> Tous les forums > Forum Sécurité
 virus memoir vive Win32Olmarik cheval de troieSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
fred-39
  Posté le 20/12/2010 @ 11:55 
Aller en bas de la page 
Petit astucien

Bonjour j'ai un probleme avec un virus dans la memoire vive Win32\Olmarik cheval de troie et mon atv (nod32) arrive pas a le mettre en quarantaine comment faire d'avance Merci

Publicité
Vrni
 Posté le 20/12/2010 à 12:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

Fais un scan complet avec ton antivirus, Nod32.
poste le rapport.

Ceci permettra de connaitre le fichier en question.

A+

fred-39
 Posté le 20/12/2010 à 17:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

voila ce qu'il me dit dans le rapport le fichier serais dans Systeme32??

Journal de l'analyse
Version de la base des signatures de virus : 5716 (20101219)
Date : 20/12/2010 Heure : 12:10:57
Disques, dossiers et fichiers analysés : Mémoire vive;C:\Secteur d'amorçage;C:\
Mémoire vive - Win32/Olmarik cheval de troie - sélection d'action reportée à la fin de l'analyse

Vrni
 Posté le 20/12/2010 à 17:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

OK,

Il y a sans doute du rootkit dérrière tout cela.

Je vais durant cette désinfection te demander de passer différents outils.
Suis attentivement les consignes et n'hésite pas à demander des explications si nécessaire.

---------------------------------------------------

1/

Télécharge gmer ( clique sur Download EXE ) sur ton bureau ( IMPORTANT )

Précautions d'emploi :

Désactive tes antivirus, antispyware.
Ferme également toutes les applications actives dont ton navigateur.

  • Double-clique sur l’exécutable téléchargé .
    Si sous Vista , click droit sur l’exécutable et choisir exécuter en tant qu’administrateur.

  • Le scan va se lancer de lui-même.

  • A la fin de l'analyse, clique sur save pour enregistrer le rapport. Enregistre-le sur le bureau ( fichier .log )

Edite ce rapport dans ta prochaine réponse.

2/

Télécharge OTL (de OldTimer) sur ton Bureau.

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

  • Double-clique sur OTL pour le lancer.
    Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu’administrateur.
  • Sélectionne l’option tous les utilisateurs.
  • Dans la partie Personnalisation, copie/colle la liste suivante.

netsvcs
Drivers32
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s

%appdata%\*.exe /s
%APPDATA%\*.
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
CREATERESTOREPOINT

  • clique sur le bouton Analyse rapide
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt.
    Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Poste les sur le forum.

Pour cela, utilise le lien en bas de la page Inserer le rapport .
Indique moi alors les deux liens crées.

A+

fred-39
 Posté le 20/12/2010 à 20:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

voici le rapport GMER les autres vont arriver

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit quick scan 2010-12-20 20:42:10
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdePort0 WDC_WD800BB-22DKA0 rev.77.07W77
Running: 6msxfw3i.exe; Driver: C:\DOCUME~1\user\LOCALS~1\Temp\ffeoapow.sys


---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sectors 156301232 (+255): rootkit-like behavior;

---- Devices - GMER 1.0.15 ----

Device \Driver\atapi -> DriverStartIo \Device\Ide\IdeDeviceP1T1L0-17 86568AEA
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort0 86568AEA
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort1 86568AEA
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdeDeviceP1T0L0-f 86568AEA

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \FileSystem\Ntfs \Ntfs InCDRec.sys (InCD File System Recognizer/Nero AG)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)

Device \Device\Ide\IdeDeviceP0T0L0-3 -> \??\IDE#DiskWDC_WD800BB-22DKA0______________________77.07W77#4457572d414d4c48323435323431_039_0_0_0_0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found

---- EOF - GMER 1.0.15 ----

fred-39
 Posté le 20/12/2010 à 21:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : Extras.Txt

fred-39
 Posté le 20/12/2010 à 21:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : OTL.Txt

fred-39
 Posté le 20/12/2010 à 21:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

fred-39
 Posté le 20/12/2010 à 21:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

fred-39
 Posté le 20/12/2010 à 21:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

voila toute les etapes ont ete realisées bravo pour les explications tres clair et facile a suivre

Vrni
 Posté le 20/12/2010 à 21:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Re,

Je regarde les rapports d'OTL.

