Virus de redirection
steph678
Messages postés
19
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Depuis quelques temps, j'ai un problème de redirection; quand je suis sur un moteur de recherche, il m'envoie sur des liens non désirables . J'ai pu voir sur divers forum qu'il s'agirait d'un virus dont la résolution est souvent personnalisée.
Pourtant Avast n'a rien détecté même après un scan. Mon navigateur est Internet Explorer, j'ai téléchargé Mozilla Firefox mais cela n'a rien changé au problème de redirection.J'ai supprimé tous les cookies et fichiers temporaires, le problème subsiste.
Est-ce que quelqu'un pourrait me dire de quoi s'agit-il et m'aider à résoudre cette difficulté ?
Merci d'avance
Depuis quelques temps, j'ai un problème de redirection; quand je suis sur un moteur de recherche, il m'envoie sur des liens non désirables . J'ai pu voir sur divers forum qu'il s'agirait d'un virus dont la résolution est souvent personnalisée.
Pourtant Avast n'a rien détecté même après un scan. Mon navigateur est Internet Explorer, j'ai téléchargé Mozilla Firefox mais cela n'a rien changé au problème de redirection.J'ai supprimé tous les cookies et fichiers temporaires, le problème subsiste.
Est-ce que quelqu'un pourrait me dire de quoi s'agit-il et m'aider à résoudre cette difficulté ?
Merci d'avance
A voir également:
- Virus de redirection
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
13 réponses
Salut Steph, Telecharges Hijackthis sur ton bureau : http://www.trendsecure.com/portal/en-US/tools/Security_tools/hijackthis et fermes toutes les applications en cours...Double-cliques sur Hijackthis et executes le en cliquant sur " Do a scan and sav a log file " >> le rapport s'ouvre sur le bloc-note, enregistres le et postes le stp...
Bonjour,
rootkit TDSS
essayer MBAM, sinon essayer SDFix. Sinon, inscription sur le forum.
rootkit TDSS
essayer MBAM, sinon essayer SDFix. Sinon, inscription sur le forum.
Ok merci Lyonnais 92, on reprend... Telecharges MBAM : http://www.malwarebytes.org/mbam/program/mbam-setup.exe , a la fin de l'installation, mbam se met a jour automatiquement, laisses faire... Ensuite fermes tous les programmes en cours et lances Mbam, Cliques sur recherches et lances une analyse complete... laisses le analyser ton pc, a la fin un rapport sera genere, postes le stp !
OK alors là je crois que j ai un gros pbl.
je na rrive pas non plus à me servir du lien (la page web ne peux pas s ouvrir)
Par contre j y arrive avec mon deuxieme PC
Est ce possible que ce virus detecte le site web capable de le supprimer ?
De plus lorsque j'effectue une recherche sur google tout semble refonctionner comme avant cad les liens sont de nouveaux corrects!!!
Je n'y comprend plus rien!!
je na rrive pas non plus à me servir du lien (la page web ne peux pas s ouvrir)
Par contre j y arrive avec mon deuxieme PC
Est ce possible que ce virus detecte le site web capable de le supprimer ?
De plus lorsque j'effectue une recherche sur google tout semble refonctionner comme avant cad les liens sont de nouveaux corrects!!!
Je n'y comprend plus rien!!
Re,
tu es infecté par le rootkit TDSS. Celui-ci bloque effectivement les téléchargements à partir des sites qui peuvent le supprimer.
Il ne peut rien (je crois) contre les transferts.
Comme tu as 2 PC, tu dois avoir une clé USB
Télécharge sur le PC sain, copie sur la clé et transfère sur l'ordi infecté.
Le plus simple me semble SDFix (pas de mise à jour). Par contre, il nécessite de démarrer en mode sans échec.
(si tu ne démarres plus en MSe, j'ai encore un autre outil);
Imprime ces instructions car tu n'y auras pas accès durant le passage en mode sans échec (si grace à ton 2ème ordi)
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ta clé USB
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
copie le sur le Bureau de l'ordi infecté.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié dans C:\. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
__________________
Si SDfix ne se lance pas (ça arrive!)
* Démarrer->Exécuter
* Copie/colle ceci dans la fenêtre :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
* Clique sur ok, et valide.
* Redémarre et essaye de nouveau de lancer SDfix.
-- @+
Faites ce que l'on vous demande, ni plus, ni moins.
