Signaler

Virus divers XP SP3 [Résolu]

Posez votre question Pierrecastor 30330Messages postés mercredi 5 novembre 2003Date d'inscription ModérateurStatut 20 juin 2017 Dernière intervention - Dernière réponse le 19 juin 2017 à 18:12 par Pierrecastor
Salut

Je dépanne le PC d'une copine qui se trouve avoir des virus. Avira me lance des alertes sur C:\windows\systeme32\MyOSProtect.dll qui contiendrais le schéma de ADWARE/Loadshop.leoxa

J'ai aussi un vieux machin que j'avais au début de XP avant le SP1 et qui lance une fenêtre annonçant une extinction du PC en 1 minute. J'ai viré l'accès à internet et il ne se lance plus pour l'instant. Ça ne me rajeunie pas, ce virus.


D'ailleurs, j'arrivais à me connecter au WIFI, mais aucun accès au net ni à a box.

https://pjjoint.malekal.com/files.php?id=20170619_g10k8i13r5s14
https://pjjoint.malekal.com/files.php?id=FRST_20170619_o7j6q14y5s12
https://pjjoint.malekal.com/files.php?id=20170619_b7k14y1014r7

Dans tout les cas, on attend un disque dur externe d'un pote pour reformater tout le bousin et y installer une petite mint ou autre.

Merci d'avance.

Castorement votre.
Afficher la suite 
Utile
+0
plus moins
Salut,

Cette infection est ancienne, elle date de 2014.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
Winsock: Catalog9 01 C:\WINDOWS\system32\MyOSProtect.dll [304776 2014-09-01] ()
Winsock: Catalog9 02 C:\WINDOWS\system32\MyOSProtect.dll [304776 2014-09-01] ()
Winsock: Catalog9 20 C:\WINDOWS\system32\MyOSProtect.dll [304776 2014-09-01] ()
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-606747145-1364589140-1644491937-500\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
S3 MyOSProtect; C:\Program Files\PCTRunner\MyOSProtect.exe [1317096 2014-09-01] () [Fichier non signé] <==== ATTENTION
C:\Program Files\PCTRunner
S2 60be910f; "C:\WINDOWS\system32\rundll32.exe" "c:\docume~1\alluse~1.win\applic~1\perfor~1\PerformanceOptimizerSvc.dll",service
c:\docume~1\alluse~1.win\applic~1\perfor~1
cmd: netsh winsock reset
2014-08-09 14:31 - 2014-08-10 12:26 - 0018841 _____ () C:\Documents and Settings\Administrateur\Application Data\Bubble Dock.installation.log
2014-09-01 22:08 - 2014-09-28 11:16 - 0000065 _____ () C:\Documents and Settings\Administrateur\Application Data\WB.CFG
C:\WINDOWS\system32\MyOSProtect.dll
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Démarre en mode sans échec


Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :


Donnez votre avis
Utile
+0
plus moins
Merci pour l'aide

Voila le fixlog

Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 18-06-2017 01
Exécuté par Administrateur (19-06-2017 17:03:23) Run:1
Exécuté depuis C:\Documents and Settings\Administrateur\Bureau
Profils chargés: Administrateur (Profils disponibles: Administrateur)
Mode d'amorçage: Safe Mode (minimal)

==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
Winsock: Catalog9 01 C:\WINDOWS\system32\MyOSProtect.dll [304776 2014-09-01] ()
Winsock: Catalog9 02 C:\WINDOWS\system32\MyOSProtect.dll [304776 2014-09-01] ()
Winsock: Catalog9 20 C:\WINDOWS\system32\MyOSProtect.dll [304776 2014-09-01] ()
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-606747145-1364589140-1644491937-500\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
S3 MyOSProtect; C:\Program Files\PCTRunner\MyOSProtect.exe [1317096 2014-09-01] () [Fichier non sign] <==== ATTENTION
C:\Program Files\PCTRunner
S2 60be910f; "C:\WINDOWS\system32\rundll32.exe" "c:\docume~1\alluse~1.win\applic~1\perfor~1\PerformanceOptimizerSvc.dll",service
c:\docume~1\alluse~1.win\applic~1\perfor~1
cmd: netsh winsock reset
2014-08-09 14:31 - 2014-08-10 12:26 - 0018841 _____ () C:\Documents and Settings\Administrateur\Application Data\Bubble Dock.installation.log
2014-09-01 22:08 - 2014-09-28 11:16 - 0000065 _____ () C:\Documents and Settings\Administrateur\Application Data\WB.CFG
C:\WINDOWS\system32\MyOSProtect.dll
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Error: Un point de restauration ne peut être créé qu'en mode normal.
Processus fermé avec succès.
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001 => clé supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002 => clé supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000020 => clé supprimé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
"C:\WINDOWS\system32\GroupPolicy\Machine" => non trouvé(e).
HKLM\SOFTWARE\Policies\Google => clé supprimé(es) avec succès
HKU\S-1-5-21-606747145-1364589140-1644491937-500\SOFTWARE\Policies\Google => clé supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\MyOSProtect => clé supprimé(es) avec succès
MyOSProtect => service supprimé(es) avec succès
C:\Program Files\PCTRunner => déplacé(es) avec succès
HKLM\System\CurrentControlSet\Services\60be910f => clé supprimé(es) avec succès
60be910f => service supprimé(es) avec succès
"c:\docume~1\alluse~1.win\applic~1\perfor~1" => non trouvé(e).

========= netsh winsock reset =========

'netsh' n'est pas reconnu en tant que commande interne
ou externe, un programme ex‚cutable ou un fichier de commandes.

========= Fin de CMD: =========

C:\Documents and Settings\Administrateur\Application Data\Bubble Dock.installation.log => déplacé(es) avec succès
C:\Documents and Settings\Administrateur\Application Data\WB.CFG => déplacé(es) avec succès
C:\WINDOWS\system32\MyOSProtect.dll => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\S-1-5-21-606747145-1364589140-1644491937-500\SOFTWARE\Policies\Microsoft\Internet Explorer => clé supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-606747145-1364589140-1644491937-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-606747145-1364589140-1644491937-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 78539 B
Java, Flash, Steam htmlcache => 9553 B
Windows/system/dllcache/drivers => 212229549 B
Edge => 0 B
Chrome => 0 B
Firefox => 279650021 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Documents and Settings => 0 B
Default User.WINDOWS => 66228 B
All Users.WINDOWS => 0 B
systemprofile => 167786017 B
LocalService.AUTORITE NT => 66228 B
NetworkService.AUTORITE NT => 377674 B
Administrateur => 97493 B

RecycleBin => 0 B
EmptyTemp: => 629.8 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 17:04:42

Je suis en train de réparer et reinitialiser les navigateurs.

Donnez votre avis
Utile
+0
plus moins
ok refais un scan FRST quand c'est terminé pour être certains que tout a bien été supprimé.
Donnez votre avis
Utile
+0
plus moins
Ca doit rouler.
Faudrait virer CCleaner du démarrage avec msconfig > Démarrage
ou depuis les options.
Pierrecastor 30330Messages postés mercredi 5 novembre 2003Date d'inscription ModérateurStatut 20 juin 2017 Dernière intervention - 19 juin 2017 à 18:12
Je venais de l'installer pour y voir plus clair dans les programmes au démarrage et faire un peu de ménage, j'ai désactivé le lancement automatique par la suite.

Merci beaucoup pour ton aide, encore une fois.
Répondre
Donnez votre avis

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !