Virus Police Nationale ! Détruit ou Pas ??Résolu/Fermé

Question

Bonjour, 

Il y a quelques jours, mon pc (toshiba satellite M60 188 sous XP SP3) a été infecté par un virus. "Police Nationale etc...).  Une page c'est affichée, me demandant de payer une amende, etc... Enfin bref, après avoir fait ctrl alt sup plusieurs fois j'ai comme par magie repris le contrôle de mon bureau. Mon antivirus (avast en l'occurrence) avait disparu. Je l'ai téléchargé de nouveau, je lui ai fait faire u scan. Rien, aucun virus détecté ???, mise à par de nombreux fichiers ou dossiers qu'il n'a pas put contrôler car protégés par un mot de passe (première fois qu'un scan d'avast me dit ça). J'ai laissé ma machine de coté pendant deux ou trois jours, puis, ce matin, je l'allume, pas de message anormal, avast met à jour sa base des données virale VPS. J'en profite pour faire un nouveau scan, là avast detecte un virus, que je lui ai demandé de détruire et toujours de nombreux fichiers ou dossiers qu'il ne peut pas tester pour les mêmes raisons qu'au dernier scan.

Voici le virus trouvé
https://www.cjoint.com/?3CirGunuEUp


voici les fichiers non scannés
https://www.cjoint.com/?3CirKSDOILB

Enfin voici mes questions:
- le virus détecté est t'il le bon ou est ce un autre virus sachant que je fais régulièrement des scans et toujours sans virus détectés
- les fichiers et/ou dossiers bloqués par un mot de passe sont t'ils des "virus".

dsl d'avoir floodé

Merci. 

Configuration: Windows XP / Firefox 10.0.23

dr.pc1 · Answer

Salut,

* Télécharge sur le bureau RogueKiller : ici

- Quitte tous les programmes en cours

- Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

- Sinon lance simplement RogueKiller.exe

- Lorsque demandé, clic sur Scan et valide.

- Puis clic sur Rapport et donne-le moi.

masashe · Answer

ok,

zadare · Answer

Bonjour masashe
j'ai eu celui de la gendarmerie jai fait la même manip que toi ,il y a qq jours par précaution j'ai fait une restauration en une date anterrieur puis lancer Malwarebyte +Ccleaner+ mon antivirus (avg/version payante) depuis trankillou plus de virus ni de page de chantage
Avast est bien mais  heu....un peu une passoire...;)

masashe · Answer

dsl pour l'attente mais j'ai galéré Voici le rapport RogueKiller V6.2.0 [12/12/2011] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: bb [Droits d'admin] Mode: Recherche -- Date : 08/03/2012 18:21:30 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 2 ¤¤¤ [SUSP PATH] HKLM\[...]\Run : Waiting1690 (C:\Windows\stid1690.exe) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ --- User --- [MBR] 66820ee8cf8794d3e31fb18ae986efff [BSP] 6ee52d432b7f53927130adad82ecdab3 : MBR Code unknown Partition table: 0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 79826 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt

masashe · Answer

zadare, je confirme, avast laisse à désirer, mais bon, il est gratos.

zadare · Answer

oui bien sur mais pas le meilleur des gratuits ;)

masashe · Answer

ok, je n'y connais pas grand chose. Quel antivirus serait meilleur?

dr.pc1 · Answer

Relance Roguekiller en mode Suppression :-)

masashe · Answer

ok, rapport 2 RogueKiller V6.2.0 [12/12/2011] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: bb [Droits d'admin] Mode: Suppression -- Date : 08/03/2012 18:42:48 ¤¤¤ Processus malicieux: 1 ¤¤¤ [SUSP PATH] Uninstall.exe -- C:\DOCUME~1\bb\LOCALS~1\Temp\1768125.Uninstall\Uninstall.exe -> KILLED [TermProc] ¤¤¤ Entrees de registre: 2 ¤¤¤ [SUSP PATH] HKLM\[...]\Run : Waiting1690 (C:\Windows\stid1690.exe) -> DELETED [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ --- User --- [MBR] 66820ee8cf8794d3e31fb18ae986efff [BSP] 6ee52d432b7f53927130adad82ecdab3 : MBR Code unknown Partition table: 0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 79826 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

dr.pc1 · Answer

ok =)

*Télécharge et installe Malwarebyte's Anti-Malware : ici

-Met la base de définition à jour

-Lance un scan complet (cela peut durer de quelques minutes à plusieurs heures )

A la fin du scan, clique sur le bouton en bas à gauche Supprimez Selection.

