Salut :

Télécharge OTL de OLDTimer

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant scan all users

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)


Pour me le transmettre clique sur ce lien

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.
G3и-н@¢км@и™©®

Avec avast ? va m etonnerait

fais le diagnostic que je te demande histoire d'etre fixé G3и-н@¢км@и™©®

http://www.cijoint.fr/cjlink.php?file=cj200906/cijubHskMa.tx­t
Merci
TITIB

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Vas dans "Démarrer" puis Panneau de configuration.
- Double Clique sur l'icône Comptes d'utilisateurs et sur Activer ou désactiver le contrôle des comptes d'utilisateurs.
- Clique sur Continuer.
- Décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur.
- Valide par OK et redémarre.

Tuto

ensuite :


♦ Désactivez le contrôle des comptes utilisateurs avant utilisation de cet outil:

♦ Allez dans "Démarrer" puis Panneau de configuration.
♦ Double Cliquez sur l'icône Comptes d'utilisateurs et sur "Activer ou désactiver le contrôle des comptes d'utilisateurs".
♦ Décochez la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur.
♦ Validez par OK et redémarrez .

Aides en images ( Uac )

ensuite

♦ Télécharge Ad-remover ( de C_XX ) sur ton bureau :


♦ Déconnecte toi et ferme toutes applications en cours !

♦ clic droit sur "Ad-R.exe" en tant qu'administrateur pour lancer l'installation et laisse les paramètres d'installation par défaut .

♦ clic droit sur le raccourci Ad-remover en tant qu'administrateur qui est sur ton bureau pour lancer l'outil .

♦ Au menu principal choisis l'option "L" et tape sur [entrée] .

♦ Laisse travailler l'outil et ne touche à rien ...

♦ Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

♦ Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Aides en images (Installation)
Aides en images (Recherche)
G3и-н@¢км@и™©®

Avant de recommencer d'autres manips, peux tu me dire ce que t'a appris le contenu du fichier OLT.txt que je t'ai transmis ?
Ad-remover est un outil anti-spyware qui est sûrement utile pour faire du ménage. Ceci dit, je fais régulièrement du ménage avec Spybot.
TITIB

Spybot est un peu dépassé

le rapport m'a appris que tu avais une barre d'outils internet ultra infectrice du nom de "Ask"
et d'habitude il n'y a qu'un service et là elle en a crée 2 :

====== Processes (SafeList) =====

C:\Program Files (x86)\AskBarDis\bar\bin\AskService.exe
C:\Program Files (x86)\AskBarDis\bar\bin\ASKUpgrade.exe


======= Win32 Services (SafeList) ======

() -- C:\Program Files (x86)\AskBarDis\bar\bin\AskService.exe -- (ASKService [Auto | Running])
() -- C:\Program Files (x86)\AskBarDis\bar\bin\ASKUpgrade.exe -- (ASKUpgrade [Auto | Running])

====== FireFox =====

FF - prefs.js..browser.search.defaultenginename: "Ask"
FF - prefs.js..browser.search.order.1: "Ask"
FF - prefs.js..browser.search.selectedEngine: "Ask"

O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files (x86)\AskBarDis\bar\bin\askBar.dll (Ask.com)


on utilise AD-Remover pour la faire sauter ainsi que ses clés de registre et dossiers correspondants


ensuite il y aura d autre suppressions à faire G3и-н@¢км@и™©®

Salut Gen,

Ad-R ne fonctionne pas sous OS 64 BIT.


++ You make me sick.

Ah zut !

Toolbar SD non plus ? G3и-н@¢км@и™©®

Merci Gen et C_XX,
Effectivement je suis sous Vista 64bit....
Merci de m'indiquer un bon soft....

Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
- Coche Afficher les fichiers et dossiers cachés
- Décoche Masquer les extensions des fichiers dont le type est connu
- Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

C:\Windows\sysnative\DRIVERS\61883.sys
C:\Windows\UA000074.DLL

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.

ensuite :

Double clic sur OTL.exe pour le lancer.


Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans la zone sous Customs Scans/Fixes

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
TeaTimer.exe
AskService.exe
ASKUpgrade.exe

:services
ASKService
ASKUpgrade
Partner Service

:OTL
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files (x86)\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files (x86)\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKU\S-1-5-21-887371982-3018223467-355190421-1000\..\Toolbar\WebBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files (x86)\AskBarDis\bar\bin\askBar.dll (Ask.com)
@Alternate Data Stream - 24 bytes -> C:\Windows:076FFFBAB3EB19CB
@Alternate Data Stream - 1282 bytes -> C:\Users\Thierry\Documents\Re_ service de déclaration des revenus en ligne inaccessible (KMM1109507I6186L0KM).eml:OECustomProperty

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
"TrueImageMonitor.exe"=-

:files
C:\ProgramData\Partner\partner.exe
C:\Program Files (x86)\AskBarDis
C:\ProgramData\.zreglib

:commands
[emptytemp]
[start explorer]
[reboot]

Clique sur RunFix pour lancer la suppression.


Poste le rapport.

==========
G3и-н@¢км@и™©®

Bonjour gen,
J'ai réussi à réaliser la première opération, c'est à dire le passage des 2 fichiers indiqués par VirusTotal:
C:\Windows\sysnative\DRIVERS\61883.sys
C:\Windows\UA000074.DLL

remarque: 61883.sys n'est pas à l'endroit que tu m'indiques

-> voici le résultat pour 61883.sys :

Fichier 61883.sys reçu le 2009.06.19 16:01:21 (UTC)Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.06.19 -
AhnLab-V3 5.0.0.2 2009.06.19 -
AntiVir 7.9.0.193 2009.06.19 -
Antiy-AVL 2.0.3.1 2009.06.19 -
Authentium 5.1.2.4 2009.06.19 -
Avast 4.8.1335.0 2009.06.18 -
AVG 8.5.0.339 2009.06.19 -
BitDefender 7.2 2009.06.19 -
CAT-QuickHeal 10.00 2009.06.19 -
ClamAV 0.94.1 2009.06.19 -
Comodo 1372 2009.06.19 -
DrWeb 5.0.0.12182 2009.06.19 -
eSafe 7.0.17.0 2009.06.18 -
eTrust-Vet 31.6.6569 2009.06.19 -
F-Prot 4.4.4.56 2009.06.19 -
F-Secure 8.0.14470.0 2009.06.19 -
Fortinet 3.117.0.0 2009.06.19 -
GData 19 2009.06.19 -
Ikarus T3.1.1.59.0 2009.06.19 -
Jiangmin 11.0.706 2009.06.19 -
K7AntiVirus 7.10.768 2009.06.19 -
Kaspersky 7.0.0.125 2009.06.19 -
McAfee 5650 2009.06.18 -
McAfee+Artemis 5650 2009.06.18 -
McAfee-GW-Edition 6.7.6 2009.06.19 -
Microsoft 1.4803 2009.06.19 -
NOD32 4172 2009.06.19 -
Norman 6.01.09 2009.06.19 -
nProtect 2009.1.8.0 2009.06.19 -
Panda 10.0.0.16 2009.06.19 -
PCTools 4.4.2.0 2009.06.19 -
Prevx 3.0 2009.06.19 -
Rising 21.34.44.00 2009.06.19 -
Sophos 4.42.0 2009.06.19 -
Sunbelt 3.2.1858.2 2009.06.18 -
Symantec 1.4.4.12 2009.06.19 -
TheHacker 6.3.4.3.348 2009.06.19 -
TrendMicro 8.950.0.1094 2009.06.19 -
VBA32 3.12.10.7 2009.06.19 -
ViRobot 2009.6.19.1796 2009.06.19 -
VirusBuster 4.6.5.0 2009.06.19 -

