Bibou Le Forum
Portail sur la sécurité
 
PortailAccueilRechercherS'enregistrerMembresGroupesConnexion

Partagez | 
 

 virus? http://travaillez%20plus.com [RESOLU]

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: virus? http://travaillez%20plus.com [RESOLU]   Dim 9 Aoû 2009 - 22:33

Bonjour,
Depuis bientot 7/8 mois, dès que je me connecte sur internet je tombe sur la page http://travaillez%20plus.com, j'ai eu beau essayer de changer les paramètres d'internet etc cela n'a rien fait. Cependant hormis ce désagrément et quelques fenetres inopportunes disant "il est temps de se mettre au travail, au lieu de rester à ne rien faire d'important!! ce n'est pas un mabraze ici!!) mon ordinateur marchait normalement donc je n'ai pas cherché plus loin. Le problème c'est qu'aujourd'hui mon ordinateur multiplie les messages d'erreur allant de "l'instruction à "0x44421fa0" emploie l'adresse mémoire "0x01730790". La mémoire ne peut pas être "read"" à "le problème semble être causé par le fichier suivant : aswsp.sys. une tentative d'écriture dans la mémoire en lecture seule a été effectué" avec une opération de vidage de la mémoire. Je ne m'y connais pas assez en informatique pour savoir si tout ceci est lié, et c'est pour agir avant que ca n'empire plus que je vous contacte. Par ailleurs, sur internet un autre symptome apparait: je ne peux plus accéder à toutes les pages qui demandent de s'identifier (donc aucun acces à la messagerie, ni à des sites comme facebook etc etc)
je vous remercie par avance de m'aider à y voir plus clair
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Lun 10 Aoû 2009 - 1:48

Salut.

C'est un virus transmis par USB.

• Télécharge et installe UsbFix par Chiquitine29

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir


• Double clique sur le raccourci UsbFix présent sur ton bureau .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

• Laisse travailler l'outil.

• Ensuite poste le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.



• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

++
Revenir en haut Aller en bas
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Lun 10 Aoû 2009 - 14:37

Voici le rapport UsbFix:


############################## | UsbFix V6.014 |

User : Marie-Laure (Administrateurs) # SN012345678912
Update on 04/08/09 by Chiquitine29 & C_XX
Start at: 14:27:45 | 10/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Turion(tm) 64 X2 Mobile Technology TL-50
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : Norton Internet Security 2006 2006 [ Enabled | (!) Outdated ]
AV : avast! antivirus 4.8.1335 [VPS 090809-0] 4.8.1335 [ (!) Disabled | Updated ]
FW : Norton Internet Worm Protection[ (!) Disabled ]2006
FW : Norton Internet Security 2006[ Enabled ]2006

C:\ -> Disque fixe local # 85,34 Go (12,07 Go free) [HDD] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM # 3,79 Mo (0 Mo free) [U3 System] # CDFS
G:\ -> Disque amovible # 476,95 Mo (184,76 Mo free) [Intuix key] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\PROGRA~1\Wanadoo\ALERTM~1.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Marie-Laure\Application Data\U3\0DE1A8603050D8EF\LaunchPad.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Présent ! C:\Documents and Settings\Marie-Laure\RavMonLog
Présent ! E:\autorun.inf
G:\autorun.inf # -> fichier appelé : "G:\wscript.exe antinul.vbe" ( Absent ! )
Présent ! G:\autorun.inf

################## | Other | http://www.virustotal.com |


################## | Registre # Clés Run infectieuses |

Présent ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )
Présent ! HKCU\SOFTWARE\...\CurrentVersion\Policies\System "DisableRegistryTools" ( 0x1 )

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{12541d70-04bf-11dd-a003-001060fb56c3}
Shell\AutoRun\command =E:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{12541d71-04bf-11dd-a003-001060fb56c3}
Shell\Auto\command =F:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{1593b55e-eed5-11dc-9feb-001060fb56c3}
Shell\Auto\command =E:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{37bdf92b-6d0f-11dc-9f52-001060fb56c3}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

HKCU\..\..\Explorer\MountPoints2\{50fd4995-556e-11dc-9f29-001060fb56c3}
Shell\Auto\command =E:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{569822fa-5be7-11dc-9f3c-001060fb56c3}
Shell\Auto\command =E:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{5aa8f9f1-3bcb-11dd-a043-001060fb56c3}
Shell\Auto\command =E:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{6a876a8c-d7b4-11db-9e37-001060fb56c3}
Shell\Auto\command =F:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{78fe74a4-f8da-11db-9e80-001060fb56c3}
Shell\Auto\command =E:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{8f41b2af-cf34-11dc-9fc0-001060fb56c3}
Shell\AutoRun\command =E:\LaunchU3.exe

HKCU\..\..\Explorer\MountPoints2\{8f41b2b0-cf34-11dc-9fc0-001060fb56c3}
Shell\Auto\command =F:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{9b78e89c-240a-11dc-9ebf-0040d099aa57}
Shell\Auto\command =E:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{9f049b3e-1e36-11dc-9eb9-0040d099aa57}
Shell\Auto\command =E:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{a8d3a6c8-392a-11dc-9ed7-0040d099aa57}
Shell\AutoRun\command =wscript.exe antinul.vbe
Shell\open\Command =wscript.exe antinul.vbe