Et poste-moi le rapport dans ta prochaine réponse :-)

masashe · Answer

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2998
Windows 5.1.2600 Service Pack 2

20/10/2009 16:49:32
mbam-log-2009-10-20 (16-49-32).txt

Type de recherche: Examen rapide
Eléments examinés: 121018
Temps écoulé: 18 minute(s), 46 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)



Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2998
Windows 5.1.2600 Service Pack 3

04/12/2010 10:45:41
mbam-log-2010-12-04 (10-45-41).txt

Type de recherche: Examen rapide
Eléments examinés: 1
Temps écoulé: 3 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2998
Windows 5.1.2600 Service Pack 3

11/12/2011 19:55:05
mbam-log-2011-12-11 (19-55-05).txt

Type de recherche: Examen rapide
Eléments examinés: 1
Temps écoulé: 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)



Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2998
Windows 5.1.2600 Service Pack 3

11/12/2011 19:55:05
mbam-log-2011-12-11 (19-55-05).txt

Type de recherche: Examen rapide
Eléments examinés: 1
Temps écoulé: 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)





Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.08.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
bb :: BERNARD [administrateur]

Protection: Activé

08/03/2012 19:20:52
mbam-log-2012-03-08 (19-20-52).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 265532
Temps écoulé: 1 heure(s), 43 minute(s), 56 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 16
HKCR\CLSID\{25927741-5E5B-4D27-8D8B-9188FE64373F} (PUP.SearchYa) -> Aucune action effectuée.
HKCR\ironsource.searchyaHlpr.1 (PUP.SearchYa) -> Aucune action effectuée.
HKCR\ironsource.searchyaHlpr (PUP.SearchYa) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25927741-5E5B-4D27-8D8B-9188FE64373F} (PUP.SearchYa) -> Aucune action effectuée.
HKCR\CLSID\{33AA308B-B565-4376-AC66-59EE9B6AD13E} (PUP.SearchYa) -> Aucune action effectuée.
HKCR\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921} (PUP.SearchYa) -> Aucune action effectuée.
HKCR\ironsource.searchyadskBnd.1 (PUP.SearchYa) -> Aucune action effectuée.
HKCR\ironsource.searchyadskBnd (PUP.SearchYa) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{33AA308B-B565-4376-AC66-59EE9B6AD13E} (PUP.SearchYa) -> Aucune action effectuée.
HKCR\CLSID\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLabs) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{44444444-4444-4444-4444-440044224458} (Adware.GamePlayLabs) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{55555555-5555-5555-5555-550055225558} (Adware.GamePlayLabs) -> Mis en quarantaine et supprimé avec succès.
HKCR\CrossriderApp0002258.BHO.1 (Adware.GamePlayLabs) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLabs) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLabs) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\I Want This (Adware.GamePlayLabs) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{33AA308B-B565-4376-AC66-59EE9B6AD13E} (PUP.SearchYa) -> Données: SearchYa Toolbar -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{33AA308B-B565-4376-AC66-59EE9B6AD13E} (PUP.SearchYa) -> Données:  -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 5
C:\Documents and Settings\bb\Application Data\EoRezo (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\SoftwareUpdate (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 108
C:\Program Files\Ironsource\searchya\1.5.13.0\bh\searchya.dll (PUP.SearchYa) -> Aucune action effectuée.
C:\Program Files\Ironsource\searchya\1.5.13.0\searchyaTlbr.dll (PUP.SearchYa) -> Aucune action effectuée.
C:\Program Files\I Want This\I Want This.dll (Adware.GamePlayLabs) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\I Want This\I Want This.exe (Adware.GamePlayLabs) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\I Want This\I Want ThisGui.exe (Adware.GamePlayLabs) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\I Want This\Uninstall.exe (Adware.GamePlayLabs) -> Mis en quarantaine et supprimé avec succès.
C:\RECYCLER\S-1-5-21-1596716631-278271744-1050471821-1006\Dc5.exe (Adware.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{58F2378A-346C-49C9-9919-D1D804F5FDA0}\RP1344\A0227356.exe (Adware.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{58F2378A-346C-49C9-9919-D1D804F5FDA0}\RP1344\A0227544.exe (Adware.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Bureau\RK_Quarantine\Uninstall.exe.vir (Adware.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Local Settings\Temp\is1438683437\IWantThis_ROW.exe (Adware.GamePlayLabs) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Local Settings\Temp\1768125.Uninstall\Uninstall.exe (Adware.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\cache (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\cmhost.cyp (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\ConfMedia.cyp (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\host.cyp (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\user.cyp (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\background_1.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\earth.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\67_day.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\67_night.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\69_day.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\69_night.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\70_day.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\70_night.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\78_day.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\78_night.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\82_day.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\82_night.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\83_day.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\83_night.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\84_day.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\84_night.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\85_day.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\85_night.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\89_day.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\89_night.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\back.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\background.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\fonds_écran.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\help.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\helpPressed.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\minimise.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\minimisePressed.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic
ext.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic
extPressed.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\option.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\optionPressed.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classiceflet_ecran.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\small_background.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\Thumbs.db (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\background_1days.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\background_2days.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\background_7days.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\backPressed.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\band.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\band_small.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\close.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\closePressed.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\dayPrevisionBackground.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_classic\dayPrevisionClose.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\67_day.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\67_night.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\69_day.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\69_night.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\70_day.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\70_night.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\78_day.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\78_night.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\82_day.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\82_night.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\83_day.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\83_night.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\84_day.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\84_night.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\85_day.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\85_night.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\89_day.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\89_night.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\about.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\back.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\background.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\background_1.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\background_1days.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\background_2days.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\background_7days.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\backPressed.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\close.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\closePressed.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\dayPrevisionBackground.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\dayPrevisionClose.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\earth.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\fonds_écran.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\help.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\helpPressed.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\minimise.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\minimisePressed.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo
ext.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo
extPressed.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\option.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\optionPressed.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteoeflet_ecran.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo\Thumbs.db (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\EoWeather\images_station_meteo	xt_14x13.png (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\SoftwareUpdate\help_config.cyp (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\SoftwareUpdate\unins000.dat (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\SoftwareUpdate\user_config.cyp (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\bb\Application Data\EoRezo\SoftwareUpdate\user_profil.cyp (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.

