pubs qui ouvrent internet explorerRésolu/Fermé

Question

Bonjour, 
je navique avec firefox mais des pubs ouvrent internet explorer toutes les 5-10 minutes,c'est tres embetant.
Quelqu'un peut il m'aider?
d'avance merci.



Configuration: Windows XP / Firefox 3.6.3

kalimusic · Answer

Bonjour et Bienvenue sur CCM 

Nous allons d'abord utiliser cet outil de diagnostic afin d'essayer d'identifier les problèmes de ta machine. 

Télécharge OTL  (de OldTimer) sur ton Bureau. 

!! Ferme toutes tes applications en cours !! 

    * Lance OTL.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil.  
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.  
    * L'interface principale s'ouvre : 
    * Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
    * Coche également les cases Recherche LOP et Recherche Purity 
    * Laisse tous les autres paramètres par défaut (âge du fichier 30 jours) 
    * Clique sur le bouton Analyse, patiente pendant le balayage du système. 
    * Après le balayage, 2 rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches)  

Ne les poste pas sur le forum, ils seraient trop long ! 

Pour me les transmettre tu dois te rendre sur ce site http://www.cijoint.fr/ , tu cliques sur parcourir et tu sélectionnes le premier rapport sur ton bureau, tu coches "Rendre public le fichier" et ensuite tu cliques sur "Cliquez ici pour déposer le fichier", il va te donner un lien de ce type http://www.cijoint.fr/cjlink.php?file=cj200906/XcijvLjYL5L.txt que tu copies/colles dans ton message. idem pour le 2nd rapport. 

A +

madoks · Answer

Voici les rapports, 
http://www.cijoint.fr/cjlink.php?file=cj201006/cijFDrXyME.txt 
http://www.cijoint.fr/cjlink.php?file=cj201006/cij95HT8Zj.txt
Que dois je faire ensuite?

kalimusic · Answer

re,

@ gen-hackman :
Tu as éditer ? Dommage, c'était bien vu ;-) 

@madoks

C'est toi qui installé un keylogger (rkfree) sur le PC ?? 

Télécharge et installe UsbFix   (par  C_XX & El Desaparecido) sur le Bureau   
    ! ! Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir !!   
    * Double clique sur l'icône UsbFix présent sur le bureau pour lancer l'outil  
      Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    * Clique sur le bouton  "Recherche"   
    * Patiente le temps du balayage qui peut durer plusieurs minutes   
    * Le rapport doit s'ouvrir spontanément à la fin du scan   
    * Copie/colle le rapport dans le prochain message   

   Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt   

"Process.exe" est détecté par certains antivirus comme étant un RiskTool.  
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus   

A +

gen-hackman · Answer

oui mais comme tu etais la le premier et que je savais que tu allais y venir......^^

madoks · Answer

oui c'est moi qui est installé le keylogger. 
voici le rapport usbfix: 
############################## | Usbfix 7.009 | [Recherche] 

Utilisateur: madoks (Administrateur) # KESAPEUTFOUTRE [ ] 
Mis à jour le 12/06/10 par El Desaparecido / C_XX 
Lancé à 13:48:25 | 14/06/2010 
Site Web: http://pagesperso-orange.fr/NosTools/index.html 
Contact: FindyKill.Contact@gmail.com 

CPU: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz 
CPU 2: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz 
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3 
Internet Explorer 8.0.6001.18702 

Pare-feu Windows: Désactivé /!\ 
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated] 
RAM -> 2814 Mo  
C:\ (%systemdrive%) -> Disque fixe # 117 Go (47 Go libre(s) - 40%) [] # NTFS 
D:\ -> CD-ROM 
I:\ -> CD-ROM 
J:\ -> Disque fixe # 117 Go (114 Go libre(s) - 97%) [] # NTFS 
K:\ -> Disque fixe # 227 Go (91 Go libre(s) - 40%) [] # NTFS 
L:\ -> CD-ROM 
M:\ -> CD-ROM 
N:\ -> CD-ROM 
O:\ -> Disque amovible # 4 Go (391 Mo libre(s) - 10%) [] # FAT32 

################## | Éléments infectieux | 

Présent! C:\WINDOWS\system32\sshnas21.dll 
Présent! C:\DOCUME~1\madoks\LOCALS~1\Temp\a.dat 
Présent! C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job 
Présent! C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job 
Présent! N:\Autorun.inf 
Présent! O:\Autorun.inf 
Présent! C:\Recycler\S-1-5-21-1275210071-1965331169-725345543-1003 
Présent! J:\Recycler\S-1-5-21-1275210071-1965331169-725345543-1003 
Présent! K:\Recycler\S-1-5-21-1275210071-1965331169-725345543-1003 
Présent! O:\Recycler\S-1-5-21-1482476501-3352491937-682996330-1013 

################## | Registre | 

Présent! HKCU\Software\M5T8QL3YW3 
Présent! HKCU\Software\Microsoft\Handle 
Présent! HKCU\Software\XML 
Présent! HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSHNAS 
Présent! HKLM\SYSTEM\ControlSet001\Services\SSHNAS 
Présent! HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SSHNAS 
Présent! HKLM\SYSTEM\ControlSet003\Services\SSHNAS 
Présent! HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS 
Présent! HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS 
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|M5T8QL3YW3 

################## | Mountpoints2 | 

HKCU\.\.\.\.\Explorer\MountPoints2\I 
Shell\AutoRun\Command = I:\LaunchU3.exe -a 

HKCU\.\.\.\.\Explorer\MountPoints2\{4af12465-1682-11df-a6f4-0019d12a2e2a} 
Shell\AutoRun\Command = L:\Startme.exe 

HKCU\.\.\.\.\Explorer\MountPoints2\{e0b58c13-d53f-11de-a69a-0019d12a2e2a} 
Shell\AutoRun\Command = N:\LaunchU3.exe -a 

HKCU\.\.\.\.\Explorer\MountPoints2\{e0b58c14-d53f-11de-a69a-0019d12a2e2a} 
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe 
Shell\Open\Command = O:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe 


################## | Vaccin | 

(!) Cet ordinateur n'est pas vacciné! 

################## | E.O.F |


que dois je faire ensuite, les pubs continuent d'apparaitre.

kalimusic · Answer

re,

Ok pour rkfree

Dans le rapport, il est indiqué que ton parefeu Windows est désactivé, pas besoin pour UsbFix, par contre Antivir était activé et il vaut mieux le désactiver pendant la suppression.

!! Ferme toutes tes applications en cours et désactive la protection résidente de ton anti-virus !!   

Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir  

    * Relance UsbFix en choisissant maintenant  "Suppression"  
    * UsbFix scanne ton pc, laisse travailler l'outil (le bureau peut disparaitre)
    * A la fin du nettoyage, clique sur OK dans la boite de dialogue 
    * Upload le dossier zip demandé
    * Le rapport doit s'ouvrir spontanément, copie/colle le dans le prochain message

Il est recommandé de redémarrer le pc après cette opération.

   Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt   

Rappel : "Process.exe" est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus

****
Maintenant nous devons analyser certains fichiers suspects présents dans le système afin de savoir s'il faut les supprimer. 

