> Tous les forums > Forum Sécurité
 Windows 7 : virus win32/Small.CASujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
Mimile
  Posté le 21/12/2012 @ 13:45 
Aller en bas de la page 
Astucien

Bonjour,

Je viens de constater que mon PC était infecté par le virus win32/Small.CA (information à ce sujet mentionné dans le petit fanion du centre de maintenance à droite dans la barre des tâches)

J'ai examiné le message d'erreur qui me dit que la dernière fois que le fonctionnement de mon PC a été altéré remonte au 16 novembre dernier mais depuis lors, je n'ai pas constaté de fonctionnement anormal et jusqu'à ce jour, je n'avais pas observé la présence de cette alerte dans le fanion.

Une pseudo solution est proposée et quand on clique dessus on est renvoyé sur ce site : http://www.microsoft.com/security/scanner/fr-fr/default.aspx

J'ai téléchargé et exécuté le logiciel censé détecter et supprimer le virus mais il n'a rien trouvé.

J'ai navigué sur Google pour essayer de trouver une solution pour éradiquer ce virus mais celles que j'ai trouvées demandent un véritable dialogue entre le membre et un spécialiste des virus avec installation de logiciels, transfert de rapport, etc..

J'ai aussi vu sur un site qu'un intervenant affirmait qu'il ne s'agissait en fait pas d'un virus ...

Je ne sais que penser.

Merci d'avance pour vos avis.

Amicalement,



Modifié par Mimile le 21/12/2012 13:49
Publicité
Mimile
 Posté le 22/12/2012 à 11:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Le PC infecté se trouve à mon bureau où je n'irai qu'après le week-end, donc lundi prochain.

J'avais déjà eu l'occasion de solliciter l'aide des virologues du forum voici quelques mois pour résoudre un problème rencontré sous XP qui mettait près de 20 minutes à booter avec CPU surchauffé, ventilo hystérique et activité constante des disques même après la fin laborieuse du boot.

Problème résolu au bout d'une journée de manip.

Cela étant dit, je ne sais quel impact a ce virus sur le fonctionnement de mon PC (rien constaté jusqu'à présent) mais j'ai lu divers postes où les intervenants indiquaient qu'ils n'avait plus accès au net ou que leur PC était devenu très lent.

J'ai aussi lu qu'il s'agissait d'un faux virus !

Finalement, je ne sais trop que penser ...

Mimile
 Posté le 26/12/2012 à 15:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Voici les rapports fournis par Malwarebyte, Adwcleaner et zhp :

Malwarebytes :

Malwarebytes Anti-Malware (Essai) 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.12.26.09

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
admin
ADMIN-PC [administrateur]

Protection: Désactivé

26/12/2012 14:28:47
mbam-log-2012-12-26 (14-28-47).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 216970
Temps écoulé: 5 minute(s), 57 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Adwcleaner :

# AdwCleaner v2.103 - Rapport créé le 26/12/2012 à 14:09:04
# Mis à jour le 25/12/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : admin - ADMIN-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\admin\Downloads\AdwCleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Program Files\Ask.com
Dossier Présent : C:\ProgramData\Ask
Dossier Présent : C:\ProgramData\InstallMate
Dossier Présent : C:\Users\admin\AppData\Local\Temp\AskSearch
Dossier Présent : C:\Users\admin\AppData\LocalLow\AskToolbar
Dossier Présent : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Registre] *****

Clé Présente : HKCU\Software\APN
Clé Présente : HKCU\Software\AppDataLow\Software\AskToolbar
Clé Présente : HKCU\Software\Ask.com
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Présente : HKLM\Software\APN
Clé Présente : HKLM\Software\AskToolbar
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\BHO.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Présente : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Clé Présente : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Clé Présente : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Clé Présente : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Présente : HKLM\SOFTWARE\Classes\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\C22EC48700B9B9C08DDC2C12DA3BD6F8EA0DFFDE
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://eu.ask.com/?l=dis&o=101702

