Auteur Sujet: Fenêtre pub ebay intempestive - ZAccess/Sirefef - services.exe infecté [Résolu]  (Lu 18174 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Bonjour,

Cela fait quelques jours qu'une fenetre Ebay s'ouvre à la place du site choisi quand je fait une recherche via Google. Merci d'avance pour votre aide afin de corriger ce problème :)
« Modifié: septembre 01, 2012, 14:49:19 par chantal11 »

Security-X


Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23551
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Fenêtre pub ebay intempestive
« Réponse #1 le: août 26, 2012, 18:13:51 »
Bonjour sandee,

Bienvenue sur Security-X

Nous allons établir un 1er diagnostic avec cet outil, suis bien les instructions indiquées :

   OTL :

  • Télécharge OTL de OldTimer et enregistre le sur le Bureau
  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
     /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Vérifie que les cases Tous les utilisateurs, Recherche Lop et  Recherche Purity soient cochées
  • Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
netsvcs
msconfig
activex
drivers32
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\Tasks\*.* /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
nslookup http://www.google.fr /c
CREATERESTOREPOINT
  • Clique ensuite sur Analyse et patiente le temps du scan

  • A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
  • Les rapports étant trop longs pour le forum, héberge-les sur pjjoint.fr et indique les liens fournis dans ta réponse.
    Aide en images : Héberger son rapport d'analyse
    Les rapports sont sauvegardés sur le Bureau.
@+
 

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : Fenêtre pub ebay intempestive
« Réponse #2 le: août 26, 2012, 18:37:44 »

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : Fenêtre pub ebay intempestive
« Réponse #3 le: août 26, 2012, 18:41:03 »

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23551
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Fenêtre pub ebay intempestive
« Réponse #4 le: août 26, 2012, 19:39:53 »
Re,

Ton système est infecté par un rootkit coriace ZAccess/Sirefef.
Un fichier système services.exe a été patché.

Suis bien les instructions.

---------------------------------------------------------------------------------------------

   Recommandations pour la désinfection :

  • La procédure de désinfection nécessite parfois l'utilisation d'une succession d'outils puissants avec des procédures spécifiques.
    Les indications sont détaillées pour chaque procédure, n'hésite pas à demander des précisions en cas de doute et à signaler tout problème rencontré.

  • Tant que la désinfection n'est pas terminée, n'utilise ton PC que pour un strict minimum, juste pour appliquer les procédures indiquées, évite de surfer sur le net et n'installe aucun autre programme (hormis les outils indiqués)

  • Suis bien les instructions dans l'ordre où elles sont indiquées et n'utilise aucun outil de désinfection de ta propre initiative

  • Signale si tu as ouvert le même sujet dans un autre forum, cela peut s'avérer fort dangereux pour ton système
  • Selon l'infection, un blocage est toujours possible pendant la procédure de désinfection, sauvegarde toutes tes données personnelles dès que c'est possible (il est, de toutes façons, recommandé de sauvegarder régulièrement ses données personnelles)

  • Il faut aller jusqu'au bout de la désinfection.
    Que les symptomes ne se manifestent plus ne signifie pas que le système soit totalement désinfecté. Il y a d'autre part des mises à jour à faire pour éviter la ré-infection.
    Un système qui n'est pas à jour présente des failles de sécurité importantes et est une cible de choix pour les malwares.
---------------------------------------------------------------------------------------------

Il est où ton antivirus sur ce système ?

---------------------------------------------------------------------------------------------

   Désinstalle via Panneau de configuration -> Programmes et fonctionnalités (si présents) :

  • PC Performer Manager
  • Web Assistant
----------------------------------------------------------------------------------------------

  OTL :

