Aller au contenu

Messages recommandés

Bonjour à tous.

Après de multiples apparitions de pages non souhaitées sur mon navigateur, j'ai fait une analyse en ligne panda et voici le rapport.

Merci de me donner la marche à suivre pour l'éliminer de mon système.

D'avance merci pour le coup de main.

Hervé

 

;***********************************************************************************************************************************************************************************

ANALYSIS: 2011-10-13 22:06:16

PROTECTIONS: 1

MALWARE: 3

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Windows Defender Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\users\aubert\appdata\roaming\microsoft\windows\cookies\c8ncdbaz.txt

08558814 W32/Katusha.BN Virus Yes 1 Yes No c:\program files\common files\arcsoft\connection service\bin\acservice.exe

08558814 W32/Katusha.BN Virus Yes 1 Yes No c:\program files\bonjour\mdnsresponder.exe

08558814 W32/Katusha.BN Virus Yes 1 Yes No c:\windows\system32\atieclxx.exe

08558814 W32/Katusha.BN Virus Yes 1 Yes No c:\windows\system32\atiesrxx.exe

08558814 W32/Katusha.BN Virus Yes 1 Yes No c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe

08558814 W32/Katusha.BN Virus Yes 1 Yes No c:\program files\common files\microsoft shared\windows live\wlidsvc.exe

08558814 W32/Katusha.BN Virus Yes 1 Yes No c:\program files\google\update\googleupdate.exe

08558814 W32/Katusha.BN Virus Yes 1 Yes No c:\program files\microsoft\search enhancement pack\seaport\seaport.exe

08953789 Trj/ZAccess.B Virus/Trojan No 0 Yes No c:\windows\685236862:2166171863.exe

08953789 Trj/ZAccess.B Virus/Trojan Yes 0 Yes No c:\windows\685236862:2166171863.exe

;===================================================================================================================================================================================

SUSPECTS

Sent Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================

VULNERABILITIES

Id Severity Description

;===================================================================================================================================================================================

;===================================================================================================================================================================================

Modifié par jurassic herve

Partager ce message


Lien à poster
Partager sur d’autres sites

en plus j'ai fait un scan Hitjackthis ci dessous :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:45:03, on 13/10/2011

Platform: Unknown Windows (WinNT 6.01.3504)

MSIE: Internet Explorer v8.00 (8.00.7600.16839)

Boot mode: Safe mode

 

Running processes:

C:\windows\explorer.exe

C:\windows\system32\ctfmon.exe

C:\Users\AUBERT\Downloads\HiJackThis(1).exe

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')

O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe

O23 - Service: AMD External Events Utility - AMD - C:\windows\system32\atiesrxx.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

 

--

End of file - 3272 bytes

 

fait en mode sans échec, merci de me donner si possible la marche à suivre pour que tout rentre dans l'ordre :)

Partager ce message


Lien à poster
Partager sur d’autres sites

A tous, je me suis débrouillé tout seul, bizarre de n'avoir aucune aide cette fois ci, peut être que je me suis trompé de sujet ? Bref, avec mes connaissances j'ai supprimé les fichiers infecté, peut être que tout n'est pas clean mais apparemment il n'y avait personne pour me filer un coup de mais cette fois.

A plus tout le monde.

 

:chpas:

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour jurassic herve, ;)

 

A tous, je me suis débrouillé tout seul, bizarre de n'avoir aucune aide cette fois ci, peut être que je me suis trompé de sujet ? [...] mais apparemment il n'y avait personne pour me filer un coup de mais cette fois.

arrow511.gif Le fait que tu aies fais suivre ton 1er message d'un 2ème message a pu faire croire aux helpers que tu étais déjà pris en charge (ils ne voient plus "0 réponse").

 

arrow511.gifJe te propose de faire comme suit :

 


  •  
  • tu postes un log ZHPDiag (beaucoup plus fiable que HiJackThis, qui est malheureusement devenu obsolète)
  • je contacte un helper pour voir s'il peut te prendre en charge dès que tu auras posté le log ZHPDiag
  • j'ai remplacé le [RESOLU] par [NON RESOLU]

arrow511.gifVoici comment obtenir un log ZHPDiag :

 