-\\ Mozilla Firefox v17.0.1 (fr)

Fichier : C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\ow0vopvv.default\prefs.js

Présente : user_pref("browser.search.defaultengine", "Ask.com");
Présente : user_pref("browser.search.defaultenginename", "Ask.com");
Présente : user_pref("browser.search.order.1", "Ask.com");
Présente : user_pref("browser.search.selectedEngine", "Ask.com");
Présente : user_pref("extensions.asktb.InstallDir", "C:\\Program Files\\Ask.com\\");
Présente : user_pref("extensions.asktb.abar-war-timeout", "4000");
Présente : user_pref("extensions.asktb.cbid", "F4");
Présente : user_pref("extensions.asktb.config-updated", false);
Présente : user_pref("extensions.asktb.crumb", "2011.07.18+00.39.59-toolbar003iad-BE-QnJ1c3NlbHMsQmVsZ2l1bQ%3D%[...]
Présente : user_pref("extensions.asktb.default-channel-url-mask", "hxxp://eu.ask.com/web?qsrc={qsrc}&o={o}&l={l[...]
Présente : user_pref("extensions.asktb.dtid", "YYYYYYYYBE");
Présente : user_pref("extensions.asktb.dyn-weather-do-locid-lookup-weatherWidget", false);
Présente : user_pref("extensions.asktb.dyn-weather-locid-weatherWidget", "BEXX0005");
Présente : user_pref("extensions.asktb.dyn-weather-tempunit-weatherWidget", "C");
Présente : user_pref("extensions.asktb.ff-original-keyword-url", "hxxp://www.google.com/search?ie=UTF-8&oe=UTF-[...]
Présente : user_pref("extensions.asktb.fresh-install", false);
Présente : user_pref("extensions.asktb.guid", "4682df86-212b-4521-96a7-419b0c5227d9");
Présente : user_pref("extensions.asktb.hxxp-header-whitelist-hosts", "[\"static-dev.en.dev.ask.com\", \"ask.com[...]
Présente : user_pref("extensions.asktb.if", "first");
Présente : user_pref("extensions.asktb.l", "dis");
Présente : user_pref("extensions.asktb.last-config-req", "1311854732889");
Présente : user_pref("extensions.asktb.locale", "fr_EU");
Présente : user_pref("extensions.asktb.location", "Brussels,Belgium");
Présente : user_pref("extensions.asktb.o", "101699");
Présente : user_pref("extensions.asktb.overlay-reloaded-using-restart", true);
Présente : user_pref("extensions.asktb.qsrc", "2871");
Présente : user_pref("extensions.asktb.r", "2");
Présente : user_pref("extensions.asktb.sa", "YES");
Présente : user_pref("extensions.asktb.saguid", "F5673D6A-4171-4C00-A103-789CA1399DDD");
Présente : user_pref("extensions.asktb.search-suggestions-enabled", true);
Présente : user_pref("extensions.asktb.silent-upgrade-from-pre-newtabs-build", false);
Présente : user_pref("extensions.asktb.socialmini-first", true);
Présente : user_pref("extensions.asktb.socialmini-interval", "1200000");
Présente : user_pref("extensions.asktb.socialmini-max-char-ticker", "33");
Présente : user_pref("extensions.asktb.socialmini-max-items", "30");
Présente : user_pref("extensions.asktb.socialmini-native-on", true);
Présente : user_pref("extensions.asktb.socialmini-speed", "5000");
Présente : user_pref("extensions.asktb.socialmini-transition-first-open", false);
Présente : user_pref("extensions.asktb.themeid", "");
Présente : user_pref("extensions.asktb.to", "");
Présente : user_pref("extensions.asktb.version", "5.12.2.16749");
Présente : user_pref("keyword.URL", "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=FXTV5&o=101699&local[...]

