Virus Exploit.PDF-JS.GenRésolu/Fermé

Question

Bonjour,
j'ai un petit problème d'ordre viral et je sollicite votre aide!

 voila le Scan:

C:\Documents and Settings\Kévin\Local Settings\Temp\virus\plugin-readme.pdf=>(JAVASCRIPT)	Infecté: Exploit.PDF-JS.Gen
C:\Documents and Settings\Kévin\Local Settings\Temp\virus\plugin-readme.pdf=>(JAVASCRIPT)	Désinfection impossible
C:\Documents and Settings\Kévin\Local Settings\Temp\virus\plugin-readme.pdf=>(JAVASCRIPT)	Déplacement impossible

J'ai essayé une restauration du systeme et l'utilisation de CCleaner mais sans succes.

Merci de votre aide.

pimprenelle27 · Answer

Bonsoir,

Me faire ceci pour un examen complet de ton PC.

&#x25B6; Télécharge Random's System Information Tool (RSIT).

&#x25B6; Un tutoriel est  à ta disposition pour l'installer et l'utiliser correctement ici

&#x25B6; Double clique sur RSIT.exe pour lancer l'outil.

&#x25B6; Clique sur 'Continue' à l'écran Disclaimer.

&#x25B6; Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

&#x25B6; Une fois le scan fini , 2 rapports vont apparaitre. &#x25B6; Héberge le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller


Petite chose à faire pour les rapports générés par RSIT avant de continuer

&#x25B6; Vous devez fusionner les deux rapports.
&#x25B6; C'est-à-dire, copier/coller le contenu du rapport info.txt à la suite du rapport log.txt  dans un bloc note pour ne faire qu'un seul rapport.
&#x25B6; Ensuite enregistrer le rapport log.txt.

 Ensuite : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : https://www.cjoint.com/

&#x25B6; Cliquez sur parcourir,  puis sur créer le lien cjoint

&#x25B6; Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

K. · Answer

Voici le Lien:

http://ww38.toofiles.com/fr/oip/documents/txt/8837_log.html

pimprenelle27 · Answer

tu as une infection ask, c'est tout ce que je vois sur ton rapport, c'est pas grand chose ça ira vite : 

&#x25B6; Télécharge Toolbar-S&D (de Team IDN) sur ton Bureau
 
&#x25B6; Lance l'installation du programme en exécutant le fichier téléchargé.

&#x25B6; Sous XP : Double-clique sur le raccourci de Toolbar-S&D.

&#x25B6; Sous Vista : Fais un clic droit sur ToolbarSD et sélectionne "Exécuter en tant qu'administrateur".

&#x25B6; Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.

&#x25B6; Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.

&#x25B6; Poste le rapport généré. (C:\TB.txt)

K. · Answer

Voici:


   -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free : Processeur Intel Pentium III Xeon )
   BIOS : Ver 1.00
   USER : Kévin ( Administrator )
   BOOT : Normal boot
   Antivirus : Bitdefender Antivirus 8.0 (Activated)
   Firewall  : Bitdefender Firewall 8.0 (Activated)
   C:\ (Local Disk) - NTFS - Total:232 Go (Free:129 Go)
   D:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [1] ( 25/08/2009|12:19 )

   -----------\  Recherche de Fichiers / Dossiers ...

   [Service] ASKService
   C:\Program Files\AskBarDis
   C:\Program Files\AskBarDis\bar
   C:\Program Files\AskBarDis\unins000.dat
   C:\Program Files\AskBarDis\unins000.exe
   C:\Program Files\AskBarDis\bar\bin
   C:\Program Files\AskBarDis\bar\Cache
   C:\Program Files\AskBarDis\bar\History
   C:\Program Files\AskBarDis\bar\Settings
   C:\Program Files\AskBarDis\bar\bin\askBar.dll
   C:\Program Files\AskBarDis\bar\bin\askPopStp.dll
   C:\Program Files\AskBarDis\bar\bin\AskService.exe
   C:\Program Files\AskBarDis\bar\bin\psvince.dll
   C:\Program Files\AskBarDis\bar\Cache\002ADA75
   C:\Program Files\AskBarDis\bar\Cache\002AE013
   C:\Program Files\AskBarDis\bar\Cache\002AE17A.bin
   C:\Program Files\AskBarDis\bar\Cache\002AE62D.bin
   C:\Program Files\AskBarDis\bar\Cache\002AE88E.bin
   C:\Program Files\AskBarDis\bar\Cache\002AEC57.bin
   C:\Program Files\AskBarDis\bar\Cache\002AF010.bin
   C:\Program Files\AskBarDis\bar\Cache\002AF2FE.bin
   C:\Program Files\AskBarDis\bar\Cache\002AF58F.bin
   C:\Program Files\AskBarDis\bar\Cache\files.ini
   C:\Program Files\AskBarDis\bar\History\search
   C:\Program Files\AskBarDis\bar\Settings\config.dat
   C:\Program Files\AskBarDis\bar\Settings\config.dat.bak
   C:\Program Files\AskBarDis\bar\Settings\prevcfg.htm
   C:\Program Files\AskBarDis\bar\Settings\prevCfg2.htm