Ne créez pas de doublons, ni sur CCM ni sur un autre site. Merci
tu es infecté par le rootkit TDSS. Celui-ci bloque effectivement les téléchargements à partir des sites qui peuvent le supprimer.
Il ne peut rien (je crois) contre les transferts.
Comme tu as 2 PC, tu dois avoir une clé USB
Télécharge sur le PC sain, copie sur la clé et transfère sur l'ordi infecté.
Le plus simple me semble SDFix (pas de mise à jour). Par contre, il nécessite de démarrer en mode sans échec.
(si tu ne démarres plus en MSe, j'ai encore un autre outil);
Imprime ces instructions car tu n'y auras pas accès durant le passage en mode sans échec (si grace à ton 2ème ordi)
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ta clé USB
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
copie le sur le Bureau de l'ordi infecté.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié dans C:\. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
__________________
Si SDfix ne se lance pas (ça arrive!)
* Démarrer->Exécuter
* Copie/colle ceci dans la fenêtre :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
* Clique sur ok, et valide.
* Redémarre et essaye de nouveau de lancer SDfix.
-- @+
Faites ce que l'on vous demande, ni plus, ni moins.
Ne créez pas de doublons, ni sur CCM ni sur un autre site. Merci
gros pbl
j ai reussi à installer sdfix non sans mal car il a fallu que je le renomme. De plus le mode sans echec fonctionnait mal.
Bref j ai reussi à lancer la recherche mais aucun rapport ne s'affiche sur le bureau et en allant le chercher dans C puis sdfix le rapport n indique rien ou pas grand chose, mais où cela se complique c'est que je n'arrive pas à sortir du mode sans echec pour poster le rapport par internet (je suis connecte actuellement avec le 2eme PC)
Comment sortir du mode sans echec?
et résoudre mon pbl de virus
merci encore
j ai reussi à installer sdfix non sans mal car il a fallu que je le renomme. De plus le mode sans echec fonctionnait mal.
Bref j ai reussi à lancer la recherche mais aucun rapport ne s'affiche sur le bureau et en allant le chercher dans C puis sdfix le rapport n indique rien ou pas grand chose, mais où cela se complique c'est que je n'arrive pas à sortir du mode sans echec pour poster le rapport par internet (je suis connecte actuellement avec le 2eme PC)
Comment sortir du mode sans echec?
et résoudre mon pbl de virus
merci encore
Re,
Que veut dire 'je n'arrive pas à sortir du mode sans échec" ?
Il ne veut pas fermer le mode sans échec ? Il ne veut pas booter en mode normal ? ...;
Est ce qu'il booterait en mode sans échec avec prise en charge réseau ?
De toute manière inscris toi, on peut en avoir besoin.
Que veut dire 'je n'arrive pas à sortir du mode sans échec" ?
Il ne veut pas fermer le mode sans échec ? Il ne veut pas booter en mode normal ? ...;
Est ce qu'il booterait en mode sans échec avec prise en charge réseau ?
De toute manière inscris toi, on peut en avoir besoin.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
En fait je n'arrive pas àsortir du mode sans echec car lorsque au redemarrage puis avec F8 je selectionne mode normal je suis rebasculé dans le mode sans echec et le PC me propose un restauration à un ate antèrieure
Re,
et le mode sans échec avec prise en charge réseau ?
Edite le contenu du fichier boot.ini.
As tu un fichier boot.ini.backup ? Si oui, édite le aussi.
et le mode sans échec avec prise en charge réseau ?
Edite le contenu du fichier boot.ini.
As tu un fichier boot.ini.backup ? Si oui, édite le aussi.