-\\ Google Chrome v14.0.835.202

Fichier : C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [9627 octets] - [26/12/2012 14:09:04]

########## EOF - C:\AdwCleaner[R1].txt - [9687 octets] ##########

ZHP :

http://fichiers.pcastuces.com/rapports/37016-20121226152711_ZHPDiag.txt.zip

Par avance, merci pour votre aide.

Amicalement





Modifié par Mimile le 26/12/2012 15:28
philae
 Posté le 26/12/2012 à 22:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

bonsoir,

relance ADWCleaner, clique sur SUPPRESSION

poste le rapport

Mimile
 Posté le 27/12/2012 à 10:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour et merci d'intervenir.

Voici le rapport adwcleaner en mode "suppression"

# AdwCleaner v2.103 - Rapport créé le 27/12/2012 à 10:32:30
# Mis à jour le 25/12/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : admin - ADMIN-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\admin\Downloads\adwcleaner(1).exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\Ask.com
Dossier Supprimé : C:\ProgramData\Ask
Dossier Supprimé : C:\ProgramData\InstallMate
Dossier Supprimé : C:\Users\admin\AppData\Local\Temp\AskSearch
Dossier Supprimé : C:\Users\admin\AppData\LocalLow\AskToolbar
Dossier Supprimé : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Registre] *****

Clé Supprimée : HKCU\Software\APN
Clé Supprimée : HKCU\Software\AppDataLow\Software\AskToolbar
Clé Supprimée : HKCU\Software\Ask.com
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\Software\APN
Clé Supprimée : HKLM\Software\AskToolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\BHO.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\C22EC48700B9B9C08DDC2C12DA3BD6F8EA0DFFDE
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16457

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://eu.ask.com/?l=dis&o=101702 --> hxxp://www.google.com

-\\ Mozilla Firefox v17.0.1 (fr)

Fichier : C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\ow0vopvv.default\prefs.js

Supprimée : user_pref("browser.search.defaultengine", "Ask.com");
Supprimée : user_pref("browser.search.defaultenginename", "Ask.com");
Supprimée : user_pref("browser.search.order.1", "Ask.com");
Supprimée : user_pref("browser.search.selectedEngine", "Ask.com");
Supprimée : user_pref("extensions.asktb.InstallDir", "C:\\Program Files\\Ask.com\\");
Supprimée : user_pref("extensions.asktb.abar-war-timeout", "4000");
Supprimée : user_pref("extensions.asktb.cbid", "F4");
Supprimée : user_pref("extensions.asktb.config-updated", false);
Supprimée : user_pref("extensions.asktb.crumb", "2011.07.18+00.39.59-toolbar003iad-BE-QnJ1c3NlbHMsQmVsZ2l1bQ%3D%[...]
Supprimée : user_pref("extensions.asktb.default-channel-url-mask", "hxxp://eu.ask.com/web?qsrc={qsrc}&o={o}&l={l[...]
Supprimée : user_pref("extensions.asktb.dtid", "YYYYYYYYBE");
Supprimée : user_pref("extensions.asktb.dyn-weather-do-locid-lookup-weatherWidget", false);
Supprimée : user_pref("extensions.asktb.dyn-weather-locid-weatherWidget", "BEXX0005");
Supprimée : user_pref("extensions.asktb.dyn-weather-tempunit-weatherWidget", "C");
Supprimée : user_pref("extensions.asktb.ff-original-keyword-url", "hxxp://www.google.com/search?ie=UTF-8&oe=UTF-[...]
Supprimée : user_pref("extensions.asktb.fresh-install", false);
Supprimée : user_pref("extensions.asktb.guid", "4682df86-212b-4521-96a7-419b0c5227d9");
Supprimée : user_pref("extensions.asktb.hxxp-header-whitelist-hosts", "[\"static-dev.en.dev.ask.com\", \"ask.com[...]
Supprimée : user_pref("extensions.asktb.if", "first");
Supprimée : user_pref("extensions.asktb.l", "dis");
Supprimée : user_pref("extensions.asktb.last-config-req", "1311854732889");
Supprimée : user_pref("extensions.asktb.locale", "fr_EU");
Supprimée : user_pref("extensions.asktb.location", "Brussels,Belgium");
Supprimée : user_pref("extensions.asktb.o", "101699");
Supprimée : user_pref("extensions.asktb.overlay-reloaded-using-restart", true);
Supprimée : user_pref("extensions.asktb.qsrc", "2871");
Supprimée : user_pref("extensions.asktb.r", "2");
Supprimée : user_pref("extensions.asktb.sa", "YES");
Supprimée : user_pref("extensions.asktb.saguid", "F5673D6A-4171-4C00-A103-789CA1399DDD");
Supprimée : user_pref("extensions.asktb.search-suggestions-enabled", true);
Supprimée : user_pref("extensions.asktb.silent-upgrade-from-pre-newtabs-build", false);
Supprimée : user_pref("extensions.asktb.socialmini-first", true);
Supprimée : user_pref("extensions.asktb.socialmini-interval", "1200000");
Supprimée : user_pref("extensions.asktb.socialmini-max-char-ticker", "33");
Supprimée : user_pref("extensions.asktb.socialmini-max-items", "30");
Supprimée : user_pref("extensions.asktb.socialmini-native-on", true);
Supprimée : user_pref("extensions.asktb.socialmini-speed", "5000");
Supprimée : user_pref("extensions.asktb.socialmini-transition-first-open", false);
Supprimée : user_pref("extensions.asktb.themeid", "");
Supprimée : user_pref("extensions.asktb.to", "");
Supprimée : user_pref("extensions.asktb.version", "5.12.2.16749");
Supprimée : user_pref("keyword.URL", "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=FXTV5&o=101699&local[...]

-\\ Google Chrome v23.0.1271.97

Fichier : C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [9642 octets] - [27/12/2012 10:32:30]

########## EOF - C:\AdwCleaner[S1].txt - [9702 octets] ##########

Petite précision : le PC infecté est à mon bureau et j'exerce un métier plutôt itinérant ; de ce fait, il se pourrait, si tu as d'autres manipulations à me faire faire que je n'y réponde pas immédiatement.

Amicalement,

Evasion60
 Posté le 27/12/2012 à 18:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut, et de passage

Commence déjà par supprimer tes cracks et keygens

Mimile
 Posté le 28/12/2012 à 11:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Erreur de jeunesse ...

J'avais vraiment besoin d'un désinstallateur efficace pour désinstaller Antivir Avira qui exigeait une désinstallation manuelle avec la version gratuite.

Cela dit, j'ai supprimé les cracks et keygen et fait un nouveau rapport ZHP dont voici le lien : http://cjoint.com/?BLClzBNcymI

Cordialement

Evasion60
 Posté le 28/12/2012 à 11:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut

Erreur de jeunesse ...

Tu prends les Astucien(e)s, pour des lapins de 6 jours

Applique ce correctif =>

Lance ZHPFix par l'icône sur le bureau, avec élévation des privilèges pour Vista et Windows 7 ( Clic droit exécuter en tant qu'administrateur )

image


Elle a été créée lors de l'installation de ZHPDiag.

image A l'aide de la souris (clic gauche maintenu), sélectionne et copie (clic droit/copier) le contenu de l'encadré ci-dessous

Code

O39 - APT:Automatic Planified Task - C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => Google Update Task
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => Google Update Task
[MD5.F02A533F517EB38333CB12A9E8963773] [APT] [GoogleUpdateTaskMachineCore] (.Google Inc..) -- C:\Program Files\Google\Update\GoogleUpdate.exe
[MD5.F02A533F517EB38333CB12A9E8963773] [APT] [GoogleUpdateTaskMachineUA] (.Google Inc..) -- C:\Program Files\Google\Update\GoogleUpdate.exe
[MD5.00000000000000000000000000000000] [APT] [Scheduled Update for Ask Toolbar] (...) -- C:\Program Files\Ask.com\UpdateTask.exe (.not file.) => Toolbar.Ask
O61 - LFC:Last File Created 25/07/2002 - 10:07:36 ---A- C:\Users\admin\AppData\Local\Temp\AMDCoolnQuiet_Utility_V21801_XPVistaWin7\AMDCoolnQuiet_Utility_V21801_XPVistaWin7\ikernel.ex_ [346602] => Infection MagicControl (Possible)
O61 - LFC:Last File Created 30/12/1899 - 13:10:36 -SHA- C:\Users\admin\AppData\Local\Temp\acro_rd_dir\Fichiers Internet temporaires\Content.IE5\index.dat [32768] => Microsoft Internet Explorer Fichiers Temporaires
[MD5.B28C334C03CEE7C5E829C43AE75DAE5A] [SPRF][23/08/2012] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\admin\AppData\Local\Temp\AskSLib.dll [248008]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9] =>Adware.MyWebSearch => Infection BT (Adware.MyWebSearch)
EmptyCLSID
Emptytemp
EmptyFlash


image Clique sur le bouton Presse-papier encadré en rouge sur l'image.


Les lignes contenues dans le presse-papier vont s'afficher.

image Clique sur le bouton GO en bas à gauche.

Note: Si l'UAC est active, après le clic sur "GO", un message va apparaître du style "Voulez-vous autoriser le programme...." qu'il faudra valider :

Puis ZHPFix se relance, il faudra à nouveau cliquer sur le bouton "Presse-papier" pour coller les lignes, puis sur le bouton "GO"

Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil (en haut à doite).

image
image Poste le contenu du rapport ZHPFixReport.txt, enregistré sur le bureau.

image

Mimile
 Posté le 28/12/2012 à 12:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Voici le résultat :

Rapport de ZHPFix 1.3.10 par Nicolas Coolman, Update du 11/12/2012
Fichier d'export Registre :
Run by admin at 28/12/2012 12:43:52
Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)



========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Program Files\Google\Update\GoogleUpdate.exe

========== Module(s) mémoire ==========
SUPPRIME Memory Module: C:\Users\admin\AppData\Local\Temp\AskSLib.dll

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9

========== Dossier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
SUPPRIME File: c:\windows\tasks\googleupdatetaskmachinecore.job
SUPPRIME File: c:\windows\tasks\googleupdatetaskmachineua.job
SUPPRIME File***: c:\program files\google\update\googleupdate.exe
ABSENT Folder/File: c:\program files\google\update\googleupdate.exe
SUPPRIME File: c:\users\admin\appdata\local\temp\amdcoolnquiet_utility_v21801_xpvistawin7\amdcoolnquiet_utility_v21801_xpvistawin7\ikernel.ex_ (Adware.Navipromo)
SUPPRIME File: c:\users\admin\appdata\local\temp\acro_rd_dir\fichiers internet temporaires\content.ie5\index.dat
SUPPRIME File: c:\users\admin\appdata\local\temp\askslib.dll
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Tache planifiée ==========
SUPPRIME Task: GoogleUpdateTaskMachineCore
SUPPRIME Task: GoogleUpdateTaskMachineUA
SUPPRIME Task: Scheduled Update for Ask Toolbar


========== Récapitulatif ==========
1 : Processus mémoire
1 : Module(s) mémoire
1 : Clé(s) du Registre
2 : Dossier(s)
9 : Fichier(s)
3 : Tache planifiée


End of clean in 00mn 10s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 28/12/2012 12:43:58 [1808]

Publicité
Evasion60
 Posté le 28/12/2012 à 13:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Passe ce scanner en ligne =>
https://forum.pcastuces.com/eset_online_scanner___tutoriel-f31s56.htm
Poste son rapport

Mimile
 Posté le 28/12/2012 à 16:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

La procédure s'est terminée avec le message : aucune menace détectée

Voici le log :

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=8
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6844
# api_version=3.0.2
# EOSSerial=f1583be0d7fe3b49ac023ff81a201d87
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-12-28 02:40:10
# local_time=2012-12-28 03:40:10 (+0100, Paris, Madrid)
# country="Belgium"
# lang=1036
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776574 100 94 45978014 108336801 0 0
# scanned=128913
# found=0
# cleaned=0
# scan_time=3787

Cela signifie-t'il que le virus a été éradiqué en effectuant les opérations précedentes ?