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :OTL)
:OTL
MOD - [2012/08/09 10:30:20 | 002,046,496 | ---- | M] () -- c:\ProgramData\PC Performer Manager\2.2.558.177\{16cdff19-861d-48e3-a751-d99a27784753}\%Protector Process Name%.dll
MOD - [2012/08/09 10:30:20 | 001,695,776 | ---- | M] () -- C:\ProgramData\PC Performer Manager\2.2.558.177\{16cdff19-861d-48e3-a751-d99a27784753}\%Protector Process Name%.exe
SRV - [2012/08/09 10:30:20 | 001,695,776 | ---- | M] () [Auto | Running] -- C:\ProgramData\PC Performer Manager\2.2.558.177\{16cdff19-861d-48e3-a751-d99a27784753}\%Protector Process Name%.exe -- (PC Performer Manager)
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2849852
IE - HKU\S-1-5-21-2449440193-2042137118-2482735012-1000\..\URLSearchHook: {0cc09160-108c-4759-bab1-5c12c216e005} - No CLSID value found
IE - HKU\S-1-5-21-2449440193-2042137118-2482735012-1000\..\URLSearchHook: {ef79f67a-6ad7-4715-a0f8-932fca442023} - No CLSID value found
IE - HKU\S-1-5-21-2449440193-2042137118-2482735012-1000\..\SearchScopes,bProtectorDefaultScope = {12BA3640-E7C8-405A-B723-5B02229C54B0}
IE - HKU\S-1-5-21-2449440193-2042137118-2482735012-1000\..\SearchScopes,DefaultScope = {12BA3640-E7C8-405A-B723-5B02229C54B0}
IE - HKU\S-1-5-21-2449440193-2042137118-2482735012-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=108988&tt=010712_2&babsrc=SP_ss&mntrId=301737a500000000000000262d664655
IE - HKU\S-1-5-21-2449440193-2042137118-2482735012-1000\..\SearchScopes\{12BA3640-E7C8-405A-B723-5B02229C54B0}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3227980
IE - HKU\S-1-5-21-2449440193-2042137118-2482735012-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = https://isearch.avg.com/search?cid={4010B16D-997A-4138-9443-B549CD1AF615}&mid=4b3cc2fe44c74484b60986354251b190-1d56a0139df94ea0406d7bbb0f3131df3da900e7&lang=fr&ds=hk011&pr=sa&d=2012-07-22 12:34:16&v=12.1.0.20&sap=dsp&q={searchTerms}
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\ProgramData\PC Performer Manager\2.2.558.177\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension [2012/08/09 10:30:21 | 000,000,000 | ---D | M]
[2012/06/14 12:59:45 | 000,000,000 | ---D | M] (BittorrentBar_FR Community Toolbar) -- C:\Users\sandee\AppData\Roaming\mozilla\Firefox\extensions\{ef79f67a-6ad7-4715-a0f8-932fca442023}
CHR - homepage: http://search.conduit.com/?ctid=CT3227980&SearchSource=48
CHR - homepage: http://search.conduit.com/?ctid=CT3227982&SearchSource=48
O2 - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension32.dll ()
O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo\YontooIEClient.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-2449440193-2042137118-2482735012-1000\..\Toolbar\WebBrowser: (no name) - {0CC09160-108C-4759-BAB1-5C12C216E005} - No CLSID value found.
O3 - HKU\S-1-5-21-2449440193-2042137118-2482735012-1000\..\Toolbar\WebBrowser: (no name) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - No CLSID value found.
O3 - HKU\S-1-5-21-2449440193-2042137118-2482735012-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O3 - HKU\S-1-5-21-2449440193-2042137118-2482735012-1000\..\Toolbar\WebBrowser: (no name) - {EF79F67A-6AD7-4715-A0F8-932FCA442023} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O20 - AppInit_DLLs: (c:\progra~3\pcperf~1\22558~1.177\{16cdf~1\%prote~1.dll) - c:\ProgramData\PC Performer Manager\2.2.558.177\{16cdff19-861d-48e3-a751-d99a27784753}\%Protector Process Name%.dll ()
[2012/08/26 10:21:08 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{A3851D8D-B9A3-41BE-8667-AD2FFFC3DC5D}
[2012/08/25 21:44:32 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{48A28FA6-E909-43AA-A834-07476C6A4F8C}
[2012/08/25 09:44:06 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{2F0FD80E-EE5C-40D0-AC5A-81BF6CC69664}
[2012/08/24 15:34:26 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{C685BC6E-86F0-4E34-B10E-864016CD534A}
[2012/08/23 22:34:04 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{F161F84A-B5A1-46AB-9DE9-34BFF0ADC489}
[2012/08/23 09:06:46 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{9DAA7D1D-D637-46AA-BF38-05D881DBC196}
[2012/08/22 11:18:26 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{08CC6CF9-44AD-4629-83B8-9BE6457CEC6E}
[2012/08/21 18:06:13 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{8924027D-FBEF-40B1-B6B4-9FFA51708062}
[2012/08/21 06:05:47 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{29411FF9-D9B9-4F6A-AED8-CAFAF0E7F5BC}
[2012/08/20 13:19:52 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{C268A27B-676B-41E0-978A-7E6C937C77F4}
[2012/08/20 01:19:27 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{A265B37B-8308-4CC4-AADC-C3C0BC3F4601}
[2012/08/19 13:19:01 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{9D4F3ED9-145F-4FD2-92FC-64CF0DD9F81A}
[2012/08/18 10:36:24 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{068BBA6D-68AE-48FB-88FC-F36D6B52317A}
[2012/08/18 10:36:10 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{7D6207A5-9DDF-48BA-90D0-59AC45BF3336}
[2012/08/17 11:42:10 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{076EBC1F-D4AA-4A24-8882-017B568D763A}
[2012/08/17 11:41:59 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{C8CE25DC-58F1-4829-80F2-C77DD56F91AA}
[2012/08/15 22:22:17 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{359A5C1F-E735-4C2C-A7D9-8DD7E0BFB1D2}
[2012/08/15 22:22:05 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{EB825550-9D8B-44ED-A38C-4C356A85053B}
[2012/08/15 10:21:36 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{F947ACC7-B73A-4649-8399-A68C21445D4A}
[2012/08/15 10:21:24 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{4E4E1268-7CDB-43E6-B1D2-C740780A880E}
[2012/08/14 16:01:25 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{40C2EE3C-2044-4ADC-B271-57AC30234D7A}
[2012/08/14 16:01:13 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{EAE80E82-78BB-426A-85C5-C3B696F06C1B}
[2012/08/14 10:01:32 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{319C71EC-D570-4DA5-9739-BBC7EEB55C07}
[2012/08/14 10:01:21 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{0024EEBF-0525-41F9-B2E7-1D8E263EEFE4}