   -----------\  Extensions

   (K‚vin) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Search Page"="http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr-smb"
   "Default_Page_URL"="http://partnerpage.google.com/smallbiz.dell.com/fr_fr?hl=fr&client=dell-row&channel=fr-smb&ibd=5080904"
   "Search Bar"="http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr-smb"
   "Start Page Redirect Cache"="https://www.msn.com/fr-fr?ocid=iehp"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Home_Page"="https://www.dell.com/fr-fr?c=fr&l=fr&s=gen&redirect=1"
   "Help_Page"="http://support.euro.dell.com/segment.asp?country=FR&language=FR"


   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !


   1 - "C:\ToolBar SD\TB_1.txt" - 25/08/2009|12:22 - Option : [1]

   -----------\  Fin du rapport a 12:23:03,45

pimprenelle27 · Answer

&#x25B6; Relance Toolbar-S&D.

&#x25B6; Tape sur "2" puis valide en appuyant sur "Entrée".

/!\ Ne ferme pas la fenêtre lors de la suppression /!\

&#x25B6; Un rapport sera généré, poste son contenu ici.

NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."
Tape explorer puis valide.

Ce qu'il faut savoir sur les toolbars (barres d'outils)

K. · Answer

A vos ordres chef! 

   -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free : Processeur Intel Pentium III Xeon )
   BIOS : Ver 1.00
   USER : Kévin ( Administrator )
   BOOT : Normal boot
   Antivirus : Bitdefender Antivirus 8.0 (Activated)
   Firewall  : Bitdefender Firewall 8.0 (Activated)
   C:\ (Local Disk) - NTFS - Total:232 Go (Free:129 Go)
   D:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [2] ( 25/08/2009|13:43 )

   -----------\ SUPPRESSION

   Supprime! - [Service] ASKService
   Supprime! - C:\Program Files\AskBarDis\bar
   Supprime! - C:\Program Files\AskBarDis\unins000.dat
   Supprime! - C:\Program Files\AskBarDis\unins000.exe
   Supprime! - C:\Program Files\AskBarDis

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (K‚vin) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Search Page"="http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr-smb"
   "Default_Page_URL"="http://partnerpage.google.com/smallbiz.dell.com/fr_fr?hl=fr&client=dell-row&channel=fr-smb&ibd=5080904"
   "Search Bar"="http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr-smb"
   "Start Page Redirect Cache"="https://www.msn.com/fr-fr?ocid=iehp"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.msn.com/fr-fr/"
   "Home_Page"="https://www.dell.com/fr-fr?c=fr&l=fr&s=gen&redirect=1"
   "Help_Page"="http://support.euro.dell.com/segment.asp?country=FR&language=FR"


   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !


   1 - "C:\ToolBar SD\TB_1.txt" - 25/08/2009|12:22 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 25/08/2009|13:47 - Option : [2]

   -----------\  Fin du rapport a 13:47:37,79

pimprenelle27 · Answer

ok maintenant pour supprimer les traces qui resteraient : 

&#x25B6; Télécharge malwarebyte's anti-malware

&#x25B6; Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
 
&#x25B6; Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

&#x25B6; Lance une analyse complète en cliquant sur "Exécuter un examen complet"

&#x25B6; Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

&#x25B6; L'analyse peut durer un bon moment.....

&#x25B6; Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

&#x25B6; Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

&#x25B6; Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

K. · Answer

Bizarre il ne trouve rien pourtant il est toujours là!


Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2693
Windows 5.1.2600 Service Pack 3

25/08/2009 15:34:11
mbam-log-2009-08-25 (15-34-11).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 164953
Temps écoulé: 56 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

pimprenelle27 · Answer

c'est pas fini, pour voir si tu n'as pas de spyware : 

Télécharge Superantispyware (SAS)



Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Préférences, clique sur le bouton "Préférences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning  (Fermer Navigateur avant le scan)

Scan for tracking cookies  (Scan pour dépister les cookies)

Terminate memory threats before quarantining (Terminez les menaces de mémoire avant de mettre en quarantaine)

- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complète scan", clique sur "Perform Complète Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Préférences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SuperAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SuperAntiSpyware il est très bien expliqué.

K. · Answer

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 08/26/2009 at 10:38 AM

Application Version : 4.27.1002

Core Rules Database Version : 4071
Trace Rules Database Version: 2011

Scan type       : Complete Scan
Total Scan Time : 01:16:36

Memory items scanned      : 706
Memory threats detected   : 0
Registry items scanned    : 5059
Registry threats detected : 0
File items scanned        : 77987
File threats detected     : 7

Adware.Tracking Cookie
	C:\Documents and Settings\Kévin\Cookies\kévin@imrworldwide[2].txt
	C:\Documents and Settings\Kévin\Cookies\kévin@atdmt[1].txt
	C:\Documents and Settings\Kévin\Cookies\kévin@smartadserver[1].txt
	C:\Documents and Settings\Kévin\Cookies\kévin@2o7[2].txt
	C:\Documents and Settings\Kévin\Cookies\kévin@doubleclick[1].txt
	C:\Documents and Settings\Kévin\Cookies\kévin@ero-advertising[1].txt
	C:\Documents and Settings\Kévin\Cookies\kévin@d2.advertserve[1].txt

pimprenelle27 · Answer

tu peux supprimer ce qu'il à trouvé dans la quarantaine et ensuite faire ceci pour voir s'il reste encore des virus :

Fais un scan en ligne avec Internet explorer
Rend toi sur ce site : https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan

Voici un tutoriel

K. · Answer

;****************************************************************************
ANALYSIS: 2009-08-26 15:13:09
PROTECTIONS: 1
MALWARE: 4
SUSPECTS: 0
;****************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;====================================================================
Bitdefender Antivirus                        8.0                           Yes       Yes
;====================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;====================================================================
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Kévin\Cookies\kévin@atdmt[1].txt
00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Kévin\Cookies\kévin@serving-sys[2].txt
00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Kévin\Cookies\kévin@bs.serving-sys[1].txt
00168106  Cookie/Weborama                    TrackingCookie      No        0         Yes            No           C:\Documents and Settings\Kévin\Cookies\kévin@weborama[1].txt
;====================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              B
;====================================================================
;====================================================================
VULNERABILITIES
Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                B
;====================================================================
MS09-029                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   B
;===================================================================================================================================================================================

pimprenelle27 · Answer

ok parfais un dernière vérif avant le ménage :

Télécharge List&Kill'em (par Gen-Hackman) et enregistre l'exécutable sur ton bureau.

! Désactive ton antivirus le temps de la manip ainsi que ton Pare-feu si présent !

! Déconnecte toi ferme toutes tes applications en cours !

&#9654; Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "exécuter en tant qu'administrateur").

&#9654; Choisis la langue souhaitée et valide par "entrée".

&#9654; Au second menu choisis l'option 1 : Mode Recherche

&#9654; Laisse travailler l'outil.

&#9654; Une fois le scan Terminé ,un rapport s'ouvre .

 Ensuite héberger le rapport : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir,  puis sur créer le lien cjoint

&#x25B6; Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

K. · Answer

http://www.cijoint.fr/cjlink.php?file=cj200908/cijx1XGNWs.txt

pimprenelle27 · Answer

Nettoyage :


! Déconnecte toi ferme toutes tes applications en cours !

&#9654; Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "Exécuter en tant qu'administrateur").

&#9654; Choisis la langue souhaitée et valide par "entrée".

&#9654; Choisis cette fois ci l'option 2 : Mode Destruction

&#9654; Laisse travailler l'outil.

&#9654; Une fois Terminé , poste le contenu du 2éme rapport qui s'ouvre dans ta prochaine réponse.

Note: le Rapport sur trouve en outre a cet emplacement: C:\Kill'em.txt

K. · Answer

Infections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : 

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"  
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"  
"C:\WINDOWS\System32\prnjobs.vbs"  
 
¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes : 

HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536  
 
¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch : 

layout.ini
NTOSBOOT-B00DFAAD.pf
REG.EXE-07FA5B3F.pf
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

pimprenelle27 · Answer

ok un dernier RSIT complet pour nettoyage

K. · Answer

Voici le lien du log.txt:

http://www.cijoint.fr/cjlink.php?file=cj200908/cij8GHgqag.txt

pimprenelle27 · Answer

ton antivirus détecte t-il toujours des virus?

K. · Answer

Oui, toujours le même : 
C:\Documents and Settings\Kévin\Local Settings\Temp\virus\plugin-readme.pdf=>(JAVASCRIPT) Infecté: Exploit.PDF-JS.Gen

pimprenelle27 · Answer

on va le tuer alors il n'a pas l'aire important vu que c'est un .pdf : 

&#x25B6; Télécharge OTM (de Old_Timer) sur ton Bureau
 
&#x25B6; Double-clique sur OTM.exe pour le lancer.

&#x25B6; Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

&#x25B6; Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

-----------------------------------------------------------------------------

:Processes


:services

:reg

:files
C:\Documents and Settings\Kévin\Local Settings\Temp\virus\plugin-readme.pdf

:Commands
[purity]
[emptytemp]
[Reboot]


 
-----------------------------------------------------------------------------

&#x25B6; clique sur MoveIt! pour lancer la suppression.

&#x25B6; Le résultat apparaitra dans le cadre "Results".

&#x25B6; Clique sur Exit pour fermer.

&#x25B6; Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

&#x25B6; Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

K. · Answer

J'ai lancé OTM, j'ai fait le Moveit! et là ça a bugger, obliger de redemarrer grace au gestionnaire des tâches puisqu'il n'y avait plus rien à l'écran.
Au redemarrage ça m'affiche ça : 


Files moved on Reboot...

Registry entries deleted on Reboot...

K. · Answer

J'ai fait un scan avec BitDefender, il a été déplacé juste :

C:\_OTM\MovedFiles\08282009_103033\Documents and Settings\KÃ©vin\Local Settings\Temp\virus\plugin-readme.pdf=>(JAVASCRIPT)	Infecté: Exploit.PDF-JS.Gen

pimprenelle27 · Answer

poste le rapport qui se trouve ici normalement : C:\_OTMoveIt\MovedFiles.

K. · Answer

Le rapport qui se trouve dans C:\_OTM\MovedFiles est : 


Files moved on Reboot...

Registry entries deleted on Reboot...

pimprenelle27 · Answer

il n'y as que ça en .txt?

K. · Answer

Oui il y a ça en .txt et le fichier déplacé.

pimprenelle27 · Answer

Bonjour,

refait moi alors un RSIT log.txt pour voir s'il est parti.

K. · Answer

Voici le Log.txt:

http://www.cijoint.fr/cjlink.php?file=cj200908/cijDjJzEFX.txt

pimprenelle27 · Answer

le fichier est -il toujours détecté?

K. · Answer

Toujours oui:


C:\_OTM\MovedFiles\08282009_103033\Documents and Settings\KÃ©vin\virus\plugin-readme.pdf=>(JAVASCRIPT)	Infecté: Exploit.PDF-JS.Gen
C:\_OTM\MovedFiles\08282009_103033\Documents and Settings\KÃ©vin\virus\plugin-readme.pdf=>(JAVASCRIPT)	Désinfection impossible
C:\_OTM\MovedFiles\08282009_103033\Documents and Settings\KÃ©vin\virus\plugin-readme.pdf=>(JAVASCRIPT)	Déplacement impossible

pimprenelle27 · Answer

bonjour,

ça à marché car il se trouve dectété mais il est là C:\_OTM\MovedFiles donc plus de danger, peux tu me refaire un scan malware.

K. · Answer

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2717
Windows 5.1.2600 Service Pack 3

30/08/2009 16:55:41
mbam-log-2009-08-30 (16-55-41).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 160041
Temps écoulé: 51 minute(s), 3 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

pimprenelle27 · Answer

ok maintenant une dernière vérif : 

Télécharge List&Kill'em (par Gen-Hackman) et enregistre l'exécutable sur ton bureau.

! Désactive ton antivirus le temps de la manip ainsi que ton Pare-feu si présent !

! Déconnecte toi ferme toutes tes applications en cours !

&#9654; Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "exécuter en tant qu'administrateur").

&#9654; Choisis la langue souhaitée et valide par "entrée".

&#9654; Au second menu choisis l'option 1 : Mode Recherche

&#9654; Laisse travailler l'outil.

&#9654; Une fois le scan Terminé ,un rapport s'ouvre .

 Ensuite héberger le rapport : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir,  puis sur créer le lien cjoint

&#x25B6; Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

K. · Answer

http://www.cijoint.fr/cjlink.php?file=cj200908/cij8jxyxRh.txt

Si j'ai bien compris, on peut pas l'effacer, on le déplace juste?!

pimprenelle27 · Answer

Si j'ai bien compris, on peut pas l'effacer, on le déplace juste?!

Tu n'a pas compris on a pas déplacé le fichier on la supprimer et maintenant c'est bon puisqu'il est dans C:\_OTM\MovedFiles


! Déconnecte toi ferme toutes tes applications en cours !

&#9654; Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "Exécuter en tant qu'administrateur").

&#9654; Choisis la langue souhaitée et valide par "entrée".

&#9654; Choisis cette fois ci l'option 2 : Mode Destruction

&#9654; Laisse travailler l'outil.

&#9654; Une fois Terminé , poste le contenu du 2éme rapport qui s'ouvre dans ta prochaine réponse.

Note: le Rapport sur trouve en outre a cet emplacement: C:\Kill'em.txt

K. · Answer

Infections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : 

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"  
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"  
"C:\WINDOWS\System32\prnjobs.vbs"  
 
¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes : 

HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536  
 
¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch : 

layout.ini
NTOSBOOT-B00DFAAD.pf
REG.EXE-07FA5B3F.pf
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

pimprenelle27 · Answer

Parfais : 

! Déconnecte toi ferme toutes tes applications en cours !

&#9654; Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "Exécuter en tant qu'administrateur").

&#9654; Choisis la langue souhaitée et valide par "entrée".

&#9654; Choisis cette fois ci l'option 2 : Mode Destruction

&#9654; Laisse travailler l'outil.

&#9654; Une fois Terminé , poste le contenu du 2éme rapport qui s'ouvre dans ta prochaine réponse.

Note: le Rapport sur trouve en outre a cet emplacement: C:\Kill'em.txt

K. · Answer

Kill'em by g3n-h@ckm@n 1.0.2.8 

updated on 23.08.2009 ::::: 13.00 


Microsoft Windows XP [version 5.1.2600]
 

31/08/2009     9:10:33,14 

Fichiers analysés : 
================= 
 

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : 

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"  
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"  
"C:\WINDOWS\System32\prnjobs.vbs"  
 
 
¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers : 
  
Quarantaine : 

prnjobs.vbs.Kill'em

¤¤¤¤¤¤¤¤¤¤ Verification :

pimprenelle27 · Answer

C'est parfais maintenant un dernier RSIT pour faire le ménage.

K. · Answer

https://www.cjoint.com/?iFmDgAohQI

pimprenelle27 · Answer

Faire ceci pour faire du ménage dans l'ordi  avec Rsit/Hijackthis:


Lance Hijackthis , (= C:\Program Files	rend micro\Kévin.exe) , ensuite tu sélectionne les lignes suivante ,



R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE    => Realtek®Pilotes AC97
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"    => Apple®Itunes Helper
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe    => Sun OpenOffice

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE    => Realtek Semiconductor®HD Audio Sound Effect Manager
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe    => Dell®Multimedia
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"    => Adobe®Acrobat Reader
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime    => Apple®Quick Time
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe    => Microsoft®NT CTF Loader
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe    => Google®Toolbar
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background    => Microsoft®MSN Messenger
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')    => Microsoft®Windows NT
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')    => Microsoft®Windows NT
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')    => Microsoft®Windows NT
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')    => Microsoft®Windows NT
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe    => Apple Computer®Bonjour for Windows



Tu cliques en bas sur le bouton FIX CHECKED et valides .



2- Redémarres l'ordi .
( important pour que certaines modifs faites avec hijakthis soient prises en compte )


Ensuite ceci afin de supprimer les logiciels utilisés lors de la désinfection: 



Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : 

&#x25B6; Télécharge Toolscleaner sur ton Bureau 

&#x25B6; Sous XP : Double-clique sur ToolsCleaner2.exe
&#x25B6; Sous Vista : Fais un clic droit sur ToolsCleaner2.exe et sélectionne "Exécuter en tant qu'administrateur"
&#x25B6; Clique sur Recherche et laisse le scan se terminer.
&#x25B6; Clique sur Suppression pour finaliser.
&#x25B6; Tu peux, si tu le souhaites, te servir des Options facultatives.
&#x25B6; Clique sur Quitter, pour que le rapport puisse se créer.
&#x25B6; Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse


Pour mettre à jour les logiciels sur ton PC : 

Voici un excellent petit logiciel très utile qui te permettra de savoir les nouvelles mises à jour disponibles pour les différents logiciels installés sur ton PC :

&#x25B6; Télécharge Update Checker

&#x25B6; Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.

&#x25B6; Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.

&#x25B6; Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.

&#x25B6; Un conseil : n'installe pas les BETA qui sont listées en dessous.

&#x25B6; Tu installes les mises à jour que tu désires, les plus importantes sont :

&#9679; Java

&#9679; Adobe Reader

&#9679; Adobe Flash Player

&#9679; Navigateur Internet

(attention certain logiciels mis en lien pour les mises à jour peuvent être en anglais, rechercher celui en français)


Voici un tuto


Enfin un petit nettoyage de l'ordi  :


Télécharge Ccleaner

Tutoriel pour l'installer et l'utiliser correctement CCleaner

Fais le nettoyage et recherche les erreurs du registre comme expliqué en bas du tutoriel.


Enfin Purge de la restauration système : 

Purge de la restauration système pour XP


Désactivavation de la restauration :


&#x25B6; Cliquez droit sur poste de travail
&#x25B6; Ensuite aller sur propriétés
&#x25B6; Puis restauration système
&#x25B6; Et cochez la case désactiver la restauration
&#x25B6; Cliquez ensuite sur appliquez, puis OK
&#x25B6; Et redémarrez votre PC



Réactivavation de la restauration :


&#x25B6; Cliquez droit sur poste de travail
&#x25B6; Ensuite aller sur propriétés
&#x25B6; Puis restauration système
&#x25B6; Et décochez la case désactiver la restauration
&#x25B6; Cliquez ensuite sur appliquez, puis OK
&#x25B6; Et redémarrez votre PC



Et ensuite création d'un nouveau point de restauration comme ce qui suit : 


Pour XP


&#x25B6; Allez dans le Menu Démarrer
&#x25B6; Puis dans Programmes
&#x25B6; Ensuite dans Accessoires
&#x25B6; Et enfin dans Outils système
&#x25B6; Choisir Restauration du système
&#x25B6; Sélectionnez créer un point de restauration
&#x25B6; Cliquez sur Suivant
&#x25B6; Entrez un nom pour le point de restauration
&#x25B6; Cliquez sur créer et le point de restauration se créé automatiquement.



Pour fini, vous devez garder les logiciels suivant qui ont été téléchargés pour la désinfection : 


&#x25B6; Ccleaner à garder absolument et faire le nettoyage souvent

&#x25B6; Malware à garder absolument (faire scan de temps en temps)

&#x25B6; Update checker à garder absolument et faire un scan pour vérifier les mises à jour disponible

Les autres sont à supprimer



Et penser à faire après tout ça, une défragmentation du  PC afin de regrouper les fragments de fichiers éparpillés sur le disque pour optimiser les temps d'accès du disque dur lors de la lecture de fichiers de taille importante.

Voici la procédure : 

Ainsi pour défragmenter de manière optimale, il est fortement recommandé de démarrer Windows en mode sans échec, puis de lancer la défragmentation !

Pour lancer la défragmentation : 

&#x25B6; Pour Windows XP et pour les autres versions, la procédure est quasiment la même

&#x25B6; Double-cliquez sur Poste de Travail, clic droit sur le disque à défragmenter puis sur Propriétés.

&#x25B6; Choisissez l'onglet Outils puis cliquez sur Défragmenter maintenant



Si vous ne trouvé pas  Hijackthis, téléchargez le fichier d'installation d'HijackThis. 

Tutoriaux Hijackthis

K. · Answer

[ Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\_OTM: trouvé !
C:\Toolbar SD: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Kévin\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Kévin\Bureau\Rsit.exe: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Program Files	rend micro\HijackThis: trouvé !
C:\Program Files	rend micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Kévin\Bureau\HijackThis.lnk: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Program Files	rend micro\HijackThis\HijackThis.exe: supprimé !
C:\Documents and Settings\Kévin\Bureau\Rsit.exe: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\_OTM: ERREUR DE SUPPRESSION !!
C:\Toolbar SD: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files	rend micro\HijackThis: supprimé !

Fichiers temporaires nettoyés !
Corbeille vidée!

K. · Answer

Ce n'est pas grave le :

" C:\_OTM: ERREUR DE SUPPRESSION !!  " ?!

En tout cas merci pour tout pimprenelle27

pimprenelle27 · Answer

il faut le supprimer manuellement, et la suite?


Désolé vu les évènements en ce moment sur CCM je reviendrais ce soir.

pimprenelle27 · Answer

Bonsoir,

alors que donne le reste.

K. · Answer

Le reste? j'avais mis le rapport dans le post antecedent, celui qu'à donné Toolscleaner.

[ Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\_OTM: trouvé !
C:\Toolbar SD: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Kévin\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Kévin\Bureau\Rsit.exe: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Program Files	rend micro\HijackThis: trouvé !
C:\Program Files	rend micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Kévin\Bureau\HijackThis.lnk: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Program Files	rend micro\HijackThis\HijackThis.exe: supprimé !
C:\Documents and Settings\Kévin\Bureau\Rsit.exe: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\_OTM: ERREUR DE SUPPRESSION !!
C:\Toolbar SD: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files	rend micro\HijackThis: supprimé !

Fichiers temporaires nettoyés !
Corbeille vidée!



Il y a quelquechose d'autre à faire?!

j'ai fait les instructions jusqu'à CCleaner inclus, ensuite comme je trouvais bizarre que OTM ne soit pas supprimé j'ai pas fait le truc de restauration du systeme.

pimprenelle27 · Answer

il faut que tu fasse tout le reste les mises à jour y compris même la défragmentation

K. · Answer

C'est bon c'est fait.

pimprenelle27 · Answer

Fait un scan comlet avec ton antivirus antivirus.

Puis tu me diras comment va ton pc.

K. · Answer

Toujours le même:


C:\_OTM\MovedFiles\08282009_103033\Documents and Settings\KÃ©vin\virus\plugin-readme.pdf=>(JAVASCRIPT)	Infecté: Exploit.PDF-JS.Gen
C:\_OTM\MovedFiles\08282009_103033\Documents and Settings\KÃ©vin\virus\plugin-readme.pdf=>(JAVASCRIPT)	Désinfection impossible
C:\_OTM\MovedFiles\08282009_103033\Documents and Settings\KÃ©vin\virus\plugin-readme.pdf=>(JAVASCRIPT)	Déplacement impossible

pimprenelle27 · Answer

il faut que tu aille supprimer ceci car non supprimer par tools cleaner : C:\_OTM: ERREUR DE SUPPRESSION !!

K. · Answer

Oui mais comment?! car quand j'essaye de le supprimer manuellement cele me marque impossible: 

impossible de lire à partir du fichier ou de la disquette source

pimprenelle27 · Answer

quand tu va dans C:\_OTM?

K. · Answer

Quand j'essaye de le supprimer ça fait: 

Erreur lors de la suppression du fichier ou du dossier

Impossible de supprimer plugin-readme.pdf : Impossible de lire à partir du fichier ou de la disquette source

pimprenelle27 · Answer

tu supprime bien OTM et pas autre chose?

K. · Answer

Oui C:\_OTM

pimprenelle27 · Answer

Essaye en mode sans échec?

K. · Answer

Ah là oui! j'ai finalement réussi à l'éffacer!

Merci beaucoup pimprenelle27!

pimprenelle27 · Answer

Refais un scan avec ton antivirus il ne devrait plus y avoir quelque chose.

K. · Answer

C'est bonb il n'y a plus rien.

Merci Beaucoup!

pimprenelle27 · Answer

Et ton pc alors il v bien.

Virus Exploit.PDF-JS.Gen

62 réponses

Discussions similaires

Newsletters