infection virus qui se fait passer pour un antivirus

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

infection virus qui se fait passer pour un antivirus

Messagepar littelou » 12 Mai 2010 20:33

Bonjour,
j ai un probleme avec un virus, jetais sur mon pc et le une fenetre venant de la barre doutils me demande si jeveux mettre a jour malwerebyte avec les memes iconnes graphisques que le vrai donc jaccepte
et la erreur
cest un virus qui me dit auil detecte plein de fichiers infetcte et que je dois installer sont programme pour desinfecter
et ensuite il me dit auil faut que jinstalle spybot
je refuse tout.
jessaie ensuite de faire un scan highjackthis
impossible
et je ne peux plus ouvrir aucun logiciel ni internet explorer
je reboute alors mon pc pour eviter quil installe des fichiers, je le redemarre tjs pareil et je ne peux rien faire
jai donc demarre en mode sans echec et pu faire un scan highjack :
que voila
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:17:25, on 12/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\trend micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [Tvs] C:\Program Files\Toshiba\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [net] "C:\WINDOWS\system32\net.net"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [gotnewupdate000.exe] C:\Documents and Settings\Xavier\Application Data\9E48BA48D73CE2888CF76A2C7D79A51C\gotnewupdate000.exe
O4 - HKCU\..\Run: [hsf87efjhdsf87f3jfsdi7fhsujfd] C:\DOCUME~1\Xavier\LOCALS~1\Temp\hexdump.exe
O4 - HKCU\..\Run: [rweqjsyb] C:\Documents and Settings\Xavier\Local Settings\Application Data\meqqbncms\xtauyqitssd.exe
O4 - HKCU\..\Run: [hsf87sdhfush87fsufhuie3fddf] C:\DOCUME~1\Xavier\LOCALS~1\Temp\ov4d077av.exe
O4 - HKCU\..\Run: [mcexecwin] rundll32.exe C:\DOCUME~1\Xavier\LOCALS~1\Temp\r4qjnk1y.dll, RestoreWindows
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?eddc409cf4f942c9b9b771d697465598
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?eddc409cf4f942c9b9b771d697465598
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/200 ... oader5.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crl ... crlocx.ocx
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 9557 bytes

que puis je faire pour men debarrasser

merci davance
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar Florinator » 12 Mai 2010 23:41

Bonsoir littelou,

Voilà une infection type de rogue, on va s'en occuper
Pour faire ces manip redémarre en mode normal.
Tu ne tiens pas compte des alertes qui te sont emises, elles sont fausses.
Si tu as la moindre question n'hesites pas à la poser:

1)
Télécharge et exécute ce fichier:
Réparation association fichier


2)
  • Télécharge Rkill de Grinler,depuis l'un des liens ci-dessous:

Lien 1
Lien 2
Lien 3
Lien 4

  • Enregistre le fichier sur le bureau.
  • Désactive le module résident de l'antivirus et celui de l'antispyware.
  • Double-clique sur le fichier Rkill
Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

=>Une fenêtre sur fond noir apparaitra puis disparaitra.
=>Poste moi le rapport qui s'affichera


3)
Supprime complètement MBAM pour s'assurer qu'il ne soit pas abîmé par le rogue.
Puis réinstalle le:

Télécharge MBAM

  • Installe le
  • Lance l'outil
  • Coche "Executer un examen complet"
  • Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
  • Clique sur Supprimer la sélection
  • Pour poster le rapport clique sur l'onglet Rapports/Log et
  • Sélectionne celui t'intéresse et clique sur Ouvrir
  • Fait copier coller et poste le rapport stp

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 13 Mai 2010 07:04

salut et merci pour la prise en charge rapide:D
bon jai essaye le premier module mais je peux pas executer le programme en mode normale car il est bloque a chaque fois par le psuedo antimalwere
est ce que jessaie la suite (dailleurs comment je desactive les modules pour rkill)
ou alors on essaie autre chose
voila merci
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 13 Mai 2010 07:29

une petite info en plus :
avnt de me mettre la fenetre qui me dit que le fichier que jouvre est infecte il me met une rapide fenetre qui dit la modification du registre a ete desactive sur votre ordinateur (qd jouvre le prmier fichier que tu mas dit dexecuter)
voila si ca peut aider
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar Florinator » 13 Mai 2010 09:16

Bonjour,

Il bloque Rkill...étonnant.
Essaye d'éxécuter Mbam en mode en sans echec,
Redémarre puis poste moi le rapport stp.