Information additionnelle
File size: 58496 bytes
MD5...: 78e902fb660bd5003fe726b9bef300b6
SHA1..: c38f0b592bd3e61e257de859678a5cae0c1010fb
SHA256: c43761c5e7544b6026375215dec8313df744a41d15f7b107c34f195730d5d077
ssdeep: 1536:NgVUQOG/Dy25yW4a65555XjaI1dqgnxzCmR/2RG:NgVUQOG/m25j4N5VjaI<BR>XqgxzjuRG<BR>
PEiD..: -
TrID..: File type identification<BR>Win64 Executable Generic (95.5%)<BR>Generic Win/DOS Executable (2.2%)<BR>DOS Executable Generic (2.2%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0xd7cc<BR>timedatestamp.....: 0x479199de (Sat Jan 19 06:34:06 2008)<BR>machinetype.......: 0x8664 (AMD64)<BR><BR>( 9 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x380 0xbf56 0xbf80 6.25 58840f9d50dc78c34b4d1e7879bf4478<BR>.rdata 0xc300 0x8f4 0x900 5.12 07f1c8f88f921faba00b25c743254c7d<BR>.data 0xcc00 0x298 0x300 1.67 daf947dd33eb11311a8d7df8a106df15<BR>.pdata 0xcf00 0x558 0x580 4.39 039111ef79f0396bcb3e5497cf95befc<BR>.guids 0xd480 0x10 0x80 1.04 61bd79003a118bcb238c982d082627d9<BR>PAGE 0xd500 0x1f8 0x200 5.93 2fec73dd5565bc05b5488bbce5905e89<BR>INIT 0xd700 0x870 0x880 5.21 a6ba8a88174886ef5bb63960cd975611<BR>.rsrc 0xdf80 0x3f0 0x400 3.34 32cac7361db46dad08c356bd42acd5e4<BR>.reloc 0xe380 0xf4 0x100 2.40 78564c82530d8d03c2b55aa44e0432ba<BR><BR>( 1 imports ) <BR>> ntoskrnl.exe: ExAllocatePoolWithTag, ZwCreateKey, ExReleaseFastMutex, RtlAnsiStringToUnicodeString, ExAcquireFastMutex, IoFreeWorkItem, ExpInterlockedPushEntrySList, RtlAppendUnicodeToString, RtlInitAnsiString, KeReleaseSpinLock, ExpInterlockedPopEntrySList, MmBuildMdlForNonPagedPool, IoFreeMdl, ZwQueryValueKey, ExFreePool, IoAllocateWorkItem, ZwClose, ExQueryDepthSList, IoFreeIrp, IoAllocateIrp, IoOpenDeviceRegistryKey, IoQueueWorkItem, IoAllocateMdl, KeAcquireSpinLockRaiseToDpc, ExInitializeNPagedLookasideList, KeSetEvent, KeInitializeEvent, IofCompleteRequest, KeWaitForSingleObject, IofCallDriver, IoAcquireRemoveLockEx, IoReuseIrp, KeInitializeDpc, IoReleaseRemoveLockEx, KeInitializeTimer, IoReleaseRemoveLockAndWaitEx, KeSetTimer, IoInitializeRemoveLockEx, KeCancelTimer, ExInterlockedInsertTailList, RtlCopyUnicodeString, IoReleaseCancelSpinLock, ExDeleteNPagedLookasideList, IoRegisterDeviceInterface, RtlIntegerToUnicodeString, IoDeleteDevice, RtlQueryRegistryValues, IoDetachDevice, PoSetPowerState, RtlFreeUnicodeString, PoStartNextPowerIrp, RtlAppendUnicodeStringToString, IoAttachDeviceToDeviceStack, PoCallDriver, ObfReferenceObject, IoCreateDevice, KeBugCheckEx, ProbeForRead, ExAllocatePoolWithQuotaTag, __C_specific_handler<BR><BR>( 0 exports ) <BR>
PDFiD.: -
RDS...: NSRL Reference Data Set<BR>-