1. Rends toi sur le site Virus Total

    * Clique sur la case "Parcourir"
Une fenêtre s'ouvre te permettant de naviguer sur le disque dur
    * Parcoure l'arborescence C:\Windows pour sélectionner Asykea.exe
    * Sélectionne le en cliquant dessus puis clique sur "ouvrir" en bas de la fenêtre qui va se fermer
    * Clique maintenant puis sur le bouton "Envoyer le fichier"

Si un message te dit que le fichier à déjà été analysé, ré-analyse le

Le fichier est mis en attente puis le scan débute, à la fin de l'analyse copie l'URL et colle la dans ta réponse, cela doit ressembler à ceci : http://www.virustotal.com/fr/analisis/4ad23c3e409a3845815fcc6d0c977fbeb90ba8d1bcdf6d41b22993907a7944aa-1270983527 


Note : Si des fichiers ne sont pas visibles, tu devras modifier ce paramètre afin de pouvoir y accéder 

Dans le Menu Démarrer de la barre des taches

    * Clique sur Rechercher
    * Dans la fenêtre qui s'ouvre, va dans le menu déroulant Outils puis choisit Options des dossiers
    * Dans la boîte de dialogue, Sélectionne l'onglet Affichage
    * Coche Afficher les fichiers et dossiers cachés

Clique maintenant sur le bouton Appliquer puis OK

2. Recommence l'opération pour Asykeb.exe qui se trouve dans le même répertoire C:\Windows

Poste les 2 liens.

Change les paramètres d'affichage des fichiers en décochant la case Afficher les fichiers et dossiers cachés, si tu as eu besoin de les modifier.

A +

madoks · Answer

le rapport usbfix apres suppression:

############################## | Usbfix 7.009 | [Suppression]

Utilisateur: madoks (Administrateur) # KESAPEUTFOUTRE [ ]
Mis à jour le 12/06/10 par El Desaparecido / C_XX
Lancé à 15:03:43 | 14/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
CPU 2: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
RAM -> 2814 Mo 
C:\ (%systemdrive%) -> Disque fixe # 117 Go (47 Go libre(s) - 40%) [] # NTFS
D:\ -> CD-ROM
I:\ -> CD-ROM
J:\ -> Disque fixe # 117 Go (114 Go libre(s) - 97%) [] # NTFS
K:\ -> Disque fixe # 227 Go (91 Go libre(s) - 40%) [] # NTFS
L:\ -> CD-ROM
M:\ -> CD-ROM
N:\ -> CD-ROM
O:\ -> Disque amovible # 4 Go (391 Mo libre(s) - 10%) [] # FAT32

################## | Éléments infectieux |

Supprimé! C:\WINDOWS\system32\sshnas21.dll
Supprimé! C:\DOCUME~1\madoks\LOCALS~1\Temp\a.dat
Supprimé! C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
Supprimé! C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
Non supprimé ! N:\Autorun.inf
Supprimé! O:\Autorun.inf
Supprimé! C:\Recycler\S-1-5-21-1275210071-1965331169-725345543-1003
Supprimé! J:\Recycler\S-1-5-21-1275210071-1965331169-725345543-1003
Supprimé! K:\Recycler\S-1-5-21-1275210071-1965331169-725345543-1003
Supprimé! O:\Recycler\S-1-5-21-1482476501-3352491937-682996330-1013

################## | Registre |

Supprimé! HKCU\Software\M5T8QL3YW3
Supprimé! HKCU\Software\Microsoft\Handle
Non supprimé ! HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSHNAS
Supprimé! HKLM\SYSTEM\ControlSet001\Services\SSHNAS
Non supprimé ! HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SSHNAS
Supprimé! HKLM\SYSTEM\ControlSet003\Services\SSHNAS
Non supprimé ! HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|M5T8QL3YW3

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\I
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{4af12465-1682-11df-a6f4-0019d12a2e2a}

################## | Listing |

[14/06/2010 - 12:37:09 | A | 2326] 	C:\Ad-Report-CLEAN[1].txt
[14/06/2010 - 12:33:29 | A | 2155] 	C:\Ad-Report-SCAN[1].txt
[30/10/2009 - 23:00:23 | A | 0] 	C:\AUTOEXEC.BAT
[06/11/2009 - 16:44:25 | SH | 209] 	C:\boot.ini
[10/08/2004 - 14:00:00 | RASH | 4952] 	C:\Bootfont.bin
[14/06/2010 - 11:44:32 | A | 984] 	C:\cleannavi.txt
[10/06/2010 - 03:23:44 | SHD ] 	C:\Config.Msi
[30/10/2009 - 23:00:23 | A | 0] 	C:\CONFIG.SYS
[01/11/2009 - 18:41:30 | D ] 	C:\DELL
[13/03/2010 - 18:05:25 | D ] 	C:\Documents and Settings
[03/11/2009 - 19:10:38 | SHD ] 	C:\found.000
[14/06/2010 - 12:41:45 | ASH | 2950610944] 	C:\hiberfil.sys
[01/11/2009 - 22:20:56 | D ] 	C:\Intel
[30/10/2009 - 23:00:23 | RASH | 0] 	C:\IO.SYS
[30/10/2009 - 23:00:23 | RASH | 0] 	C:\MSDOS.SYS
[14/06/2010 - 11:44:32 | AD ] 	C:\Navilog1
[10/08/2004 - 14:00:00 | RASH | 47564] 	C:\NTDETECT.COM
[02/11/2009 - 18:15:35 | RASH | 252240] 	C:
tldr
[01/11/2009 - 21:56:44 | D ] 	C:\NVIDIA
[14/06/2010 - 12:41:44 | ASH | 2145386496] 	C:\pagefile.sys
[14/06/2010 - 12:31:04 | RD ] 	C:\Program Files
[05/05/2010 - 19:10:47 | D ] 	C:\ProgramData
[14/06/2010 - 15:04:18 | SHD ] 	C:\RECYCLER
[30/10/2009 - 23:06:10 | SHD ] 	C:\System Volume Information
[14/06/2010 - 15:04:18 | D ] 	C:\UsbFix
[14/06/2010 - 15:04:21 | A | 2071] 	C:\Usbfix.txt
[14/06/2010 - 12:42:28 | D ] 	C:\WINDOWS
[08/06/2010 - 20:06:13 | D ] 	C:\µtorrent temp
[08/06/2010 - 20:06:13 | D ] 	C:\µtorrentdownload
[04/11/2009 - 00:01:51 | D ] 	C:\µtorrenttemp
[12/12/2009 - 13:13:43 | RD ] 	I:\VIDEO_TS
[12/12/2009 - 13:13:43 | RD ] 	I:\AUDIO_TS
[10/11/2008 - 11:54:24 | A | 2047] 	J:\obsidian-dawn-tou.txt
[04/11/2009 - 03:14:03 | D ] 	J:\PhotoShop10
[12/05/2010 - 23:27:45 | D ] 	J:\Program Files
[14/06/2010 - 15:04:18 | SHD ] 	J:\RECYCLER
[10/11/2008 - 13:03:32 | A | 1403322] 	J:\SS-jigsaw.abr
[31/10/2009 - 14:14:05 | SHD ] 	J:\System Volume Information
[06/05/2010 - 22:36:31 | D ] 	J:\Téléchargement
[03/12/2009 - 23:22:24 | D ] 	K:\38701ce7da238ec7d3
[07/02/2010 - 18:28:28 | D ] 	K:\Alcohol 120%
[03/12/2009 - 23:21:54 | D ] 	K:\ba0f70c2ec8b3fdbbb1987
[14/06/2010 - 11:57:55 | A | 127794] 	K:\cc_20100614_115736.reg
[26/11/2005 - 12:33:38 | A | 53008] 	K:\Cloister Black BT.ttf
[26/11/2005 - 12:34:30 | A | 113408] 	K:\Cloister Black Light.ttf
[29/01/2010 - 19:54:52 | A | 19] 	K:\code.txt
[03/02/2010 - 23:56:02 | D ] 	K:\de44c1d006952e675e7b4173d33fb0
[02/11/2009 - 01:16:47 | ASH | 78] 	K:\desktop.ini
[05/05/2010 - 19:10:43 | D ] 	K:\Electronic Arts
[16/11/2009 - 21:14:55 | A | 45] 	K:\EMBI.txt
[18/03/2010 - 19:43:16 | D ] 	K:\faustine
[03/02/2010 - 22:41:07 | A | 164] 	K:\lien appart.txt
[11/02/2010 - 22:11:12 | A | 507] 	K:\liens.txt
[02/02/2010 - 00:21:56 | A | 31428] 	K:\lireFacturePDF.pdf
[27/02/2010 - 21:34:36 | RD ] 	K:\Ma musique
[10/02/2010 - 23:35:43 | D ] 	K:\Media Go
[23/05/2010 - 20:04:07 | D ] 	K:\Mes fichiers reçus
[12/06/2010 - 02:14:37 | RD ] 	K:\Mes images
[08/05/2010 - 10:20:29 | RD ] 	K:\Mes vidéos
[10/02/2010 - 23:35:43 | D ] 	K:\My Podcasts
[26/11/2005 - 12:35:24 | A | 49388] 	K:\Old English Five.ttf
[26/11/2005 - 12:35:58 | A | 50244] 	K:\Old London.ttf
[14/06/2010 - 15:04:18 | SHD ] 	K:\RECYCLER
[03/06/2010 - 20:15:45 | D ] 	K:\SimCity 4
[31/10/2009 - 14:14:05 | SHD ] 	K:\System Volume Information
[14/06/2010 - 13:47:45 | D ] 	K:\Téléchargements
[06/05/2010 - 22:27:12 | D ] 	K:\WideStream
[06/05/2008 - 14:26:23 | R | 309] 	N:\autorun.inf
[23/10/2007 - 09:45:39 | R | 1336632] 	N:\LaunchU3.exe
[06/05/2008 - 14:11:20 | R | 5600229] 	N:\LaunchPad.zip
[12/05/2008 - 13:15:46 | D ] 	O:\Documents
[12/05/2008 - 13:15:46 | HD ] 	O:\System
[23/10/2007 - 10:45:40 | RA | 1336632] 	O:\LaunchU3.exe
[21/10/2009 - 17:26:36 | D ] 	O:\5070
[22/11/2009 - 01:44:22 | RSHD ] 	O:\RECYCLER
[07/02/2010 - 21:23:36 | A | 731297792] 	O:\Eagle.Eye.French.DvdRip.Repack.Xvid-STS.avi
[27/03/2010 - 15:41:34 | A | 652240132] 	O:\Seul_Contre_Tous.avi