HKCU\..\..\Explorer\MountPoints2\{ac27c2f0-3965-11dd-a03e-001060fb56c3}
Shell\Auto\command =E:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{addaac0e-cc1d-11db-9e20-001060fb56c3}
Shell\Auto\command =E:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{af0c1a96-83af-11dc-9f6c-001060fb56c3}
Shell\Auto\command =E:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{b713f870-249a-11dc-9ec3-0040d099aa57}
Shell\Auto\command =E:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{c28bb8c3-1862-11dd-a010-001060fb56c3}
Shell\Auto\command =E:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{c28bb8c4-1862-11dd-a010-001060fb56c3}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{c5faae7f-b6f0-11dc-9fa5-001060fb56c3}
Shell\Auto\command =E:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{d2a38560-de0b-11db-9e3e-001060fb56c3}
Shell\Auto\command =E:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{e9188d20-b927-11db-9dd7-001060fb56c3}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{f40c954e-6828-11db-9d7a-001060fb56c3}
Shell\AutoRun\command =E:\LaunchU3.exe

HKCU\..\..\Explorer\MountPoints2\{f40c954f-6828-11db-9d7a-001060fb56c3}
Shell\AutoRun\command =wscript.exe antinul.vbe
Shell\open\Command =wscript.exe antinul.vbe

HKCU\..\..\Explorer\MountPoints2\{f60c399c-089d-11dc-9e8a-a74e085bca6d}
Shell\Auto\command =E:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{fb0b1051-2bee-11dd-a034-001060fb56c3}
Shell\Auto\command =E:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.014 ! |
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Lun 10 Aoû 2009 - 14:42

Salut ! Wink

Effectivement, belle infection ! Smile UsbFix a bien trouvé l'infection "TravaillezPlus".

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

• Double clique sur le raccourci UsbFix présent sur ton bureau

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

++
Revenir en haut Aller en bas
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Lun 10 Aoû 2009 - 21:43

Voici le second rapport:


############################## | UsbFix V6.014 |

User : Marie-Laure (Administrateurs) # SN012345678912
Update on 04/08/09 by Chiquitine29 & C_XX
Start at: 21:27:56 | 10/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Turion(tm) 64 X2 Mobile Technology TL-50
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : Norton Internet Security 2006 2006 [ Enabled | (!) Outdated ]
AV : avast! antivirus 4.8.1335 [VPS 090809-0] 4.8.1335 [ (!) Disabled | Updated ]
FW : Norton Internet Worm Protection[ (!) Disabled ]2006
FW : Norton Internet Security 2006[ Enabled ]2006

C:\ -> Disque fixe local # 85,34 Go (12,01 Go free) [HDD] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM # 3,79 Mo (0 Mo free) [U3 System] # CDFS
G:\ -> Disque amovible # 476,95 Mo (140,74 Mo free) [Intuix key] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\Documents and Settings\Marie-Laure\RavMonLog
G:\autorun.inf # -> fichier appelé : "G:\wscript.exe antinul.vbe" ( Absent ! )
(!) Non supprimé ! E:\autorun.inf
Supprimé ! G:\autorun.inf

################## | Other |


################## | Suspect ... | http://www.virustotal.com |


################## | Registre # Clés Run infectieuses |

# HKLM\software\microsoft\security center "AntiVirusDisableNotify" # -> Reset sucessfully !
# HKLM\software\microsoft\security center "FirewallDisableNotify" # -> Reset sucessfully !
# HKCU\SOFTWARE\...\CurrentVersion\Policies\System "DisableRegistryTools" # -> Reset sucessfully !

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{12541d70-04bf-11dd-a003-001060fb56c3}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{12541d71-04bf-11dd-a003-001060fb56c3}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{1593b55e-eed5-11dc-9feb-001060fb56c3}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{37bdf92b-6d0f-11dc-9f52-001060fb56c3}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{50fd4995-556e-11dc-9f29-001060fb56c3}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{569822fa-5be7-11dc-9f3c-001060fb56c3}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{5aa8f9f1-3bcb-11dd-a043-001060fb56c3}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{6a876a8c-d7b4-11db-9e37-001060fb56c3}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{78fe74a4-f8da-11db-9e80-001060fb56c3}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8f41b2af-cf34-11dc-9fc0-001060fb56c3}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8f41b2b0-cf34-11dc-9fc0-001060fb56c3}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{9b78e89c-240a-11dc-9ebf-0040d099aa57}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{9f049b3e-1e36-11dc-9eb9-0040d099aa57}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{a8d3a6c8-392a-11dc-9ed7-0040d099aa57}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{ac27c2f0-3965-11dd-a03e-001060fb56c3}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{addaac0e-cc1d-11db-9e20-001060fb56c3}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{af0c1a96-83af-11dc-9f6c-001060fb56c3}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{b713f870-249a-11dc-9ec3-0040d099aa57}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{c28bb8c3-1862-11dd-a010-001060fb56c3}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{c28bb8c4-1862-11dd-a010-001060fb56c3}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{c5faae7f-b6f0-11dc-9fa5-001060fb56c3}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{d2a38560-de0b-11db-9e3e-001060fb56c3}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{e9188d20-b927-11db-9dd7-001060fb56c3}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{f60c399c-089d-11dc-9e8a-a74e085bca6d}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{fb0b1051-2bee-11dd-a034-001060fb56c3}\Shell\Auto\Command

