FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Dididaix]

Bonsoir,

Nous avons 2 PC à la maison sur lesquels j'ai des doutes et me lance dans une croisade anti-virus pour laquelle je vais avoir besoin de votre expertise (je vous en remercie d'avance !).

Commençons par le premier (appelons le Ord1), qui se distingue par des difficultés à se connecter sur internet )(et parfois par des envois d'emails suspects, certains me revenant non-délivrés).

J'ai fait tourner Adwcleaner (qui me signale un problème avec c:\Windows\SysWOW64\sqlite3.dll, "either not designed to run on windows or it contains an error..." et m'invite à reinstaller Windows.

Ci-dessous les rapports Adwcleaner, Shortcut (qui a identifié plus de 220 fichiers infectés, là où Avast et toute un armée d'autres logiciels ne voient rien (à peine croyable, bref!), ZHPDiag et Mbam, (que j'ai fait tourner plusieurs fois, mais dans cet ordre la derniere fois, avant de publier ce post)

AdwCleaner Ordi 1: http://upload.sosvirus.net/www/?a=di=2slLh1hSix
Shortcut Ordi 1: http://upload.sosvirus.net/www/?a=di=7QdySaOMgy
ZHP Diag Ordi 1: http://upload.sosvirus.net/www/?a=di=RkjtVWeuQJ
mbam Ordi 1: http://upload.sosvirus.net/www/?a=di=HAtPmMfm3U

Le second PC (celui de madame, appelons le Ordi2) se caractérise par des montagnes de spam et de pubs. Adwcleaner a trouvé également plus de 200 fichiers infectés. Ci-dessous les rapports.
AdwCleaner: http://upload.sosvirus.net/www/?a=di=RFXBxISNOe
Shortcut Ordi 2:http://upload.sosvirus.net/www/?a=di=jHbaU6mXii
ZHP Diag Ordi 2: http://upload.sosvirus.net/www/?a=di=1GOo2a2hvn
Mbam Ordi 2: http://upload.sosvirus.net/www/?a=di=jp3flGOVwO


Que puis-je faire  maintenant ?

Merci d'avance de vos conseils

Didier P

[g3n-h@ckm@n]

salut laisse les rapport dans les formats ou ils sont donnés

on s'occupe d'abord de ORDI 1

on fera un deuxieme sujet pour le deux pour pas melanger ( que j'ai ouvert ici : http://www.forum-entraide-informatique. ... aix#130944 )

tu n'as pas desactivé zone alarm ( que je déconseille d'ailleurs ) pour l utilisation de shortcut_module , recommence donc et poste le nouveau rapport

[Dididaix]

Bonjour,
Merci de tes reponses et pardon de ce silence.
Suite à ton message, j'ai suivi tes recos, mais ai un souci avec shortcut_module (suite à la desinstallation de Zonealarm, enfin, je suppose, puisque c'est le seul changement important que je pense avoir fait)
Toujours est-il que Shortcut tourne jusqu'a 96%, s'arrête sur une message box "Line 24116 (File "C:\Users\DidierPicard\Desktop\Shortcut_Module.exe)
Je te mets quelques photos de l'ecran (sais pas comment faire Prntscr quand Shortcut tourne)
http://upload.sosvirus.net/www/?a=di=ctqqKnMrtt
J'ai de nouveau téléchargé Shortcut (ca n'a rien changé, mais j'avais des doutes car il m'annoncait que la version que j'avais n'etait pas a jour (ien que btelechargee hier !)). Actuellement, il tourne (ça prend plus de 2 heures pour rejoindre les 96% où il bloque) en mode safe avec connexion. Je te tiens au courant.
Si tu as des recommandations, elles sont les bienvenues.
DP

[g3n-h@ckm@n]

relance-le , correction apportée, désolé pour le derangement.

[Dididaix]

Voici enfin le rapport Shortcut_module.
J'ai également refait un ZHPDiag, au cas où !
http://upload.sosvirus.net/www/?a=di=2FVF7w01ob
http://upload.sosvirus.net/www/?a=di=Qx1saGlpcp
Je te remercie d'avance de tes commentaires.
Didier

[g3n-h@ckm@n]

hello zhpdiag ne m'interesse pas

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\Install /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[Dididaix]

Les voici:
http://upload.sosvirus.net/www/?a=di=lRTVV619Wy
http://upload.sosvirus.net/www/?a=di=BcC5FNFky3
Slts.
DP

[g3n-h@ckm@n]

desinstalle tuneup utilities c'est un fracasse système.

=========================

t'as des droles de fichiers dans C:\Windows\SysWow64\㹹騀ང , supprime-les tous ceux qui ont des caractères bizarres comme celui-ci

=========================

colle ce texte en bas de OTL puis clique sur correction et poste le nouveau rapport

:OTL
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-2837362954-2474901402-869965872-1004\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-2837362954-2474901402-869965872-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-2837362954-2474901402-869965872-1004\..\Toolbar\WebBrowser: (no name) - {724D43A0-0D85-11D4-9908-00400523E39A} - No CLSID value found.
O3 - HKU\S-1-5-21-2837362954-2474901402-869965872-1004\..\Toolbar\WebBrowser: (no name) - {D3028143-6145-4318-99D3-3EDCE54A95A9} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O9 - Extra 'Tools' menuitem : Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} http://fichiers.touslesdrivers.com/maco ... _1_0_5.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinsta ... s-i586.cab (Java Plug-in 10.60.2)
O16 - DPF: {CAFEEFAC-0017-0000-0051-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinsta ... s-i586.cab (Java Plug-in 1.7.0_51)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinsta ... s-i586.cab (Java Plug-in 10.60.2)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553546460} http://fpdownload2.macromedia.com/get/s ... wflash.cab (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
[2 C:\Windows\*.tmp files - C:\Windows\*.tmp - ]
[2 C:\Program Files (x86)\*.tmp files - C:\Program Files (x86)\*.tmp - ]
[1 C:\Windows\SysNative\*.tmp files - C:\Windows\SysNative\*.tmp - ]
[1 C:\Users\Didier Picard\Documents\*.tmp files - C:\Users\Didier Picard\Documents\*.tmp - ]
[2012/12/05 20:39:25 | 000,020,992 | ---- | C] () -- C:\Windows\jestertb.dll
[2011/02/19 22:47:50 | 000,000,000 | -HS- | M] () -- C:\ProgramData.LOG1
[2011/02/19 22:47:50 | 000,000,000 | -HS- | M] () -- C:\ProgramData.LOG2
[2013/06/03 15:12:16 | 000,000,000 | ---D | M] -- C:\Update
[2014/05/30 00:04:08 | 000,000,000 | ---D | M] -- C:\Users\Didier Picard\AppData\Local\Axaware
[2013/11/28 00:44:41 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Axaware
[2014/06/04 08:41:22 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\GUM862F.tmp

:reg
[HKLM\Software\Microsoft\windows\CurrentVersion\Run]
""=-
[-HKEY_CURRENT_USER\Software\Axaware]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall"=DWORD:0

:files
C:\eula.*
C:\install.*
C:\Windows\Temp\*
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\*

:commands
[emptytemp]

[Dididaix]

J'ai vire tous les fichiers bizarres, mais, je n'arrive pas a desinstaller Tuneup (ca bloque dans il me demande de confirmer et que je dis OUI (NON, ca marche ;-). J'ai essaye avant et apres OTL, pas d'effet !

Ci-joint les rapports OTL.
http://upload.sosvirus.net/www/?a=di=LrvE6Qioh2
http://upload.sosvirus.net/www/?a=di=FTQnq00JQ

PARCONTRE, on dirait que j'ai un vrai souci: Je viens d'eteindre la machine (normalement), mais elle ne redemarre pas (ca fait 10mn que le voyant du HD clignote (sans bruit), mais pas d'acces au BIOS possible.
Une idee ?
DP

[g3n-h@ckm@n]

mmmm...c'est pas ce rapport que j attendais

c:\_OTL\MovedFiles\date_heure.log

[Dididaix]

Desolem je n'ai rien qui ressemble a ca sur mon disque dur.
je te remets les deux fichiers produits par OTL.
Si ce n'est pas ca, veux tu que je refasse tourner OTL ?
http://upload.sosvirus.net/www/?a=di=iS81xfLeEd
http://upload.sosvirus.net/www/?a=di=JCAawlbqTP
Merci de tes indications.
Didier

[g3n-h@ckm@n]

dans le dossier _OTL dans ton disque C:

[dididaix]

Bonjour,
J'avais bien compris, mais je n'ai pas de dossier _OTL sur C:\ !
Didier

[g3n-h@ckm@n]

alors t'as pas cliqué sur correction après avoir collé le texte

[dididaix]

Ca m'etonne un peu car OTL a tourn un bon moment avant de me produire les deux rapports (OTL + Extra) que je t'ai envoyé.
Bref, me conseilles tu de relancer le processus complet OTL avec les lignes que tu m'avais demandé de copier dans Personalisation ? Ou que dois-je faire ?
Merci de tes conseils.
Didier

[g3n-h@ckm@n]

CLIQUER SUR CORRECTION ET NON ANALYSE

[dididaix]

Toutes mes excuses, j'avais zappe ce "detail"
Voici le rapport
http://upload.sosvirus.net/www/?a=di=AlLrN4jbJM
Bonne journee.
Didier

[g3n-h@ckm@n]

hello presque 7 Go de gagnés ^^

des soucis persistent ?

[dididaix]

Ca va mieux, IE11 a l'air de refonctionner, mais malheureusement, j'ai toujours des trucs bizarres: Je viens de remarquer que Windows Firewall s'etait deconnecte tout seul, et qu'Outlook me demande toujours de valider mon profil. Par ailleurs, une fenetre me demande parfois de rentrer mes codes windows, alors qu'il est installé.

[g3n-h@ckm@n]

tu peux faire une capture de cette fenetre ?

[dididaix]

Bonjour,
La bestiole a mis un peu de temps a se manifester. Voici l'ecran. Naturellement, quand j'annule, tout continue comme avant. Et toujours IE qui soit fonctionne tres bien, soit rame. Chrome va bien !
Merci de tes conseils.
Didier

http://upload.sosvirus.net/www/?a=di=g115hDdwsE

[g3n-h@ckm@n]

il est d'origine le windows dans ce pc ?

[dididaix]

Oui, mais il y a quelques jours (avant que je te contacte), je l'ai réparé a partir d'une image ISO (telecharge du site Microsoft). C'est peut-etre lié ?

[g3n-h@ckm@n]

bah re-rentre ton numero de license dans ce cas quand c est demandé

[Dididaix]

C'est que je fais regulierement ;-) !
Dois-je considerer que ma machine est saine, et faire le grand ménage de fin ?
Bonne journee.
Didier

[g3n-h@ckm@n]

fais une capture des processus quand le fenetre est ouverte

[Dididaix]

Comment est-ce que je fais cette capture ?

[g3n-h@ckm@n]

bah comme tu as fait l autre , après avoir lancé le gestionnaire des taches sur la liste des processus

[dididaix]

Yep, sauf que la derniere fois, je l'ai fait avec Sniptool, ce qui marchait car tout tenait sur une seule page, alors que là, sauf erreur de ma part, ca ne tiendra pas sur une page, et je ne sais pas comment tout copier   !

Au passage, je continue a penser qu'il y a encore des trucs louches sur cette machine. Par ex., cet après midi, je ne peux pas ecouter la radio avec IE (la radio ne se telecharge pas), alors que ca fonctionne avec Chrome...

Merci de tes commentaires.

Didier

[g3n-h@ckm@n]

d'accord dans ce cas execute ca à la place de la capture , ca te mettra un rapport sur le bureau que tu me posteras via cjoint.Com

http://www.aht.li/2372125/Process_List.exe

[dididaix]

Bonjour,
Pas de nouvelles de la fenetre d'enregistrement Windows, mais ce matin, une avalanche d'emails retournés (voir exemple en annexe). J'ai l'impression que mon PC est utilisé pour envoyer des spams (4 differents).
http://upload.sosvirus.net/www/?a=di=MoyHheJdJo

Et toujours IE11 qui marche a moitié, et l'impossibilité de reinstaller Spambayes pour canaliser les spams qui m'envahissent...

Que me conseilles tu pour arreter cette horreur ?
Merci d'avance.
Didier

[g3n-h@ckm@n]

oui déjà pour ce probleme avec la boite mail :

lis ce que j'ai fait ici :

http://forum.telecharger.01net.com/foru ... tm#t808102

[dididaix]

J'aime bien le coup du aaaa@aaaaaa.fr. Il fallait y penser ! C'est fait !
Rien a signaler du côté de Computrace.
Entretemps, la fenetre d'enregistrement a fait son retour. Comme tu me le demandais, voici donc le rapport Process_List.exe.
http://upload.sosvirus.net/www/?a=di=uL0L6dNQI9
Toujours a l'ecoute... coute que coute !
Merci de ta patience et de ton soutien.
Didier

[g3n-h@ckm@n]

ca sert à quoi ca ?

C:\Program Files\SFR\SFR Sauvegardes\SFR Sauvegardes.exe

[dididaix]

Service SFR permettant une sauvegarde reguliere de certains fichiers sur le cloud.
Didier

[g3n-h@ckm@n]

heu....quel genre de fichiers ? des fichier que tu sélectionnes toi ou c'est une sauvegarde automatique que tu ne controles pas totalement ?

[dididaix]

Non, non, ce sont des fichiers que je determine moi-meme. Je l'utilise omme un back-up regulier.
Pourquoi ? Tu as des raisons de penser qu'il se passe quelque chose avec ca ? Je peux facilement le deconnecter si ca peut aider a resoudre le probleme.
Didier

[g3n-h@ckm@n]

aucun processus n'est néfaste....

[dididaix]

Tant mieux. Penses tu que je peux faire le nettoyage final ?
Merci.
Didier

[g3n-h@ckm@n]

je pense