[2012/08/12 11:33:51 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{75814303-09C8-4FBD-9984-BED3E676764D}
[2012/08/12 11:33:40 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{CC6F01E0-3B1C-423E-BFB7-B01F25C428CD}
[2012/08/11 14:57:32 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{C4750707-CFFE-444B-BCF9-F3B09B9BF0D5}
[2012/08/11 14:57:19 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{A03F4518-FDE8-4E74-A15C-A70C5C303C92}
[2012/08/11 02:20:16 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{9818B425-9C8D-4F97-ABA2-AFDCECB24434}
[2012/08/11 02:20:04 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{45DE5561-EADC-4F21-8394-9CC983AE8511}
[2012/08/10 12:18:50 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{4E5B4B70-B00B-48ED-8726-032766DEE965}
[2012/08/10 12:18:38 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{0DE8D778-109E-4B22-A6A4-5F3CA6606B37}
[2012/08/09 10:31:32 | 000,000,000 | ---D | C] -- C:\ProgramData\IBUpdaterService
[2012/08/09 10:30:21 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\searchplugins
[2012/08/09 10:30:21 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\Extensions
[2012/08/09 10:30:20 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Performer Manager
[2012/08/09 10:16:23 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{8EF329DC-8E09-4DF8-9632-FEB0A80E4457}
[2012/08/09 10:16:11 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{9DA8D92C-A30C-4EE2-9904-464BE311F26F}
[2012/08/08 19:56:34 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{F3429B19-4A40-4B96-A9B6-AE70E608BA57}
[2012/08/08 19:56:23 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{64DC1950-99C2-418A-9393-51AB2E67344F}
[2012/08/07 11:11:58 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{E49B4886-8C51-47CA-A44E-4363DD0E59AD}
[2012/08/07 11:11:45 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{1480A477-5D57-47C1-B3E4-496D8BA8A75E}
[2012/08/06 19:54:47 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{3D153B4E-4FE2-41E9-BC14-E3C8B97F36FA}
[2012/08/06 19:54:35 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{23F60C02-FD64-407F-8DEF-05B9BBF3BF2C}
[2012/08/05 11:59:28 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{084F2B45-A1BE-4A34-8290-909AF5A87675}
[2012/08/05 11:59:16 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{A782B33D-769D-469A-8FC9-9D4E432021B7}
[2012/08/04 11:21:39 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{03FD7BE9-A34A-4695-8A35-490D323C9055}
[2012/08/04 11:21:28 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{E883C7B2-25EC-49FD-98D5-6FA5645EF28B}
[2012/08/03 22:48:44 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{42FF0574-070D-4758-9143-1C96FA3F03AA}
[2012/08/03 22:48:32 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{41BC2B66-F959-4E7C-8916-5439A1DFC07E}
[2012/08/03 10:48:03 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{825EC809-3108-439D-9E91-6F4E9608E769}
[2012/08/03 10:47:49 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{1EC67ADB-5EC1-4FC6-AC3D-8CB201C13515}
[2012/08/02 14:08:09 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{083143DC-96C9-47DE-B247-2448FCD6620F}
[2012/08/02 14:07:58 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{C206A4BA-BCDC-435D-B7B9-0914C16B9711}
[2012/08/01 22:25:07 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{921AF5F7-359A-4A02-B729-9CC278EC9A38}
[2012/08/01 22:24:55 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{EC8F21D1-03E6-448B-A46C-CCF573D0397D}
[2012/08/01 10:24:28 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{AC61ADF8-7A3D-43DF-B5AB-1FFEF93B1E7E}
[2012/07/31 20:23:01 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{EED5A44A-D749-4ED9-87C1-84EEF6AD073E}
[2012/07/31 20:22:49 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{9D89A8E5-1029-4895-B9A1-4BD517B28B91}
[2012/07/31 08:09:02 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{F9261B8A-B419-406E-8B87-CF7ABFE67552}
[2012/07/31 08:08:50 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{3973A475-8E54-4523-B8DC-26C408757A63}
[2012/07/30 11:35:12 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{9F5E51BC-FF2D-444C-97F5-91D70BD6DAE1}
[2012/07/30 11:34:59 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{9339785E-8899-4BA8-9181-E22F54E427C6}
[2012/07/29 16:55:56 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{F58FDC3A-184C-47F1-B777-0E8B5CED1B76}
[2012/07/29 16:55:40 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{2E1B3952-F015-4BC6-B9F8-516F2E42C82A}
[2012/07/29 04:54:16 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{B3EA7B93-031B-442D-AAAB-50583304BE52}
[2012/07/29 04:54:05 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{7235CF56-D543-4872-B964-C24D45EF3FA5}
[2012/07/28 00:21:23 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{1D765112-F767-4725-B600-88F5F3ED2C1F}
[2012/07/28 00:21:09 | 000,000,000 | ---D | C] -- C:\Users\sandee\AppData\Local\{0C8CB6EB-12A4-4C2E-AF30-8EFC96194B77}
[2012/08/05 16:05:50 | 000,232,960 | ---- | C] () -- C:\Windows\Installer\{5db9a795-ee48-0838-da62-3307677b2cbd}\U\00000008.@
[2012/08/05 16:05:48 | 000,093,184 | ---- | C] () -- C:\Windows\Installer\{5db9a795-ee48-0838-da62-3307677b2cbd}\U\80000032.@
[2012/08/05 16:05:48 | 000,080,896 | ---- | C] () -- C:\Windows\Installer\{5db9a795-ee48-0838-da62-3307677b2cbd}\U\80000064.@
[2012/08/05 16:05:48 | 000,000,804 | ---- | C] () -- C:\Windows\Installer\{5db9a795-ee48-0838-da62-3307677b2cbd}\L\00000004.@
[2012/08/05 16:05:46 | 000,016,896 | ---- | C] () -- C:\Windows\Installer\{5db9a795-ee48-0838-da62-3307677b2cbd}\U\80000000.@
[2012/08/05 16:05:46 | 000,002,048 | ---- | C] () -- C:\Windows\Installer\{5db9a795-ee48-0838-da62-3307677b2cbd}\U\00000004.@
[2012/08/05 16:05:46 | 000,001,632 | ---- | C] () -- C:\Windows\Installer\{5db9a795-ee48-0838-da62-3307677b2cbd}\U\000000cb.@
[2012/06/13 11:23:06 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{5db9a795-ee48-0838-da62-3307677b2cbd}\@
[2012/07/04 22:43:09 | 000,000,000 | ---D | M] -- C:\Users\sandee\AppData\Roaming\Babylon
@Alternate Data Stream - 136 bytes -> C:\ProgramData\Temp:7631EA83