J ai reussi laborieusement a redemarer
pas de rapport sur le bureau mais le vais le chercher dans C puis sdfix le voici :
b]SDFix: Version 1.240 [/b]
Run by Administrateur on 15/12/2008 at 13:15
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
pas de rapport sur le bureau mais le vais le chercher dans C puis sdfix le voici :
b]SDFix: Version 1.240 [/b]
Run by Administrateur on 15/12/2008 at 13:15
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
voici enfin le rapport trouvé avec SDFix
[b]SDFix: Version 1.240 [/b]
Run by Propri‚taire on 15/12/2008 at 16:09
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\Documents and Settings\All Users\Application Data\Solt Lake Software\Pro Antispyware 2009\proas2009.exe - Deleted
C:\Documents and Settings\All Users\Application Data\Solt Lake Software\Pro Antispyware 2009\LOG\20081215154237812.log - Deleted
C:\Documents and Settings\All Users\Application Data\Solt Lake Software\Pro Antispyware 2009\LOG\20081215154856953.log - Deleted
C:\Documents and Settings\Propri‚taire\Local Settings\Temp\11.tmp.exe - Deleted
C:\WINDOWS\system32\msxml71.dll - Deleted
C:\WINDOWS\system32\TDSSfxmp.dll - Deleted
C:\WINDOWS\system32\TDSSosvd.dat - Deleted
C:\WINDOWS\system32\TDSStkdv.log - Deleted
Could Not Remove C:\WINDOWS\system32\TDSSofxh.dll
Could Not Remove C:\WINDOWS\system32\TDSSnrsr.dll
Could Not Remove C:\WINDOWS\system32\TDSSriqp.dll
Could Not Remove C:\WINDOWS\system32\TDSScfum.dll
Folder C:\Documents and Settings\All Users\Application Data\Solt Lake Software - Removed
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-15 16:20:31
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...
disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\Propriétaire\ntuser.dat, 0
scanning hidden files ...
disk error: C:\WINDOWS\
please note that you need administrator rights to perform deep scan
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"
"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\SopCast\\SopCast.exe"="C:\\Program Files\\SopCast\\SopCast.exe:*:Enabled:SopCast Main Application"
"C:\\Program Files\\TVAnts\\Tvants.exe"="C:\\Program Files\\TVAnts\\Tvants.exe:*:Enabled:TVAnts"
"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"="C:\\Program Files\\SopCast\\adv\\SopAdver.exe:*:Enabled:SopCast Adver"
"C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"="C:\\Program Files\\Freeplayer\\vlc\\vlc.exe:*:Enabled:VLC media player"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
[b]Remaining Files [/b]:
C:\WINDOWS\system32\TDSSofxh.dll Found
C:\WINDOWS\system32\TDSSnrsr.dll Found
C:\WINDOWS\system32\TDSSriqp.dll Found
C:\WINDOWS\system32\TDSScfum.dll Found
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Sun 20 Jan 2008 72 A.SH. --- "C:\WINDOWS\S2EDE9309.tmp"
Mon 28 May 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 15 Apr 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Sun 10 Aug 2008 57,344 ...H. --- "C:\Documents and Settings\Propri‚taire\Mes documents\HOMELINK + VOYAGES\~WRL1153.tmp"
Wed 7 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\71fa8e4b1f1c72b0e3a5d30a0a049f55\BIT1.tmp"
Fri 22 Jun 2007 20,992 A..H. --- "C:\Documents and Settings\Propri‚taire\Bureau\pompier\RAD\DOP RAD SDIS\fiches\~WRL0118.tmp"
Fri 22 Jun 2007 21,504 A..H. --- "C:\Documents and Settings\Propri‚taire\Bureau\pompier\RAD\DOP RAD SDIS\fiches\~WRL0598.tmp"
Fri 22 Jun 2007 21,504 A..H. --- "C:\Documents and Settings\Propri‚taire\Bureau\pompier\RAD\DOP RAD SDIS\fiches\~WRL1494.tmp"
Fri 22 Jun 2007 20,992 A..H. --- "C:\Documents and Settings\Propri‚taire\Bureau\pompier\RAD\DOP RAD SDIS\fiches\~WRL2208.tmp"
Fri 22 Jun 2007 21,504 A..H. --- "C:\Documents and Settings\Propri‚taire\Bureau\pompier\RAD\DOP RAD SDIS\fiches\~WRL3276.tmp"
Tue 10 Apr 2007 82,944 A..H. --- "C:\Documents and Settings\Propri‚taire\Bureau\pompier\RAD\DOP RAD SDIS\sc‚narios\~WRL1303.tmp"
[b]Finished![/b]
[b]SDFix: Version 1.240 [/b]
Run by Propri‚taire on 15/12/2008 at 16:09
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\Documents and Settings\All Users\Application Data\Solt Lake Software\Pro Antispyware 2009\proas2009.exe - Deleted
C:\Documents and Settings\All Users\Application Data\Solt Lake Software\Pro Antispyware 2009\LOG\20081215154237812.log - Deleted
C:\Documents and Settings\All Users\Application Data\Solt Lake Software\Pro Antispyware 2009\LOG\20081215154856953.log - Deleted
C:\Documents and Settings\Propri‚taire\Local Settings\Temp\11.tmp.exe - Deleted
C:\WINDOWS\system32\msxml71.dll - Deleted
C:\WINDOWS\system32\TDSSfxmp.dll - Deleted
C:\WINDOWS\system32\TDSSosvd.dat - Deleted
C:\WINDOWS\system32\TDSStkdv.log - Deleted
Could Not Remove C:\WINDOWS\system32\TDSSofxh.dll
Could Not Remove C:\WINDOWS\system32\TDSSnrsr.dll
Could Not Remove C:\WINDOWS\system32\TDSSriqp.dll
Could Not Remove C:\WINDOWS\system32\TDSScfum.dll
Folder C:\Documents and Settings\All Users\Application Data\Solt Lake Software - Removed
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-15 16:20:31
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...
disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\Propriétaire\ntuser.dat, 0
scanning hidden files ...
disk error: C:\WINDOWS\
please note that you need administrator rights to perform deep scan
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"
"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\SopCast\\SopCast.exe"="C:\\Program Files\\SopCast\\SopCast.exe:*:Enabled:SopCast Main Application"
"C:\\Program Files\\TVAnts\\Tvants.exe"="C:\\Program Files\\TVAnts\\Tvants.exe:*:Enabled:TVAnts"
"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"="C:\\Program Files\\SopCast\\adv\\SopAdver.exe:*:Enabled:SopCast Adver"
"C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"="C:\\Program Files\\Freeplayer\\vlc\\vlc.exe:*:Enabled:VLC media player"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
[b]Remaining Files [/b]:
C:\WINDOWS\system32\TDSSofxh.dll Found
C:\WINDOWS\system32\TDSSnrsr.dll Found
C:\WINDOWS\system32\TDSSriqp.dll Found
C:\WINDOWS\system32\TDSScfum.dll Found
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Sun 20 Jan 2008 72 A.SH. --- "C:\WINDOWS\S2EDE9309.tmp"
Mon 28 May 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 15 Apr 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Sun 10 Aug 2008 57,344 ...H. --- "C:\Documents and Settings\Propri‚taire\Mes documents\HOMELINK + VOYAGES\~WRL1153.tmp"
Wed 7 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\71fa8e4b1f1c72b0e3a5d30a0a049f55\BIT1.tmp"
Fri 22 Jun 2007 20,992 A..H. --- "C:\Documents and Settings\Propri‚taire\Bureau\pompier\RAD\DOP RAD SDIS\fiches\~WRL0118.tmp"
Fri 22 Jun 2007 21,504 A..H. --- "C:\Documents and Settings\Propri‚taire\Bureau\pompier\RAD\DOP RAD SDIS\fiches\~WRL0598.tmp"
Fri 22 Jun 2007 21,504 A..H. --- "C:\Documents and Settings\Propri‚taire\Bureau\pompier\RAD\DOP RAD SDIS\fiches\~WRL1494.tmp"
Fri 22 Jun 2007 20,992 A..H. --- "C:\Documents and Settings\Propri‚taire\Bureau\pompier\RAD\DOP RAD SDIS\fiches\~WRL2208.tmp"
Fri 22 Jun 2007 21,504 A..H. --- "C:\Documents and Settings\Propri‚taire\Bureau\pompier\RAD\DOP RAD SDIS\fiches\~WRL3276.tmp"
Tue 10 Apr 2007 82,944 A..H. --- "C:\Documents and Settings\Propri‚taire\Bureau\pompier\RAD\DOP RAD SDIS\sc‚narios\~WRL1303.tmp"
[b]Finished![/b]
Re,
impeccable.
Probablement loin d'être fini, mais ça devrait être plus simple.
je souhaiterais que le fichier C:\SDFix\backups\backups.zip spoit envoyé à cette adresse
http://secubox.gateweb.org/mad.php
C'est probablement une nouvelle variante qui peut intéresser nos chercheurs.
Il faut mettre l'url de ce topic et qq explications sur le contenu (genre : backup de SDFix sur une infection TDSS)
Merci pour les futurs infectés.
Bonne suite à tous les 2.
Je garderai un oeil lointain sur le topic.
impeccable.