  • Télécharge ZHPDiag de Nicolas Coolman :
  • Enregistre-le sur ton Bureau
  • Pour lancer l’installation :
    - Sous XP : double-clique sur "ZHPDiag.exe"
    - Sous Vista ou Windows 7 : clique droit sur "ZHPDiag.exe" puis « exécuter en tant quadministrateur »
    - N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau
  • 2 icônes sont à présent créées sur le Bureau : ZHPDiag et ZHPFix
  • ZHPDiag une fois installé, vérifie sa dernière mise à jour avec la grosse flèche verte
  • Pour lancer l’exécution :
    - Sous XP : double-clique sur "ZHPDiag"
    - Sous Vista ou Windows 7 : clique droit sur "ZHPDiag" puis « exécuter en tant quadministrateur »
  • Clique sur l’icône TOURNEVIS
  • Clique sur l'icône LOUPE pour lancer l'analyse et patiente jusqu’à ce que le scan indique 100%
  • Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente.
  • Toutefois, en cas de blocage réel sur la section O80, clique sur sur l’icône TOURNEVIS pour le décocher.
  • A présent, ferme "ZHPDiag"
  • Tu trouveras le rapport généré par cette analyse sur le Bureau
  • Pour poster ton rapport :
    - n’effectue pas un simple copier-coller du rapport, car il est trop long pour le forum
    - il convient de l’héberger, par exemple sur Ci-Joint : sur la page qui s’ouvre, clique sur « Parcourir » dans la partie « Sélectionnez le fichier que vous souhaitez déposer » , sélectionne le rapport ZHPDiag.txt qui se trouve sur le Bureau et clique ensuite sur « Cliquez ici pour déposer le fichier » ; un lien va t’être fourni :
    --> copie-colle ce lien dans ta prochaine réponse

 

Bon dimanche,

Tonton

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour jurassic herve ,tonton :D

 

Applique ce que demande Tonton, l'infection Trj/ZAccess est très difficile a supprimer ;)

Même si ton ordinateur semble aller mieux, on peut faire une vérification.

 

A+

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour et merci de t'occuper de mon problème.

En apparence j'ai l'impression que tout est ok mais à chaque extinction du PC il y a des mises à jours qui tentent de s'installer et qui n'aboutissent pas correctement !???? peut être encore du travail de sape de la bestiole ?

Ci joint le rapport de scan Cijoint.fr - Service gratuit de dépôt de fichiers

A plus pour ton avis.

:super:

Modifié par jurassic herve

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour jurassic herve

Il y a encore beaucoup de Bêbetes sur ton ordinateur. :D

 

  • Ferme toutes les applications ouvertes
  • Désactive tes défenses (anti-virus et anti-spyware)
  • Double-clique sur ZHPFix Un raccourci installé par ZHPDiag sur le Bureau
     
    Pour Vista et seven
    fais un clique droit sur l'icône et exécute en tant qu'administrateur
    zhpfix.jpg
     
     
    Sélectionne et surligne correctement avec la souris et "Clique droit > "Copier" ou "Ctrl+C"
    ces lignes ci dessous :
     
    M3 - MFPP: Plugins - [AUBERT] -- C:\Users\AUBERT\AppData\Roaming\Mozilla\Firefox\Profiles\b7zr1pv1.default\searchplugins\conduit.xml
    O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline
    O4 - HKUS\S-1-5-21-3954465660-3515360302-440807632-1000\..\Run: [AdobeBridge] Clé orpheline
    [MD5.00000000000000000000000000000000] [APT] [GoogleUpdateTaskMachineCore] (...) -- C:\Program Files\Google\Update\GoogleUpdate.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [GoogleUpdateTaskMachineUA] (...) -- C:\Program Files\Google\Update\GoogleUpdate.exe (.not file.)
    O42 - Logiciel: pdfforge Toolbar v1.1.2 - (.Spigot, Inc..) [HKLM] -- {5791B7D3-8B34-4218-9750-6A8E45D0AD32}
    [HKCU\Software\7ee2d728]
    [HKCU\Software\AppDataLow\Software\Conduit]
    [HKCU\Software\AppDataLow\Software\pdfforge]
    [HKCU\Software\AppDataLow\Toolbar]
    [HKCU\Software\Conduit]
    [HKCU\Software\Search Settings]
    [HKLM\Software\Application Updater]
    [HKLM\Software\Conduit]
    [HKLM\Software\Search Settings]
    [HKLM\Software\pdfforge]
    [HKCU\Software\Microsoft\Internet Explorer\lowregistry\search settings]
    [HKLM\Software\Classes\AppID\eoenginebho.dll]
    [HKLM\Software\Classes\eoenginebho.eobho]
    [HKLM\Software\Classes\eoenginebho.eobho.1]
    [HKLM\Software\Classes\Toolbar.ct2504091]
    [HKLM\Software\Classes\Installer\Features\3D7B197543B881247905A6E8540DDA23]
    [HKLM\Software\Classes\Installer\Products\3D7B197543B881247905A6E8540DDA23]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\3D7B197543B881247905A6E8540DDA23]
    [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
    [MD5.BE1201B60E2D77B4E2115A72FCF348DE] [sPRF][8/8/2010] (...) -- C:\Users\AUBERT\AppData\Roaming\mdbu.bin [78742]
    O43 - CFD: 2/26/2011 - 9:12:24 PM - [85] ----D- C:\Program Files\Application Updater
    O43 - CFD: 3/12/2010 - 9:56:44 PM - [520728] ----D- C:\Program Files\Conduit
    O43 - CFD: 4/22/2010 - 10:19:30 PM - [2884616] ----D- C:\Program Files\pdfforge Toolbar
    O43 - CFD: 3/12/2010 - 9:57:32 PM - [20] ----D- C:\ProgramData\Azureus
    O43 - CFD: 8/4/2010 - 9:36:10 AM - [41091] ----D- C:\Users\AUBERT\AppData\Roaming\Azureus
    O43 - CFD: 3/3/2010 - 9:23:06 PM - [20578] ----D- C:\ProgramData\McAfee
    O43 - CFD: 2/28/2010 - 11:51:22 PM - [155] ----D- C:\ProgramData\Norton
    O43 - CFD: 12/29/2009 - 9:39:02 PM - [7187571] ----D- C:\ProgramData\NortonInstaller
    O43 - CFD: 10/10/2011 - 9:24:14 PM - [90112] -SH-D- C:\Users\AUBERT\AppData\Local\7ee2d728
    O43 - CFD: 9/21/2011 - 7:11:04 PM - [0] ----D- C:\Users\AUBERT\AppData\Local\{9EA7D858-2CC7-4303-8172-C77F76997578}
    O43 - CFD: 9/21/2011 - 6:46:46 PM - [0] ----D- C:\Users\AUBERT\AppData\Local\{D3330526-CC7A-40E5-B0C7-914288117BFE}
    O58 - SDL:[MD5.14FE36D8F2C6A2435275338D061A0B66] - 2/28/2010 - 11:19:02 AM ---A- . (.Avira GmbH - Avira Minifilter Driver.) -- C:\windows\system32\drivers\avgntflt.sys [56816]
    O69 - SBI: C:\Users\AUBERT\AppData\Roaming\Mozilla\Firefox\Profiles\b7zr1pv1.default\searchplugins\conduit.xml
    O69 - SBI: prefs.js [AUBERT - b7zr1pv1.default] user_pref("CT2504091.SearchEngine", "Search||http://search.conduit.com/Results.aspx?q=UCM_SEARCH_TERM&ctid=CT2504091&octid=EB_ORIGINAL_CTID");
    O69 - SBI: prefs.js [AUBERT - b7zr1pv1.default] user_pref("CT2504091.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q="'>http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=");
    O69 - SBI: prefs.js [AUBERT - b7zr1pv1.default] user_pref("CT2504091.myStuffSearchUrl", "http://search.conduit.com/Results.aspx?
    O69 - SBI: prefs.js [AUBERT - b7zr1pv1.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}");
    O69 - SBI: prefs.js [AUBERT - b7zr1pv1.default] user_pref("keyword.URL", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=");
     
