Problème de toolbar

[merry18]

Re,

Je n'ai pas détecté de rogue, ni suspecté quoi que ce soit, en revanche quand j'ai installé ce fameux logiciel (final media player) que j'ai supprimé par la suite comodo m'a detecté un fichier suspect que j'ai immédiatement mis en quarantaine, de plus quand je n'ai pas totalement confiance je crée des points de restauration dans comodo, cependant penses tu qu'il serait préférable que j'installe roguekiller et que je fasse une detection?

 

J'ai installé unhide et lorsque je le lance une fenêtre s'affichait:

Windows-Lecteur non prêt

Exception Processing Message c000000a3 Parameters 75afbf7c 4 75afbf7c 75afbf7c

 

Je suis passé outre le message et j'ai continué, le logiciel s'est lancé, j'ai redémarré et les fichiers sont réapparus, merci beaucoup!!!

Le soucis c'est de connaitre la cause de cette disparition car c'est vraiment tout récent et je n'ai eu aucune détection de quoi que ce soit, ces problèmes sont vraiment apparus quand j'ai installé ce logiciel et que cette toolbar indésirable s'est installée. Aurais tu une autre manipulation à me conseiller?

En tout cas je te remercie encore pour ton aide prècieuse!

[Apollo]

Oui, si par exemple tu vois des icône +/- transparentes sur le bureau, il faut que tu ailles dans les options dossiers/affichage afin de le remettre par défaut/

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

Pour les recacher, suis le même chemin et sous l'onglet Affichage, fais exactement l'inverse avec les cases ou clique sur "Paramètres par défaut".

 

On va quand-même passer RK pour voir:

 

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

++

[merry18]

Cette manipulation je dois la faire si des icones deviennent transparentes sur le bureau c'est bien ça? Mais comment cela se fait-il qu'elles se "modifient"?

 

 

Sinon, j'ai installé RogueKiller même si comodo me l'a détecté comme malveillant je suis passé outre, j'ai fait le scan RogueKiller, voilà le rapport:

 

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Blog: http://tigzyrk.blogspot.com

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Meria Faith [Droits d'admin]

Mode: Recherche -- Date: 11/04/2012 00:18:23

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 3 ¤¤¤

[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{A97E5E1A-01AA-4D15-8805-CB5D7091CDF7} : NameServer (8.26.56.26,156.154.70.22) -> FOUND

[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{A97E5E1A-01AA-4D15-8805-CB5D7091CDF7} : NameServer (8.26.56.26,156.154.70.22) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] bd6b320c17e41d47c4f0bec960a77b27

[bSP] 4217c76daa4c7dc5aa3a86461673dc7c : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 99998 Mo

1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 204796620 | Size: 52619 Mo

Error reading LL1 MBR!

Error reading LL2 MBR!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

 

J'ai également fait un screen de cette fameuse barre (j'aurais peut être dû le faire plus tôt) http://cjoint.com/data/0DlaCEO0SJQ.htm

 

 

Merci encore pour ta patience et tes explications qui sont vraiment claires!

Modifié le 10 avril 2012 par merry18

[Apollo]

Mouais, il faudra p'tètre désinstaller à fond Firefox mais on verra bien.

 

Relance Rogue Killer >>>> suppression puis poste le rapport stp.

 

@++

 

EDIT:

comodo me l'a détecté comme malveillant

C'est un parano suilà Modifié le 10 avril 2012 par Apollo

[merry18]

J'ai relancé RogueKiller en activant la suppression ensuite, voilà le nouveau rapport:

 

 

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/49)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Meria Faith [Droits d'admin]

Mode: Suppression -- Date: 11/04/2012 01:01:25

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 2 ¤¤¤

[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{A97E5E1A-01AA-4D15-8805-CB5D7091CDF7} : NameServer (8.26.56.26,156.154.70.22) -> NOT REMOVED, USE DNSFIX

[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{A97E5E1A-01AA-4D15-8805-CB5D7091CDF7} : NameServer (8.26.56.26,156.154.70.22) -> NOT REMOVED, USE DNSFIX

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] bd6b320c17e41d47c4f0bec960a77b27

[bSP] 4217c76daa4c7dc5aa3a86461673dc7c : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 99998 Mo

1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 204796620 | Size: 52619 Mo

Error reading LL1 MBR!

Error reading LL2 MBR!

 

Termine : << RKreport[8].txt >>

RKreport[1].txt ; RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt

 

 

J'ai vu qu'il y avait une entrée de registre en moins, pense-tu que j'avais un rogue ou autre chose? Est ce que tu me conseilles également de supprimer Firefox pour le réinstaller entièrement?

J'essaie vraiment de faire attention pour que mon ordinateur soit protégé le mieux possible donc au moindre élément suspect j'essaie de bien m'informer pour ne pas refaire les même erreurs ou pour savoir comment faire en cas de problèmes, j'ai déjà eu de gros ennuis suite à une infection (bluescreen, pc qui s’éteint tout seul etc) donc je fais tout pour que cela ne recommence pas!

 

 

Cordialement

[Apollo]

Lance encore une fois Rogue Killer et clique cette fois sur DNS Raz poste le rapport.

 

----------

Ensuite:

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

 

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

 

 

Et coche les 2 options supplémentaires:

 

 

Clique sur Start scan pour lancer l'analyse.

 

 

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

 

En général, laisse les options proposées par défaut par l'outil

 

 

l'option "delete" (effacer) est bien cochée pour la famille TDL2

 

l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe

 

l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)

 

 

l'option "cure" (réparer ) pour la famille TDL3.

 

l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).

 

l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

 

puis clique sur Continue.

 

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

 

 

 

En fin d'analyse il peut être demandé de relancer la machine:

 

 

clique sur Reboot Now.

 

- Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

 

- Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:

SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

++

[Apollo]

J'ai vu qu'il y avait une entrée de registre en moins, pense-tu que j'avais un rogue ou autre chose? Est ce que tu me conseilles également de supprimer Firefox pour le réinstaller entièrement?

 

Il s'agit d'un détournement DNS, il faudrait arrêter le service client dns et ne le réactiver que lorsqu'on doit réparer la connexion: Apollo Et Compagnie :: Echec du vidage du cache DNS sur XP.

[merry18]

Voilà le rapport de Rogue Killer:

 

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/49)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Meria Faith [Droits d'admin]

Mode: DNS RAZ -- Date: 11/04/2012 01:24:52

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Entrees de registre: 2 ¤¤¤

[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{A97E5E1A-01AA-4D15-8805-CB5D7091CDF7} : NameServer (8.26.56.26,156.154.70.22) -> ERROR

[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{A97E5E1A-01AA-4D15-8805-CB5D7091CDF7} : NameServer (8.26.56.26,156.154.70.22) -> ERROR

 

Termine : << RKreport[10].txt >>

RKreport[10].txt ; RKreport[1].txt ; RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt ;

RKreport[9].txt

 

 

Et voilà le rapport de TDSSKiller Lien CJoint.com 0DlbJpM1ca3 qui m'a detecté 2 "objets", mais j'ai laissé l'option "skip" par défaut.

[merry18]

Un détournement de DNS? C'est lié à cette barre qui s'est installée dans firefox? J'ai lu que ça pouvait être lié à du pishing??

 

Du coup j'ai été sur le site que tu m'as donné j'ai suivit les étapes c'est à dire:

1. Cliquez sur Démarrer, cliquez sur Exécuter, tapez services.msc et puis cliquez sur OK.

2. Dans la liste de services, cliquez sur Client DNS.

3. Assurez-vous que la colonne État affiche Démarré et que la colonne Type de démarrage affiche Automatique.

 

La colonne Etat affiche bien Démarré et la colonne Type de démarrage affiche bien automatique mais est ce qu'il y a une autre étape?

[Apollo]

La colonne Etat affiche bien Démarré et la colonne Type de démarrage affiche bien automatique mais est ce qu'il y a une autre étape?

Laisse le client DNS activé tant que ce n'est pas désinfecté; tu pourras le désactiver et l'arrêter + tard...

 

 

Mince voilà que ça a foiré avec Rogue Killer, il faudra réessayer plus tard avec une nouvelle version peut-être, mais en attendant je te laisse des instructions que je regarderai demain matin car là je vais ronfler si je veux me lever assez tôt...

 

1)

• Télécharger

SFT.exe de Pierre13.
 
Double clique (xp) sur SFT.exe.
Clic droit sur le fichier et choisir Exécuter en tant qu’administrateur. (sous Vista/7).
Patienter le temps du nettoyage...dépend du nombre de fichiers à nettoyer.
 

 
Un rapport va s'ouvrir à la fin.
Poster ce rapport sur le forum.
Le rapport se trouve sur le bureau (SFT.txt)

 

Le rapport est trop long, l'héberger sur Accueil de Cjoint.com et me communiquer le lien, stp.

 

Compatible avec XP, (32), Windows Vista et Windows 7 en 32 et 64 bits.

 

 

-----------------------------

2) MBAM: Ne pas accepter la proposition d'essai de la version Pro sous peine de conflits possibles. (c'est comme vous voulez)

 

Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau.

 

|MG| Malwarebytes Anti-Malware 1.61.1.1400 Download

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

 

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++