(fin)







2012/03/08 19:18:57 +0100	BERNARD	bb	MESSAGE	Starting protection
2012/03/08 19:19:03 +0100	BERNARD	bb	MESSAGE	Protection started successfully
2012/03/08 19:19:06 +0100	BERNARD	bb	MESSAGE	Starting IP protection
2012/03/08 19:19:11 +0100	BERNARD	bb	MESSAGE	IP Protection started successfully
2012/03/08 19:19:11 +0100	BERNARD	bb	MESSAGE	Executing scheduled update:  Daily
2012/03/08 19:19:13 +0100	BERNARD	bb	MESSAGE	Database already up-to-date
2012/03/08 21:16:27 +0100	BERNARD	bb	MESSAGE	Starting protection
2012/03/08 21:16:45 +0100	BERNARD	bb	MESSAGE	Protection started successfully
2012/03/08 21:16:48 +0100	BERNARD	bb	MESSAGE	Starting IP protection
2012/03/08 21:16:53 +0100	BERNARD	bb	MESSAGE	IP Protection started successfully








bonne lecture !!!!!!!

dr.pc1 · Answer

Eh ben tu es bien infecté ^^

Telecharge et enregistre Pre_Scan sur ton bureau : : 

ici

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://dl.dropbox.com/u/21363431/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://dl.dropbox.com/u/21363431/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne-moi le lien ;-)

masashe · Answer

avast m'empeche d'ouvrir ton lien pour telecharger pre_scan

masashe · Answer

avast bloque le premier et le deuxieme lien, j'ai utilisé le troisieme, avast m'a mis en garde, j'ai ignore, j'ai lance pre_scan, tous les icon du bureau se sont effacé, reste le fod d'ecran et une fenetre ou il y a ecrit

pre_scan /  G3n-h@ckm@n (ne repond pas)
reparation registre


plus rien ne bouge, ordi bugué.
Je me suis connecté sur le forum avec un autre ordi.
Que faire?

