Analyse pc

http://www.bitdefender.fr/scan_fr/scan8/ie.html

Attention à bien tout lire !!!

Voilà ;)

bonjour, vous permettez que j'intervienne,avast est de piètre qualité, avira antivir est meillieur

Bonjour,

savoir où est localisée l'infection, de quelle nature elle est et comment tu es protégé est prioritaire sur touteb autre action.

Pour le savoir, fais ceci :

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
.

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

J'ai déjà résolu le sujet en lui donnant un scanner en ligne !!!
C'est plus simple.

autant pour moi darkrodwarrior.
donc c est moi qui la ferme

Bonjour

Au lieu de blablater vos inepties comme si vous étiez sur MSN, vous ne pouvez pas suivre les indications de Lyonnais
http://www.commentcamarche.net/forum/affich 10720357 analyse pc#11

[X] - O1 - Hosts: 66.98.148.65 auto.search.msn.com
[X] - O1 - Hosts: 66.98.148.65 auto.search.msn.es
[?] - O4 - HKLM\..\Run: [Startup Cleaner] C:\Program Files\CM Data Software\CM DiskCleaner\Startup Cleaner.exe
[?] - O8 - Extra context menu item: Add to AMV Converter... - (value not set)
[?] - O8 - Extra context menu item: MediaManager tool grab multimedia file - (value not set)

A fixer non ?

Re,

Fixer ne supprime ni l'infection, ni sa cause.
Tu vas trop vite en besogne.

Je te conseille d'attendre le recours de Lyonnais92 sur ce topic intéressant.
Merci aussi pour les bons offices de Marie, toujours attentive.

Al.

Re

On continue ICI


1- protocole à suivre pour Windows Vista :

*Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :

Aller dans "démarrer" puis "panneau de configuration" :
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
Puis redémarrer le PC quand il le vous saura demandé ...

Tuto : http://forum.malekal.com/viewtopic.php?f=59&t=6517






Télécharge MSNFix.zip de !aur3n7sur ton Bureau :
http://sosvirus.changelog.fr/MSNFix.zip
Tuto
http://www.malekal.com/tutorial_MSNFix.php

Décompresse-le (clic droit >> Extraire ici) et double clique sur le fichier MSNFix.bat.
- Lance la recherche en appuyant sur la touche R puis sur Entrée
-- Si l'infection est détectée, exécute l'option N.
--- Sauvegarde ce rapport puis faites un copier/coller de ce rapport sur le forum, ainsi qu'un nouveau scan HijackThis. </gras>

Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.:


@++

Re,

on analyse un fichier mal connu :

Rends toi sur ce site :

http://www.virustotal.com/

Clique sur parcourir et cherche ce fichier : C:\Program Files\CM Data Software\CM DiskCleaner\Startup Cleaner.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

======================

on réinitialise le fichier hosts :

Télécharge cet outil de SiRi:

http://siri.urz.free.fr/RHosts.php

Double cliquer dessus pour l'exécuter

et cliquer sur " Restore original Hosts "

===========================
on nettoie la base de registre

Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis Do a scan only

Coche la case devant les lignes suivantes

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O8 - Extra context menu item: Add to AMV Converter... - (value not set)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - (value not set)
O8 - Extra context menu item: MediaManager tool grab multimedia file - (value not set)

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

===========================
on traite l'infection des clés USB

Télécharge Flash_Disinfector de sUBs ici :

http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

Enregistre le sur ton Bureau.

Double clique sur Flash_Disinfector.exe pour le lancer
.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra , connecte les clés USB et périphériques USB externes susceptibles d'avoir été infectés.

Puis clique sur Ok

Les icônes sur le Bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"

Appuye sur "Ok", pour faire réapparaitre le Bureau

=================================

Est ce que l'ordi démarre en mode sans échec (par F5 ou F8, jamais par MSConfig)

=================================

Remets un rapport RSIT.

r hosts me dit :
impossible de creer le fichier C/windows/system 32/driver/etc/hosts
?

Même avec ma méthode ?
Tu as fais aussi après ma méthode "utiliser en tant qu'administrateur" ?

darkrodwarrior, le mode administrateur fonctionne,merci,mais est ce normal qu apres avoir appuyer sur restaurer puis ok
il n y est aucun temp de chargement et que sa revienne aussitot sur restaurer?

http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

cette page est infecter

http://www.precisesecurity.com/tools-resources/adware-tools/flash-disinfector/

Ce lien est mieux je pense :)

Re,

cette page n'est pas infectée.

Les AV confondent virus et risktools.

Désactive toin AV le temps du déchargement si nécessaire (même si je préfererai que tu n'en ais pas besoin). Par contre, ne supprime ni ne mets en quarantaine aucun des fichiers qui vont être téléchargés et installés.

Dernière remarque,l'AV parano qui bloque a gentiment laissé s'installer AdobeR.exe qui est un vrai malware (voir http://www.secuser.com/alertes/2006/rjumpa-adober.htm par exemple).

Tu peux télécharger sans crainte.

Le mieux c'est encore clic droit sur le lien et enregistrer sous ^^

resume:
ce lien est verolé http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

Est ce que l'ordi démarre en mode sans échec (par F5 ou F8, jamais par MSConfig)???
bin,il demmare quand je l allume

r hosts a bien fonctionner virus total et hijack this aussi

RAPPORT RSIT
Logfile of random's system information tool 1.05 (written by random/random)
Run by PUNKY at 2009-01-27 17:48:32
Microsoft® Windows Vista™ Édition Familiale Basique
System drive C: has 7 GB (20%) free of 33 GB
Total RAM: 1525 MB (37% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:48:35, on 27/01/2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16757)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Windows\System32\hkcmd.exe
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
C:\Windows\system32\igfxsrvc.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\igfxext.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\PUNKY\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\PUNKY.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Startup Cleaner] C:\Program Files\CM Data Software\CM DiskCleaner\Startup Cleaner.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O13 - Gopher Prefix:
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Re,

il reste (au moins) ceci :

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a728d6d9-87dc-11dd-8772-001b382d61a0}]
shell\Auto\command - F:\AdobeR.exe e
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\AdobeR.exe e


Tu télécharges Flash desinfector du lien que je t'ai donné (il est sûr, je viens de le télécharger et de l'exécuter sur mon ordi puis de le supprimmer ; mon AV a hurlé aussi, j'ai ignoré autant de fois qu'il a fallu).

Tu te déconnectes d'Internet quand tu as fini le téléchargement et tu l'exécutes (sans oublier de brancher ta clé quand il le demande).

Tu remets un rapport RSIT.

PS je suis intervenu sur environ 2500 topics de V/S. Il va falloir trouver celui où j'ai préconisé un lien qui a infecté l'internaute.

rien ne s ouvre avec flash disinfector

et avec msn fix dont ma parler marie on me dit : scan - acces refuse

je fais quoi docteur?