Ps:Peux tu t'appliquer sur la ponctuation, c'est embêtant à lire comme ça merci :wink:

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 16 Mai 2010 15:48

Salut,
alors recapitulons :

1)pour la Réparation association fichier : ca ne marche pas en mode normale le virus me le bloque impossible d'executer le programme


2)pour Rkill meme probleme que pour lautre programme
cependant je n'ai pas Desactive le module résident de l'antivirus et celui de l'antispyware.


3) pour MBAM, apres l'avoir reinstaller, et lance, il plante toujours au meme fichier (C:\WINDOWS\system32\ati2cqag.dll)pendant l'examen (mode sans echec, puisqu'il est impossible de le faire en mode normal)et la impossible d'aller plus loin.

Voila, qu'est ce que l'on peut faire?
merci d'avance

PS : je squatte le PC d'un de mes colocs bresilien et je n'ai pas les accents sur les e je suis desole si c'est penible a lire
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 16 Mai 2010 16:57

j'ai relance un scan de mbam qui a pas plante pour l'instant alors croisons les doigts et il a trouve 7 infections jusque la!
donc attend peut etre mon prochain poste avant de sortir les armes lourdes et fastidieuses pour toi.
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar Florinator » 16 Mai 2010 17:23

attend peut etre mon prochain poste avant de sortir les armes lourdes et fastidieuses pour toi.


Tu lis dans mes pensées :wink:

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 16 Mai 2010 17:39

bon bin desole mais il a encore une fois echoue sur une fihcier de ce type :
C:\WINDOWS\system32\ati2(...).dll ou .exe
je crois quil va falloir aller a l'etape suivante en matiere de violence contre ce virus ;)

a ++
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar Florinator » 16 Mai 2010 18:31

Bonsoir,

Ok, on va manoeuvrer differement:

Pour le 1er point, si ça ne fonctionne pas en mode normal passe en MSE:

1)
Télécharge sur le bureau OTM crée par de Old_Timer

  • Enregistre-le sur ton Bureau.
  • Double-clique dessus.
  • Copie la liste qui se trouve dans la zone code ci-dessous et colle-la dans le cadre de gauche sous "Paste instructions for Items to be Moved".

Code: Tout sélectionner
go

:Services
Application Updater

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"net"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"gotnewupdate000.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"hsf87efjhdsf87f3jfsdi7fhsujfd"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"rweqjsyb"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"hsf87sdhfush87fsufhuie3fddf"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"mcexecwin"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Updater]
 

:Files
c:\documents and settings\xavier\application data\9e48ba48d73ce2888cf76a2c7d79a51c\gotnewupdate000.exe
c:\documents and settings\xavier\locals~1\temp\hexdump.exe
c:\documents and settings\xavier\local settings\application data\meqqbncms
c:\documents and settings\xavier\locals~1\temp\ov4d077av.exe
c:\documents and settings\xavier\locals~1\temp\r4qjnk1y.dll
c:\program files\application updater

:Commands
[emptytemp]
 



  • Clique sur "MoveIt!" pour lancer la suppression. Le résultat apparaitra alors dans le cadre "Results"
  • Copie/Colle ce résultat
  • Clique sur Exit pour fermer.

Remarque: Il est possible qu'il te soit demandé de redémarrer ton ordinateur pour supprimer les fichiers,ce redémarrage peut être plus long qu’à l’accoutumé.Accepte et dans ce cas, après redémarrage, tu trouveras justement le rapport dans le dossier C:\OTMoveIt\MovedFiles.

    Si ton Bureau ne réapparaît pas:
    - Fais CTRL+ALT+SUPP pour ouvrir le Gestionnaire de tâches.
    - Clique en haut à gauche sur "Fichier"
    - Choisi "Nouvelle tâche" (Exécuter ...)
    - Tape "explorer" et valide.
    - Cela fera apparaître ton Bureau.