masashe · Answer

je suis toujours sur un autre ordi, j'ai essayer tes trois lien et une fois pre_scan telechargé, je le lance, toujours la meme fenetre s'ouvre

pre_scan / G3n-h@ckm@n (ne repond pas) 
reparation registre 


je ne sais plus quoi faire

masashe · Answer

bon, résumé:  en  éteignant l'ordi avec le bouton de mise sous tension, celui-ci redémarre. J'ai télécharger pre_scan avec tes trois liens et à  chaque fois, je lance le scan et les trois fois je tombe sur la même fenêtre

pre_scan / G3n-h@ckm@n (ne repond pas)
reparation / registre 

et puis plus rien ne se passe.
Je vais me coucher.
A demain j'espère.
Merci pour tout.

masashe · Answer

bonjour,
de retour frais et dispo pour reprendre la desinfection de mon ordi.

Ce matin j'ai essaye de nouveau pre-scan avec les trois versions mais toujours le meme probleme

pre_scan / G3n-h@ckm@n (ne repond pas)
reparation / registre 

le curseur d'evolution du scan reste inactif.

Je reste à ta dispo
merci

g3n-h@ckm@n · Answer

salut desactive la sandbox d'avast dans protections supplementaires , il devrait tourner

masashe · Answer

alors, j'ai désactivé toutes les protections d'avast y compris la sandbox, puis j'ai lancé les trois versions de pre-scan que ma donné dr.pc1 et les trois fois toujours la même fenêtre:

pre_scan / G3n-h@ckm@n (ne repond pas)
reparation / registre 

petite question au cas où:
dans le menu pre-scan c'est bien sur (   kill-lancer le scan  ) qu'il faut que je clic?

masashe · Answer

au cas où cela t'interresse, pre-scan a quand bien voulu faire un scan de systeme. Je te passe le lien au cas où


https://pjjoint.malekal.com/files.php?id=20120309_e13d12b6j13p14

g3n-h@ckm@n · Answer

non tu as un rapport dans C:\

masashe · Answer

c'est ça?

https://pjjoint.malekal.com/files.php?id=20120309_e13y9v15n15z15

dr.pc1 · Answer

Salut,

Désolé mais hier j'étais absent le reste de la soirée :-}

Merci G3n d'avoir pris la relève =)

g3n-h@ckm@n · Answer

pas de soucis....:)

======

non le nom du rapport a le nom de l outil : Pre_scan

masashe · Answer

salut dr.pc1

alors pre scan ne tourne pas avec aucune des versions que tu m'a donné

voila ce qui s'affiche

pre_scan / G3n-h@ckm@n (ne repond pas)
reparation / registre 


la barre d'evolution du scan reste inactive 

c'est bien sur kill-lancer le scan qu'il faut cliquer sur le menu?

g3n-h@ckm@n · Answer

avast est desactivé au moins ?

sinon tente en mode sans echec....

masashe · Answer

oui avast est desactivé, mais ok je vais essayer en mode sans echecs

masashe · Answer

alors, pre scan tourne bien en mode sans echecs, par contre, il bug au niveau du contrôle du MBR.
"erreur: read impossible de satisfaire à la demande en raison d'une erreur de périphérique d'E/S"

g3n-h@ckm@n · Answer

et ouais c est bien ce que je pensais tu dois avoir un rootkit derriere poste tout de meme C:\pre_scan.txt hébergé comme indiqué

masashe · Answer

ok

http://pjjoint.malekal.com/files.php?id=20120309_o10s9u9b6d13


bonne lecture

g3n-h@ckm@n · Answer

c'est ca qui fracasse ton systeme   

"RegistryBooster"="C:\Program Files\Uniblue\RegistryBooster\launcher.exe" delay 20000       
"DriverScanner"="C:\Program Files\Uniblue\DriverScanner\launcher.exe" delay 20000       

j'ai jamais vu un pc aussi pourri faut passer adwcleaner et combo 

¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤   
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