################## | Listing des fichiers présent |

[31/08/2006 16:04|-rahs----|227] -> C:\BOOT.BAK
[04/08/2009 23:44|-rahs----|308] -> C:\BOOT.INI
[05/08/2004 14:00|-rahs----|4952] -> C:\Bootfont.bin
[05/08/2004 14:00|-rahs----|263488] -> C:\cmldr
[31/08/2006 15:41|--a------|6625] -> C:\DWNLOG.TXT
[?|?|?] -> C:\hiberfil.sys
[24/09/2008 18:20|--a------|284] -> C:\IComTracer.log
[31/08/2006 16:05|-rahs----|0] -> C:\IO.SYS
[31/08/2006 16:07|--ah-----|834] -> C:\IPH.PH
[31/08/2006 16:05|-rahs----|0] -> C:\MSDOS.SYS
[05/08/2004 14:00|--a------|47564] -> C:\NTDETECT.COM
[24/09/2008 17:56|--a------|252240] -> C:\NTLDR
[?|?|?] -> C:\pagefile.sys
[31/08/2006 15:57|--a------|440] -> C:\RHDSetup.log
[04/04/2006 10:28|--a------|97] -> C:\SAUDIT.TXT
[10/08/2009 21:32|--a------|6954] -> C:\UsbFix.txt
[13/02/2006 21:08|-r-------|145] -> E:\autorun.inf
[21/02/2006 13:34|-r-------|2998778] -> E:\LaunchPad.zip
[13/02/2006 21:09|-r-------|921600] -> E:\LaunchU3.exe
[26/03/2009 13:04|--a------|275389] -> G:\DSC06135bis.jpg
[07/08/2009 18:51|--a------|722336] -> G:\dvlpt.rtf
[13/02/2006 21:09|-ra------|921600] -> G:\LaunchU3.exe
[06/11/2008 15:20|--a------|31232] -> G:\PV CA DES 18 et 19 octobreDocument sans titre.wps
[02/04/2009 14:22|--a------|6589190] -> G:\23 ans h‚lŠne.rtf
[02/04/2009 14:22|--a------|297984] -> G:\23 ans h‚lŠne.doc
[07/08/2009 18:17|--a------|6237] -> G:\La politique de l'offre.rtf
[07/08/2009 17:36|--a------|26112] -> G:\Union Economique et Mon‚taire … envoy‚ … rachel.doc
[06/08/2009 22:31|--a------|25600] -> G:\petites phrases de la politique fiscale.doc
[07/08/2009 17:47|--a------|913526] -> G:\La politique de change … envoyer.rtf
[07/08/2009 18:16|--a------|60928] -> G:\Politique de prix … envoyer.doc
[01/07/2009 12:21|--a------|256737] -> G:\mag de l'actu les probl‚matiques de l'hopital.rtf
[05/08/2009 21:32|--a------|494495] -> G:\crise ‚conomique universalis.rtf
[06/08/2009 22:33|--a------|223401] -> G:\Politique fiscale.rtf
[04/08/2009 16:27|--a------|22462] -> G:\La r‚partition des fruits de la croissance.rtf
[05/08/2009 21:32|--a------|309078] -> G:\croissance ‚conomique universalis.rtf
[23/07/2009 16:50|--a------|83106] -> G:\La Constitution … imprimer.rtf
[07/08/2009 16:05|--a------|1201896] -> G:\la th‚orie des jeux universalis.rtf
[07/08/2009 16:54|--a------|338413] -> G:\couts de transaction universalis.rtf
[07/08/2009 16:49|--a------|63392] -> G:\th‚orie des contrats.rtf
[13/07/2009 16:26|--a------|10329] -> G:\Examen Finances MAP 2009 pti apercu.rtf
[13/07/2009 16:24|--a------|118202] -> G:\14104134-Inspecteur-externe-Conseil-de-preparation-epreuve-orale-n1[1].rtf
[13/07/2009 16:21|--a------|102256] -> G:\plan de droit communautaire mat‚riel MAP 2009.rtf
[25/07/2009 17:21|--a------|72798] -> G:\sites du patrimoine mondiale de l'unesco visit‚s.rtf
[05/08/2009 11:40|--a------|1411884] -> G:\Plume des politiques.rtf
[04/08/2009 16:19|--a------|71336] -> G:\SystŠme mon‚taire international.rtf

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# G:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.014 ! |


un grand merci à vous pour la rapidité des réponses Smile
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Lun 10 Aoû 2009 - 23:34

Re,

Pas de soucis ! Wink Toujours ces pages "Travaillez Plus" ?

Fais ceci stp :

*Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

http://images.malwareremoval.com/random/RSIT.exe

*Double-clique sur RSIT.exe.

*Clique sur Continue à l'écran Disclaimer.

*Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

*Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

*A noter: Les rapports se trouvent également ici: C:\rsit.

++
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Lun 10 Aoû 2009 - 23:36

PS : J'ai oublié :

Si tes rapports sont trop longs utilise ce site : http://www.miraclesalad.com/webtools/clip.php

Copie/colle ton rapport et clique sur le lien IP ADRESSE copie colle ton IP dans la zone adéquate puis clique sur le bouton Paste to new clipboard

Donne le lien dans ta prochaine réponse. Il est de type : http://www.miraclesalad.com/webtools/clip.php?clip=XXXX où xxxx est un numéro.

Merci.

++
Revenir en haut Aller en bas
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mar 11 Aoû 2009 - 0:08

Apparamment la page "travaillez plus" ne s'affiche plus au démarrage d'internet explorer, c'est la bonne nouvelle lol. Cependant, je continue à n'avoir aucun accès aux sites qui nécessitent un mot de passe comme facebook ou mes mails...


voila pour l'adresse où il y a info.txt : http://www.miraclesalad.com/webtools/clip.php?clip=3006

et voila l'adresse où il y a log.txt : http://www.miraclesalad.com/webtools/clip.php?clip=3007
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mar 11 Aoû 2009 - 0:21

Re,

SmitfraudFix :


Option 1 - Recherche :



*Télécharge Smitfraudfix et enregistre le sur le bureau

*Double clique sur smitfraudfix puis exécuter

*Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.

(attention : N'utilise pas l'option 2 si je ne te l'ai pas demandé !!)

*Copie/colle le rapport dans la réponse.


*Voici un tutoriel sonore et animé en cas de problème d'utilisation

(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

++
Revenir en haut Aller en bas
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mar 11 Aoû 2009 - 1:08

Re,

SmitFraudFix v2.423

Rapport fait à 1:03:46,51, 11/08/2009
Executé à partir de C:\Documents and Settings\Marie-Laure\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\PROGRA~1\Wanadoo\ALERTM~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Marie-Laure


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MARIE-~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Marie-Laure\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MARIE-~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 80.10.246.134
DNS Server Search Order: 80.10.246.7

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0026FD86-EC3C-439B-900C-A036F2E8A9B6}: NameServer=80.10.246.134 80.10.246.7
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0026FD86-EC3C-439B-900C-A036F2E8A9B6}: NameServer=80.10.246.134 80.10.246.7


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mar 11 Aoû 2009 - 1:24

Re,

SmitfraudFix :

Option 2 - Nettoyage :

Redémarre le PC en mode sans échec /!\ Ne passe pas par MSconfig, suis le tuto.

*Relance Smitfraudfix

*Sélectionne 2 pour supprimer les fichiers responsables de l'infection.

*A la question Voulez-vous nettoyer le registre ? réponds O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

*Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? réponds O (oui) pour remplacer le fichier corrompu. (Si tu n'as pas cette question, pas grave)

*Enregistre le rapport sur ton bureau

*Redémarre en mode normal et poste le rapport.

=============================================

*Télécharge Malwarebytes Anti-Malware (MBAM):

MBAM

*Installe-le en vérifiant que la case de mise à jour soit bien cochée en fin d'installation.

*Après la mise à jour, lance-le et coche "Examen Rapide". Puis "Rechercher".

*Si MBAM trouve quelque chose: fais "Voir les résultats" puis "Supprimer la sélection".

*Poste le rapport généré.

=====================================

Je vais au lit, à demain pour la suite.

Bonsoir à Montpellier, que je connais bien ! Wink
Revenir en haut Aller en bas
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mar 11 Aoû 2009 - 1:30

Bonne nuit Smile A demain et encore merci
Revenir en haut Aller en bas
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mar 11 Aoû 2009 - 2:51

voila le rapport de nettoyage de SmitfraudFix:

SmitFraudFix v2.423

Rapport fait à 1:44:45,09, 11/08/2009
Executé à partir de C:\Documents and Settings\Marie-Laure\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
Revenir en haut Aller en bas
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mar 11 Aoû 2009 - 2:52

et voici le rapport de MBAM:

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2551
Windows 5.1.2600 Service Pack 3

11/08/2009 02:29:05
mbam-log-2009-08-11 (02-29-05).txt

Type de recherche: Examen rapide
Eléments examinés: 102670
Temps écoulé: 5 minute(s), 21 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 6
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4e7bd74f-2b8d-469e-a0e8-ed6ab685fa7d} (Adware.2020Search) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{4e7bd74f-2b8d-469e-a0e8-ed6ab685fa7d} (Adware.2020Search) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\SystemDoctor Free (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Program Files\Fichiers communs\SystemDoctor (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\SystemDoctor Free (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\SystemDoctor Free\Data (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie-Laure\Application Data\SystemDoctor Free (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie-Laure\Application Data\SystemDoctor Free\Logs (Rogue.SystemDoctor) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\SystemDoctor Free\st.dat (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Program Files\Fichiers communs\SystemDoctor\err.log (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\SystemDoctor Free\Data\Abbr (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\SystemDoctor Free\Data\ActivationCode (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\SystemDoctor Free\Data\HOURS (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\SystemDoctor Free\Data\ProductCode (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie-Laure\Application Data\SystemDoctor Free\Logs\update.log (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mar 11 Aoû 2009 - 17:10

Salut ! Wink

> Bien ! MBAM a bien travaillé ! Smile N'installe plus SystemDoctor, c'est un rogue, un faux logiciel de sécurité.

>
Ré-ouvre MBAM, va sur l'onglet "Quarantaine" et supprime tout.

> Où en sont les soucis avec les sites facebook ...etc.. ?

> Tu utilises quel Antivirus ? Je vois Avast et Norton, es-tu attachée à un de ces deux-là ? Pour info, ils ne sont bons ni l'un ni l'autre.
Revenir en haut Aller en bas
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mar 11 Aoû 2009 - 17:38

Salut Smile

Bien noté pour SystemDoctor, je ferai attention maintenant ^^

Je viens de supprimer tout ce qui était en "quarantaine", mais la mauvaise nouvelle c'est que pour facebook, mes mails etc. ca n'a rien changé Sad

Pour les antivirus, je ne suis attachée ni à l'un ni à l'autre, c'est juste que je ne m'y connais pas assez pour savoir lesquels sont vraiment bons. Tu me conseillerais quoi?
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mar 11 Aoû 2009 - 18:22

Re.