Tu peux déjà utiliser l'outil suivant.

---------------------------------------------

Télécharger TDSSkiller de Kaspersky,

  • Extraire de l'archive téléchargée le fichier TDSSKiller.exe et le placer sur le Bureau,
  • Faire un double clic sur TDSSKiller.exe pour le lancer.

  • Cliquer sur Start scan pour lancer l'analyse,

  • Lorsque l'outil a terminé son travail d'inspection, si des nuisibles Image IPB ("Malicious objects") ont été trouvés, vérifier que l'option Image IPB (Cure) est sélectionnée,
  • Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
  • Puis cliquer sur le bouton Image IPB (Continue),
  • Attendre l'affichage du fichier rapport.
  • Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage, cliquer sur le bouton Image IPB (Reboot computer).
Envoye en réponse le rapport de TDSSKiller.
Il se trouve généralement en C:\TDSSKiller.Version_Date_Heure_log.txt)

A+

fred-39
 Posté le 20/12/2010 à 22:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

fred-39
 Posté le 20/12/2010 à 22:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

fred-39 a écrit :

Fichier joint : TDSSKiller.2.4.12.0_20.12.2010_22.14.10_log.txt

scan realisé objet radié et ordi redemarrer

Vrni
 Posté le 21/12/2010 à 08:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

fred-39,

Désintalle ImBooster.
Ce logiciel, utilisé pour des services de messageries en ligne, en fait récolte des informations sur tes habitudes de surf.

----------------------------------------

Relance OTL.

  • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :

instructions:
:OTL
[2010/10/17 12:51:53 | 000,000,000 | ---D | M] (Softonic_France Toolbar) -- C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\1w8dp6dq.default\extensions\{364d4e0c-543f-4b85-abe3-19551139da4f}
O2 - BHO: (no name) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - No CLSID value found.
O2 - BHO: (IMinent WebBooster (BHO)) - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} - C:\Program Files\Iminent\IMBooster4Web\Iminent.WebBooster.dll (Iminent)
O2 - BHO: (no name) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - No CLSID value found.
O4 - HKLM..\Run: [HKLM] C:\WINDOWS\system32\tskmgr.exe ()
O4 - HKLM..\Run: [IMBooster] C:\Program Files\Iminent\IMBooster\imbooster.exe (Iminent)
O4 - HKU\S-1-5-21-1085031214-1592454029-725345543-1004..\Run: [HKCU] C:\WINDOWS\system32\tskmgr.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\tskmgr.exe ()
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.132,93.188.160.12
O27 - HKLM IFEO\acrord32.exe: Debugger - "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" (TuneUp Software)
O27 - HKLM IFEO\backitup.exe: Debugger - "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" (TuneUp Software)
O27 - HKLM IFEO\cdspeed.exe: Debugger - "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" (TuneUp Software)
O27 - HKLM IFEO\coverdes.exe: Debugger - "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" (TuneUp Software)
O27 - HKLM IFEO\dmamanager.exe: Debugger - "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" (TuneUp Software)
O27 - HKLM IFEO\drivespeed.exe: Debugger - "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" (TuneUp Software)
O27 - HKLM IFEO\imbooster.exe: Debugger - "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" (TuneUp Software)
O27 - HKLM IFEO\infotool.exe: Debugger - "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" (TuneUp Software)
O27 - HKLM IFEO\itunes.exe: Debugger - "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" (TuneUp Software)
O27 - HKLM IFEO\nero.exe: Debugger - "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" (TuneUp Software)
O27 - HKLM IFEO\neroburnrights.exe: Debugger - "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" (TuneUp Software)
O27 - HKLM IFEO\nerostartsmart.exe: Debugger - "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" (TuneUp Software)
O27 - HKLM IFEO\neroupgrade.exe: Debugger - "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" (TuneUp Software)
O27 - HKLM IFEO\nerovision.exe: Debugger - "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" (TuneUp Software)
O27 - HKLM IFEO\presentationhost.exe: Debugger - "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" (TuneUp Software)
O27 - HKLM IFEO\setupx.exe: Debugger - "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" (TuneUp Software)
O27 - HKLM IFEO\uninstall.exe: Debugger - "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" (TuneUp Software)
[2010/12/09 21:33:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Iminent

:Commands
[RESETHOSTS]
[Emptytemp]
[Emptyflash]


  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, le PC va redémarrer.


Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
Sauvegarde-le sur ton Bureau et poste-le.

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles

Regarde suivant la date : 12262009_xxxxxxxx.log

---------------------------------------------------------------------------------

Ensuite,

Télécharge Combofix depuis l'un des liens ci-dessous:

Lien 1
Lien 2

Important !!! télécharger l'exécutable sur votre Bureau**

Assure toi d'avoir désactiver tous les antivirus ou autres protections qui pourraient interférer durant l'exécution de Combofix.
Branche tes supports amovibles ( disque dur externe, clés USB ) sans les ouvrir.

  • Double clique sur ComboFix.exe et suis les invites.
    Si sous Vista/Seven, Click droit sur l'exécutable et choisis Executer en tant qu'administrateur.

  • A un moment de l'installation, ComboFix vérifiera si la console de récuperation de Microsoft est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé d'avoir pré-installé la Console de répupération Windows sur votre PC avant toute suppression de nuisibles. Ceci te permettra de démarrer dans un mode de restauration/réparation en cas de problème lors d'une tentative de suppression de virus.
    CETTE ETAPE EST IMPORTANTE ET NE DOIT EN AUCUN CAS ETRE OUBLIEE
  • Suis les invites de ComboFix pour télécharger et installer la console de récupération de Microsoft et, quand proposé, accepte le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft.

Note: Si la console de récupération de Microsoft est déjà installée, ComboFix continuera sa procédure.


Une fois la console de récupération installée, tu devrais voir le message suivant :


Clique sur Yes pour commencer l'analyse. Durant le scan , ne rien faire d'autre.

  • Lorsque l'outil aura terminé, il affichera un rapport. Envoie le contenu de ce rapport dans ta prochaine réponse.
    Il se trouve également à C:\ComboFix.txt
A+

fred-39
 Posté le 21/12/2010 à 10:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonjour IMBOOSTER radié

le rapport deOTL n'est pas autorisé quand je le poste voici le copie/coller

je passe a la prochaine etape

All processes killed
Error: Unable to interpret <instructions:> in the current context!
========== OTL ==========
C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\1w8dp6dq.default\extensions\{364d4e0c-543f-4b85-abe3-19551139da4f}\searchplugin folder moved successfully.
C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\1w8dp6dq.default\extensions\{364d4e0c-543f-4b85-abe3-19551139da4f}\META-INF folder moved successfully.
C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\1w8dp6dq.default\extensions\{364d4e0c-543f-4b85-abe3-19551139da4f}\lib folder moved successfully.
C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\1w8dp6dq.default\extensions\{364d4e0c-543f-4b85-abe3-19551139da4f}\defaults folder moved successfully.
C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\1w8dp6dq.default\extensions\{364d4e0c-543f-4b85-abe3-19551139da4f}\components folder moved successfully.
C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\1w8dp6dq.default\extensions\{364d4e0c-543f-4b85-abe3-19551139da4f}\chrome folder moved successfully.
C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\1w8dp6dq.default\extensions\{364d4e0c-543f-4b85-abe3-19551139da4f} folder moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}\ not found.
File C:\Program Files\Iminent\IMBooster4Web\Iminent.WebBooster.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\HKLM deleted successfully.
C:\WINDOWS\system32\tskmgr.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\IMBooster not found.
File C:\Program Files\Iminent\IMBooster\imbooster.exe not found.
Registry value HKEY_USERS\S-1-5-21-1085031214-1592454029-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Run\\HKCU deleted successfully.
File C:\WINDOWS\system32\tskmgr.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Policies deleted successfully.
File C:\WINDOWS\system32\tskmgr.exe not found.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\\NameServer| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\acrord32.exe\ deleted successfully.
C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\backitup.exe\ deleted successfully.
File "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cdspeed.exe\ deleted successfully.
File "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\coverdes.exe\ deleted successfully.
File "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dmamanager.exe\ deleted successfully.
File "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drivespeed.exe\ deleted successfully.
File "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\imbooster.exe\ deleted successfully.
File "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\infotool.exe\ deleted successfully.
File "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\itunes.exe\ deleted successfully.
File "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nero.exe\ deleted successfully.
File "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\neroburnrights.exe\ deleted successfully.
File "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nerostartsmart.exe\ deleted successfully.
File "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\neroupgrade.exe\ deleted successfully.
File "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nerovision.exe\ deleted successfully.
File "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\presentationhost.exe\ deleted successfully.
File "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setupx.exe\ deleted successfully.
File "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\uninstall.exe\ deleted successfully.
File "C:\Program Files\TuneUp Utilities 2011\TUAutoReactivator32.exe" not found.
Folder C:\Documents and Settings\All Users\Application Data\Iminent\ not found.
========== COMMANDS ==========
C:\windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 3381416 bytes

User: NetworkService
->Temp folder emptied: 12382 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: user
->Temp folder emptied: 69746408 bytes
->Temporary Internet Files folder emptied: 8063834 bytes
->Java cache emptied: 20000488 bytes
->FireFox cache emptied: 52144597 bytes
->Flash cache emptied: 10682 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 4296310 bytes
%systemroot%\System32 .tmp files removed: 9252352 bytes
%systemroot%\System32\dllcache .tmp files removed: 242688 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 38052023 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 13950437 bytes

Total Files Cleaned = 209,00 mb


[EMPTYFLASH]

User: All Users

User: Default User

User: LocalService

User: NetworkService

User: user
->Flash cache emptied: 0 bytes

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.17.4 log created on 12212010_104519

Files\Folders moved on Reboot...
File\Folder C:\Documents and Settings\user\Local Settings\Temp\Perflib_Perfdata_910.dat not found!
File\Folder C:\windows\temp\Perflib_Perfdata_790.dat not found!

Registry entries deleted on Reboot...

Vrni
 Posté le 21/12/2010 à 13:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Re,

Le rapport après correction d'OTL n'est pas autorisé car c'est un fichier .log ( et non .txt ).
OTL a déjà fait un peu de ménage.

Il y avait en autre un détournement de DNS.
Ce qui veut dire que ton surf était redirigé vers des serveurs ukrainiens.

----------------------------------------------------------------------

Tu peux passer à ComboFix.

A+

fred-39
 Posté le 21/12/2010 à 17:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ComboFix.txt

fred-39
 Posté le 21/12/2010 à 17:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

fred-39 a écrit :

Fichier joint : ComboFix.txt

re voici le lien du rapport

http://fichiers.pcastuces.com/rapports/203762-20101221174146_ComboFix.txt.zip

merci pour toute ses demarches s'est a cause de quoi que je suis allé sur des serveurs etrangé??

Vrni
 Posté le 21/12/2010 à 18:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

fred-39

Tu n'as pas installé la console de récupération pour ComboFix.
Du coup, l'outil n'effectue pas le même travail.

Recommence, stp, la manip avec combofix en installant cette fois-ci la console.
Regarde le post précédent avec les consignes pour cet outil.

poste le rapport obtenu.

A+

fred-39
 Posté le 21/12/2010 à 20:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

impossible de l'installer il y a une erreur a chaque fois je essayer de la telecharger moi meme si on peu?

Vrni
 Posté le 21/12/2010 à 20:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

fred-39,

On va essayer une manip mais pour autant, si tu n'y arrives pas, on passera à la suite.

Il te faut des CD de XP originaux.
est-ce le cas ?
Si c'est le cas, insère le CD de XP

démarrer --> Exécuter..., --> Tape la commande : " D:\I386\WINNT32.EXE /CMDCONS

dans l'article suivant, il est décrit au début comment installer la console en bootant sur le CD.
http://www.informatruc.com/console.php

A+



Modifié par Vrni le 21/12/2010 20:48
fred-39
 Posté le 21/12/2010 à 21:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

il est bien original mais il ne trouve pas un fichier et ne termine pas l'instalation avec le CD et a partir du lien il y a une erreur (BOOT) pourtant j'ai fait plusieurs fois la manip mais aucun resultats?

Vrni
 Posté le 21/12/2010 à 21:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Re,

Je pense que le problème d'installation de la console doit être liè à l'infection sur le PC.

------------------------------------------------------------

Relance gmer.

  • A la fin du scan rapide et de l'affichage des résultats, clique sur scan
    Vérifie que tous les onglets sont sélectionnés.
  • Une fois l'analyse terminée, clique sur save pour sauvegarder le rapport.

poste le dans ton prochain message.

A+

fred-39
 Posté le 22/12/2010 à 01:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Petit souci programme qui bloque ne ce lance pas même après avoir redémarrer impossible de lancer quelque chose sa plante direct (écris depuis un autre poste) dommage votre travail avait déjà rendu l'ordi plus rapide et j'ai plus le message de trojan mais la je sais pas ce qu'il a je pense que je vais passer demain au formatage complet déçu de vous avoir monopolisé du temps pour en arriver la chapeau pour les démarches très clair et très pro

Vrni
 Posté le 22/12/2010 à 08:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

fred-39,

C'est gmer qui a planté le PC ?

As-tu accès au mode sans échec ?
As-tu récupéré les données sur le PC ?
As-tu essayé d'utiliser un point de restauration ?
Il y avait eu un de créé en début de désinfection.

A+

fred-39
 Posté le 23/12/2010 à 13:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

il démarre mais a chaque fois que je lance un programme sa plante du coup après analyse ATV il en a trouvé 6 qui sont arrivé je sais pas comment!! qui ne figurait pas sur le rapport que j'ai poste pour finir sauvegarde et formatage ont été (obligatoire) maintenant sa va super bien

encore merci pour le coup de main

une autre question pour installer des logiciel qui marche avec XP et les installer sur seven c possible??

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
261,40 €Ecran PC 32 pouces Samsung U32J592 (4K, Freesync) à 261,40 € livré
Valable jusqu'au 28 Octobre

Amazon Espagne fait une promotion sur l'écran PC Samsung 32 pouces U32J592 à 246,95 €. Comptez 14,45 € pour la livraison en France soit un total de 261,40 € livré alors qu'on le trouve ailleurs à partir de 369 €. Cet écran de 32 pouces offre une définition 4K de 3840x2160 pixels et est compatible FreeSync.

Utilisez votre compte Amazon FR sur Amazon ES. Pas de douane.


> Voir l'offre
399,99 €Tablette 11 pouces Xiaomi Mi Pad 5 (120 Hz, Snapdragon 860, 6Go/128 Go, Android 11) à 399,99 €
Valable jusqu'au 29 Octobre

Fnac propose actuellement la nouvelle tablette 11 pouces Xiaomi Mi Pad 5 à 399,99 €. Cette superbe tablette possède un écran 11 pouces IPS WQHD+ (2560x1600 pixels) 120 Hz, un processeur Snapdragon 860 à 8 coeurs, 6 Go de RAM, 128 Go de stockage et tourne sous Android 11. Elle est compatible avec les stylets Xiaomi Smart Pen. 

Notez que jusqu'à 13h ce lundi, vous pourrez obtenir 20 € de remise supplémentaires avec le code REM20.


> Voir l'offre
29,99 €Caméra de surveillance TP-Link Tapo C200 à 29,99 €
Valable jusqu'au 30 Octobre

Amazon fait une promotion sur la caméra de surveillance TP-Link Tapo C200 qui passe à 29,99 € livré gratuitement au lieu d'une quarantaine d'euros ailleurs. Cette caméra se connecte à votre réseau en WiFi et peut ensuite être contrôlée à distance. Elle offre une définition FullHD 1080p, la vision nocturne, la détection de mouvements (recevez une notification si quelque chose est détecté), une alarme sonore et visuelle. Le stockage se fait en local sur une carte MicroSD.


> Voir l'offre

Sujets relatifs
virus et cheval de troie
2 virus "cheval de Troie TR/Agent.cada.21622" !
virus "cheval de troie " detruit mon ordinateur
J'ai un virus et cheval de troie
cheval de troie détectée par AVG anti virus
Virus Cheval de troie
Virus(cheval de troie)
virus cheval de troie
besoin d'aide virus et cheval de troie
Virus cheval de troie ?
Plus de sujets relatifs à virus memoir vive Win32Olmarik cheval de troie
 > Tous les forums > Forum Sécurité