
IL




ENSUITE 
D:\autorun.exe
VOILA LE RAPPORT 

Fichier autorun.exe reçu le 2008.10.17 11:08:22 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 0/36 (0%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: 4.
L'heure estimée de démarrage est entre 55 et 78 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.10.17.1 2008.10.17 - 
AntiVir 7.9.0.5 2008.10.17 - 
Authentium 5.1.0.4 2008.10.17 - 
Avast 4.8.1248.0 2008.10.15 - 
AVG 8.0.0.161 2008.10.16 - 
BitDefender 7.2 2008.10.17 - 
CAT-QuickHeal 9.50 2008.10.17 - 
ClamAV 0.93.1 2008.10.17 - 
DrWeb 4.44.0.09170 2008.10.17 - 
eSafe 7.0.17.0 2008.10.16 - 
eTrust-Vet 31.6.6152 2008.10.17 - 
Ewido 4.0 2008.10.16 - 
F-Prot 4.4.4.56 2008.10.16 - 
F-Secure 8.0.14332.0 2008.10.17 - 
Fortinet 3.113.0.0 2008.10.17 - 
GData 19 2008.10.17 - 
Ikarus T3.1.1.44.0 2008.10.17 - 
K7AntiVirus 7.10.497 2008.10.16 - 
Kaspersky 7.0.0.125 2008.10.17 - 
McAfee 5407 2008.10.16 - 
Microsoft 1.4005 2008.10.17 - 
NOD32 3530 2008.10.17 - 
Norman 5.80.02 2008.10.16 - 
Panda 9.0.0.4 2008.10.17 - 
PCTools 4.4.2.0 2008.10.17 - 
Prevx1 V2 2008.10.17 - 
Rising 20.66.41.00 2008.10.17 - 
SecureWeb-Gateway 6.7.6 2008.10.17 - 
Sophos 4.34.0 2008.10.17 - 
Sunbelt 3.1.1730.1 2008.10.17 - 
Symantec 10 2008.10.17 - 
TheHacker 6.3.1.0.116 2008.10.16 - 
TrendMicro 8.700.0.1004 2008.10.17 - 
VBA32 3.12.8.7 2008.10.16 - 
ViRobot 2008.10.17.1425 2008.10.17 - 
VirusBuster 4.5.11.0 2008.10.16 - 
Information additionnelle 
File size: 20480 bytes 
MD5...: 58e7ab9bad5edc6fde8a2b46a28e2c20 
SHA1..: 2f1b3e5ecffb855dc38755a75eb76b6d0a3aac79 
SHA256: 4d70efc3bf6d593f26a39cb208824ddeabc035274f799aa06dba628cf37ad6ab 
SHA512: 615b69cf63a2a356aa5f5f64f84dac9ef5acd7b3e593b58690b60aa99d961f1a
aa9135e27ed3d3f0b1df43faf2c5b89bc0bd889450459228028854d294fa07f8 
PEiD..: Armadillo v1.71 
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4014ee
timedatestamp.....: 0x3ef81d60 (Tue Jun 24 09:44:00 2003)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6f0 0x1000 3.10 61b5bd9124890543c72e2bce6e8460e9
.rdata 0x2000 0x56a 0x1000 2.18 3ce25fbe73513acf814750440dfb2252
.data 0x3000 0x1bc 0x1000 0.37 9b08d164005dfd4cf2c16ee5a30f4e83
.rsrc 0x4000 0x710 0x1000 1.98 4a8aa86511482b5cfa91c35811d850f5

( 4 imports ) 
> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> MSVCRT.dll: __getmainargs, _initterm, _acmdln, exit, __setusermatherr, __p__commode, __p__fmode, __set_app_type, _except_handler3, _adjust_fdiv, _exit, _onexit, __dllonexit, fopen, fgets, fclose, sscanf, isalpha, sprintf, _setmbcp, _XcptFilter, _controlfp
> KERNEL32.dll: CreateProcessA, Sleep, GetStartupInfoA, GetModuleHandleA
> ADVAPI32.dll: RegCloseKey, RegQueryValueExA, RegOpenKeyExA

( 0 exports ) 
 
MERCI ET VOILA

sKe69 · Answer

Bien ... rien d'infectieux de ce côté là ...


1- Supprimes "OTMoveIt3.exe" qui est sur ton bureau ainsi que ce dossier C:\_OTMoveIt\MovedFiles  ( directe à la poubelle ).


2- refais un coup de CCleaner (registre compris ).


3- fais ce scan en ligne stp :

Fais un scan antivirus en ligne, avec Internet Explorer et accepter l'ActiveX :

https://www.bitdefender.fr/ 

* Aide : En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE 
Dans la nouvelle fenêtre, clique sur j’accepte .
La fenêtre change encore, clique sur scanner .
Les signatures se chargent, etc ...