masashe · Answer

wahou, je m'y atèle.
ça vient de quoi? sachant que je possède ce pc depuis seulement quelques mois.
Il etait à mon père avant.
Je telecharge adwcleaner ainsi que combo et je les lance.
A+

g3n-h@ckm@n · Answer

quelques explications lol ^^ ▶ Télécharge Sur cette page : AdwCleaner (de Xplode) ▶ clique sur Télécharger et enregistre le fichier sur ton Bureau ▶ Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation ================================== ▶▶▶ Sous Vista et Windows 7 /!\ : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur ================================== Sur le menu principal : ▶ clique sur Suppression et patiente le temps de l'analyse ▶ poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre. ====== /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

masashe · Answer

aie, j'ai déjà télécharger adwcleaner ainsi que combofix.

- pour adwcleaner, voila les rapports

1 recherche:http://pjjoint.malekal.com/files.php?id=20120310_z10s11j11e8m11

2 suppression:http://pjjoint.malekal.com/files.php?id=20120310_m9d9j5n6s12

en ce qui concerne combofix, je l'ai deja telecharger sans le renomer.

J'ai lu avec attention le tuto, j'ai desactivé le parefeu, j'ai viré  avast ( je n'ai pas avg) mais je n'ai rien lu sur Les logiciels d'émulation de CD comme Daemon Tools 

donc j'ai lancé combo, mais il a planté au niveau de la recherche de fichier. Il est reste sur cette fenetre au moins une demi heure sans que mon ordi ne travail. , et quand j'ai voulu te contacter, je suis tombé sur ta derniere reponse me mettant en garde.

J'espere ne rien avoir niqué. Je n'ai pas le cd de d'xp 

en attendant de tes nouvelles je m'occupe de defogger
A+

g3n-h@ckm@n · Answer

defogger je ne pense pas que ca soit utile en fait , sinon pre_scan l'aurait installé

relance plutot combo en mode sans echec

masashe · Answer

ok, je relance combo en mode sans echecs mais j(ai deja lance defogger

masashe · Answer

combo plante toujours au niveau de l'analyse, meme en mode sans echecs.
L'ordi ne travail plus (rien qui clignotte et plus aucun bruit)

masashe · Answer

j'ai posé ma reponse en me connectant sur un autre ordi,

g3n-h@ckm@n · Answer

il est renommé combofix ?

masashe · Answer

non, comment le renomer?

masashe · Answer

ok, c'est bon, ma question etait idiote

masashe · Answer

je viens de le renomer, je le relance en mode sans echecs

masashe · Answer

je l'ai renomé en "marc.exe", lancé en mode sans echecs mais il plante toujours au meme endroit

g3n-h@ckm@n · Answer

la sandbox s'est pas reactivée des fois ?

=======

relance pre_scan , choisis "Tools" puis "TDSSKiller"

=======

l'outil va telecharger la derniere version directement chez kaspersky

L'écran de TDSSKiller s'affiche:

Illustration

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

Illustration

&#9654 Et coche les 2 options supplémentaires:

Illustration

&#9654 Clique sur Start scan pour lancer l'analyse.

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

En général, laisse les options proposées par défaut par l'outil

l'option "delete" (effacer) est bien cochée pour la famille TDL2
l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe
l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)
l'option "cure" (réparer ) pour la famille TDL3.
l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).
l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

&#9654 puis clique sur Continue.

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

Illustration

En fin d'analyse il peut être demandé de relancer la machine:

&#9654 clique sur Reboot Now.

&#9654 Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.
&#9654 Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:
SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

masashe · Answer

ok, j'y vais, mais non la sandbox n'est pas active

masashe · Answer

Je ne comprends pas 

 l'option "delete" (effacer) est bien cochée pour la famille TDL2
l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe
l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)
l'option "cure" (réparer ) pour la famille TDL3.
l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).
l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess 


 les fichiers détectes sont du type: 

26 fichiers
file: C:\windows\system32\drivers\xxxxxx.sys
MD5:   chiffre et lettre aléatoire 

9 fichiers
file: C:\windows\system32\dla\xxxxxx.sys
MD5:   chiffre et lettre aléatoire 

je les détruit ou je les répare?

g3n-h@ckm@n · Answer

Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

masashe · Answer

je ne comprends pas

masashe · Answer

ne sachant pas quoi faire, je les ai tous mis en quarantaine car je pense que je devrais les supprimer mais bon, dans le doute.