Si c'était le cas, ne devrait-il pas y avoir une indication à ce sujet ?



Modifié par Mimile le 28/12/2012 16:47
Evasion60
 Posté le 28/12/2012 à 17:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Suppression des outils utilisés pour cette infection .

Télécharge DelFix sur ton bureau =>

http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/9-delfix

Suppression

  • Lancez-le, cliquez sur [Suppresssion].
  • Patientez pendant le scan jusqu'à l'ouverture du rapport.
Note : Le rapport se trouve sous C:\DelFixSearch
Donc ne pas installer des logiciels sans regarder ce qu'ils embarquent avec eux ( AskBar // Ask.com // etc ...)
Ne pas télécharger sur 01Net et Softonic
Préférer les sites 2diteurs et les sites de confiances ( PCA // Zébulon // CCM // etc....)
Tu peux mettre ton sujet en " Résolu "

Bonne continuation

Mimile
 Posté le 28/12/2012 à 22:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Merci Evasion60

Je ferai les opérations demandées demain car jusque là, j'ai travaillé sur le PC infecté (qui se trouve à mon bureau) depuis mon domicile grâce à teamviewer.

La connexion entre les PC étant interrompue, je me rendrai sur place pour faire le nécessaire demain samedi (voire lundi) car depuis hier, je suis dans un état grippal qui me met sur les genoux.

Je ferai retour dès que possible.

Encore merci pour ton suivi et les instructions.

Amicalement,

Mimile
 Posté le 05/01/2013 à 10:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour à tous et bonne année

@ Evasion60 : par suite de diverses circonstances (notamment une grippe qui m'a cloué au lit pendant quelques jours, quelques jours de congé), je n'ai pas encore pu exécuter ta dernière suggestion, n'ayant pas eu accès au PC infecté depuis mon dernier message.

Je tenais à le préciser pour que tu ne penses pas que j'avais cessé de donner suite.

Je pense avoir accès à mon PC lundi et je ferai la manip qui tu m'as indiquée.

Amicalement,

Mimile
 Posté le 11/01/2013 à 13:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour

Après quelques jours de maladie (grippe, gastro), j'ai enfin accès à mon PC.

J'ai exécuté delfix.

Ca a duré 1/2 secondes : j'ai vu fugacement une ligne de progression puis le programme s'est fermé.

Je ne trouve aucune trace d'un fichier delfixsearch (que ce soit sur c:\ ou ailleurs).

Cela dit, le PC tourne normalement.

Quid ?

Evasion60
 Posté le 11/01/2013 à 17:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut

Puisque tout est OK ...
... tu peux mettre ton sujet en " Résulo " / STP

Bonne continuation

Mimile
 Posté le 12/01/2013 à 11:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Grand merci pour ton aide.

Je passe en résolu.

SI je ne l'ai pas fait encore, je te suohaite une bonne et heureuse année 2013.

Cordialement,

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Virus win32/Small.CA !
PC infecté par le virus Win32/Small.CA
Virus Win32:Small-JMH
virus:Win32:Small-JMH [Trj]
VIRUS WIN32 :small-jmh
Virus win32 small JMH (Trj)
Problème avec le virus Win32:Small-JMH [Trj]
virus: win32:small-jmh [trj]
Impossible d'enlever le virus win32 small jmh
Comme beaucoup MSN virus Win32:Small-JMH[Trj]
Plus de sujets relatifs à Windows 7 : virus win32/Small.CA
 > Tous les forums > Forum Sécurité