:files
C:\Windows\Installer\{5db9a795-ee48-0838-da62-3307677b2cbd}
C:\Windows\SysNative\services.exe|C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe /replace
ipconfig /flushdns /c

:Commands
[EMPTYTEMP]
[CREATERESTOREPOINT]
  • Colle l'intégralité du script dans le cadre Personnalisation
  • Clique ensuite sur le bouton Correction

  • L'outil lance la suppression, ne pas l'interrompre
  • Si l'outil te demande de redémarrer le PC, tu acceptes
  • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
    les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

   ComboFix :

/!\ComboFix est un outil puissant qui ne doit pas être employé à la légère. Cette procédure a été créée spécifiquement pour cet utilisateur. Si vous n'êtes pas cet utilisateur, ne la lancez pas au risque d'endommager sérieusement votre installation de Windows /!\

  • Télécharge ComboFix de sUBs et enregistre-le sur ton Bureau (et nulle part ailleurs, impérativement sur le Bureau)
  • /!\ Ferme toutes les applications en cours et désactive toute protection résidente (antivirus, suite de sécurité)
  • Prends connaissance de ce tutoriel et imprime-le au besoin
  • Sauvegarde tes données importantes
  • Clique sur ComboFix.exe pour lancer l'application
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Accepte la licence d'utilisation et laisse toi guider par le programme
  • Autorise ComboFix à se connecter à internet pour les mises à jour si le programme le demande
  • /!\ Sous XP, ComboFix va vérifier si la Console de récupération est installée. Si cette Console n'est pas installée, accepte par Oui afin de permettre à ComboFix de l'installer 
  • Surtout, laisse l'outil travailler sans rien toucher
  • Le système va redémarrer, puis le rapport Combofix.txt va s'afficher. Poste le contenu de ce rapport dans ta prochaine réponse
    Le rapport est sauvegardé sous :C:\Combofix.txt
---------------------------------------------------------------------------------------------

Sont attendus les rapports :
  • C:\_OTL\MovedFiles\********_******.log
  • Combofix.txt
@+
 

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : Fenêtre pub ebay intempestive
« Réponse #5 le: août 26, 2012, 20:31:05 »
merci , voici le premier fichier :
http://pjjoint.malekal.com/files.php?id=20120826_h5c7p14p5d13
Je ne pense pas avoir d'antivirus , je protége mes données et passe à la suite Combo :)
« Modifié: août 26, 2012, 20:32:23 par sandee »

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23551
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Fenêtre pub ebay intempestive
« Réponse #6 le: août 26, 2012, 20:59:12 »
Re,

Citer
Je ne pense pas avoir d'antivirus
Ben oui .... et le résultat ne s'est pas fait attendre, une bonne infection  :III
On s'en occupera pas la suite.

Pour le correctif OTL, il me semble que tu n'as pas copié-collé la totalité du script.
Il te fallait tout sélectionner avant de copier-coller.

Si tu n'as pas encore lancé Combofix, relance le correctif OTL s'il te plaît, de :OTL à [CREATERESTOREPOINT]

@+
« Modifié: août 26, 2012, 20:59:59 par chantal11 »
 

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : Fenêtre pub ebay intempestive
« Réponse #7 le: août 26, 2012, 21:51:23 »
re,
escuse moi pour l'erreur de manip
voici le fichier :
http://pjjoint.malekal.com/files.php?id=20120826_v9b11q11t12q5
je vais lancer combo maintenant :)

merci Chantal

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23551
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Fenêtre pub ebay intempestive
« Réponse #8 le: août 26, 2012, 21:56:27 »
Re,

C'est OK pour le nouveau rapport du correctif OTL.
Le fichier patché services.exe a pu être remplacé par une copie saine.
Le système a bien redémarré ?

Donc maintenant ComboFix  ;)
« Modifié: août 26, 2012, 21:58:53 par chantal11 »
 

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : Fenêtre pub ebay intempestive
« Réponse #9 le: août 26, 2012, 21:59:13 »
arf, combofix m'envoie un message d'erreur win32 only :
IncompatibleOS. Combofix only works for workstation with windows 2000 et Xp !!

Mon system avait bien redémarrer après le correctif OTL
« Modifié: août 26, 2012, 22:00:36 par sandee »

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23551
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Fenêtre pub ebay intempestive
« Réponse #10 le: août 26, 2012, 22:03:09 »
Re,

Supprime le fichier Combofix téléchargé et recommence l'opération (téléchargement + exécution de Combofix) en Mode sans échec avec prise en charge du réseau

@+
 

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : Fenêtre pub ebay intempestive
« Réponse #11 le: août 26, 2012, 22:26:50 »
J'ai suivie tes instructions mais ça m'as donner le même message  :-\ en mode sans echec avec prise en charge reseau...

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23551
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Fenêtre pub ebay intempestive
« Réponse #12 le: août 26, 2012, 22:34:55 »
Re,

Relance OTL pour générer un nouveau rapport.
Je te remets ci-dessous la procédure :

----------------------------------------------------------------------------------------------

   OTL :

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
     /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Vérifie que les cases Tous les utilisateurs, Recherche Lop et  Recherche Purity soient cochées
  • Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
netsvcs
msconfig
activex
drivers32
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\Tasks\*.* /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
nslookup http://www.google.fr /c
  • Clique ensuite sur Analyse et patiente le temps du scan

  • A la fin de l'analyse, seul le rapport OTL.txt s'affiche.
  • Héberge-le sur pjjoint.fr et indique le lien fourni dans ta réponse.
    Le rapport est sauvegardé sur le Bureau.
----------------------------------------------------------------------------------------------

As-tu toujours des redirection sur eBay ?

@+
 

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : Fenêtre pub ebay intempestive
« Réponse #13 le: août 26, 2012, 22:56:53 »
Internet a l'air de bien fonvtionner maintenant , je n'ais pas revu de page Ebay s'ouvrir ,  voici le fichier OTL :
http://pjjoint.malekal.com/files.php?id=20120826_j11p10h7s8x10

Merci ;)

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23551
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Fenêtre pub ebay intempestive
« Réponse #14 le: août 26, 2012, 23:30:07 »
Re,

Mauvaise nouvelle.
Malgré ce qu'indique le rapport du correctif OTL, le fichier patché est toujours infecté  :AAG


  TDSSKiller :

  • Télécharge TDSSKiller de Kaspersky et enregistre-le sur ton Bureau
  • Double-clique sur TDSSKiller.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Clique sur Change parameters et coche la case Loaded modules. Le message Reboot is required s'affiche.
    Il faut le valider en cliquant sur Reboot now.
  • Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
    L'outil TDSSKiller se relance.
  • Clique de nouveau sur Change parameters et coche dans Additionnal options les cases Verify driver digital signatures et Detect TDLFS file system. Valide par OK
  • Clique sur Start scan pour lancer l'analyse. Laisse travailler l'outil sans l'interrompre.
  • En fin d'analyse, si l'outil a trouvé des éléments suspects ou malicieux, laisse les options indiquées par l'outil pour l'action à effectuer :
    • Si TDSS.tdl2 est détecté, l'option delete soit cochée par défaut
    • Si TDSS.tdl3 est détecté, l'option Cure soit bien cochée
    • Si TDSS.tdl4 (mbr) est détecté, l'option Cure soit bien cochée
    • Si Suspicious object est indiqué, l'option Skip soit cochée
  • Clique ensuite sur Continue, puis clique sur Reboot computer
  • Au redémarrage, poste le rapport TDSSKiller.Version_Date_Heure_log.txt dans ta réponse sur le forum
    Le rapport TDSSKiller.Version_Date_Heure_log.txt est enregistré sous C:\TDSSKiller.Version_Date_Heure_log.txt
Tutoriel d'utilisation TDSSKiller en images

@+



 

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : Fenêtre pub ebay intempestive
« Réponse #15 le: août 27, 2012, 07:16:18 »
Re bonjour,

Il m'a trouvé 3 fichiers suspect , l'option skip est bien choisi (ou coché) mais à l'étape  "Clique ensuite sur Continue, puis clique sur Reboot computer", je clique sur continue et je revient à la première fenêtre  du scan ...je ne vois pas la case Reboot computer ?

Merci de ton aide

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23551
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re : Fenêtre pub ebay intempestive
« Réponse #16 le: août 27, 2012, 08:19:10 »
Bonjour,

Citer
je ne vois pas la case Reboot computer ?

C'est que l'outil n'a pas besoin d'un redémarrage.

Poste tout de même le rapport TDSSKiller.Version_Date_Heure_log.txt qui se trouve sous C:

@+
 

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23551
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re,

Après avoir posté le rapport TDSSKiller.Version_Date_Heure_log.txt demandé dans mon message juste au-dessus, tu enchaînes avec l'outil suivant :

---------------------------------------------------------------------------------------------

  MBRScan :

  • Télécharge MBRScan de Eric_71 sur ton Bureau
  • Ferme toutes les applications en cours
  • Double-clique sur MbrScan.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Au menu principal, clique sur Options et coche les options :
    • VBR
    • Drivers
    • BCD EmsSettings
    • System Start Options
  • Ensuite clique sur Report et laisse l'outil travailler
  • Le rapport MbrScan.log s'ouvre. Copie-colle le contenu de ce rapport dans ta prochaine réponse.
Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier MbrScan.exe est sûr)


  Des fichiers Dump se sont créés sur ton Bureau.
Glisse-les dans un nouveau dossier que tu nommes Dump.
Puis d'un clic-droit sur ce dossier Dump -> Envoyer vers -> Dossier compressé
Poste le dossier Dump.zip en fichier joint dans ta prochaine réponse

---------------------------------------------------------------------------------------------

Sont donc attendus :
  • les rapports TDSSKiller.Version_Date_Heure_log.txt et MbrScan.log
  • le dossier Dump.zip en fichier joint
@+