    FirewallRAZ
    EmptyTemp
    EmptyFlash
  • Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) icone-H.jpg puis sur l'icône de la "malette cachée par la feuille" malette-cachee.jpg .
     
  • Vérifie que toutes les lignes que je t'ai demandé de copier sont dans la fenêtre.
  • Et seulement ces lignes
  • Puis clique sur le bouton [OK]
  • A ce moment apparaîtra au début de chaque ligne
    une petite case vide. [ ]
  • Ensuite clique sur Tous puis sur Nettoyer
  • Valide par Oui la désinstallation des programmes si demandé
  • Laisse l'outil travailler. Si un redémarrage est demandé accepte et redémarre le PC
  • Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
     
    Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

  • Télécharge Sur cette page AdwCleaner de Xplode
    adwcleaner_1-2cc7b00.jpg
    clique sur Télécharger et enregistre le fichier sur ton Bureau
     
  • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
    /!\ Sous Vista et Windows 7
    il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
     
  • Sur le menu principal
    clique sur Suppression et patiente le temps de l'analyse
    110906042614938066.jpg
  • A la fin du scan
    un rapport AdwCleaner[R].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
    Le rapport se trouve sous C:\AdwCleaner[R].txt

 

Post déja ces rapports on vois ensuite pour le reste ;)

 

A+

Partager ce message


Lien à poster
Partager sur d’autres sites

jurassic herve

 

Trés bien :super:

 

La suite prend le temps de bien lire les indications OK:

 

  • Télécharge

load_tdsskiller
de Loup Blanc sur ton Bureau
 
Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller
un fix de Kaspersky.
 
Puis Télécharger TDSSkillerde Kaspersky sur le Bureau
 
Faire un double clique sur load_tdsskiller pour le lancer.(clique droit -> lancer en tant qu'adminstrateur sous Vista et seven )
Cliquer sur Start scan pour lancer l'analyse
 
 
0001img-2421.png
 
 
Lorsque l'outil a terminé son travail d'inspection
si des nuisibles ("Malicious objects") ont été trouvés
vérifier que l'option (Cure) est sélectionnée
 
0002img-40.png
 
Si des objects suspects ("Suspicious objects") ont été détectés
sur l'écran de demande de confirmation
modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip)
 
Puis cliquer sur le bouton (Continue) puis sur [Reboot Now]
Attendre l'affichage du fichier rapport.
 
Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage
cliquer sur le bouton (Reboot computer).
Post: le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
 
A+
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
 
Si Suspicious file est indiqué
laisse l'option cochée sur Skip
 
Clique sur Continue puis sur Reboot now pour redémarrer le PC.
 
Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil HH.MM.SS heure de passage).

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×