-> voici le résultat pour UA000074.DLL:

Fichier UA000074.DLL reçu le 2009.06.19 15:56:09 (UTC)Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.06.19 -
AhnLab-V3 5.0.0.2 2009.06.19 -
AntiVir 7.9.0.193 2009.06.19 -
Antiy-AVL 2.0.3.1 2009.06.19 -
Authentium 5.1.2.4 2009.06.19 -
Avast 4.8.1335.0 2009.06.18 -
AVG 8.5.0.339 2009.06.19 -
BitDefender 7.2 2009.06.19 -
CAT-QuickHeal 10.00 2009.06.19 -
ClamAV 0.94.1 2009.06.19 -
Comodo 1372 2009.06.19 -
DrWeb 5.0.0.12182 2009.06.19 -
eSafe 7.0.17.0 2009.06.18 -
eTrust-Vet 31.6.6569 2009.06.19 -
F-Prot 4.4.4.56 2009.06.19 -
F-Secure 8.0.14470.0 2009.06.19 -
Fortinet 3.117.0.0 2009.06.19 -
GData 19 2009.06.19 -
Ikarus T3.1.1.59.0 2009.06.19 -
Jiangmin 11.0.706 2009.06.19 -
K7AntiVirus 7.10.768 2009.06.19 -
Kaspersky 7.0.0.125 2009.06.19 -
McAfee 5650 2009.06.18 -
McAfee+Artemis 5650 2009.06.18 -
McAfee-GW-Edition 6.7.6 2009.06.19 -
Microsoft 1.4803 2009.06.19 -
NOD32 4172 2009.06.19 -
Norman 6.01.09 2009.06.19 -
nProtect 2009.1.8.0 2009.06.19 -
Panda 10.0.0.16 2009.06.19 -
PCTools 4.4.2.0 2009.06.19 -
Prevx 3.0 2009.06.19 -
Rising 21.34.44.00 2009.06.19 -
Sophos 4.42.0 2009.06.19 -
Sunbelt 3.2.1858.2 2009.06.18 -
Symantec 1.4.4.12 2009.06.19 -
TheHacker 6.3.4.3.348 2009.06.19 -
TrendMicro 8.950.0.1094 2009.06.19 -
VBA32 3.12.10.7 2009.06.19 -
ViRobot 2009.6.19.1796 2009.06.19 -
VirusBuster 4.6.5.0 2009.06.19 -

Information additionnelle
File size: 7420 bytes
MD5...: 97165eebf15ad5e886403ee9534ef785
SHA1..: eadbf2e789cd0445260e648926e74adf77652817
SHA256: 5c2e00a48086e6af64a45ce858b1ee88bdb51f47f139fe67eb93a700bb48ae33
ssdeep: 192:QsRjIxVSTAXxtR2s/SqZc146zPwZb4y3ZHJHp:QsR2VBBnNZcWBZb46P<BR>
PEiD..: -
TrID..: File type identification<BR>Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set<BR>-


Je n'arrive pas è réaliser la seconde opération avec OTL 2.1.1.0 que j'ai téléchargé avant hier, car la zone sous Customs Scans/Fixes n'est pas accessible !

Dans l'attente de ton analyse et de tes explications,
Merci beaucoup

---> Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.

---> Télécharge OTM (OldTimer) sur ton Bureau :

---> Double-clique sur OTM.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :




:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
TeaTimer.exe
AskService.exe
ASKUpgrade.exe

:services
ASKService
ASKUpgrade
Partner Service

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
"TrueImageMonitor.exe"=-

:files
C:\ProgramData\Partner\partner.exe
C:\Program Files (x86)\AskBarDis
C:\ProgramData\.zreglib

:commands
[emptytemp]
[start explorer]
[reboot]




---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTM

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
G3и-н@¢км@и™©®

========== PROCESSES ==========
Unable to kill process: explorer.exe
Unable to kill process: iexplore.exe
Unable to kill process: firefox.exe
Unable to kill process: msnmsgr.exe
Process TeaTimer.exe killed successfully.
Unable to kill process: AskService.exe
Unable to kill process: ASKUpgrade.exe
========== SERVICES/DRIVERS ==========
Service\Driver ASKService not found.
Unable to delete service\driver keyASKService.
Service\Driver ASKUpgrade not found.
Unable to delete service\driver keyASKUpgrade.
Service\Driver Partner Service not found.
Unable to delete service\driver keyPartner Service.
========== REGISTRY ==========
Unable to delete registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Run\\Adobe Reader Speed Launcher .
Unable to delete registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Run\\QuickTime Task .
Unable to delete registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Run\\TrueImageMonitor.exe .
========== FILES ==========
File move failed. C:\ProgramData\Partner\partner.exe scheduled to be moved on reboot.
Folder move failed. C:\Program Files (x86)\AskBarDis\bar\Settings scheduled to be moved on reboot.
Folder move failed. C:\Program Files (x86)\AskBarDis\bar\bin scheduled to be moved on reboot.
Folder move failed. C:\Program Files (x86)\AskBarDis\bar scheduled to be moved on reboot.
Folder move failed. C:\Program Files (x86)\AskBarDis scheduled to be moved on reboot.
C:\ProgramData\.zreglib moved successfully.
========== COMMANDS ==========
File delete failed. C:\Users\Thierry\AppData\Local\Temp\ppcrlui_5068_2 scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
Windows Temp folder emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTM by OldTimer - Version 2.1.0.1 log created on 06192009_205036

Dans l'attente de tes conclusions et explications
Merci

Refais le en mode sans echec stp G3и-н@¢км@и™©®

Excuses moi:
je sais démarrer un PC en mode sans échec, mais pas un programme.

Ben tu fais pareil qu en mode normal :) G3и-н@¢км@и™©®

Quel est l'intérêt de refaire 2 fois la même chose ?

ça n'a pas marché: nouveau .log:

========== PROCESSES ==========
Unable to kill process: explorer.exe
Unable to kill process: iexplore.exe
Unable to kill process: firefox.exe
Unable to kill process: msnmsgr.exe
Process TeaTimer.exe killed successfully.
Unable to kill process: AskService.exe
Unable to kill process: ASKUpgrade.exe
========== SERVICES/DRIVERS ==========
Service\Driver ASKService not found.
Unable to delete service\driver keyASKService.
Service\Driver ASKUpgrade not found.
Unable to delete service\driver keyASKUpgrade.
Service\Driver Partner Service not found.
Unable to delete service\driver keyPartner Service.
========== REGISTRY ==========
Unable to delete registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Run\\Adobe Reader Speed Launcher .
Unable to delete registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Run\\QuickTime Task .
Unable to delete registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Run\\TrueImageMonitor.exe .
========== FILES ==========
File move failed. C:\ProgramData\Partner\partner.exe scheduled to be moved on reboot.
Folder move failed. C:\Program Files (x86)\AskBarDis\bar\Settings scheduled to be moved on reboot.
Folder move failed. C:\Program Files (x86)\AskBarDis\bar\bin scheduled to be moved on reboot.
Folder move failed. C:\Program Files (x86)\AskBarDis\bar scheduled to be moved on reboot.
Folder move failed. C:\Program Files (x86)\AskBarDis scheduled to be moved on reboot.
File/Folder C:\ProgramData\.zreglib not found.
========== COMMANDS ==========
File delete failed. C:\Users\Thierry\AppData\Local\Temp\ppcrlui_3860_2 scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
Windows Temp folder emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

Je ne peux plus rien faire n'etant pas compétant en 64 bits.......:( G3и-н@¢км@и™©®