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
J:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
K:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
O:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_KESAPEUTFOUTRE.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |

madoks · Answer

voila le lien pour asykea.exe:
http://www.virustotal.com/fr/analisis/921b4f500d173f6ae747d2c92c52ef192e66571e6d6ae7b182490244bca940a6-1276521305

madoks · Answer

le lien pour asykeb.exe:
http://www.virustotal.com/fr/analisis/921b4f500d173f6ae747d2c92c52ef192e66571e6d6ae7b182490244bca940a6-1276522500

madoks · Answer

apparement c'est des virus. comment je peux les supprimer?

(les pubs n'apparaissent plus)

kalimusic · Answer

re, 

1. Relance OTL

    * L'interface principale s'ouvre :
    * Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

:OTL
SRV - (SSHNAS) -- C:\WINDOWS\system32\sshnas21.dll () 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.     
O4 - HKLM\..\Run: [nwiz]  File not found
O4 - HKCU\..\Run: [Kkejabihebajog] C:\WINDOWS\statdrfg.DLL (MaresWEB) 
O4 - HKCU\..\Run: [M5T8QL3YW3] C:\DOCUME~1\madoks\LOCALS~1\Temp\Abi.exe File not found     
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.) 

:Files
C:\WINDOWS\statdrfg.DLL 
C:\WINDOWS\Asykeb.exe 
C:\WINDOWS\Asykea.exe 
C:\Documents and Settings\madoks\Application Data\OfferBox     
C:\Documents and Settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521} 
C:\Documents and Settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD} 

:Commands 
[emptytemp]
    * Clique sur le bouton Correction, patiente pendant le travail de l'outil, à la fin il va redémarrer le PC.
    * Après le re-démarrage, le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément
    * Copie/colle le dans ton prochain message

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log) 

2. Télécharge MBAM  et installe le selon l'emplacement suivant C:\Program Files\MalwareBytes'Anti-Malware
    * Effectue la mise à jour et lance Malwarebytes' Anti-Malware
    * Clique dans l'onglet du haut "Recherche"
    * Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher" 
* Choisis de scanner tous tes disques durs, puis clique sur "Rechercher"

A la fin de l'analyse, si MBAM n'a rien trouvé :

    * Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

    * Clique sur OK puis "Afficher les résultats"
    * Choisis l'option "Supprimer la sélection"
    * Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    * Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    * Sinon le rapport s'ouvre automatiquement après la suppression.

Quelque soit le résultat, copie/colle le rapport dans le prochain message

A +

madoks · Answer

le rapport OTL:
All processes killed
========== OTL ==========
Error: No service named SSHNAS was found to stop!
Service\Driver key SSHNAS not found.
File  C:\WINDOWS\system32\sshnas21.dll  not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\WINDOWS\statdrfg.dll moved successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run not found.
Starting removal of ActiveX control {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ not found.
========== FILES ==========
C:\WINDOWS\statdrfg.dll moved successfully.
C:\WINDOWS\Asykeb.exe moved successfully.
C:\WINDOWS\Asykea.exe moved successfully.
C:\Documents and Settings\madoks\Application Data\OfferBox folder moved successfully.
C:\Documents and Settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}\x86\x86 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}\x86 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521} folder moved successfully.
C:\Documents and Settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}\x86 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD} folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: clement
->Temp folder emptied: 142994 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 405 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41620 bytes
 
User: faustine
->Temp folder emptied: 2314 bytes
->Temporary Internet Files folder emptied: 143393 bytes
->Java cache emptied: 13689508 bytes
 
User: gilles
->Temp folder emptied: 803 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 405 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 41362 bytes
 
User: madoks
->Temp folder emptied: 1320495297 bytes
->Temporary Internet Files folder emptied: 1838237 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 66537146 bytes
->Flash cache emptied: 2014256 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1391300 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1258715 bytes
%systemroot%\System32 .tmp files removed: 6609920 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 24203042 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 54646712 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 34313 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 1 424,00 mb
 