Probablement loin d'être fini, mais ça devrait être plus simple.
je souhaiterais que le fichier C:\SDFix\backups\backups.zip spoit envoyé à cette adresse
http://secubox.gateweb.org/mad.php
C'est probablement une nouvelle variante qui peut intéresser nos chercheurs.
Il faut mettre l'url de ce topic et qq explications sur le contenu (genre : backup de SDFix sur une infection TDSS)
Merci pour les futurs infectés.
Bonne suite à tous les 2.
Je garderai un oeil lointain sur le topic.
Telecharges Navilog sur ton bureau http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Double cliques sur le raccourci de ton bureau et lances l'installation... Ensuite fermes tous les programmes en cours et double clique sur Navilog1.exe >> choisis la langue et valide avec entree...Double cliques sur Navilog1.bat ( possible qu'il n'apparaisse pas et que tu aies que Navilog1, c'est normal )... une fenetre s'ouvre, appuie sur une touche pour passer aux etapes suivantes... Le menu du fix 'ouvre, choisis l'option 1 et valide avec entree... Laisses le fix travailler un rapport sera genere, postes le...Note : ( le rapport Fixnavi.txt se trouve a la racine du disque dur )
le lien Mbam ci dessus fonctionne mais je n'arrive pas à l'installer.Je l'ai téléchargé sur un site et ai effectué le scan voici le rapport
Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1456
Windows 5.1.2600 Service Pack 3
15/12/2008 21:34:06
rapport mbam-log-2008-12-15 (21-33-52)
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 112273
Temps écoulé: 41 minute(s), 37 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cognac (Trojan.FakeAlert) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\TDSScfum.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSnrsr.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSofxh.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSriqp.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\drivers\TDSSmhct.sys (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSSf0a9.tmp (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSSf5e9.tmp (Trojan.TDSS) -> No action taken.
Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1456
Windows 5.1.2600 Service Pack 3
15/12/2008 21:34:06
rapport mbam-log-2008-12-15 (21-33-52)
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 112273
Temps écoulé: 41 minute(s), 37 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cognac (Trojan.FakeAlert) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\TDSScfum.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSnrsr.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSofxh.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSriqp.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\drivers\TDSSmhct.sys (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSSf0a9.tmp (Trojan.TDSS) -> No action taken.
C:\WINDOWS\Temp\TDSSf5e9.tmp (Trojan.TDSS) -> No action taken.
ok voici le rapport
Search Navipromo version 3.7.0 commencé le 15/12/2008 à 17:33:01,01
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 10.12.2008 à 21h00 par IL-MAFIOSO
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) M processor 1.40GHz )
BIOS : Ver 1.00PARTTBL
USER : Propriétaire ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1296 [VPS 081215-1] 4.8.1296 (Activated)
C:\ (Local Disk) - NTFS - Total:74 Go (Free:29 Go)
D:\ (CD or DVD)
Recherche executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\menudm~1\progra~1" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Scan Catchme non réalisé.
Droits limités sur la session actuelle.
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
* Recherche dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
* Dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" :
* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :
* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche autres dossiers et fichiers connus :
*** Analyse terminée le 15/12/2008 à 17:33:53,14 ***
Search Navipromo version 3.7.0 commencé le 15/12/2008 à 17:33:01,01
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 10.12.2008 à 21h00 par IL-MAFIOSO
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) M processor 1.40GHz )
BIOS : Ver 1.00PARTTBL
USER : Propriétaire ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1296 [VPS 081215-1] 4.8.1296 (Activated)
C:\ (Local Disk) - NTFS - Total:74 Go (Free:29 Go)
D:\ (CD or DVD)
Recherche executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\menudm~1\progra~1" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Scan Catchme non réalisé.
Droits limités sur la session actuelle.
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
* Recherche dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
* Dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" :
* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :
* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche autres dossiers et fichiers connus :
*** Analyse terminée le 15/12/2008 à 17:33:53,14 ***
Bonjour, desole pour le contre temps, petits soucis... Refais stp une analyse Mbam et supprimes la selection a la fin>>> NO ACTION TAKEN>>> Refais le en mode sans echec ( tapotes la touche F8 de ton clavier au demarrage du pc >> jusqu'a l'apparition d'un fond d'ecran noir avec plusieurs options, choisis " mode sans echec " et valides par entree...Postes ensuite le rapport Mbam + un nouveau log hijackthis stp...
Heureux de te retrouver Feelgood
J'ai essayé de laisser le programme Mbam en mode sans echec : impossible (quand je clique rien ne fonctionne).
Est ce possible que le virus affecte le mode sans echec ?
On dirai que le virus n'affecte pas tout le temps le PC, car hier soir, j'ai pu télécharger ,avec tes liens postés plus haut ,les logiciels Mbam et Hijackthis et aujourd'hui rien ne fonctionne.
Que dois faire maintenant ?
Est-il possible de résoudre le problème avec les differents rapports que j'ai postés hier.
Merci d'avance
J'ai essayé de laisser le programme Mbam en mode sans echec : impossible (quand je clique rien ne fonctionne).
Est ce possible que le virus affecte le mode sans echec ?
On dirai que le virus n'affecte pas tout le temps le PC, car hier soir, j'ai pu télécharger ,avec tes liens postés plus haut ,les logiciels Mbam et Hijackthis et aujourd'hui rien ne fonctionne.
Que dois faire maintenant ?
Est-il possible de résoudre le problème avec les differents rapports que j'ai postés hier.
Merci d'avance
Re,
on reste en mode sans échec prise en charge réseau.
Tu ouvres Internet Explorer.
Le problème est de modifier les noms des programmes pour "leurrer" le malware qui itilise une liste prédéfinie.
Donc lors du téléchargement, à l'ouverture de la fenêtre, tu donnes un nom à toi que tu utiliseras ensuite à la place de SDFix.
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install.
L'outil sera extrait à la racine du lecteur système (généralement le C:\)..
La aussi, change son nom (si possible)
• Ouvre le dossier SDFix_renommé qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
Il est possible que l'outil demande un redémarrage en mode Sans Échec en début de routine, si une infection particulière est détectée; valide et tapote la touche F8 au redémarrage pour accéder aux options de démarrage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC (la aussi en MSE prise en charge réseau) .
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
__________________
Si SDfix ne se lance pas (ça arrive!)
* Démarrer->Exécuter
* Copie/colle ceci dans la fenêtre :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
* Clique sur ok, et valide.
* Redémarre et essaye de nouveau de lancer SDfix.
on reste en mode sans échec prise en charge réseau.
Tu ouvres Internet Explorer.
Le problème est de modifier les noms des programmes pour "leurrer" le malware qui itilise une liste prédéfinie.
Donc lors du téléchargement, à l'ouverture de la fenêtre, tu donnes un nom à toi que tu utiliseras ensuite à la place de SDFix.
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install.
L'outil sera extrait à la racine du lecteur système (généralement le C:\)..
La aussi, change son nom (si possible)
• Ouvre le dossier SDFix_renommé qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
Il est possible que l'outil demande un redémarrage en mode Sans Échec en début de routine, si une infection particulière est détectée; valide et tapote la touche F8 au redémarrage pour accéder aux options de démarrage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC (la aussi en MSE prise en charge réseau) .
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
__________________
Si SDfix ne se lance pas (ça arrive!)
* Démarrer->Exécuter
* Copie/colle ceci dans la fenêtre :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
* Clique sur ok, et valide.
* Redémarre et essaye de nouveau de lancer SDfix.
Re,
tu as raison, c'est même ce qui avait débloqué la situation.
Si SDFix se relance, enchaine avec MBAM.
tu as raison, c'est même ce qui avait débloqué la situation.
Si SDFix se relance, enchaine avec MBAM.
Oui mais avez tu supprimer la selection ? le lien pour desinstaller avast proprement : https://www.avast.com/fr-fr/uninstall-utility installer avira : https://www.avira.com/ passes le en francais, en haut a droite...
ok voici le rapport mbam
Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1502
Windows 5.1.2600 Service Pack 3
16/12/2008 20:59:41
mbam-log-2008-12-16 (20-59-41).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 114894
Temps écoulé: 43 minute(s), 16 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cognac (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1502
Windows 5.1.2600 Service Pack 3
16/12/2008 20:59:41
mbam-log-2008-12-16 (20-59-41).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 114894
Temps écoulé: 43 minute(s), 16 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cognac (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
ok je viens de supprimer les fichiers qui étaient en quarantaine.
Fais un scan en ligne ( uniquement avec internet explorer ) : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr acceptes l'activex, dans le menu de gauche, clique su " On line Scanner ", postes le rapport ensuite...
merci d avance feelgood