Voici le rapport:

https://pjjoint.malekal.com/files.php?id=20120310_y15l9w11n14v7


merci pour ta patience.
Je vais me pieuter.
A+

masashe · Answer

Slt h@km@n, je fais beaucoup d'effort pour comprendre, mais dsl j

1-  famille  tdl2,  j'en ai ou pas je ne sais pas

2 - chiffre aleatoire.exe: ça je n' en ai pas vu

3 de la forme chiffre et/ou lettre aleatoire: Je pense que c'est cette famille que 

j'ai mais les fichiers finissent tous par .sys et ce qui est aleatoire c'est le MD5 et 

la c'est ça que je ne comprends pas (MD5)

et dans ton prog il n' y a pas l'obtion "cure" il y a skip, delete, quarantaine de memoire.

masashe · Answer

c'est grave doc :( de les avoir mis en quarantaine?

g3n-h@ckm@n · Answer

bah si y avait pas cure c est qu il n'y avait pas d infection....poste le rapport tout de meme ?

masashe · Answer

voici le rapport



https://pjjoint.malekal.com/files.php?id=20120310_y15l9w11n14v7

g3n-h@ckm@n · Answer

bizarre cette histoire....

refais un passage en mode sans echec avec puis poste le rapport....

masashe · Answer

ok

masashe · Answer

bon, en mode sans echecs pre-scan n'arrive pas a telecharger tdsskiller donc   

windows me dit "C:\pre-scan	dsskiller.exe  fichier introuvable"  

question : tdsskiller se desinstalle à la fermeture?

donc je l'ai relancer en mode normal et j'ai laissé coché "skip" pour tous pour ne   

pas agraver mon cas. Quitte à devoir le relancer quand tu me dira quoi faire.  

Je t'envois le rapport  

https://pjjoint.malekal.com/files.php?id=20120310_n12c10k14o9m14

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\WINDOWS\system32\Drivers\SSIoMngr.sys

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

masashe · Answer

Voici le lien  
https://www.virustotal.com/gui/file/ec9720755dba9710fdd3f100eb999eaec73d370cfa32a4e81779c6bacf834fc2 


https://www.virustotal.com/gui/file/ec9720755dba9710fdd3f100eb999eaec73d370cfa32a4e81779c6bacf834fc2

g3n-h@ckm@n · Answer

ok quels soucis reste-t-il ?

masashe · Answer

je ne sais pas, c'est à toi de me le dire.

Suis-je encore infesté de virus.

Si négatif, le seul soucis que j'ai c'est que tu m'as donné une bonne leçon d'humilité :).