 

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
 re,

Voici le rapport Tdskiller
http://pjjoint.malekal.com/files.php?id=20120827_l14g12n7x13n9
Je continue la procédure :)

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Voici le rapport Mbrscan :
 http://pjjoint.malekal.com/files.php?id=20120827_k13w7p10r15j13

et le fichier dump en fichier joint :p

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23551
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re,

Nous allons utiliser cet outil :

  Farbar Recovery Scan Tool x64 :

/!\ Imprime la procédure ou affiche-la sur un autre PC car tu n'y auras pas accès par la suite /!\

  • Connecte une clé USB sur ton PC
  • Télécharge Farbar Recovery Scan Tool x64 et enregistre le fichier FRST64.exe (1.4 Mo) sur la clé USB
    (si le téléchargement ne démarre pas automatiquement, clique sur "click here")
  • Ensuite suis les instructions ci-dessous :
==> Ouvrez les Options de récupération système

Pour ouvrir les Options de récupération système depuis les Options de démarrage avancées:
  • Faites redémarrer le PC.
  • Dès que le BIOS est chargé, commencez à tapoter sur la touche F8 jusqu'à l'apparition des Options de démarrage avancées.
  • Utilisez les flèches du clavier pour sélectionner l'élément de menu Réparer l'ordinateur.
  • Choisissez Français comme paramètre de langue et de clavier, puis cliquez sur Suivant.
  • Sélectionnez le système d'exploitation à réparer, puis cliquez sur Suivant.
  • Sélectionnez votre compte d'utilisateur et cliquez sur Suivant.
Pour ouvrir les Options de récupération système en utilisant le disque d'installation Windows:
  • Insérez le disque d'installation.
  • Faites redémarrer le PC.
  • A l'invite, cliquez sur une touche pour faire démarrer Windows depuis le disque d'installation. Si votre ordinateur n'est pas configuré pour démarrer depuis un CD/DVD, vérifiez les paramètres du BIOS.
  • Cliquez sur Réparer l'ordinateur.
  • Choisissez Français comme paramètre de langue et de clavier, puis cliquez sur Suivant.
  • Sélectionnez le système d'exploitation à réparer, puis cliquez sur Suivant.
  • Sélectionnez votre compte d'utilisateur et cliquez sur Suivant.
==> Dans le menu Options de récupération système vous verrez les options suivantes:

Réparation du démarrage
Restaurer le système
Restauration de l'ordinateur Windows
Outil Diagnostics de la mémoire Windows
Invite de commandes


  • Sélectionnez Invite de commandes
  • Dans la fenêtre de commande, saisissez notepad puis appuyez sur Entrée.
  • Le Bloc-notes s'ouvre. Dans le menu Fichier, sélectionnez Ouvrir.
  • Cliquez sur "Poste de travail", cherchez la lettre associée à votre clé USB et fermez le Bloc-notes.
  • Dans la fenêtre de commande, saisissez e:\frst.exe (pour la version x64 bit, tapez e:\frst64) puis appuyez sur Entrée
    Note: Remplacez la lettre e par la lettre de lecteur associée à votre clé USB.
  • L'outil va commencer à s'exécuter.
  • Au démarrage de l'outil, à l'affichage du message "Disclaimer of warranty" cliquez sur Oui.
  • Cliquez sur le bouton Scan.
  • Ceci va créer un rapport d'analyse FRST.txt sur la clé USB. Copiez/collez le contenu de ce rapport dans votre réponse.
  • Ensuite dans l'encadré après Search, tapez services.exe, puis cliquez sur le bouton Search Files.
  • Copiez-collez le contenu du rapport Search.txt dans votre réponse.

N'hésite pas si tu as un souci sur la procédure.

Sont attendus les rapports FRST.txt et Search.txt que tu pourras poster en redémarrant sur Windows ou depuis un autre PC.

@+
« Modifié: août 27, 2012, 20:40:44 par chantal11 »
 

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23551
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re,

Tu as posté le même lien  pour le fichier FRST et le fichier SEARCH.

Il me manque donc le fichier Search.txt pour pouvoir établir le script de correction.

@+
« Modifié: août 27, 2012, 23:02:04 par chantal11 »
 

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
désoler pour l'erreur   :)

http://pjjoint.malekal.com/files.php?id=20120827_h14b11k10d8x6

merci encor et toujours pour toutes vos aides

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23551
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re,

OK merci pour le rapport Search  ;)

On continue :

  • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes).

  • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

C:\Windows\assembly\GAC_32\Desktop.ini
Replace: C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe C:\Windows\System32\services.exe
  • Enregistre le fichier sur la clé USB sous le nom fixlist.txt

    NOTE: Ces lignes ont été écrites spécialement pour cet utilisateur, pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.

  • Redémarre le PC en ouvrant le menu des Options de récupération système, comme indiqué précédemment

  • Lance FRST, clique une seule fois sur le bouton Fix et patiente le temps de la correction

  • L'outil va créer un rapport de correction Fixlog.txt sur la clé USB. Copie/colle le contenu de ce rapport dans ta réponse.
Tu redémarres le PC en mode normal et après avoir posté le rapport Fixlog.txt, tu tentes de lancer Combofix en supprimant le fichier déjà téléchargé et en téléchargeant une nouvelle version.
La procédure pour ComboFix est ici -> http://forum.security-x.fr/desinfections/fenetre-pub-ebay-intempestive/msg76767/#msg76767

@+
 

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
re bonjour,

Voici le fichier fixlog :
http://pjjoint.malekal.com/files.php?id=20120828_y10e6r6b14x14

Je poursuit la procédure .. :)

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
arf, toujours le même soucis  : combofix m'envoie un message d'erreur win32 only :
IncompatibleOS. Combofix only works for workstation with windows 2000 et Xp !!

