Partager vos
astuces Déco
Posez votre question Signaler

Ordi infecte [Résolu]

elbleuets 9Messages postés 1 juillet 2009Date d'inscription - Dernière réponse le 6 juil. 2009 à 00:33
Bonjour a vous tous. Merci a l'avance pour toute l'aide dont les membres de cette communauté vont m'offrir.
Voici le problème , j'ai attraper soit un virus ou un trojan dont je ne suis pas capable, ni d'identifier et encore moins d'enrayer .
Voici les troubles que me procure cette belle infection. Quand je fait des recherche sur google, une fois sur deux il me redirige vers des site de marketing ex: http://petekelsey.typepad.com/the_dirt/2006/12/index.html
je ne suis incapable d'installer de nouveau programme antivirus ou même hijacthis.
Présentement j"ai adaware et c'est le seul qui fonctionne.j'ai fait un analyse en mode sans échec en désactivant la restauration du système , j'ai trouver 2 trojan que j'ai enrayer mais mon problème persiste.
Config: AMD Athlon(tm) 64 Processor 4000+
window XP
gf 8800
voici ce que j'ai trouver et mis en quarantaine avec adawar
Quarantined items:
Description: C:\Documents and Settings\hugo\Local Settings\Temp\IXP000.TMP\settings.exe Family Name: Win32.Trojan.VB Clean status: Success Item ID: 557587 Family ID: 1458
Description: C:\Documents and Settings\hugo\Local Settings\Temp\IXP001.TMP\settings.exe Family Name: Win32.Trojan.VB Clean status: Success Item ID: 557587 Family ID: 1458
Description: C:\Documents and Settings\hugo\Local Settings\Temp\IXP002.TMP\settings.exe Family Name: Win32.Trojan.VB Clean status: Success Item ID: 557587 Family ID: 1458
Lire la suite 

Ordi infecte »

16 réponses
Réponse
+0
moins plus
gen-hackman 68344Messages postés 30 avril 2008Date d'inscription 11 juin 2011Dernière intervention 1 juil. 2009 à 18:00
salut :

*****************************************************
************** Option 1 (Recherche) **************
*****************************************************


Télécharge FindyKill (de Chiquitine29 , C_XX , et Chimay8) sur ton bureau :



! Déconnecte toi et ferme toutes applications en cours !

* Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
elbleuets 9Messages postés 1 juillet 2009Date d'inscription 1 juil. 2009 à 19:11
merci pour ta reponse rapide.


############################## | FindyKill V6.001 |

# User : hugo (Administrateurs) # CLAN-FA2DD159DD
# Update on 30/06/09 by Chiquitine29 & C_XX
# Start at: 1:09:22 PM | 01/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# AMD Athlon(tm) 64 Processor 4000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 34.46 Go (6.91 Go free) # NTFS
# D:\ # Disque fixe local # 117.19 Go (99.33 Go free) [installation] # NTFS
# E:\ # Disque fixe local # 115.69 Go (37.03 Go free) [Section donwload] # NTFS
# F:\ # Disque CD-ROM # 3.28 Go (0 Mo free) [BF2142 DVD] # UDF
# G:\ # Disque CD-ROM # 588.62 Mo (0 Mo free) [NVIDIA nForce4] # CDFS
# H:\ # Disque CD-ROM
# I:\ # Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
D:\Prog\firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Registre Startup |

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="http://www.daemon-search.com/startpage"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="hugo"
HKLM_logon: "AltDefaultUserName"="hugo"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
HKLM_Run: nwiz=nwiz.exe /install
HKLM_Run: SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: AdobeBridge=
HKCU_Run: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AdobeUpdater=

################## | Fichiers # Dossiers infectieux |


################## | C:\Documents and Settings\hugo\Temporary Internet Files |


################## | All Drives ... |

Présent ! F:\Setup.exe
Présent ! F:\autorun.inf
Présent ! G:\autorun.inf

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\...\Explorer\MountPoints2\{8286e1ea-2d06-11de-985e-806d6172696f}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{8c9813a2-2d2c-11de-9a93-806d6172696f}\Shell\AutoRun\Command

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V6.001 ! |

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
gen-hackman 68344Messages postés 30 avril 2008Date d'inscription 11 juin 2011Dernière intervention 1 juil. 2009 à 19:26


*****************************************************
************* Option 2 (Suppression) *************
*****************************************************


! Déconnecte toi et ferme toutes application en cours ( navigateur compris ) .

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu choisis l'option 2 (suppression) et tape sur [entrée]

* Le pc va redémarrer automatiquement ...