>> Suis cette procédure pour supprimer toute trace de Norton:

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

>> Pour retirer Avast: http://www.avast.com/fre/avast-uninstall-utility.html

Pour voir pourquoi retirer Avast:
http://forum.malekal.com/viewtopic.php?f=45&t=11659

Pour avoir un meilleur AV : http://www.free-av.com/fr/telecharger/index.html

Et pour voir comment tout cela fonctionne: http://forum.malekal.com/ftopic4192.php

======================

Fais un scan complet avec Antivir et poste le rapport.

Comment se traduit exactement ton impossibilité à te rendre sur ces sites ? Les sites ne s'affichent pas du tout ? Tu ne peux pas entrer tes mots de passe...?

++
Revenir en haut Aller en bas
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mar 11 Aoû 2009 - 19:25

Re,

Ca a l'air d'avoir d'empirer Sad

Le téléchargement du logiciel pour supprimer Norton a été impossible, avec le message "internet explorer ne peut pas afficher cette page", message que j'ai d'ailleurs à chaque fois que je veux ouvrir une page avec un mot de passe ou un identifiant (cf. mes mails...)

En revanche j'ai pu télécharger aswclear et retirer avast mais depuis TOUTES les pages que je demande sur internet, avec mots de passe ou sans, me reviennent avec le message "internet explorer ne peut pas afficher cette page". Pourtant ma connection à internet semble marcher normalement car j'ai accès sans souci à msn.
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mar 11 Aoû 2009 - 20:52

Étrange...

Tu me parles depuis un autre poste ? As-tu essayer d'installer Firefox pour voir ?

http://www.mozilla-europe.org/fr/
Revenir en haut Aller en bas
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mar 11 Aoû 2009 - 21:08

Je te parle d'un autre pc portable.

Je viens de réessayer de me connecter pour télécharger firefox mais c'est toujours pareil, aucune page d'internet ne s'affiche... Sad
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mar 11 Aoû 2009 - 23:32

Tu peux faire passer les outils depuis une clé ?

Si oui, fais ceci :


Télécharge CCleaner, version Slim, sans toolbar:

CCLEANER

Va dans "Options">>"Avancé". Décoche la première ligne.

Va dans la section "Nettoyeur". Lance l'analyse. La liste créée, lance le nettoyage deux fois de suite afin d'obtenir 0bytes supprimé!

Ensuite dans "Registre", lance une recherche des erreurs. La liste créée, fais-les réparer.

Recommence ensuite le cycle Recherche/Réparation des erreurs jusqu'à n'en trouver aucune lors de la recherche.

================================

Puis, si tu peux refaire un scan RSIT et me le poster.

=================================

Si tu n'as pas de clé, essaie de faire ceci sur le pc infecté :

  • Clique sur "Démarrer"
  • Clique sur "Arrêter l'ordinateur"
  • Enfin, clique sur "Redémarrer".
  • Au reboot, tapote la touche F8 (ou F5), environ une touche par seconde, jusqu'à arriver sur le menu des options avancées.
  • A l'aide des flèches directionnelles de ton clavier, monte sur "Mode Sans Echec Avec Prise en Charge du Réseau".
  • Valide par [ENTREE]
  • Sur la page de choix du Système d'Exploitation, tape à nouveau [ENTREE]
    /!\ Si ton système met plus de temps à démarrer qu'à l'accoutumée, c'est normal.
  • Une boîte de dialogue t'informe ensuite que Windows travaille en Mode Sans Echec, clique sur "OUI".


Essaie de voir si tu as accès au net depuis ce mode.

===============================

Désolé, je ne peux pas rester ce soir. Bon courage.

++
Revenir en haut Aller en bas
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mer 12 Aoû 2009 - 1:51

Il n'y a pas de souci, tu n'as pas à t'excuser, je te prends déjà suffisamment de temps Embarassed passe une bonne soirée Smile.

Pour ton retour,

- en faisant la procédure de "mode sans échec avec prise en charge du réseau", ca n'a rien donné de concluant, au contraire: je n'ai même pas pu lancer une connexion bas débit par l'espace wanadoo (message d'erreur: "l'espace wanadoo ne peut pas être lancé. Il est possible que des fichiers aient été modifiés ou supprimés"). J'ai essayé de réinstaller l'espace wanadoo mais sans succès, à chaque fois que je tentais de lancer la connexion revenait le même message d'erreur.

- du coup j'ai fait la procédure de Ccleaner (en espérant que ma clef usb ne soit plus infectée???). Le nettoyage deux fois de suite a eu l'effet escompté, en revanche le cycle recherche/réparation ne m'a pas permis de supprimer deux problèmes qui revenaient sans cesse, en boucle. C'était deux "références manquantes de bibliothèques" l'une de type IWinPwSvc et l'autre de type IOutlookPlug. La correction de ses problèmes indiquait: "la bibliothèque de types positionnée dans l'Iterface ..... ne peut être localisée. Ce genre de référence est souvent laissée après la désinstallation d'un programme. Solution: effacer la clef registre"
Revenir en haut Aller en bas
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mer 12 Aoû 2009 - 1:55

Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mer 12 Aoû 2009 - 3:20

Re,

Quand tu seras de retour :

OTM :

Télécharge OTM (de Old_Timer) sur ton Bureau

Double-clique sur OTM.exe pour le lancer.

Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

-----------------------------------------------------------------------------


:processes
explorer.exe

:files
c:\program files\fichiers communs\systemdoctor\usdrdc.exe
c:\program files\fichiers communs\systemdoctor\dnse.exe
c:\program files\fichiers communs\systemdoctor\usdrmdr.exe
c:\windows\system32\tmp.txt

:commands
[purity]
[emptytemp]
[start explorer]


-----------------------------------------------------------------------------

Clique sur MoveIt! pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur Exit pour fermer.

Poste le rapport situé dans C:\_OTM\MovedFiles.

Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

===========PUIS=============

Essaie de désinstaller via le panneau de configuration Norton et de retenter une connexion au net.

============PUIS=============

* Télécharge Hijackthis et installe-le dans son dossier par défaut.

>> http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe


* Lance-le et choisis l'option "Do a system scan and save a logfile".

* Poste le rapport obtenu stp

++
Revenir en haut Aller en bas
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mer 12 Aoû 2009 - 14:33

Ca remarche Very Happy Very Happy Very Happy !!!! j'ai a nouveau accès à Internet, à mes mails et à facebook, ca fait plaisir Smile

J'espère que tu me confirmeras que c'est rentré dans l'ordre avec les rapports suivants:

- celui d'OTM:
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
File/Folder c:\program files\fichiers communs\systemdoctor\usdrdc.exe not found.
File/Folder c:\program files\fichiers communs\systemdoctor\dnse.exe not found.
File/Folder c:\program files\fichiers communs\systemdoctor\usdrmdr.exe not found.
c:\windows\system32\tmp.txt moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Daniel
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 2416205 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 2791940 bytes

User: Marie-Chantal
->Temp folder emptied: 554288 bytes
->Temporary Internet Files folder emptied: 304184 bytes

User: Marie-Laure
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\msdownld.tmp folder deleted successfully.
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 23618134 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 28,49 mb


OTM by OldTimer - Version 3.0.0.6 log created on 08122009_135822

Files moved on Reboot...

Registry entries deleted on Reboot...

- celui d'Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:20:48, on 12/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\PROGRA~1\Wanadoo\ALERTM~1.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) - http://photoservice.fujicolor.de/ips-opdata/objects/jordan-canvasx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0026FD86-EC3C-439B-900C-A036F2E8A9B6}: NameServer = 80.10.246.134 80.10.246.7
O17 - HKLM\System\CS1\Services\Tcpip\..\{0026FD86-EC3C-439B-900C-A036F2E8A9B6}: NameServer = 80.10.246.134 80.10.246.7
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe

--
End of file - 6518 bytes

PS: je pense avoir réussi à désinstaller norton au passage
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mer 12 Aoû 2009 - 15:56

Salut.

Ravi ! Very Happy

Tu peux maintenant installer Avira et poster le rapport. Le rapport Hijackthis m'a l'air clean ! Wink

Je repasserai ce soir pour te donner des conseils de protection et pour finir de nettoyer le pc.

Bonne journée.

++
Revenir en haut Aller en bas
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mer 12 Aoû 2009 - 22:08

Aviva est installé, voici le rapport:

Avira AntiVir Personal
Date de création du fichier de rapport : mercredi 12 août 2009 19:41

La recherche porte sur 1284893 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Mode sans échec
Identifiant : Marie-Laure
Nom de l'ordinateur : SN012345678912

Informations de version :
BUILD.DAT : 9.0.0.65 17959 Bytes 22/04/2009 12:06:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 19:33:26
ANTIVIR2.VDF : 7.1.2.105 513536 Bytes 03/03/2009 06:41:14
ANTIVIR3.VDF : 7.1.2.127 110592 Bytes 05/03/2009 13:58:20
Version du moteur : 8.2.0.100
AEVDF.DLL : 8.1.1.0 106868 Bytes 27/01/2009 16:36:42
AEscript.DLL : 8.1.1.56 352634 Bytes 26/02/2009 19:01:56
AESCN.DLL : 8.1.1.7 127347 Bytes 12/02/2009 10:44:25
AERDL.DLL : 8.1.1.3 438645 Bytes 29/10/2008 17:24:41
AEPACK.DLL : 8.1.3.10 397686 Bytes 04/03/2009 12:06:10
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26/02/2009 19:01:56
AEHEUR.DLL : 8.1.0.100 1618295 Bytes 25/02/2009 14:49:16
AEHELP.DLL : 8.1.2.2 119158 Bytes 26/02/2009 19:01:56
AEGEN.DLL : 8.1.1.24 336244 Bytes 04/03/2009 12:06:10
AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40
AECORE.DLL : 8.1.6.6 176501 Bytes 17/02/2009 13:22:44
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 17/02/2009 12:49:32
RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +JOKE,

Début de la recherche : mercredi 12 août 2009 19:41

La recherche d'objets cachés commence.
Impossible d'initialiser le pilote.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'12' processus ont été contrôlés avec '12' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '57' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\UsbFix\Quarantine\autorun.inf
[RESULTAT] Contient le modèle de détection du virus INF INF/Slogod.AX

Début de la désinfection :
C:\UsbFix\Quarantine\autorun.inf
[RESULTAT] Contient le modèle de détection du virus INF INF/Slogod.AX
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4af71fd4.qua' !


