Mon PC rame depuis ce matin (rapport HJT)

[Thanos]

Gahasa : tu as bien bossé car l'infection est éliminée , ton rapport hijackthis est propre

Ceci dit il y encore des fichiers à éliminer :

fais analyser ces deux fichiers stp en attendant que je revienne(je pars bosser là!) =>

 

C:\UNWISE.EXE

C:\WINDOWS\System32\dabecfcd9_g.dll

 

Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

A faire analyser ici =>

 

http://www.virustotal.com/flash/index_en.html

 

Lorsque tu cliques sur cette adresse,tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier UNWISE.EXE que tu trouveras en allant dans le dossier C:\

 

Tu cliques une fois sur le fichier UNWISE.EXE (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "send" .Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .Fais pareil pour l'autre (dabecfcd9_g.dll ) .

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ce prendra pour faire analyser)

 

De + fais un scan stp (pour s'assurer que rien ne nous échappe) =>

 

Fais un scan en ligne avec Panda :

http://www.pandasoftware.fr/Activescan/Activescan.html .

Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .

Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index

 

@ + tard

[Gahasa]

Re

 

Voilà les rapports des 3 scans que tu m'as demandé de faire...

 

Rapport du scan de C:\UNWISE.EXE sur VirusTotal :

 

 

Rapport du scan de C:\WINDOWS\system32\dabecfcd9_g.dll sur VirusTotal :

 

 

Rapport du scan de Panda Activescan :

 

Incident Status Location

 

Potentially unwanted tool:application/mywebsearch Not disinfected c:\windows\system32\f3pssavr.scr

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e2897zaa.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Adtech Not disinfected C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\e2897zaa.default\cookies.txt[.adtech.de/]

Potentially unwanted tool:Application/HideWindow.A Not disinfected C:\hp\bin\FondleWindow.exe

Potentially unwanted tool:Application/KillApp.B Not disinfected C:\hp\bin\KillIt.exe

Potentially unwanted tool:Application/Winantivirus2006 Not disinfected C:\Program Files\Common Files\Companion Wizard\WapCHK.dll

Virus:Trj/Small.bd Disinfected C:\Program Files\Mozilla Firefox\FireDLL.dll

 

Bonne nuit

 

Gahasa

[Thanos]

salut dabecfcd9_g.d

 

Merci pour l'analyse des fichiers qui ne montre pas d'infection.

Panda a mis en évidence un fichier à éliminer et a effacé un virus

 

Question est ce que tu utilises ceci ? => World Series of Online Poker

 

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

Elimine les fichiers suivants =>

 

c:\windows\system32\f3pssavr.scr

C:\WINDOWS\System32\nvs2.inf

C:\WINDOWS\Alcxmntr.exe

C:\WINDOWS\UnGins.exe

 

C:\Program Files\Common Files\Companion Wizard=> le dossier

 

Renomme les fichiers suivants (tu reçevras une alerte de windows: n'en tiens pas compte)=>

 

C:\WINDOWS\System32\ebf4_g.ocx

C:\WINDOWS\System32\dabecfcd9_g.dll

C:\WINDOWS\system32\acacffcaa4_s.dll

 

pour renommer: clic droit sur le fichier>renommer> et tu ajoutes l'extension .old : ebf4_g.old etc...

 

* pour ne pas restaurer un système vérolé en cas de problème, il faut la désactiver comme ceci=>

 

Supprime la restauration système=> aide visuelle

Clique sur Démarrer.

Clique avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Clique sur l'onglet «Restauration du système».

Sélectionne «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Clique sur "Appliquer".

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, clique sur Oui.

Clique sur OK.Redémarre ton PC.Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

 

Comment focntionne le pc? encore des pubs intempestives?

Modifié le 30 octobre 2006 par charles ingals

[Gahasa]

Re

 

Non je n'utilise pas du tout World Series of Online Poker, en revanche il arrive que je chope des pops-ups de publicité pour des casinos (et jeux de poker) en surfant.

 

J'ai suivi la procédure sans souci :

 

Suppression de :

c:\windows\system32\f3pssavr.scr

C:\WINDOWS\System32\nvs2.inf

C:\WINDOWS\Alcxmntr.exe

C:\WINDOWS\UnGins.exe

C:\Program Files\Common Files\Companion Wizard

 

Renommage de :

C:\WINDOWS\System32\ebf4_g.ocx

C:\WINDOWS\System32\dabecfcd9_g.dll

C:\WINDOWS\system32\acacffcaa4_s.dll

Vers :

C:\WINDOWS\System32\ebf4_g.old

C:\WINDOWS\System32\dabecfcd9_g.old

C:\WINDOWS\system32\acacffcaa4_s.old

 

En ouvrant le Gestionnaire de tâches aujourd'hui, je me suis rendu compte de quelque chose : le processus "Processus inactif du système" est en permanence en activité, et il oscille toujours entre 80 et 99 dans la colonne Processeur. Du coup, quand j'essaye de lancer plusieurs applications en même temps, mon PC se met à franchement ramer Est-ce normal que ce processus soit toujours aussi actif ? Sinon, as-tu une idée d'où ça peut venir ?

 

Merci d'avance et bonne fin de soirée,

 

Gahasa

[Thanos]

salut

 

Concernant ce processus inactif que tu peux voir en bas des processus, c'est tout à fait normal! le gestionnaire des tâches de windows n'est pas très bavard! si tu veux avoir plus d'infos sur les processus qui tournent sur ta machine, je te conseille plutôt d'utiliser un petit programme très bien et léger pour le remplacer : Process Explorer de Sysinternals => http://www.sysinternals.com/Utilities/ProcessExplorer.html

un tuto pour son utilisation => http://speedweb1.free.fr/frames2.php?page=outils7

 

Pour ce qui est de la lenteur du pc, il y a peut être une petite optimisation à faire:

-nettoyer le registre

-défragmenter le dd si ce n'est fait ( de manière régulière)

-appliquer les astuces de zeb (que tu retrouves dans le programme Zeb Utility téléchargeable à la rubrique "téléchargements")etc...

 

Tu me dis que tu n'utilise pas World Series of Online Poker? élimine ce dossier =>

 

c:\Documents and Settings\Propriétaire\Application Data\WholeSecurity

 

Magic Control ayant été éliminé, tu ne devrait plus avoir de pages internet qui s'ouvrent sur ce genre de site.

Je vais te demander une petit service :Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection :

- Voir les règles de Malware-Complaints

- Enregistre sur le forum à partir du bouton register en haut :

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age

 

Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforu...e115fda8cee41a4

 

Si le malware que tu as eu n'apparaît pas dans la liste, (le tien s'appelle Magic Control), créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10

 

Pour poster un message, clics sur le bouton "post reply" et remplir les informations.

 

Si tu as des questions ou des problèmes, n'hésites pas à me demander ici ou à contacter un des modérateurs du forum : Kimberly, AgnesD ou ipl_001.

 

Je repasse pour des conseils de sécurité

Modifié le 31 octobre 2006 par charles ingals