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23551
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonjour,

OK pour le rapport FRST.

Combofix ne veut pas de ton système, pourtant cet outil est bien compatible Windows 7 64 bits.

Nous allons donc contrôler ton système avec OTL.

Tu supprimes le fichier OTL.exe déjà télé chargé et tu télécharges une version toute fraîche.

Je te remets ci-dessous la procédure :

----------------------------------------------------------------------------------------------

   OTL :

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
     /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Vérifie que les cases Tous les utilisateurs, Recherche Lop et  Recherche Purity soient cochées
  • Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit
netsvcs
msconfig
activex
drivers32
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\Tasks\*.* /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
nslookup http://www.google.fr /c
  • Clique ensuite sur Analyse et patiente le temps du scan

  • A la fin de l'analyse, seul le rapport OTL.txt s'affiche.
  • Héberge-le sur pjjoint.fr et indique le lien fourni dans ta réponse.
    Le rapport est sauvegardé sur le Bureau.
----------------------------------------------------------------------------------------------

Comment se comporte le système ?
Les redirections sur eBay ne sont pas revenues ?


@+
 

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
coucou Chantal :

voici le fichier de OTL (tous nouveau ;) :


 http://pjjoint.malekal.com/files.php?id=20120829_u13z10f7n9g8
Mon pc fonctionne bien quand j'ai tester lanavugation sur internet , plus de page EBAY :)

MERCI

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23551
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonsoir,

C'est bon, cette fois-ci le fichier infecté services.exe a bien été remplacé et n'a pas été repatché en suivant.

Encore un peu de nettoyage à faire.

----------------------------------------------------------------------------------------------

  OTL :

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :OTL)
:OTL
IE - HKU\S-1-5-21-2449440193-2042137118-2482735012-1000\..\SearchScopes,bProtectorDefaultScope = {12BA3640-E7C8-405A-B723-5B02229C54B0}
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\Web Assistant\Firefox
CHR - homepage: http://search.conduit.com/?ctid=CT3227980&SearchSource=48
CHR - homepage: http://search.conduit.com/?ctid=CT3227982&SearchSource=48
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {0cc09160-108c-4759-bab1-5c12c216e005} - No CLSID value found.
[2012/08/05 16:48:38 | 000,000,000 | ---D | C] -- C:\ProgramData\Trymedia
[2012/08/05 15:01:56 | 000,000,000 | ---D | C] -- C:\Program Files\Cracked Steam
[2012/07/04 22:45:04 | 000,230,547 | R--- | M] () -- C:\Users\sandee\AppData\Roaming\Microsoft\Installer\{77236F9C-987C-40EC-832B-5BD6181E4846}\_05C54B1BA48220C27C65AA.exe
[2012/07/04 22:45:04 | 000,230,547 | R--- | M] () -- C:\Users\sandee\AppData\Roaming\Microsoft\Installer\{77236F9C-987C-40EC-832B-5BD6181E4846}\_112D608FD02CD87FDC7735.exe
[2012/07/04 22:45:04 | 000,230,547 | R--- | M] () -- C:\Users\sandee\AppData\Roaming\Microsoft\Installer\{77236F9C-987C-40EC-832B-5BD6181E4846}\_748810A0065ABBFCE0FA2E.exe
[2012/07/04 22:45:04 | 000,230,547 | R--- | M] () -- C:\Users\sandee\AppData\Roaming\Microsoft\Installer\{77236F9C-987C-40EC-832B-5BD6181E4846}\_853F67D554F05449430E7E.exe

:files
C:\Users\sandee\Downloads\SoftonicDownloader_pour_softkey-revealer.exe
ipconfig /flushdns /c

:Commands
[EMPTYTEMP]
[CREATERESTOREPOINT]
  • Colle l'intégralité du script dans le cadre Personnalisation
  • Clique ensuite sur le bouton Correction

  • L'outil lance la suppression, ne pas l'interrompre
  • Si l'outil te demande de redémarrer le PC, tu acceptes
  • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
    les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

  AdwCleaner - Suppression :

  • Sur cette page, télécharge AdwCleaner de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
  • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
  • A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
    Le rapport se trouve sous C:\AdwCleaner(S).txt
Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

  Malwarebyte's Anti-Malware :

  • Télécharge Malwarebytes Anti-Malware en cliquant sur Download Now et enregistre le sur le Bureau
  • Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
  • Clique sur Terminer
  • Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
  • Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
  • Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
  • Sélectionne ton disque dur, puis clique sur Lancer l'examen
  • A la fin du scan, clique sur Afficher les résultats
  • Pour supprimer les éléments détectés, clique sur Supprimer la sélection
  • Si un redémarrage est demandé, clique sur Yes
  • Le rapport mbam-log[date-heure].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
----------------------------------------------------------------------------------------------

  Installe un antivirus gratuit (au choix) :
---------------------------------------------------------------------------------------------

Sont attendus les rapports :
  • C:\_OTL\MovedFiles\********_******.log
  • AdwCleaner(S).txt
  • mbam-log[date-heure].txt
Nous pourrons ensuite, si tout va bien sur le système, finaliser la procédure.