Fin de la recherche : mercredi 12 août 2009 22:00
Temps nécessaire: 2:18:18 Heure(s)

La recherche a été effectuée intégralement

9001 Les répertoires ont été contrôlés
347037 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
347035 Fichiers non infectés
8233 Les archives ont été contrôlées
1 Avertissements
2 Consignes
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mer 12 Aoû 2009 - 22:37

Re !

C'est tout bon. Tu peux repasser un coup de CCleaner, registre compris.

Puis poste un dernier rapport Hijackthis pour pouvoir finaliser la désinfection.

+
Revenir en haut Aller en bas
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mer 12 Aoû 2009 - 23:02

Coup de CCleaner, registre compris, OK Smile

Dernier rapport Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:59:16, on 12/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\WINDOWS\Explorer.EXE
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\trend micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) - http://photoservice.fujicolor.de/ips-opdata/objects/jordan-canvasx.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe

--
End of file - 6727 bytes
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mer 12 Aoû 2009 - 23:20

Très bien.

Relance Hijackthis, mais choisis cette fois l'option "Do a system scan only". La liste créée, coche les lignes suivantes :

Code:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab

O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) - http://photoservice.fujicolor.de/ips-opdata/objects/jordan-canvasx.cab

Puis clique sur "Fix Checked".

=================================

Nettoyage des outils:

▶ Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau:

Toolscleaner

▶ Clique sur Recherche et laisse le scan se terminer.

▶ Clique sur Suppression pour finaliser.

▶ Clique sur Quitter, pour que le rapport puisse se créer.

▶ Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

===============================

-- Tu peux garder MBAM et CCleaner, à passer régulièrement. Pense à mettre MBAM à jour avant chaque scan.

-- Tu peux installer un Firewall comme celui-ci : http://www.commentcamarche.net/telecharger/telecharger-34055293-pc-tools-firewall-plus

-- Pour ton AV, Avira est le plus performant actuellement en logiciel gratuit.

===============================

Mets à jour Java : JavaRa :

▶ Télécharge JavaRa.zip

▶ Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)

▶ Double-clique sur le répertoire JavaRa obtenu.

▶ Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)

▶ Clique sur Search For Updates.

▶ Sélectionne Update Using jucheck.exe puis clique sur Search.

▶ Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes.

▶ Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions.

▶ Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.

▶ Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.

* Note : le rapport se trouve aussi là : ( C:\JavaRa.log )

==============================

Redémarre ton pc. Si tout est ok, passe à la suite (sinon dis-moi) :

!! Très Important !!


Supprimer les anciens points de restauration:

▶ Clique droit sur "Poste de travail".
▶ Clique sur "Propriétés".
▶ Clique sur l'onglet "Restauration du système".
▶ Coche la case "Désactiver la restauration...", puis "Appliquer" et valide par "OK".

▶ Redécoche ensuite la case "Désactiver la restauration...", puis "Appliquer" et valide par "OK".

Les points sont supprimés.

Création d'un nouveau point:


▶ Clique sur "démarrer", "tous les programmes", "Accessoires" puis "Outils système".
▶ Clique sur "Restauration du système".
▶ Dans la nouvelle fenêtre, coche la case "Créer un point de restauration".
▶ Clique sur "Suivant".
▶ Entre un nom pour le point de restauration : ce nom doit être assez évocateur (comme: "Après désinfection...")
▶ Clique sur "Créer" et le point de restauration se créé automatiquement.

=============

Pour une navigation plus sûre et plus rapide: Installe firefox, suivant le lien que je t'ai donné plus haut.

Addon à ajouter à firefox pour le sécuriser:

▶ Ici : WOT : https://addons.mozilla.org/en-US/firefox/addon/3456
▶ Explications/Demo ici : http://www.mywot.com/fr/demo

+ ceux-ci: http://www.malekal.com/securiser_Firefox.php

Même si tu utilises Firefox, pense à garder IE à jour :

http://www.microsoft.com/france/windows/ie/

=============

Utile, à lire absolument, quelques minutes de prévention, notamment sur les cracks : http://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf

=============

Si tu n'as plus de question et/ou problème, pour moi, c'est ok! (Si tu as encore des questions, n'hésite pas ! ) Dans tous les cas, reviens me dire ce qu'il en est. Wink

++


Dernière édition par ric025 le Mer 12 Aoû 2009 - 23:29, édité 2 fois
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Mer 12 Aoû 2009 - 23:26

/!\ Attention, j'avais loupé la mise à jour de Java, je l'ai rajoutée dans mon précédent message.