g3n-h@ckm@n · Answer

hello Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace __________________________________________________ La plupart des infections proviennent de programmes tierces non à jour, la plupart du temps couplé à une utilisation dangereuse d'internet. WIGI est un programme permettant de voir son historique (FF / IE), et permettant de scanner ses plugins pour rechercher ceux qui sont périmés. * Télécharge WIGI sur le bureau: http://www.geekstogo.com/forum/files/file/413-roguekiller/Tools/WhyIGotInfected.exe * Lance WhyIGotInfected.exe * Dans l'onget "Plugins", clique sur "Scan". Puis sur "Report". Ferme le rapport. * Si des lignes apparaissent en rouge, c'est que le plugin est périmé. Dans ce cas, double clique sur la ligne en question, télécharge et installe le plugin (site officiel) * Lorsque tous les plugins périmés sont mis à jour, recliquer sur "Scan". Puis sur "Report". * Copie colle Les contenus des 2 rapports (situés sur le bureau, WIGIReport[x].txt) dans ta prochaine réponse __________________________________________________ Si nous avons utilisé Defogger et cliqué sur "disable" , tu peux le "reenable" __________________________________________________ ▶ Télécharge DelFix sur ton bureau. ▶ Lance le, tape suppression puis valide Patiente pendant le scan jusqu'à l'ouverture du rapport. ▶ Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt tu peux le desinstaller ___________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista/7) * Lance-le.(clic droit "en tant qu'administrateur" pour Vista/7) => Configure-le comme ceci : CCleaner 1 CCleaner 2 Suivant les applications que tu as CCleaner 3 CCleaner 4 fais le nettoyage dans le registre et dans le nettoyeur autant de fois qu'il trouve des choses à l analyse __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est. desinstalle les anciennes versions : voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Ferme l'application. Note : tu peux supprimer son rapport dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) et pense à decocher l'installation de McAfee proposée discrêtement ___________________________________________________ ▶ Je te conseille si tu n en as pas ,si tu as des connaissances dans les ouvertures de ports et connections entrantes/sortantes , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista Lien Win7 ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système à lire aussi Et ceci sujets intéressants à lire : https://www.luanagames.com/index.fr.html https://forum.malekal.com/viewtopic.php?t=13629&start= https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite il ne faut jamais accepter l'installation de toobars, adwares, moteurs de recherches lorsqu'on installe un logiciel gratuit. Ceux-ci corrompent les navigateurs et dirigent les recherches sur des sites publicitaires, malveillants etc et affichent des pubs intempestives. Il ne faut jamais télécharger le logiciel à partir des pubs sur les pages web, ne jamais cliquer sur les liens genre "boostez votre pc" ou "avant de télécharger le logiciel, faites un balayage rapide blabla", et éviter les sites de vidéos/séries en streaming dont les vidéos sont parfois piégées par des malwares sous la forme de modules complémentaires à installer pour voir la vidéo. ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

masashe · Answer

wigireport(0) WhyIGotInfected v1.5.1(by Tigzy) ******************************** Run : 12/03/2012 09:27:23 [Normal Mode] Machine : BERNARD (1 CPUs) [bb : ADMIN] OS: Microsoft Windows XP Édition familiale Service Pack 3 ~~ Plugins check: ~~ UPTODATE [Microsoft Windows XP Édition familiale] Current : Service Pack 3 -- Latest : Service Pack 3 UPTODATE [Firefox] Current : 10.0.2 -- Latest : 10.0.2 OUTDATED [Internet Explorer] Current : 8.0.6001.18702 -- Latest : 9.0.8112.16421 UPTODATE [Java] Current : 1.6.0_31 -- Latest : 1.6.0_31 UPTODATE [Adobe Reader] Current : 10 -- Latest : 10 OUTDATED [Adobe Flash] Current : 10.0.32.18 -- Latest : 11.1.102.63 UPTODATE [Adobe Flash FF Plugin] Current : 11.1.102.63 -- Latest : 11.1.102.63 Finished WIGIReport[0].txt wigireport(1) WhyIGotInfected v1.5.1(by Tigzy) ******************************** Run : 12/03/2012 09:49:00 [Normal Mode] Machine : BERNARD (1 CPUs) [bb : ADMIN] OS: Microsoft Windows XP Édition familiale Service Pack 3 ~~ Plugins check: ~~ UPTODATE [Microsoft Windows XP Édition familiale] Current : Service Pack 3 -- Latest : Service Pack 3 UPTODATE [Firefox] Current : 10.0.2 -- Latest : 10.0.2 OUTDATED [Internet Explorer] Current : 8.0.6001.18702 -- Latest : 9.0.8112.16421 UPTODATE [Java] Current : 1.6.0_31 -- Latest : 1.6.0_31 UPTODATE [Adobe Reader] Current : 10 -- Latest : 10 UPTODATE [Adobe Flash] Current : 11.1.102.63 -- Latest : 11.1.102.63 UPTODATE [Adobe Flash ActiveX] Current : 11.1.102.63 -- Latest : 11.1.102.63 UPTODATE [Adobe Flash FF Plugin] Current : 11.1.102.63 -- Latest : 11.1.102.63 Finished WIGIReport[0].txt ; WIGIReport[1].txt AVEC XP SP3 JE NE PEUX PAS TELECHARGER internet explorer 9 rapport de delfix: # DelFix v8.8 - Rapport créé le 12/03/2012 à 09:57:24 # Mis à jour le 12/02/12 par Xplode # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits) # Nom d'utilisateur : bb - BERNARD (Administrateur) # Exécuté depuis : C:\Documents and Settings\bb\Mes documents\Téléchargements\delfix.exe # Option [Suppression] ~~~~~~ Dossiers(s) ~~~~~~ Supprimé : C:\Qoobox Supprimé : C:\Documents and Settings\bb\Bureau\RK_Quarantine ~~~~~~ Fichier(s) ~~~~~~ Supprimé : C:\DOCUME~1\bb\Bureau\MARCEX~1.EXE <-- Combofix Supprimé : C:\AdwCleaner[R1].txt Supprimé : C:\AdwCleaner[S1].txt Supprimé : C:\Documents and Settings\bb\Bureau\adwcleaner.exe Supprimé : C:\Documents and Settings\bb\Bureau\AdwCleaner[R1].txt Supprimé : C:\Documents and Settings\bb\Bureau\AdwCleaner[S1].txt Supprimé : C:\Documents and Settings\bb\Bureau\Defogger.exe Supprimé : C:\Documents and Settings\bb\Bureau\defogger_disable.log Supprimé : C:\Documents and Settings\bb\Bureau\defogger_enable.log Supprimé : C:\Documents and Settings\bb\Bureau\Pre_scan.exe Supprimé : C:\Documents and Settings\bb\Bureau\Pre_Scan.pif Supprimé : C:\Documents and Settings\bb\Bureau\Pre_Scan_Sysverif_09_03_2012_08_55_17.txt Supprimé : C:\Documents and Settings\bb\Bureau\RKreport[1].txt Supprimé : C:\Documents and Settings\bb\Bureau\RKreport[2].txt Supprimé : C:\Documents and Settings\bb\Bureau\RogueKiller-6.2.0.exe Supprimé : C:\Documents and Settings\bb\Bureau\TDSSKiller.2.7.19.0_10.03.2012_03.28.46_log.txt Supprimé : C:\Documents and Settings\bb\Bureau\TDSSKiller.2.7.19.0_10.03.2012_13.20.12_log.txt Supprimé : C:\Documents and Settings\bb\Bureau\TDSSKiller.2.7.19.0_10.03.2012_13.34.25_log.txt Supprimé : C:\Documents and Settings\bb\Mes documents\Téléchargements\ComboFix.exe Supprimé : C:\Documents and Settings\bb\Mes documents\Téléchargements\WhyIGotInfected.exe Supprimé : C:\WINDOWS\grep.exe Supprimé : C:\WINDOWS\PEV.exe Supprimé : C:\WINDOWS\NIRCMD.exe Supprimé : C:\WINDOWS\MBR.exe Supprimé : C:\WINDOWS\SED.exe Supprimé : C:\WINDOWS\SWREG.exe Supprimé : C:\WINDOWS\SWSC.exe Supprimé : C:\WINDOWS\SWXCACLS.exe DELFIX N'A PAS DESINSTALLE : sur mon bureau: winlogon.exe sur C:\: marc.exe (c'est comme ça que j'avais renommé combo) je te joint une image de C:\ pour que tu vois ce que delfix n'a pas désinstallé. https://www.cjoint.com/?3CmkwzgInJ0 DANS MA REPONSE N° 49, JE TE DISAIS QUE J'AVAIS MIS LES FICHIERS DETECTES PAR TDSSKILLER EN QUARANTAINE. DONC J'AI UN DOSSIER TDSSKILLER_QUARANTAINE SUR C:\. QUI CONTIENT CES FAMEUX FICHIERS. QUE DOIS-JE FAIRE ? VU QUE CES FICHIERS N'ONT PAS L'AIR D'ETRE INFESTES, JE SUPPOSE QUE MAINTENANT ILS NE SONT PLUS A LEURS PLACE!!! A PART CA JE TE REMERCIE POUR TOUT. JE M OCCUPE DU RESTE DU TUTO. J ATTENDS TA REPONSE. ENCORE MERCI. A+

g3n-h@ckm@n · Answer

re 

vire tout  

le dossier pre_scan dans C:\aussi
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Virus Police Nationale ! Détruit ou Pas ??

63 réponses

Discussions similaires

Newsletters