 
OTL by OldTimer - Version 3.2.6.0 log created on 06142010_162507

Files\Folders moved on Reboot...
File\Folder C:\Documents and Settings\madoks\Local Settings\Temp\plugtmp-25\plugin-3093b1feefac9ff987dbb0376117c71851d4d7c9fa0769e3f588ba908cef65585561b42a7875f29cb568ca27ebdc5588aaa8764e40c17fbe51afeb4073860609a0a74abf273e47c60adac87e823fc9a722720ce7e7f137ab7e813173703446fb not found!
File\Folder C:\Documents and Settings\madoks\Local Settings\Temp\plugtmp-25\plugin-3093b1feefac9ff987dbb0376117c71851d4d7c9fa0769e3f588ba908cef65585561b42a7875f29cb568ca27ebdc5588aaa8764e40c17fbe51afeb4073860609a0a74abf273e47c60adac87e823fc9a722720ce7e7f137ab7e813173703446fb-1 not found!
File\Folder C:\Documents and Settings\madoks\Local Settings\Temp\plugtmp-25\plugin-3093b1feefac9ff987dbb0376117c71851d4d7c9fa0769e3f588ba908cef65585561b42a7875f29cb568ca27ebdc5588aaa8764e40c17fbe51afeb4073860609a0a74abf273e47c60adac87e823fc9a722720ce7e7f137ab7e813173703446fb-2 not found!
File\Folder C:\Documents and Settings\madoks\Local Settings\Temp\plugtmp-25\plugin-82e1a72b684803dbf0febd46b8a90a7fbc79b5f294aa960252fd4792fe69fd36c9cf188b20d164ee502e642a5045eb25bffe7a6a0d03ca8fbd77290dab2c0fcd0f7c61754f5080ff5a6647a6593be0559dd61112740ab8e6f0fd931b8a3a1ed1 not found!
File\Folder C:\Documents and Settings\madoks\Local Settings\Temp\plugtmp-25\plugin-82e1a72b684803dbf0febd46b8a90a7fbc79b5f294aa960252fd4792fe69fd36c9cf188b20d164ee502e642a5045eb25bffe7a6a0d03ca8fbd77290dab2c0fcd0f7c61754f5080ff5a6647a6593be0559dd61112740ab8e6f0fd931b8a3a1ed1-1 not found!
File\Folder C:\Documents and Settings\madoks\Local Settings\Temp\plugtmp-25\plugin-82e1a72b684803dbf0febd46b8a90a7fbc79b5f294aa960252fd4792fe69fd36c9cf188b20d164ee502e642a5045eb25bffe7a6a0d03ca8fbd77290dab2c0fcd0f7c61754f5080ff5a6647a6593be0559dd61112740ab8e6f0fd931b8a3a1ed1-2 not found!
File\Folder C:\Documents and Settings\madoks\Local Settings\Temp\plugtmp-23\plugin-74f6943b4e2b809c260e21fceef54f1361b255a7b3bdb2f95b42a0891031d06bec5d0c13f9bdcfc64bf06bc1a9136cf6a9860e60d4b2635c11413cc6f68448d1dce102cedadc6a0db55e3a99060fb6e6157ac7858da338533bbeae1b791bef8f not found!
File\Folder C:\Documents and Settings\madoks\Local Settings\Temp\plugtmp-23\plugin-74f6943b4e2b809c260e21fceef54f1361b255a7b3bdb2f95b42a0891031d06bec5d0c13f9bdcfc64bf06bc1a9136cf6a9860e60d4b2635c11413cc6f68448d1dce102cedadc6a0db55e3a99060fb6e6157ac7858da338533bbeae1b791bef8f-1 not found!
File\Folder C:\Documents and Settings\madoks\Local Settings\Temp\plugtmp-23\plugin-74f6943b4e2b809c260e21fceef54f1361b255a7b3bdb2f95b42a0891031d06bec5d0c13f9bdcfc64bf06bc1a9136cf6a9860e60d4b2635c11413cc6f68448d1dce102cedadc6a0db55e3a99060fb6e6157ac7858da338533bbeae1b791bef8f-2 not found!

Registry entries deleted on Reboot...

madoks · Answer

antivir m'envoi des alertes de ce type: 
"Dans le fichier 'C:\UsbFix\Quarantine\O\Recycler\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe.vir' 
un virus ou un programme indésirable 'TR/Dropper.Gen' [trojan] a été détecté. 
Action exécutée : Refuser l'accès" 

qu'est ce que je dois faire?

-les pubs sont revenus mais dans firefox cette fois.

madoks · Answer

rapport mbam:
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3081
Windows 5.1.2600 Service Pack 3

14/06/2010 17:16:39
mbam-log-2010-06-14 (17-16-39).txt

Type de recherche: Examen complet (C:\|J:\|K:\|)
Eléments examinés: 220175
Temps écoulé: 46 minute(s), 19 second(s)


Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\UsbFix\Quarantine\O\Recycler\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe.vir (Spyware.Passwords) -> Quarantined and deleted successfully.


quand j'ai voulu supprimer le fichier infecté avec mbam,antivir ma renvoyé un message d'alerte,j'ai donc supprimer avec antiviret la suppression a fonctionner avec mbam.
comment savoir si ce fichier est toujours present?

kalimusic · Answer

Bonsoir, 

Le fichier qui provoquait les alertes d'Antivir se trouvait dans la quarantaine de l'outil UsbFix. 
Tu as toujours des pubs ? On va faire une analyse différente avec OTL 

Relance OTL 
!! Ferme toutes tes applications en cours !!  
        * L'interface principale s'ouvre :  
    * Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal  
    * Laisse tous les autres paramètres par défaut  
* Dans la partie du bas "Personnalisation", copie/colle la liste en citation :  

netsvcs  
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*. 
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
/md5start  
AGP440.SYS 
atapi.sys  
eventlog.dll  
scecli.dll  
netlogon.dll  
/md5stop 
    * Clique sur le bouton Analyse rapide , patiente pendant le balayage du système.  
    * Poste le rapport OTL.txt via le site http://www.cijoint.fr/ 

A + 

«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

madoks · Answer

bonsoir,


voici le deuxieme rapport otl, au passage un message  c'est ouvert a la fin du scan pour me dire que OTL etait un programme endommagé.

http://www.cijoint.fr/cjlink.php?file=cj201006/cijFn0jYyT.txt

merci d'avance pour vos reponses.

kalimusic · Answer

Bonsoir,  

Rien de parlant à première vue. 
Tu as toujours des pubs sur Firefox ? C'est une nouvelle fenêtre qui s'ouvre ?  
A part ça d'autres dysfonctionnements ?  

Rends-toi sur le site de  GMER 

Attention lit attentivement les instructions, cet outil est à manier avec précautions 

    * Clique sur le bouton Download EXE pour télécharger l'outil avec un nom aléatoire afin que les malwares ne bloquent pas son exécution 
    * Télécharge ce fichier sur le bureau 
      ! Désactive les logiciels de protection et les défenses résidentes !       
* Lance l'outil comme indiqué 
- Sous XP double-clic sur l'icône pour lancer l'outil.  

    *  Si aucun rootkit n'est détecté

     * Clique sur le bouton Copy puis OK et colle le dans ton prochain message. 

     * Si un rootkit est détecté au démarrage du programme, une boite de dialogue s'ouvre :
      WARNING, GMER has found rootkit activity, Do you want to fully scan your system ? 
   * Clique sur "YES" 

Une fois le scan terminé pour générer le rapport clique sur le bouton Copy puis OK et colle le dans ton prochain message.  

A +  

ps : merci à gen-hackman de suivre 


«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

madoks · Answer

non je n'ai plus de pubs sur firefox le probleme a l'air regler.
Pour OTL c'est un message en bas a droite qui est apparu c'est peut etre rien de grave.
je te post les rapport gmer demain. bonne soiree.

kalimusic · Answer

re,

Ok, tant mieux, avec Gmer on sera sûr qu'il n'y a pas de processus cachés.
Si tout va bien, on désinstallera proprement les outils et on finira le nettoyage.
Bonne soirée, à demain

madoks · Answer

salut, 
 voici le rapport gmer:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-06-16 14:49:04
Windows 5.1.2600 Service Pack 3
Running: 3b3q4ek8.exe; Driver: C:\DOCUME~1\madoks\LOCALS~1\Temp\kfroipow.sys


---- System - GMER 1.0.15 ----

SSDT            spzg.sys                  ZwEnumerateKey [0xB7ECDDA4]
SSDT            spzg.sys                  ZwEnumerateValueKey [0xB7ECE132]

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs    8AB981F8
Device          \FileSystem\Fastfat \Fat  89FF9500

AttachedDevice  \FileSystem\Fastfat \Fat  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

kalimusic · Answer

Bonjour,

Pas de processus cachés, si pour toi tout est normal aussi :

1. On va désinstaller les outils utilisés car ils ne peuvent pas rester sur ton système.     

a. Supprime le fichier créé par Gmer

b. Relance OTL   
* Clique sur le bouton Purge outils
* Clique ensuite sur OK dans la boite de dialogue qui t'invite à redémarrer le système 

c. Télécharge Tools Cleaner (par A.Rothstein & dj QUIOU) sur le bureau et exécute le en double cliquant sur son icone.  

* Clique sur Recherche et laisse le scan se terminer     
* Clique ensuite sur Suppression     
* Clique sur Quitter, pour que le rapport puisse se créer     
* Poste le dans ton prochain message     

Le rapport (TCleaner.txt) se trouve à la racine du disque dur (C:\)     

Relance Tools cleaner   
* Clique sur le bouton Pt Restauration, puis successivement sur OK dans les boites de dialogue pour créer un nouveau point de restauration du système.    
* Supprime Tools cleaner 

2. Nous allons maintenant supprimer les anciens points de restauration pour finir le nettoyage.     

Clique sur Poste de travail, puis fait un clic droit sur le disque dur principal (en général C:/) 
    * Clique sur Propriétés 
Dans la fenêtre qui s'ouvre dans l'onglet général 
    * Clique sur Nettoyage de disque 
Une boîte de dialogue te demande de patienter le temps du calcul, une nouvelle fenêtre va s'ouvrir. 
    * Choisit le 2ème onglet Autres options puis l'item Restauration du système 
    * Valide la boîte de dialogue qui s'affiche en cliquant sur Oui 
    * Ferme ensuite la fenêtre Nettoyage de disque en cliquant sur OK  

A + pour la dernière étape

madoks · Answer

Alors, avant de tout supprimé sache que gmer n'a scanné que la partition C:
il a buggé en scannant les autres partition et j'ai du redemarré le pc avec un ecran bleu chkdsk.
quelques petits ralentissements sur firefox mais c'est rentré dans l'ordre.
voila..

kalimusic · Answer

oui, ça peut arriver avec Gmer,  ton système d'exploitation étant sur C:\ normalement c'est bon. Si tu as encore un doute sur le comportement du système, on peut  encore chercher. 
Pour Firefox, sauvegarde tes marques pages puis réinitialise le comme indiqué : 
https://www.commentcamarche.net/faq/9525-reinitialiser-firefox-reset 
A +

madoks · Answer

re,

j'ai bien fait toutes les etapes, seul souci je n'ai pas sauvegarder le rapport toolscleaner avant de faire "pt restauration", ce qui fait que maintenant j'ai un rapport qui a remplacé l'autre qui me dit qu'un point de restauration a bien été creer.Dans l'ancien raaport il a trouvé du navilog du ad remover etc qu 'il a reussi a supprimer.
a part ca, aucun doute sur le fonctionnement du systeme tout fonctionne bien.
j'attends de vous nouvelles.

A+

kalimusic · Answer

Bonsoir,

J'ai vu que tu avais utiliser des outils de désinfection avant de poster sur CCM,
Ils ne doivent pas rester sur le système, tu ne le retrouves pas à la racine du disque C:\ ?
Regarde si tu l'as pour vérifier la suppression, je prépare la suite et la fin
A +

madoks · Answer

non le rapport TCleaner.txt a été remplacé par un autre du meme nom qui dit:

Point de restauration crée !

kalimusic · Answer

re, 

arff, zut ! Bon tout a été supprimé ? Passe à la suite :

1. Tu peux garder Malwarebytes Anti-Malware qui est un excellent logiciel et t'en servir régulièrement pour un scan rapide sur ton PC sans oublier de le mettre à jour.  

2. Nettoyage de Windows avec Ccleaner 
Ce logiciel doit être utilisé régulièrement pour nettoyer les fichiers temporaires et les cookies. 

3. Supprime les anciennes versions de Java  

4. Maintiens tes logiciels à jours avec Secunia OSI (merci australien) 
Ou en utilisant leur logiciel Secunia Personal Software Inspector 

       Quelques règles simples : 

    * La multiplication des protections est une source de conflit et n'est pas plus efficace pour la sécurité :  1 seul anti-virus, 1 seul pare-feu (celui de Windows peut suffire), et en complément Malwarebytes : Antispyware gratuit : ça sert à rien! 
    * Tenir Windows et les autres logiciels sensibles à jour :  
Anti-Virus, Java, Adobe, etc.. 
    *  Ne pas surfer en droits administrateurs 
    * Ne pas installer n'importe quel logiciel sur son PC (surtout via des liens publicitaires), toujours se renseigner avant. Les télécharger dans la mesure du possible sur le site de l'éditeur. Éviter d'installer les diverses barres d'outils ou de recherches, etc....proposés lors de l'installation.  
    * Bannir les sites à risques (pornographiques, etc...) et les comportements à risques (P2P, cracks, warez....) 
    * Ne pas cliquer aveuglement sur des liens contenus dans les e-mails, les messageries instantanées, les réseaux sociaux, etc ...même si l'expéditeur est connu et à plus forte raison s'il est inconnu ou suspect. 
    * Utiliser un navigateur alternatif et le sécuriser (par exemple Firefox avec des modules complémentaires comme AdBlock, Noscript, WOT, etc...)  

Je t'invite à lire ces différents articles, afin de surfer plus sereinement :

Prévention & Protection  

Les idées reçues en sécurité logicielle   

************************** 
  
N'oublies pas de me faire part d'éventuelles difficultés dans les dernières étapes. 
Si tout se passe bien clique ensuite sur résolu, merci. 


«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

madoks · Answer

salut,
je garde mbam et ccleaner, en revanche je rencontre un probleme en essayant de mettre a jour java, sun download manager me dit que la version jre-6u20 existe deja.
Alors que OSI, au moment du scan me dit qu'il y a un probleme avec cette version de java:
Status / Currently Processing:
There might be problems loading the Java Applet in your browser.

kalimusic · Answer

Salut,

En fait, ta version de java était à jour, mais une ou deux anciennes versions restaient sur ton système. Je voulais simplement que tu les supprimes avec JavaRa comme expliqué dans le lien.
Si cela ne résous pas le soucis avec OSI, utilise Secunia PSI, à priori beaucoup de tes logiciels étaient déjà à jour.
A +

madoks · Answer

ok, pour java je vais me debrouiller,
 par contre,
jviens de recevoir une alerte de antivir:

Dans le fichier 'C:\WINDOWS\Temp\waur.tmp\svchost.exe'
un virus ou un programme indésirable 'TR/Dldr.Agent.dtdv.3' [trojan] a été détecté.
Action exécutée : Refuser l'accès

kalimusic · Answer

re,  

Ok lu, je prends le temps de consulter un autre avis avant de te répondre.  

As tu rebranché des supports amovibles entre temps sur ton PC ? 

A +

madoks · Answer

oui.
un disque dur externe.

kalimusic · Answer

Tu l'avais insérer lors de la désinfection ?

Télécharge et installe UsbFix   (par  C_XX & El Desaparecido) sur le Bureau   
    ! ! Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir !!   
    * Double clique sur l'icône UsbFix présent sur le bureau pour lancer l'outil  
      Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    * Clique sur le bouton  "Recherche"   
    * Patiente le temps du balayage qui peut durer plusieurs minutes   
    * Le rapport doit s'ouvrir spontanément à la fin du scan   
    * Copie/colle le rapport dans le prochain message   

   Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt   

"Process.exe" est détecté par certains antivirus comme étant un RiskTool.  
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus   

A +

madoks · Answer

rapport usb fix:

############################## | UsbFix 7.011 | [Recherche]

Utilisateur: madoks (Administrateur) # KESAPEUTFOUTRE [ ]
Mis à jour le 17/06/2010 par El Desaparecido / C_XX
Lancé à 23:32:01 | 17/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
CPU 2: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
RAM -> 2814 Mo 
C:\ (%systemdrive%) -> Disque fixe # 117 Go (51 Go libre(s) - 43%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 932 Go (887 Go libre(s) - 95%) [Elements] # NTFS
I:\ -> CD-ROM
J:\ -> Disque fixe # 117 Go (114 Go libre(s) - 97%) [] # NTFS
K:\ -> Disque fixe # 227 Go (91 Go libre(s) - 40%) [] # NTFS
L:\ -> CD-ROM
M:\ -> CD-ROM

################## | Éléments infectieux |

Présent! E:\Autorun.inf
Présent! C:\Recycler\S-1-5-21-1275210071-1965331169-725345543-1003
Présent! E:\Recycler\S-1-5-21-1275210071-1965331169-725345543-1003
Présent! J:\Recycler\S-1-5-21-1275210071-1965331169-725345543-1003
Présent! K:\Recycler\S-1-5-21-1275210071-1965331169-725345543-1003

################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
J:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
K:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

kalimusic · Answer

ok, 

!! Ferme toutes tes applications en cours et désactive la protection résidente de ton anti-virus !!    

Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir   

1. Relance UsbFix en choisissant maintenant  "Suppression"   
    * UsbFix scanne ton pc, laisse travailler l'outil (le bureau peut disparaitre) 
    * A la fin du nettoyage, clique sur OK dans la boite de dialogue  
    * Upload le dossier zip demandé 
    * Le rapport doit s'ouvrir spontanément, copie/colle le dans le prochain message 

Il est recommandé de redémarrer le pc après cette opération 

   Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt    

Rappel : "Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus 

2. Télécharge  ATF  (par A-Tribune) sur le bureau et lance le en double cliquant sur son icône  
    * Coche Select All  
    * Clique sur Empty Selected  
    * Clique sur OK dans la boite de dialogue Done cleaning!  
    * Si tu utilises un autre navigateur que IE, choisis ton navigateur dans l'onglet du haut (Firefox ou Opera )  
    * Coche Select All  
(Si tu souhaites conserver les mots de passe sauvegardés, clique Non à l'invite)  
    * Clique sur Empty Selected  
    * Accepte de tout supprimer en cliquant sur OK  

Cet outil ne donne pas de rapport, il sert à préparer l'étape suivante. 

3. Effectue un scan en ligne en suivant ce tutoriel : 
Scanner en ligne avec Kaspersky 
Utilise le lien alternatif de téléchargement et sauvegarde le rapport au format texte que tu hébergeras ici : http://www.cijoint.fr/ 
note : ce scan est généralement assez long à réaliser  

A + 

«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

madoks · Answer

salut, 
gros soucis,depuis que j'ai fermé atf le site CCM n'a plus aucune mise en page,  
j'ai seulement les textes a gauche et je ne peux plus poster de messages 
(j'ecris ce message depuis un autre pc). 
l'analyse kapersky n'a generé aucun rapport, 
en revanche antivir m'a envoyé des alertes toutes la nuit et toute la journee, en gros une alerte tous les quart d'heure du type: 

C:\WINDOWS	emp\***.tmp\svchost.exe' 

je sais vraiment pas ce qui se passe, 
j'ai eu aussi le droit a une pub sur firefox quand je suis rentré. 
voila, en attendant votre reponse. 
a +



plus de probleme avec CCM.

kalimusic · Answer

Bonjour,

Oui, je crois qu'on est passé à côté d'un problème qui n'était pas visible sur la dernière analyse de OTL.
Poste le rapport de suppression de UsbFix
Pour ATF, bizarre c'est juste un nettoyeur de fichiers temporaires.
Kaspersky ne génère pas spontanément de rapport, c'était à toi d'en faire un comme indiqué dans le tutoriel.
De toute façon ces alertes cachent certainement une activité de rootkits.
Je reviens avec la procédure adéquate dés que possible, A+

madoks · Answer

ok!
merci kalimusic pour ton aide.
pour ce qui est du probleme de [/ ccm] meme apres redemarage du pc j'en etais au meme niveau , mais apres avoir effacer l'historique firefox tout est revenu dans l'ordre.
j'ai une copie de ma premiere cle usb que j'ai recupere aujourd'hui que je voudrais faire aussi analyser..
pour kapersky j'ai suivi a la lettre le tuto mais le rapport etait vide
(j'ai laissé le scan pendant la nuit)
et au matin ds la section rapport il n'y avai rien.
voila merci de m'indiquer la marche a suivre, meme si tout fonctionne correctement je ne veux pas avoir de fichier infectieux qui pourrais emdomager les dde et cle usb des autres sans le savoir.
merci de m'indiquer la marche a suivre.

en attendant voici le rapport usb fix:

############################## | UsbFix 7.011 | [Suppression]

Utilisateur: madoks (Administrateur) # KESAPEUTFOUTRE [ ]
Mis à jour le 17/06/2010 par El Desaparecido / C_XX
Lancé à 23:55:13 | 17/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
CPU 2: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 2814 Mo 
C:\ (%systemdrive%) -> Disque fixe # 117 Go (51 Go libre(s) - 43%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 932 Go (887 Go libre(s) - 95%) [Elements] # NTFS
I:\ -> CD-ROM
J:\ -> Disque fixe # 117 Go (114 Go libre(s) - 97%) [] # NTFS
K:\ -> Disque fixe # 227 Go (91 Go libre(s) - 40%) [] # NTFS
L:\ -> CD-ROM
M:\ -> CD-ROM

################## | Éléments infectieux |

Supprimé! E:\Autorun.inf
Supprimé! C:\Recycler\S-1-5-21-1275210071-1965331169-725345543-1003
Supprimé! E:\Recycler\S-1-5-21-1275210071-1965331169-725345543-1003
Supprimé! J:\Recycler\S-1-5-21-1275210071-1965331169-725345543-1003
Supprimé! K:\Recycler\S-1-5-21-1275210071-1965331169-725345543-1003