++
Revenir en haut Aller en bas
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Jeu 13 Aoû 2009 - 3:17

Désolée du délai de réponse mais mon pc fait de la résistance ce soir...
Il a beugué sur l'installation de spyware doctor, du coup le téléchargement du firewall a avoisiné les 2h de temps Sad
Il a aussi boicotté la mise à jour de Java: quand je suis à l'étape de sélectionner Update Using jucheck.exe et de cliquer sur select rien ne se passe non plus Sad

Du coup, résultat de la soirée: Hijachthis ok et voila le rapport de TCLeaner, pour le reste je n'ai pas pu vraiment en avancer :

[ Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\UsbFix.txt: trouvé !
C:\_OTM: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Marie-Laure\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Marie-Laure\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\Marie-Laure\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Marie-Laure\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Marie-Laure\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\Marie-Laure\Bureau\UsbFix.lnk: trouvé !
C:\Documents and Settings\Marie-Laure\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\Marie-Laure\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\Marie-Laure\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\Marie-Laure\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
C:\Program Files\trend micro\HijackThis: trouvé !
C:\Program Files\trend micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\trend micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Marie-Laure\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Marie-Laure\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\Marie-Laure\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\Marie-Laure\Bureau\SmitFraudFix.exe: supprimé !
C:\Program Files\trend micro\HijackThis\HijackThis.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Marie-Laure\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\Marie-Laure\Bureau\UsbFix.lnk: supprimé !
C:\Documents and Settings\Marie-Laure\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\Marie-Laure\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
C:\Program Files\trend micro\HijackThis\hijackthis.log: supprimé !
C:\_OTM: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Marie-Laure\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\Marie-Laure\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Program Files\trend micro\HijackThis: supprimé !
Revenir en haut Aller en bas
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Jeu 13 Aoû 2009 - 13:29

Je viens de ré essayer, c'est toujours bloqué au même endroit.
A coté de ca, le centre de sécurité Windows me dit que Antivir Desktop signale qu'il est peut être périmé. Et j'ai autorisé NTCLMLServer après que le firewall me l'ait demandé.
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Jeu 13 Aoû 2009 - 19:36

Salut.

Pourquoi tu installes spyware doctor ?

Essaie de mettre de suite IE à jour. Puis de télécharger Firefox si ce n'est déjà fait.

Pour Java, vois via le panneau de configuration >> Ajout et suppression de programmes, si tu as Java 6 Update XX Et dis-moi ce qui se trouve à la place des XX.

++
Revenir en haut Aller en bas
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Ven 14 Aoû 2009 - 1:37

Bonsoir (ou plutot bonjour vu l'heure ^^),
J'ai installé Spyware doctor parce que l'installation de PC Tools Firewall me l'avait demandé, mais je peux désinstaller si tu veux?
Ensuite, j'ai mis à jour IE et téléchargé Firefox.
Pour Java c'est Java 6 Update 7.
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Ven 14 Aoû 2009 - 13:09

Salut.

Tu peux désinstaller Spyware Doctor. Wink

Tu peux désinstaller ta version de Java depuis le panneau de config et installer la dernière version. Prends-la ici : http://www.java.com/fr/download/

Tu pourras lancer Javara ensuite et faire ceci :

A l'écran de JavaRa, clique sur Remove Older Versions.

▶ Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.

▶ Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.

* Note : le rapport se trouve aussi là : ( C:\JavaRa.log )

++
Revenir en haut Aller en bas
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Ven 14 Aoû 2009 - 20:24

Spyware Doctor est désinstallé Smile

La dernière version de Java est, elle, installée, voila le rapport:

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Fri Aug 14 20:13:45 2009

Found and removed: C:\Program Files\Java\jre1.5.0_04

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\\C:\Program Files\Java\jre1.5.0_04\

------------------------------------

Finished reporting.

Je n'ai pas encore fait la manipulation sur les points de restauration, je la fait maintenant?

Je me demandais aussi comment protéger msn, parce qu'apparemment certains de mes contacts me disent qu'ils reçoivent des messages "viraux" de mon adresse...

Encore merci de ton aide
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Ven 14 Aoû 2009 - 23:24

Salut.

Je n'ai pas vu d'infection MSN. MBAM non plus. C'est maintenant un des seul outil à être utiliser pour ce type d'infection, donc, je pense que c'est ok de ce côté là. Au pire si ça dure, reviens me le dire, on verra ça.

Pour l'heure, je considère que tu es clean. Enfin, ton pc... Wink

Tu peux donc terminer la procédure de finalisation dès que tu le peux et si toi aussi tu considères ton sujet comme résolu ?

Puis désinstaller JavaRa et Toolscleaner si ce n'est déjà fait ainsi que leur rapport.Smile

++
Revenir en haut Aller en bas
mlo
Bibou
Bibou


Féminin
Nombre de messages : 22
Age : 28
Localisation : montpellier
Date d'inscription : 23/11/2008

MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Dim 16 Aoû 2009 - 0:12

J'ai terminé la procédure de finalisation et on va dire que je considère aussi mon sujet comme résolu Smile et ca fait plaisir de revoir que tout marche Smile encore merci pour tout Smile
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   Dim 16 Aoû 2009 - 0:29

Pas de quoi.

J'ai vu ton MP, je vais y répondre. Wink

Je verrouille le sujet, si jamais tu as un soucis plus tard, tu pourras demander sa réouverture.

++
Revenir en haut Aller en bas
Contenu sponsorisé




MessageSujet: Re: virus? http://travaillez%20plus.com [RESOLU]   

Revenir en haut Aller en bas
 
virus? http://travaillez%20plus.com [RESOLU]
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» virus? http://travaillez%20plus.com [RESOLU]
» [Résolu] Virus http://www.searchnu.com/406
» [Résolu] supprimer l'adresse http://www.searchqu.com/406
» problème virus (résolu)
» virus ou pas ?? [RESOLU]

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Bibou le forum :: 
La sécurité
 :: Aide à la désinfection :: Sujets résolus ou anciens
-
Sauter vers: