FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par badcat77
#37709
Alors j'ai des fenetres publiciataires qui viennent de chez adxtendmedia aussi bien avec IE que Firefox (je n'ai pas google chrome ), sur un peu n'importe quel site et celui ci aussi. (du style : vous avez gagnez une greencard, ou ebay la deteste, ;;.

Ce soir j'avais en nouveauté le message d'erreur "l'instruction 0X........... ne peut etre written..... "

Apres une mise a jours adobe player cela semble ne plus se produire


je lance un rapport et mets le lien.
#37714
Salut badcat77


Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook.exe

- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu du cadre ci-dessous et colle-le dans la zone texte de SystemLook :
:dir
C:\Documents and Settings\All Users\Application Data\188F1432-103A-4ffb-80F1-36B633C5C9E1 /s
C:\Documents and Settings\All Users\Application Data\F5CFCDE4CA8168B40090F5CF3D7ED168 /s
C:\Documents and Settings\All Users\Application Data\18472756 /s
- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.


-----


Télécharge RogueKiller (par tigzy) sur le bureau :
http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe

- Fermes les applications et programmes en cours.
- Double clique sur RogueKiller.exe pour lancer le programme
(Vista/Seven - Faire un clique droit sur RogueKiller.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme)
- Attendre que le Prescan ait fini ...
- Lance un scan afin de débloquer le bouton Suppression à droite.
- Clic sur Suppression.
- Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), poste le rapport
- Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe


@++
Avatar du membre
par badcat77
#37718
Alors le rapport Systemlook :

SystemLook 30.07.11 by jpshortstuff
Log created at 09:59 on 26/12/2012 by renaud
Administrator - Elevation successful

========== dir ==========

C:\Documents and Settings\All Users\Application Data\188F1432-103A-4ffb-80F1-36B633C5C9E1 - Parameters: "/s"

---Files---
GEARDIFx.exe --a---- 1977816 bytes [12:01 21/08/2012] [12:01 21/08/2012]

C:\Documents and Settings\All Users\Application Data\188F1432-103A-4ffb-80F1-36B633C5C9E1\x86 d------ [18:08 01/12/2012]
DIFxAPI.dll --a---- 323464 bytes [12:01 21/08/2012] [12:01 21/08/2012]
DifXInst32.exe --a---- 115672 bytes [12:01 21/08/2012] [12:01 21/08/2012]
DIFxInstallLog.txt --a---- 3982 bytes [18:08 01/12/2012] [18:08 01/12/2012]
GEARAspi.dll --a---- 106928 bytes [12:01 21/08/2012] [12:01 21/08/2012]
GEARAspiWDM.inf --a---- 2704 bytes [12:01 21/08/2012] [12:01 21/08/2012]
gearaspiwdmx86.cat --a---- 7587 bytes [12:01 21/08/2012] [12:01 21/08/2012]

C:\Documents and Settings\All Users\Application Data\188F1432-103A-4ffb-80F1-36B633C5C9E1\x86\x86 d------ [18:08 01/12/2012]
GEARAspiWDM.sys --a---- 26840 bytes [12:01 21/08/2012] [12:01 21/08/2012]

C:\Documents and Settings\All Users\Application Data\F5CFCDE4CA8168B40090F5CF3D7ED168 - Parameters: "/s"

---Files---
F5CFCDE4CA8168B40090F5CF3D7ED168 --a---- 2896 bytes [13:24 06/10/2012] [14:39 06/10/2012]
F5CFCDE4CA8168B40090F5CF3D7ED168.ico --a---- 4286 bytes [13:22 06/10/2012] [13:22 06/10/2012]

No folders found.

C:\Documents and Settings\All Users\Application Data\18472756 - Unable to find folder.

-= EOF =-


et les 2 rogue killers :

http://cjoint.com/?BLAkhUlp8aC

http://cjoint.com/?BLAkjvo5K3G
#37727
Salut badcat77


Double clic sur OTL.exe pour le lancer.
(Vista/Seven -- Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve en citation ci-dessous, et colle-la dans la zone sous " Personnalisation "

:Reg
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"=-

:OTL
[2012/03/21 00:03:20 | 000,000,000 | ---D | M] (uTorrentBar_FR Community Toolbar) -- C:\Documents and Settings\renaud\Application Data\Mozilla\Firefox\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}

:Files
C:\Documents and Settings\All Users\Application Data\18472756
C:\Documents and Settings\All Users\Application Data\F5CFCDE4CA8168B40090F5CF3D7ED168

:Commands
[Emptytemp]

* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


-----



Image Télécharge sur ton bureau TdssKiller de kaspersky , exécute le , un rapport sera crée ici:

C:\TDSSKillerVersion_Date_Time_log.txt.
(Vista/Seven -- Faire un clique droit sur tdsskiller.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

[*] Exécute le , La fenêtre suivante va s'ouvrir :

Image

[*] Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.
[*] Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir:

Image

[*] Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.

[*] Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.

[*] Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.

[*] Si Suspicious file est indiqué, laisse l'option cochée sur Skip

[*] Clique sur Continue puis sur Reboot now pour redémarrer le PC.

[*] Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).

Tutoriel-- http://support.kaspersky.com/viruses/so ... =208280684


@++
Avatar du membre
par badcat77
#37745
2 rapports TDSS avec plusieur sous dossier

- rtkt0000 :

[InfectedObject]
Verdict: Virus.Win32.Rloader.a

[InfectedObject]
Type: Service
Name: ACPI
Type: Kernel driver (0x1)
Start: Boot (0x0)
ImagePath: System32\DRIVERS\ACPI.sys
Suspicious states: Forged file;

[InfectedFile]
Type: Raw image
Src: C:\WINDOWS\system32\DRIVERS\ACPI.sys
md5: 72AA1E958055F1844A81C2B09C7038CC

[InfectedFile]
Type: Api image
Src: C:\WINDOWS\system32\DRIVERS\ACPI.sys
md5: E5E6DBFC41EA8AAD005CB9A57A96B43B


- et rtkt0001 :

[InfectedObject]
Verdict: Rootkit.Win32.TDSS.tdl3

[InfectedObject]
Type: Service
Name: VolSnap
Type: Kernel driver (0x1)
Start: Boot (0x0)
Suspicious states: Forged file;

[InfectedFile]
Type: Raw image
Src: C:\WINDOWS\system32\drivers\VolSnap.sys
md5: 4D39B6FBF65832F9AE75D8157694AFB0

[InfectedFile]
Type: Api image
Src: C:\WINDOWS\system32\drivers\VolSnap.sys
md5: 46DE1126684369BACE4849E4FC8C43CA


Désolé j'ai eu un peu de mal avec tdss ;-)
#37747
Salut badcat77


OK cela est bon pour OTL, la correction a bien fonctionner cette fois-ci...

Deux fichiers systèmes ont été détectés comme infecté par TdssKiller, a t-il présenté la fonction Cure pour désinfecté les fichiers?

Tu as bien posté ce rapport : C:\TDSSKiller.Version_Date_Heure_log.txt

Sinon essai de nouveau, le rapport ressemble a cela :
http://forum.zebulon.fr/findpost-t187362-p1568724.html

As-tu encore de la pub?


@++
#37761
Salut badcat77


Good cela est bon, on va quand même vérifier si les fichiers ont bien été désinfectés...

Faire un scan de ce fichier ACPI.sys ici :

http://www.virustotal.com/fr/


[*]Clique sur Choose file
[*]Une nouvelle fenêtre va s'ouvrir, dans cette fenêtre dans le bas ou c'est marqué Nom de fichier tu copie/colle ceci :
C:\WINDOWS\system32\DRIVERS\ACPI.sys

[*]Après tu clique sur Ouvrir et sur Scan it! et attendre le résultat de l’analyse.
[*]Si il te dit que le fichier a déjà été analysé, sélectionne le bouton Reanalyse.

Attendre le résultat de l'analyse, poste le lien de la page quand le scan du fichier sera terminer.

Après fais une analyse de ce fichier également :
C:\WINDOWS\system32\drivers\VolSnap.sys


@++ 
#37822
Salut badcat77


Bien de rien

Cela venais d'un Rootkit(ZeroAccess) caché dans la corbeille découvert par RogueKiller.
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-18\$7deefbb7e5bd9ba55bdcd357a6dcaae4\@ -- TROUVÉ

Il avais patché(infecté) deux fichiers systèmes, c'est pour cela que tu avais de la pub même si les autres rapports montrais ton PC propre.


On va faire un ménage des outils téléchargés pour la désinfection, télécharge Del Fix (de Xplode), sur ton bureau

http://www.general-changelog-team.fr/fr ... /26-delfix

[*]Double-clique sur l'icône delfix.exe située sur ton Bureau.
(Vista/Seven - Faire un clique droit sur l'icône delfix.exe située sur ton Bureau et choisir exécuter en tant qu'administrateur.)

[*]Sélectionne Suppression

[*]Copie/colle le contenu du rapport dans ton prochain message.