* pour le rapport : cliques sur l'onglet "plus de détailles" . A la fin du scan, cliques sur " problème détectés " .
-> juste au dessus à droite de la fenêtre des résultats , tu as " cliquer ici pour exporter le rapport " .
->Cliques dessus et choisis d'enregistrer le rapport sur ton bureau .


--> Ouvres le document html que tu viens de sauvegarder ( le rapport ), 
fais un copier/coller de tout son contenu et postes le dans ta prochaine réponse ... 


Rappel : le scan en ligne ne fonctionne que sous Internet Exploreur ! ( et pas sur FireFox ou autres navigateurs )

Tutoriel en images ici : 
http://perso.orange.fr/rginformatique/section%20virus/defender.htm (merci à Balltrap34 pour cette réalisation) 
Et ici : http://www.commentcamarche.net/faq/sujet 8872 scanner en ligne avec bitdefender

sKe69 · Answer

C'est rien , c'est dans la restauration systéme ... où tu en es avec le scan en ligne ?

sKe69 · Answer

laisses tomber et fais ceci :

Purge de la restauration système 
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 
( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).



Après cela dis moi si antivir te fais encore des alertes ...

sKe69 · Answer

bon week  ^^

sKe69 · Answer

impec, refais ceci : souligne>Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau. http://pc-system.fr/ Déconnectes toi et fermes bien toutes tes applications en cours . Lances le . *Cliques sur Recherche et laisses le scan se terminer (cela peut être long). *Cliques sur Suppression pour finaliser. *Tu peux, si tu le souhaites, te servir des Options facultatives ( sauf la création d'un point de restauration !) *Cliques sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) : ---> Postes ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) . Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . Puis enfin supprimes Toolscleaner2 ... ******************************************************** prb résolu donc : http://www.commentcamarche.net/faq/sujet 11365 mettre son poste en probleme resolu Mais comme tu n'es pas inscrit sur le site , et si tu veux mettre le topic en résolu : -> tu cliques sur le petit /!\ jaune à côté du poste -> tu exposes ta requête auprès de la "conciergerie" de CCM et valides ... Content d'avoir pu te rendre service .... ^^ Potasses ceci : Des informations intéressantes pour toi et ton PC : => Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html => Surveillance : Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement). Pourquoi ? Pour éviter de se retrouver dans ce genre de situation ( peu commune mais ...) : -> http://secubox.aldria.com/topic-2373.html ============================================================= => Il faut mettre a jour la console Java régulièrement aussi : Rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions. via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. ============================================================= => Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC : Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html -Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ -Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. =========================================================== * testes l'efficacité de ton pare-feu ici ( à titre indicatif ): http://www.zebulon.fr/outils/scanports/test-securite.php * tests firewall: http://www.matousec.com/index.html => Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) : ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html -Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html ================================================================ --> Pour une meilleur sécurité lorsque tu surfes , je te conseille d'utiliser FireFox : télécharges le ici -> http://www.commentcamarche.net/telecharger/telecharger 111 firefox ( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... ) --> Tutorial pour sécuriser Firefox ( si tu utilises ce navigateur ) : https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ ================================================================= => Rappel sur les principales causes d'infection : * L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : Les dangers des cracks : http://forum.malekal.com/ftopic893.php ->Le crack dans toute sa splendeur, journal d'une infection attendue : https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ ->autre exemple en image , où comment s'infiltre une infection par un pseudo crack : http://secuboxlabs.fr/archives/computertoday.html * Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ Pourquoi éviter le P2P : > http://www.libellules.ch/... > http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 > https://lexpansion.lexpress.fr/actualite-economique/ * Faire attention avec les ActiveX : http://assiste.com.free.fr/p/abc/a/activex_dangers.html et comment : http://assiste.com.free.fr/p/abc/c/anti_activex.html * Prévention sur deux autres types d'infection d'actualité : MSN prévention : https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/ -> autre danger grandissant , le " phishing " (= hameçonnage ) : http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte Infection par supports amovibles (clefs usb, flash, DD externes ..) : https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ https://forum.malekal.com/viewtopic.php?f=45&t=5544 ================================================================= ( merci le sioux ) Voilà .... Bonne continuation à toi ... =) A+

sKe69 · Answer

Supprimes les anscienne version de Java présent sur ton PC via panneau de comfiguration / ajout et suppression de prg ( version jre1.5.0_11 et jre1.6.0 ).

Mets à jours iTunes  ainsi que Microsoft Outlook Express  si tu t'en sert ....



Bonne continuation ....


A+

Trying2 · Answer

Chapeau sKe69!!!
Beau boulot...

Trying2 · Answer

Enfin, pas tiré d'affaire tant qu'il ne lui a pas été dit...

:)

Virus peut-être ?

38 réponses

Votre réponse

Discussions similaires

Newsletters