Pour le 2eme point, fais le en mode normal, ça devrait passer:

2)
Télécharge et éxécute http://www.libellules.ch/assoc/xp_exe.reg

Télécharge ZHPDiag crée par Nicolas Coolman

  • Enregistre le sur ton bureau
  • Double clique sur l'icône
  • Suis les instructions à l'ecran
  • Clique sur Image pour lancer l'analyse
  • Clique sur Image pour copier le rapport
  • Puis colle le dans ta prochaine réponses
  • Le rapport se situe aussi sous C:\Program Files\ZebHelpProcess\ZHPDiag.txt

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 16 Mai 2010 19:55

voila le resultat pour OTM
qd jai redemarre je n'ai plus eu de pb avec les fenetre intempestives qui me disent que je suis infecte mais je ne peux plus me connecter a internet

All processes killed
Error: Unable to interpret <go> in the current context!
========== SERVICES/DRIVERS ==========
Service Application Updater stopped successfully!
Service Application Updater deleted successfully!
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\net deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\gotnewupdate000.exe deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\hsf87efjhdsf87f3jfsdi7fhsujfd not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\rweqjsyb deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\hsf87sdhfush87fsufhuie3fddf not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\mcexecwin not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Updater\ not found.
========== FILES ==========
c:\documents and settings\xavier\application data\9e48ba48d73ce2888cf76a2c7d79a51c\gotnewupdate000.exe moved successfully.
File/Folder c:\documents and settings\xavier\locals~1\temp\hexdump.exe not found.
c:\documents and settings\xavier\local settings\application data\meqqbncms folder moved successfully.
File/Folder c:\documents and settings\xavier\locals~1\temp\ov4d077av.exe not found.
File/Folder c:\documents and settings\xavier\locals~1\temp\r4qjnk1y.dll not found.
c:\program files\Application Updater folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Xavier
->Temp folder emptied: 88838497 bytes
->Temporary Internet Files folder emptied: 341455921 bytes
->Java cache emptied: 5042390 bytes
->Flash cache emptied: 142489 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 150641 bytes
%systemroot%\System32 .tmp files removed: 235038 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1930543 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 13486922 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 40446 bytes
RecycleBin emptied: 182833 bytes

Total Files Cleaned = 431,00 mb


OTM by OldTimer - Version 3.1.12.0 log created on 05162010_204336
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 16 Mai 2010 20:00

quand je Télécharge et éxécute http://www.libellules.ch/assoc/xp_exe.reg, il me dit "la modification du registre a ete desactivee par votre administrateur"
que dois je faire?
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 16 Mai 2010 20:12

encore moi...
quand je lance ZHPdiag, mon pc plante lors de l'analyse : ecran bleu de reboot de windows jai essaye deux fois mm resultats!
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 16 Mai 2010 20:49

il est arrive la mm chose en faisant un scan avec mbam!
est ce des residus du virus ou qq chise d'endommage?
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar Florinator » 16 Mai 2010 21:55

Télécharge Zeb Restore
Enregistre le sur le bureau puis decompresse le
Double clique sur Zebrestore.exe
Coche toute les cases, puis fais restaurer.

Dis moi si ça va mieux ensuite pour l'accés au registre.

Edit:Pour les ecrans bleus je pencherai plus pour un prob de barettes memoire

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 16 Mai 2010 22:17

bon alors qd j'ai utilise zeb restore il m'a affiche dix fois de suite "la modification du registre a ete desactivee par votre administrateur"
mais a la fin m' dit que la restauration avait marche
j'ai ensuite éxécute http://www.libellules.ch/assoc/xp_exe.reg et la ca a marche apparement mais ensuite j'ai essaye zhp diag et il se passe tjs la meme chose il plante avec ecran bleu, et internet ne marche tjs pas
voila
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar Florinator » 17 Mai 2010 08:31

Je pense que tu dois avoir un problème de mémoire, ce qui expliquerai aussi le plantage de Mbam, car il n'aurai pas dû.
Ouvres un sujet ici pour que tu puisse tester la mémoire.
Reviens me voir ici dés que c'est fait.

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 17 Mai 2010 08:42

est ce que tu as une idée pour internet, car ca ne devrait pas etre un problème de mémoire pour ça non?
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar Florinator » 17 Mai 2010 08:44

Depuis quand internet ne fonctionne pas?

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 17 Mai 2010 09:37

depuis que j'ai fait la manipe avec OTM :
"qd jai redemarre je n'ai plus eu de pb avec les fenetre intempestives qui me disent que je suis infecte mais je ne peux plus me connecter a internet"

je suis connecté par cable éthernet à un réseau et jai vérifié que je suis tjs en mode donné automatiquement une adresse IP.
Avant d'utiliser OTM qd j'ouvrais internet j'avais le virus qui m'ouvrait une pseudo page en me disant que internet explorer ne pourvais pas trouver la page car j'étais infecté!
voilou
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Suivante

Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités