un cheval de troie
Bonjour ,
chaque fois que je lance mon PC , "avast" me fait savoir que j'ai un virus sur mon ordinateur
si je regarde dans le journal d'Avast je trouve ceci :
"HTML:SkinTrim-A[Trj)has been found in "C:\DOCUM~1\HP_PRO~1\LOCALS~1\ Temp\qiioqup.tmp" file"
Je ne comprends rien et je ne sais pas si je peux l'enlever
Merci d'avance de me répondre et de m'aider si cela vous est possible
Bon week-end
Areuse
Bonjour,
Applique la procédure décrite dans ce sujet puis à la fin poste les rapports.
j'ai édité 2 log : celui qui concerne tout depuis 1 mois et
celui qui concerne tout depuis 3 mois
mais je n'ai rien en "info"
voilà j'ai pourtant bien suivi vos informations en même temps que je faisais les choses sur mon bureau
merci pour votre patience
areuse
Télécharge Navilog1 (par IL-MAFIOSO) sur ton bureau
Enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau
(s'il ne s'est déjà lancé tout seul)
Laisse-toi guider. Appuie sur une touche quand on te le demande.
Au menu principal, choisis 1 et valide.
< Ne fais pas le choix 2 >
Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.
Laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande.
Patiente jusqu'au message "Scan terminé le......"
Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.
Poste l'intégralité dans ta réponse. Referme le bloc-notes.
PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt
Ensuite télécharge et installe Malwarebytes' Anti-Malware
Fait un scan rapide,coche puis clique sur Supprimer la sélection
puis poste le rapport final.
voilà tous les rapports que vous m'avez demandé
cordialement
Areuse
l'infection principale provenait d'un de ces programmes qui installe insidieusement l''adware Navipromo :
- Instant Access
- GoRecord
- Go-Astro
- HotTVPlayer
- Instant Access
- InternetGameBox
- Live-Player
- MailSkinner
- MessengerSkinner
- Sudoplanet
- WebMediaPlayer
- Speed-Downloading
- Official-eMule
- Games Attack
- Funky Emoticons
- Original-Solitaire
Désinstalle/supprime les programmes suivants:
C:\Program Files\GamesBar
C:\Program Files\QUAD Utilities
je te conseille d'en profiter pour désinstaller avast qui n'est manifestement pas à la hauteur
même face à des fichiers connus depuis longtemps, remplace-le par >AntiVir< est bien
meilleur qu'avast. Il est en français et tout aussi gratuit.
Si tu changes d'av ce qui est souhaitable,désinstalle avast avant l'installation d'AntiVir.
Configure-le comme sur le tuto
puis fais un scan. S'il détecte un problème poste le rapport.
à la fin nous nettoierons les quelques lignes dans HijackThis.
Comment éviter les programmes piégés ? http://b.marlow.free.fr/programmes_pieges_.html
bon c'était long mais je crois avoir bien fait ce que vous m'avez dit sauf que je n'ai pas trouvé ça : C:\Program Files\QUAD Utilities dans les programmes à supprimer/désinstaller ...est ce gênant ?
sinon le scan n'est pas encore terminé mais là j'ai vraiment sommeil !!
merci pour votre patience
Areuse
voilà le rapport du scan de cette nuit et ce que j'ai dans le dossier "quarantaine" je n'ai pas réussi à vous l'envoyer...
Merci pour tout
Areuse
Tu as regardé si tu voyais Quad Utilities dans démarrer>>tous les programmes ?
Il n'est pas dans le panneau ajout-suppr des programmes ?
tu ne trouves pas le rapport AntiVir ou tu n'arrives pas à le poster ici ?
j'ai regardé et dans démarrer>>tous les programmes et dans le panneau ajout-suppr des programmes
j'ai même regardé si j'avais un dossier "Quad Utilities" dans "rechercher"
pour le rapport antivir je comprends pas : la pièce jointe n'est pas partie avec mon message ce matin
donc je réessaie maintenant mais je ne sais pas comment faire pour vous montrer tout ce que le scan m'a fait mettre dans le fichier "quarantaine"
Cordialement
Areuse
Poste de nouveaux rapports RSIT , log et info.txt
voilà je viens de faire le rapport avec RSTI (et toujours de "info.txt)
merci
Areuse
Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.
Double-clique sur OTMoveIt3.exe pour le lancer.
Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les
sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C
(ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
Retourner dans la fenêtre de OTMoveIt3, faire un clic droit dans la zone puis choisir Coller.Code:FS :Files C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\bwgo0000aa3a.exe C:\Program Files\BitDownload C:\Program Files\QUAD Utilities C:\Documents and Settings\HP_Propriétaire\Application Data\EoRezo :Reg [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\Program Files\BitDownload\BitDownload.exe"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{EF99BD32-C1FB-11D2-892F-0090271D4F88}"=- [-HKEY_CLASSES_ROOT\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac}"=- [-HKEY_CLASSES_ROOT\CLSID\{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac}"=- [-HKEY_CLASSES_ROOT\CLSID\{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ISUSPM Startup"=- "ISUSScheduler"=- "AlcxMonitor"=- "LVCOMSX"=- "HP Software Update"=- "nwiz"=- "Adobe Reader Speed Launcher"=- "QuickTime Task"=- "iTunesHelper"=- "TkBellExe"=- "EoEngine"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{07e9bc65-87ec-11dc-bd72-0011d85f7672}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LDM"=- "LogitechSoftwareUpdate"=- "Skype"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f03e18a2-db5a-11d9-b965-0011d85f7672}] [HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=- [HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{149E45D8-163E-4189-86FC-45022AB2B6C9}] [-HKEY_CLASSES_ROOT\CLSID\{149E45D8-163E-4189-86FC-45022AB2B6C9}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CC450D71-CC90-424C-8638-1F2DBAC87A54}] [-HKEY_CLASSES_ROOT\CLSID\{CC450D71-CC90-424C-8638-1F2DBAC87A54}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\bw+0] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\bw+0s] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\bw-0] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\bw-0s] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\bw00] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\bw00s] :Commands [purity] [emptytemp] [start explorer] [Reboot]
Cliquer sur le bouton rouge Moveit!
Fermer OTMoveIt3
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\*******_*** ***.log
NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes.
************************
Ensuite branche toutes tes sources de données externes. Clés Usb, dd, etc...sans les ouvrir.
Télécharge FindyKill , enregistre-le sur le Bureau puis installe-le normalement.
lance-le ensuite par le raccourci créé sur le Bureau. (si tu as Vista clic-droit Exécuter en tant qu'admin...)
au menu choisis l'option 1
laisse-le travailler à la fin poste le rapport généré.
Désolée
j'arrive du boulot et je vous envoie les rapports
Une question : j'ai dû ignorer 2 fois un fichier détecté comme malveillant par ANTIVIRA (l'antivirus) avant que le "scan" de Findykill , est-ce "normal" ?
Merci encore pour votre patience
Areuse
aucun problème avec les détections AntiVir. c'est normal il signale des fichiers
susceptibles d'être des risktools.
relance FindyKill puis choisis cette fois l'option 2
toujours avec les sources de données externes connectées.
laisse-le faire son travail.à la fin poste le rapport.
Ensuite télécharge ToolsCleaner (A.Rothstein et dj QUIOU) sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt
ouinnn !
je crois que j'ai fait une bêtise car je ne peux plus retrouvé le rapport de findykill mais je vous mets le rapport de ToolsCleaner
Est-ce que ma bêtise peut se réparer ?
Le champ cible n'est plus valide : je suis vraiment désolée
Si je re-télécharge "Findykill3" et refais "2" c'est bien ou c'est pire ?
Merci de votre patience avec moi
Areuse
Si tu as bien effectué l'option 2 c'est cool. FindyKill aura fait son travail.
Fait un scan en ligne Bitdefender avec Internet Explorer
en cliquant sur ce bouton :
copie-colle l'intégralité du rapport final si infection détecté.
Vérifie tes mises à jour de programmes cela contribue à la sécurité de l'ordi.
tu trouveras d'autres astuces pour sécuriser ton surf sur le site.
voilà le rapport final que j'ai eu après avoir lancer "BitDefender" c'est un fichier .doc ou .htlm que je ne peux pas vous envoyer
Voilà ces infos :
"BitDefender Online Scanner - Rapport virus en temps réel
Généré à: Tue, Jul 07, 2009 - 04:58:34
Info d'analyse
Fichiers scannés 153856
Infectés Fichiers 8
Virus Détectés
Trojan.Generic.1548710 1
Gen:Adware.Heur.0145BA8A8A 1
Gen:Adware.Heur.31758ABABA 1
Gen:Adware.Heur.1155AA9A9A 3
Adware.Generic.53278 1
Adware.Generic.53268 1
Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde."
cordialement
Areuse
par défaut le scan de Bitdefender supprime les objets infectieux qu'il trouve.
il y a bien d'écrit 8 fichiers supprimé sur ton rapport ?
oui c'est ça : 8 fichiers supprimés
Je vous ai recopié ce qu'il y avait sur le fichier .htmt en fait sur mon dernier post (à 5 h du mat.)
Est-ce bon ? ou non ?
cordialement
Areuse
oui c'est clean.
Un compte limité accroit la sécurité de l'ordi.
Les programmes mis à jour aussi.
Bon surf.
merci beaucoup pour votre aide
cordialement
Areuse