@+
 

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
« Modifié: août 30, 2012, 19:29:49 par sandee »

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23551
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonjour,

Merci pour ces 2 rapports.

Donc le rapport Malwarebytes maintenant.

@+
 

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23551
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re,

OK pour le rapport Malwarebytes.

Ouvre Malwarebytes et dans l'onglet Quarantaine, clique sur Tout supprimer.

Tu as installé quel antivirus finalement ?

Nous allons vérifier si tu es à jour au niveau des extensions et plugins et nous pourrons ensuite conclure.

  SX Check&Update :

  • Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur SXC&U.exe pour lancer l'application
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Au menu principal, clique sur le bouton Rapport

  • Copie-colle le contenu de ce rapport dans ta prochaine réponse.
Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXC&U.exe est sûr)

@+

 

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Bonsoir Chantal,

j'ai choisi l'antivirus AVG

Voici ci joint le rapport SX : http://pjjoint.malekal.com/files.php?id=20120831_h7y10w12u9c11

tks ;)
« Modifié: août 31, 2012, 21:07:24 par sandee »

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23551
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonsoir sandee  :D

Citer
j'ai choisi l'antivirus AVG

OK, n'oublie pas d'analyser régulièrement ton système et surtout de maintenir AVG à jour.

---------------------------------------------------------------------------------------------

  SX Check&Update :

  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur SXC&U.exe pour lancer l'application
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous Internet Explorer qui s'est ouvert
    A titre indicatif, la page de téléchargement http://get.adobe.com/fr/flashplayer/
  • Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
    A titre indicatif, la page de téléchargement http://www.java.com/fr/download/
  • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
  • Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
  • Copie-colle le contenu de ce rapport dans ta prochaine réponse.
---------------------------------------------------------------------------------------------

Est attendu le nouveau rapport SX Check&Update

@+
 

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
re,

Voici le dernier rapport :

http://pjjoint.malekal.com/files.php?id=20120831_w12t7j12y13f12

Tous semble à our maintenant :)

Un grand merci à toi et votre site :)

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23551
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Re,

En effet, c'est à jour  ;)

Nous allons donc pouvoir finaliser la procédure.

---------------------------------------------------------------------------------------------

  Purge points de restauration :

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Copie l'intégralité de ce script ci-dessous
:Commands
[CLEARALLRESTOREPOINTS]
[EMPTYTEMP]
  • Colle l'intégralité du code dans le cadre Personnalisation
  • Clique ensuite sur le bouton Correction
  • Si l'outil te demande de redémarrer le PC, tu acceptes
---------------------------------------------------------------------------------------------

  Désinstallation des outils utilisés :

Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Clique sur Purge d'outils

  • Valide l'avertissement par OK et laisse le pc redémarrer
  • Relance AdwCleaner et clique sur Désinstaller
  • Supprime SXCU de ton Bureau et FRST de ta clé USB
  • Supprime tous les rapports générés restants
---------------------------------------------------------------------------------------------

  Quelques précisions et conseils :


  • D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
Pourquoi et comment je me fais infecter ?

/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur

/!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !

/!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !

/!\ Sauvegarder régulièrement les données personnelles sur un support externe

/!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu



  • Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes


  • Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
    Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
    Il faut l'installer Flash Player sous chaque navigateur présent sur le système
    Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
    Maintenir Java, Adobe Reader et le player Flash à jour
    Exploitation SWF/PDF et Java - système non à jour = danger



    /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
    Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)

  • Le P2P est un vecteur d'infections. Si les logiciels P2P installés sur ton PC sont sains, les fichiers téléchargés/partagés contiennent, pour la plupart, des scripts malicieux et sont infectés.
Les dangers du Peer-To-Peer, Emule etc..
Pourquoi éviter le P2P ? Point législatif & dangers


  • Les cracks et keygens sont des vecteurs de malwares et d'infections.
Le danger des cracks !


[/list]

N'hésite pas si tu as des questions.

Pour en savoir plus, clique sur l'image pour télécharger ce PDF
 

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Re : Fenêtre pub ebay intempestive - ZAccess/Sirefef - services.exe infecté
« Réponse #39 le: septembre 01, 2012, 13:49:15 »
Merci Chantal ,
je souhaite mettre se sujet en résolu , peut tu me dire comment le faire

grand merci a toute l'équipe !!! :AAC

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23551
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonjour sandee  :D

Voilà, j'ai marqué ton sujet en Résolu.

Pour la prochaine fois, pour marquer en Résolu, tu édites ton 1er message en cliquant sur Modifier et tu rajoutes [Résolu] à ton titre.

Bonne continuation  :AAC
 

Hors ligne sandee

  • Membres
  • Members
  • *
  • Messages: 52
Merci bcp :)
une petite dernière question malgrès que c'est pas le bon forum .... comment faire pour créer un mot de passse sur mon compte administrateur , Windows seven me le refuse quand je vais dans le panneau de configuration / modifiction du compte ?

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 23551
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Bonjour,

Citer
Windows seven me le refuse

C'est-à-dire ?
Tu n'as pas accès à Créer un mot de passe pour votre compte ?
Ou c'est au moment de la validation, tu as un message d'erreur ? Lequel ?

Il faudra peut-être ouvrir en effet un autre sujet dans le forum Windows 7.

Au fait tu as toujours le souci avec tes touches de clavier ?

@+