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[14/06/2010 - 12:37:09 | A | 2326] 	C:\Ad-Report-CLEAN[1].txt
[14/06/2010 - 12:33:29 | A | 2155] 	C:\Ad-Report-SCAN[1].txt
[30/10/2009 - 23:00:23 | A | 0] 	C:\AUTOEXEC.BAT
[14/06/2010 - 15:04:21 | RASHD ] 	C:\Autorun.inf
[06/11/2009 - 16:44:25 | SH | 209] 	C:\boot.ini
[10/08/2004 - 14:00:00 | RASH | 4952] 	C:\Bootfont.bin
[30/10/2009 - 23:00:23 | A | 0] 	C:\CONFIG.SYS
[01/11/2009 - 18:41:30 | D ] 	C:\DELL
[13/03/2010 - 18:05:25 | D ] 	C:\Documents and Settings
[03/11/2009 - 19:10:38 | SHD ] 	C:\found.000
[16/06/2010 - 14:44:38 | SHD ] 	C:\found.001
[16/06/2010 - 22:37:00 | ASH | 2950610944] 	C:\hiberfil.sys
[01/11/2009 - 22:20:56 | D ] 	C:\Intel
[30/10/2009 - 23:00:23 | RASH | 0] 	C:\IO.SYS
[17/06/2010 - 19:31:53 | A | 7481] 	C:\JavaRa.log
[30/10/2009 - 23:00:23 | RASH | 0] 	C:\MSDOS.SYS
[10/08/2004 - 14:00:00 | RASH | 47564] 	C:\NTDETECT.COM
[02/11/2009 - 18:15:35 | RASH | 252240] 	C:
tldr
[01/11/2009 - 21:56:44 | D ] 	C:\NVIDIA
[16/06/2010 - 22:36:56 | ASH | 2145386496] 	C:\pagefile.sys
[17/06/2010 - 23:19:36 | RD ] 	C:\Program Files
[05/05/2010 - 19:10:47 | D ] 	C:\ProgramData
[17/06/2010 - 23:55:37 | SHD ] 	C:\RECYCLER
[30/10/2009 - 23:06:10 | SHD ] 	C:\System Volume Information
[16/06/2010 - 22:45:19 | A | 28] 	C:\TCleaner.txt
[17/06/2010 - 23:56:03 | D ] 	C:\UsbFix
[17/06/2010 - 23:56:03 | A | 1332] 	C:\UsbFix.txt
[14/06/2010 - 15:04:23 | A | 583902] 	C:\UsbFix_Upload_Me_KESAPEUTFOUTRE.zip
[16/06/2010 - 22:46:05 | D ] 	C:\WINDOWS
[08/06/2010 - 20:06:13 | D ] 	C:\µtorrent temp
[08/06/2010 - 20:06:13 | D ] 	C:\µtorrentdownload
[04/11/2009 - 00:01:51 | D ] 	C:\µtorrenttemp
[11/02/2010 - 08:31:49 | RHD ] 	E:\autorun
[01/06/2010 - 19:57:21 | D ] 	E:\documentaires
[01/06/2010 - 19:17:09 | D ] 	E:\films
[16/06/2010 - 23:08:49 | D ] 	E:\images
[17/06/2010 - 23:55:37 | SHD ] 	E:\RECYCLER
[01/06/2010 - 18:41:28 | D ] 	E:\series
[01/06/2010 - 18:41:19 | SHD ] 	E:\System Volume Information
[12/12/2009 - 13:13:43 | RD ] 	I:\VIDEO_TS
[12/12/2009 - 13:13:43 | RD ] 	I:\AUDIO_TS
[14/06/2010 - 15:04:21 | RASHD ] 	J:\Autorun.inf
[10/11/2008 - 11:54:24 | A | 2047] 	J:\obsidian-dawn-tou.txt
[04/11/2009 - 03:14:03 | D ] 	J:\PhotoShop10
[12/05/2010 - 23:27:45 | D ] 	J:\Program Files
[17/06/2010 - 23:55:37 | SHD ] 	J:\RECYCLER
[10/11/2008 - 13:03:32 | A | 1403322] 	J:\SS-jigsaw.abr
[31/10/2009 - 14:14:05 | SHD ] 	J:\System Volume Information
[06/05/2010 - 22:36:31 | D ] 	J:\Téléchargement
[03/12/2009 - 23:22:24 | D ] 	K:\38701ce7da238ec7d3
[07/02/2010 - 18:28:28 | D ] 	K:\Alcohol 120%
[14/06/2010 - 15:04:21 | RASHD ] 	K:\Autorun.inf
[03/12/2009 - 23:21:54 | D ] 	K:\ba0f70c2ec8b3fdbbb1987
[14/06/2010 - 11:57:55 | A | 127794] 	K:\cc_20100614_115736.reg
[26/11/2005 - 12:33:38 | A | 53008] 	K:\Cloister Black BT.ttf
[26/11/2005 - 12:34:30 | A | 113408] 	K:\Cloister Black Light.ttf
[29/01/2010 - 19:54:52 | A | 19] 	K:\code.txt
[03/02/2010 - 23:56:02 | D ] 	K:\de44c1d006952e675e7b4173d33fb0
[02/11/2009 - 01:16:47 | ASH | 78] 	K:\desktop.ini
[05/05/2010 - 19:10:43 | D ] 	K:\Electronic Arts
[16/11/2009 - 21:14:55 | A | 45] 	K:\EMBI.txt
[18/03/2010 - 19:43:16 | D ] 	K:\faustine
[03/02/2010 - 22:41:07 | A | 164] 	K:\lien appart.txt
[11/02/2010 - 22:11:12 | A | 507] 	K:\liens.txt
[02/02/2010 - 00:21:56 | A | 31428] 	K:\lireFacturePDF.pdf
[27/02/2010 - 21:34:36 | RD ] 	K:\Ma musique
[10/02/2010 - 23:35:43 | D ] 	K:\Media Go
[23/05/2010 - 20:04:07 | D ] 	K:\Mes fichiers reçus
[16/06/2010 - 23:01:10 | RD ] 	K:\Mes images
[08/05/2010 - 10:20:29 | RD ] 	K:\Mes vidéos
[10/02/2010 - 23:35:43 | D ] 	K:\My Podcasts
[26/11/2005 - 12:35:24 | A | 49388] 	K:\Old English Five.ttf
[26/11/2005 - 12:35:58 | A | 50244] 	K:\Old London.ttf
[17/06/2010 - 23:55:37 | SHD ] 	K:\RECYCLER
[03/06/2010 - 20:15:45 | D ] 	K:\SimCity 4
[31/10/2009 - 14:14:05 | SHD ] 	K:\System Volume Information
[17/06/2010 - 23:31:51 | D ] 	K:\Téléchargements
[06/05/2010 - 22:27:12 | D ] 	K:\WideStream

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
J:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
K:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_KESAPEUTFOUTRE.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |

gen-hackman · Answer

bonsoir :

j'aimerais analyser quelques points sensibles de ce pc tout d'abord :

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge List_Kill'em

 et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer Shortcut
&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus. 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse.

madoks · Answer

firefox me dit :

La connexion a été réinitialisée
etc....

donc je ne peux pas poster le rapport

gen-hackman · Answer

poste-le ici en 3 fois :)

madoks · Answer

pour la troisieme partie du rapport ccm me dit:

(syntax error)

gen-hackman · Answer

Il manque le fin du rapport.....

&#9654 Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'option Remove KEY

un document texte va s'ouvrir à l'apparition de : Text Please

&#9654copie/colle le texte en gras ci-dessous :

"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Kkejabihebajog"  

ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes

Laisse travailler l'outil 

à la fin un rapport s'ouvre ,

&#9654 poste le resultat

ensuite :

&#9654 Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'option Manual delete

un document texte va s'ouvrir à l'apparition de : Text Please

&#9654copie/colle le texte en gras ci-dessous :

C:\WINDOWS\statdrfg.dll  

ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes

Laisse travailler l'outil 

à la fin un rapport s'ouvre ,

&#9654 poste le resultat

ensuite :

&#9654 Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'option ADD Key

un document texte va s'ouvrir à l'apparition de : Text Please

&#9654copie/colle le texte en gras ci-dessous :

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer" /v "NoDriveTypeAutoRun" /t REG_DWORD  /d 145
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer" /v "NoDriveTypeAutoRun" /t REG_DWORD  /d 145

ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes

Laisse travailler l'outil 

à la fin un rapport s'ouvre ,

&#9654 poste le resultat

ensuite :

Poste la fin du rapport

gen-hackman · Answer

reessaie sur https://www.cjoint.com/ 
?G3?-?@¢??@?(TM)©®?

madoks · Answer

ca fonctionne pas :(

gen-hackman · Answer

clic droit dessus / envoyer vers / dossiers compressés , puis essaie d'envoyer l'archive au format .zip créée

madoks · Answer

enfin!!
je me demande pourquoi ca marche pas

https://www.cjoint.com/?gtmXgmMHZg

gen-hackman · Answer

ok je regarde ca fais les trois operations demandées plus haut

madoks · Answer

le rapport:

¤¤¤¤¤¤¤¤¤¤ Key : 
 
Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Kkejabihebajog"

madoks · Answer

rapport pour manuel delete:

¤¤¤¤¤¤¤¤¤¤ File | Folder  
 
Quarantined & Deleted !! : C:\WINDOWS\statdrfg.dll

madoks · Answer

rapport add key:

¤¤¤¤¤¤¤¤¤¤ Keys :

gen-hackman · Answer

le dernier a ete effecté selon les instructions ??

madoks · Answer

oui, tu veux que je recommence?

gen-hackman · Answer

non on va s'en occuper plus tard quand meme

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

madoks · Answer

re,  
une pub est apparu a l'ouverture de firefox,  
voici le rapport:  
(toujours le meme probleme avec ci joint)  

http://www.cijoint.fr/cjlink.php?file=cj201006/cijaqXeEsP.zip 

je dois desactiver java script pour pouvoir poster sur ccm je ne comprend pas pourquoi..

ah et aussi j'ai eu un message d'erreur au demarrage:

erreur de chargement
C:\WINDOWS\statdrfg.dll 
le module specifié est introuvable

gen-hackman · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur ▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil: https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Avant d'utiliser ComboFix : ________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

madoks · Answer

voici le rapport combofix (apres pas mal de galere): 

http://www.cijoint.fr/cjlink.php?file=cj201006/cijRvduzw3.txt

si j'ai posté sur ci joint c'est que je n'ai pas reussi a poster sur ccm.

gen-hackman · Answer

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:Files
c:\documents and settings\All Users\Application Data\rkfree
c:\program files\rkfree
c:\windows\eReg.dat
c:\documents and settings\All Users\Application Data\rkfree

:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

madoks · Answer

le rapport otl: 

All processes killed 
========== PROCESSES ========== 
Process explorer.exe killed successfully! 
No active process named iexplore.exe was found! 
Process firefox.exe killed successfully! 
No active process named msnmsgr.exe was found! 
No active process named Teatimer.exe was found! 
========== FILES ========== 
c:\documents and settings\All Users\Application Data\rkfree\maps folder moved successfully. 
c:\documents and settings\All Users\Application Data\rkfree\data\madoks folder moved successfully. 
c:\documents and settings\All Users\Application Data\rkfree\data folder moved successfully. 
c:\documents and settings\All Users\Application Data\rkfree folder moved successfully. 
c:\program files\rkfree folder moved successfully. 
c:\windows\eReg.dat moved successfully. 
File\Folder c:\documents and settings\All Users\Application Data\rkfree not found. 
========== COMMANDS ========== 
  
[EMPTYTEMP] 
  
User: All Users 
  
User: clement 
->Temp folder emptied: 0 bytes 
->Temporary Internet Files folder emptied: 0 bytes 
->Flash cache emptied: 0 bytes 
  
User: Default User 
->Temp folder emptied: 0 bytes 
->Temporary Internet Files folder emptied: 0 bytes 
->Flash cache emptied: 0 bytes 
  
User: faustine 
->Temp folder emptied: 0 bytes 
->Temporary Internet Files folder emptied: 0 bytes 
->Java cache emptied: 0 bytes 
  
User: gilles 
->Temp folder emptied: 0 bytes 
->Temporary Internet Files folder emptied: 0 bytes 
->Flash cache emptied: 0 bytes 
  
User: LocalService 
->Temp folder emptied: 0 bytes 
->Temporary Internet Files folder emptied: 32835 bytes 
  
User: madoks 
->Temp folder emptied: 94389 bytes 
->Temporary Internet Files folder emptied: 819226 bytes 
->Java cache emptied: 1517755 bytes 
->FireFox cache emptied: 96044736 bytes 
->Flash cache emptied: 4585 bytes 
  
User: NetworkService 
->Temp folder emptied: 0 bytes 
->Temporary Internet Files folder emptied: 67 bytes 
->Flash cache emptied: 1023 bytes 
  
%systemdrive% .tmp files removed: 0 bytes 
%systemroot% .tmp files removed: 0 bytes 
%systemroot%\System32 .tmp files removed: 0 bytes 
%systemroot%\System32\dllcache .tmp files removed: 0 bytes 
%systemroot%\System32\drivers .tmp files removed: 0 bytes 
Windows Temp folder emptied: 0 bytes 
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes 
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes 
RecycleBin emptied: 112468 bytes 
  
Total Files Cleaned = 94,00 mb 
  
  
OTL by OldTimer - Version 3.2.6.0 log created on 06192010_191505 

Files\Folders moved on Reboot... 

Registry entries deleted on Reboot...

(reaction bizarre de msn)

gen-hackman · Answer

il y a un souci de suppression

supprime tout ce qui concerne OTL , les txt sur ton bureau et dans C:\ puis relance un scan et fournis les rapports ^^

madoks · Answer

quel type de scan? standard minimal?
et bizarrement je ne trouve plus aucun rapport otl meme celui que je viens de poster

madoks · Answer

je te poste un scan en mode standard, en esperant que c'etait ca que tu voulais:

extras:

http://www.cijoint.fr/cjlink.php?file=cj201006/cijA16G6ZQ.txt

OTL:

http://www.cijoint.fr/cjlink.php?file=cj201006/cijazr2fCF.txt

gen-hackman · Answer

le OTL n est pas entier

madoks · Answer

j'ai poster ma reponse vers 23h50
malheureusement elle ne vous est pas parvenu.
le rapport est tel quel je l'ai eu.

madoks · Answer

dites moi ce qui manque.   
   
A+

gen-hackman · Answer

un petit coup de ca pour voir si tout est ok :


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



&#9654 Télécharge :

Malwarebytes  

ou  :

Malwarebytes

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

madoks · Answer

salut, 
il a eu des alertes antivir pendant le scan,

voici le rapport:

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3081
Windows 5.1.2600 Service Pack 3

21/06/2010 11:46:29
mbam-log-2010-06-21 (11-46-29).txt

Type de recherche: Examen complet (C:\|E:\|J:\|K:\|N:\|)
Eléments examinés: 220080
Temps écoulé: 48 minute(s), 19 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\_OTL\MovedFiles\06192010_191505\c_program files\rkfree\rkfree.exe (Keylogger.Logixoft) -> Quarantined and deleted successfully.

gen-hackman · Answer

salut encore des soucis ?

madoks · Answer

non aucun.

gen-hackman · Answer

Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace ▶---> Télécharge ToolsCleaner2sur ton Bureau. * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer. * Clique sur Recherche et laisse le scan agir. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options Facultatives. * Clique sur Quitter pour obtenir le rapport. * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). ___________________________________________________ ▶ Tu peux supprimer ToolCleaner ___________________________________________________ ▶ Télécharge :ATF Cleaner par Atribune Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ ▶ Tu peux garder ATF pour d'eventuels netttoyages un peu plus poussés __________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ si tu as installé Antivir : Configuration ________________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

madoks · Answer

rapport tools cleaner:
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Qoobox: trouvé !
C:\UsbFix: trouvé !
C:\Program Files\List_Kill'em\catchme.exe: trouvé !
C:\Program Files\List_Kill'em\mbr.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\UsbFix\UsbFix.exe: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files\List_Kill'em\catchme.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Program Files\List_Kill'em\mbr.exe: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\UsbFix\UsbFix.exe: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\UsbFix: supprimé !

gen-hackman · Answer

supprime tout ce qui a un rapport avec combofix , si présents

desinstalle list_kill'em

madoks · Answer

salut,
ca y est j'ai fais toutes les etapes, au passage les articles que tu as postés sont tres interessants, je vous remercie vous et kallimusic pour l'aide que vous m'avez apportez.

bonne continuation.
A+

gen-hackman · Answer

bone suite :)

kalimusic · Answer

Salut,

Bonne continuation madoks, merci du retour

@gen-hackman : good job ;-)

gen-hackman · Answer

:)

Pubs qui ouvrent internet explorer

76 réponses

Discussions similaires

Newsletters