Note : Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )


@++
Avatar du membre
par badcat77
#37828
Ok voici le rapport :

# DelFix v9.2 - Rapport créé le 27/12/2012 à 23:07:56
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : renaud - FAMILLE
# Exécuté depuis : C:\Documents and Settings\renaud\Bureau\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\_OTL
Supprimé : C:\MyHosts
Supprimé : C:\ZHP
Supprimé : C:\TDSSKiller_Quarantine
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Documents and Settings\renaud\Bureau\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[R2].txt
Supprimé : C:\AdwCleaner[R3].txt
Supprimé : C:\AdwCleaner[R4].txt
Supprimé : C:\AdwCleaner[R5].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\AdwCleaner[S3].txt
Supprimé : C:\AdwCleaner[S5].txt
Supprimé : C:\MyHosts.txt
Supprimé : C:\TDSSKiller.2.8.14.0_26.12.2012_23.49.25_log.txt
Supprimé : C:\TDSSKiller.2.8.14.0_26.12.2012_23.50.14_log.txt
Supprimé : C:\TDSSKiller.2.8.14.0_26.12.2012_23.54.42_log.txt
Supprimé : C:\TDSSKiller.2.8.14.0_27.12.2012_00.04.43_log.txt
Supprimé : C:\TDSSKiller.2.8.14.0_27.12.2012_00.04.51_log.txt
Supprimé : C:\TDSSKiller.2.8.15.0_26.12.2012_23.50.00_log.txt
Supprimé : C:\TDSSKiller.2.8.15.0_27.12.2012_00.05.08_log.txt
Supprimé : C:\TDSSKiller.2.8.15.0_27.12.2012_00.05.37_log.txt
Supprimé : C:\WinUpdateFix.txt

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

- Prefetch Vidé

*************************

DelFix[S1].txt - [1951 octets] - [27/12/2012 23:07:56]

########## EOF - C:\DelFix[S1].txt - [2075 octets] ##########
#37831
Salut badcat77


OK relance l'outil et clique sur désinstaller...

Je te donne quelques consignes de sécurité :

Image Windows Update parfaitement à jour http://www.windowsupdate.com/
Image Pare-feu bien paramétré pour XP, je te conseil :
ZoneAlarm, Vista/Seven -- le pare de WINDOWS est suffisant.
Image Antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
Image Une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
Image Pas de téléchargement illégal, qui est le principal facteur d’infection (µTorrent, BitTorrent, eMule, Limewire, etc..)
Le danger des cracks !
Les risques sécuritaires du peer-to-peer
Image Une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
Image Nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
Image Scan hebdomadaire antispyware ( je conseil MalwareByte's Anti-Malware)
Image Un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour http://www.java.com/en/download/help/testvm.xml
Image Faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
http://www.malekal.com/scan_vulnerabilite.php

De bonne lecture si tu veux en savoir plus sur la sécurité et le fonctionnement de Windows :
http://www.malekal.com/menu_windows_general.php
http://www.malekal.com/menu_windows_securite.php

Si tu considère ton problème comme résolu, procédure pour le mettre :
http://www.forum-entraide-informatique. ... -en-resolu

Bonne journée/soirée et bon surf


@++
Avatar du membre
par badcat77
#37899
Bon je n'arrive pas a desinstaller delfix ?

Les mises a jours windows se font maintenant alors qu'avant elles bloquaient . :-)


Entout cas un grand merci pour l'aide trouver sur ce forum, et un egrand merci a Dédétraqué .

Super forum que je vais pouvoir parcourir tranquillement maintenant que mon pc fonctionne bien .
Avatar du membre
par badcat77
#37952
Slt,

Je viens de reagir que j'ai un disque dur externe de sauvegarde (mp3, video, programme, excel, word, enfin de tous ). Que je ne branche que de temsp en temps.

Y a t il une manip a faire lorsque je le rebranche des fois que clui-ci soit infecté ou que la cause du probleme vienne de lui ?
#37962
Salut badcat77


Non aucun souci pour ton DD externe, l'infection que tu avais ne ce propage pas par les périphériques amovibles et de toute façon cela aurais été indiqué dans le rapport OTL ou ZphDiag.

Tu peux toujours procéder a une Vaccination pour le protéger contre l'infection qui ce propage via les disques amovibles.
http://forums-fec.be/entraide/viewtopic.php?f=55t=9


@++
Avatar du membre
par badcat77
#38130
Bonjour, désolé pour le temps de réponse :-(,

J'ai ce message lorsque je lance delfix.

Mais ce n'est pas grave le principal est que mon Pc re fonctionne beaucoup mieux qu'avant.


Merci et bonne année 2013 ******

Configurez la redirection de port sur votre Freebo[…]

Willy

Hi there! I’ve always been passionate about […]

Merci pour la réponse ;) Pour verifier […]

Hello Ça me semble complexe, avez vous e[…]