--> le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

* Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
elbleuets 9Messages postés 1 juillet 2009Date d'inscription 1 juil. 2009 à 22:20
############################## | FindyKill V6.001 |

# User : hugo (Administrateurs) # CLAN-FA2DD159DD
# Update on 30/06/09 by Chiquitine29 & C_XX
# Start at: 2:12:43 PM | 01/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# AMD Athlon(tm) 64 Processor 4000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 34.46 Go (6.91 Go free) # NTFS
# D:\ # Disque fixe local # 117.19 Go (99.33 Go free) [installation] # NTFS
# E:\ # Disque fixe local # 115.69 Go (37.03 Go free) [Section donwload] # NTFS
# F:\ # Disque CD-ROM # 3.28 Go (0 Mo free) [BF2142 DVD] # UDF
# G:\ # Disque CD-ROM # 588.62 Mo (0 Mo free) [NVIDIA nForce4] # CDFS
# H:\ # Disque CD-ROM
# I:\ # Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |


################## | C:\Documents and Settings\hugo\Temporary Internet Files |


################## | All Drives ... |

(!) Non supprimé ! F:\Setup.exe
(!) Non supprimé ! F:\autorun.inf
(!) Non supprimé ! G:\autorun.inf

################## | Autres ... |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[01/07/2009 02:12 PM|--a------|16075] - C:\aaw7boot.log
[07/06/2009 03:03 PM|--a------|0] - C:\AdobeDebug.txt
[19/04/2009 05:37 PM|--a------|0] - C:\AUTOEXEC.BAT
[30/06/2009 06:23 PM|---hs----|216] - C:\boot.ini
[05/08/2004 08:00 AM|-rahs----|4952] - C:\Bootfont.bin
[19/04/2009 05:37 PM|--a------|0] - C:\CONFIG.SYS
[01/07/2009 02:17 PM|--a------|2865] - C:\FindyKill.txt
[19/04/2009 05:37 PM|-rahs----|0] - C:\IO.SYS
[19/04/2009 05:37 PM|-rahs----|0] - C:\MSDOS.SYS
[05/08/2004 08:00 AM|-rahs----|47564] - C:\NTDETECT.COM
[24/04/2009 07:29 AM|-rahs----|252240] - C:\ntldr
[||] - C:\pagefile.sys
[25/04/2009 06:40 PM|--a------|34740253] - E:\Manual_Patch.rar
[25/09/2006 12:01 PM|-r-------|20482048] - F:\00000001.TMP
[25/09/2006 12:01 PM|-r-------|317440] - F:\00000002.TMP
[25/09/2006 12:01 PM|-r-------|4386816] - F:\Autorun.exe
[25/09/2006 12:01 PM|-r-------|46] - F:\Autorun.inf
[25/09/2006 12:01 PM|-r-------|15086] - F:\BF2142.ico
[25/09/2006 11:51 AM|-r-------|10369701] - F:\data1.cab
[25/09/2006 11:51 AM|-r-------|243222] - F:\data1.hdr
[25/09/2006 12:01 PM|-r-------|3381250027] - F:\data2.cab
[25/09/2006 12:01 PM|-r-------|2407536] - F:\dist.vlu
[21/10/2004 11:16 PM|-r-------|470174] - F:\engine32.cab
[25/09/2006 12:01 PM|-r-------|9936] - F:\layout.bin
[30/08/2006 01:58 PM|-r-------|1279256] - F:\Setup.bmp
[21/10/2004 11:16 PM|-r-------|118736] - F:\setup.exe
[25/09/2006 11:50 AM|-r-------|464834] - F:\setup.ibt
[25/09/2006 11:50 AM|-r-------|666] - F:\setup.ini
[25/09/2006 11:49 AM|-r-------|250222] - F:\setup.inx
[20/01/2005 11:37 PM|-r-------|524288] - G:\A8N-E.BIN
[17/01/2005 07:08 AM|-r-------|524288] - G:\A8N-SLI.BIN
[19/01/2005 06:29 AM|-r-------|524288] - G:\A8NSLI-B.BIN
[23/09/2004 06:03 AM|-r-------|24576] - G:\ASUSACPI.exe
[06/05/2004 11:06 AM|-r-------|49] - G:\AUTORUN.INF
[20/12/2004 05:49 AM|-r-------|43819] - G:\AWDFLASH.EXE
[24/01/2005 10:53 PM|-r-------|4697] - G:\FILELIST.TXT
[02/04/2004 06:45 AM|-r-------|1807] - G:\TECHSUPP.TXT
[11/09/2002 07:42 AM|-r-------|3638] - G:\asus.ico
[24/01/2005 10:56 PM|-r-------|6] - G:\ver.tag

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# D:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# E:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | PEH ... |


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\hugo\.housecall6.6\patch.exe"
04/05/2009 07:09 AM |Size 218736 |Crc32 12c79c8b |Md5 b9a80ba0083fb8196f8ca0bef053ea4e

"C:\Documents and Settings\hugo\Local Settings\Application Data\Adobe\Updater6\Install\pselements7-en_US\Patcher.exe"
15/06/2009 06:20 PM |Size 3454304 |Crc32 6909fbea |Md5 5ef0c3d94b2d801bef1ca6968d1e4d59


################## | ! Fin du rapport # FindyKill V6.001 ! |

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
gen-hackman 68344Messages postés 30 avril 2008Date d'inscription 11 juin 2011Dernière intervention 1 juil. 2009 à 22:26
"C:\Documents and Settings\hugo\.housecall6.6\patch.exe"
04/05/2009 07:09 AM |Size 218736 |Crc32 12c79c8b |Md5 b9a80ba0083fb8196f8ca0bef053ea4e

"C:\Documents and Settings\hugo\Local Settings\Application Data\Adobe\Updater6\Install\pselements7-en_US\Patcher.exe"
15/06/2009 06:20 PM |Size 3454304 |Crc32 6909fbea |Md5 5ef0c3d94b2d801bef1ca6968d1e4d59

=Poubelle car source d'infection

Télécharge OTL de OLDTimer

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant scan all users

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt" s'il t'est demandé



Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
elbleuets 9Messages postés 1 juillet 2009Date d'inscription 1 juil. 2009 à 22:34
http://www.cijoint.fr/cjlink.php?file=cj200907/cij2dzzzXi.txt


voici le lien


merci pour ton temps !:)

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
elbleuets 9Messages postés 1 juillet 2009Date d'inscription 3 juil. 2009 à 00:10
et la je fait koi

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
gen-hackman 68344Messages postés 30 avril 2008Date d'inscription 11 juin 2011Dernière intervention 4 juil. 2009 à 12:50
desole beaucoup de boulot ces derniers temps :


Télécharger Smitfraudfix par S!RI :



Décompresser l'archive
Exécuter le en double cliquant sur Smitfraudfix.cmd
Appuyer sur une touche pour continuer
Arriver à l'invite de commande, saisir la lettre L afin de basculer le fix en langue française
Au menu, choisir l’option Recherche
Poster le rapport ainsi généré

ensuite :


télécharge LOP S&D sur ton Bureau.

* Double-clique dessus pour lancer l'installation
* Puis double-clique sur le raccourci Lop S&D présent sur ton Bureau
* Séléctionne la langue souhaitée , puis choisis l'option 1 (Recherche)
* Patiente jusqu'à la fin du scan

* Poste le rapport généré (C:\lopR.txt)

ensuite :

Télécharge TOOLBAR S&D ( de Eric_71/Team IDN ) sur ton bureau :


!! Déconnecte toi,desactive tes protections résidentes, et ferme toutes tes applications en cours le temps de la manip. !!

* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...

--> Tapes ( option " recherche " ) puis tape sur [Entrée].

Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse

( le rapport est en outre sauvegardé ici -> C:\TB.txt )

Tutoriel

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
elbleuets 9Messages postés 1 juillet 2009Date d'inscription 4 juil. 2009 à 20:37
Probleme resolue cette nuit (quebec)


Merci pour ton aide precieuse !!!

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
gen-hackman 68344Messages postés 30 avril 2008Date d'inscription 11 juin 2011Dernière intervention 4 juil. 2009 à 23:49
comment t'as fait ?

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
elbleuets 9Messages postés 1 juillet 2009Date d'inscription 5 juil. 2009 à 05:04
J'ai utiliser GMER et ZOZO .

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
gen-hackman 68344Messages postés 30 avril 2008Date d'inscription 11 juin 2011Dernière intervention 5 juil. 2009 à 10:38
ok tu peut me refaire ce que tu as deja fait afin de verifier ?

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
elbleuets 9Messages postés 1 juillet 2009Date d'inscription 5 juil. 2009 à 14:49
Merci mais pas besoin regler a 100 %


Merci de ton aide precieuse !

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
gen-hackman 68344Messages postés 30 avril 2008Date d'inscription 11 juin 2011Dernière intervention 5 juil. 2009 à 21:56
impossible !!

aucun des deux ne regle les detournement DNS...enfin comme tu veux a bientot :)

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
elbleuets 9Messages postés 1 juillet 2009Date d'inscription 6 juil. 2009 à 00:31
Sa ma permis d'ouvrir malawarebyte et la jai pu désinfectée .

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
gen-hackman 68344Messages postés 30 avril 2008Date d'inscription 11 juin 2011Dernière intervention 6 juil. 2009 à 00:33
ok ben à bientot quand même ;)

Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « Ordi infecte » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
5 extensions si vous voulez revenir à l'ancien Facebook