Vous pensez être infecté, des pubs s'affichent quand vous naviguez sur internet ?
Perte de données, ralentissement système, virus USB ?
Désinfectez votre ordinateur gratuitement !
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par wrap12
#205820
Bonjour, j'ai été infecté par la Toolbar Astromenda Search en faisant confiance à  l'installateur de pdf split and merge portable de SourceForge ! Je viens vous demander votre aide bien qu'il existe un tuto de désinfection sur votre site (aide recommandée...). Je précise que j'ai dézippé l'application sur ma clef usb (pdfsam-starter.exe) mais je ne l'ai jamais lancée. Merci !
Modifié en dernier par g3n-h@ckm@n le jeu. 2 oct. 2014 11:24, modifié 3 fois. Raison : seo
Avatar du membre
par g3n-h@ckm@n
#205821
hello si tu l'as pas executée elle a pas pu t'installer astromenda , donc ca vient pas de là 
  • Désactive ton antivirus le temps du téléchargement et de l'utilisation.
  • Télécharge AdsFix sur ton bureau.
    Note : Enregistrer votre travail avant de continuer !
  • Lance AdsFix
  • Pour un pc assez infecté , il peut mettre plusieurs secondes à  se charger
  • Inscrit ton pays
  • Clique sur Nettoyer , après l'avoir débloqué dans les options
    Image
    Note : Patiente le temps du scan
  • Laisse travailler l'outil même s'il te parait bloqué
  • Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"
  • Héberge le rapport C:\AdsFix_date_heure.txt sur SOSUpload puis donne le lien obtenu.
Aide:
Avatar du membre
par wrap12
#205870
Bonjour, voici le rapport de AdsFix : http://upload.sosvirus.net/www/?a=d&i=O59XCfasCv" onclick="window.open(this.href);return false; - En fait, j'avais au départ : pdfsam-2.2.4-out.exe que j'ai exécuter et qui s'est transformé en pdfsam-2.2.4-out.zip - C'est ce dernier que j'ai dézippé sur ma clef Usb et m'a donné pdfsam.exe que je n'ai jamais lancé. Sans doute que les intrus se trouvaient dans le premier exécutable en .exe
Avatar du membre
par g3n-h@ckm@n
#205872
re
  • Télécharge MalwareBytes
  • Procède à  l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium"
  • Clic sur Mettre à  jour (à  droite, au centre)
  • Clic sur Examen (en haut)
  • Sélectionne Examen "Menaces"
  • Clic sur Examiner maintenant

    Image
  • A la fin du scan clic sur Tout mettre en quarantaine !
  • Clic sur Copier dans le Presse-papiers
  • Un rapport va s'ouvrir. Copie/Colle son contenue dans ta prochaine réponse.
Avatar du membre
par g3n-h@ckm@n
#205889
re

ok on fait un diag pour verif' ^^

désactive ton antivirus le temps du scan

Télécharge quickDiag ici : http://www.aht.li/2448447/QuickDiag.exe" onclick="window.open(this.href);return false;

lance-le , clique sur "Quick" puis une fois terminé , heberge le rapport sur http://upload.sosvirus.net" onclick="window.open(this.href);return false; et donne le lien obtenu pour aller le consulter

le rapport sera sur le bureau au nom de QuickDiag_date_heure.txt
Avatar du membre
par g3n-h@ckm@n
#205983
hello je pense que nous sommes en présence d'un rootkit, vérifions (cette ligne m'y fait penser : S0 - rdujkhhm () -> System32\drivers\hwejbs.sys )

Télécharge Gmer : http://www.gmer.net/#files" onclick="window.open(this.href);return false; clique sur Download EXE » et enregistre-le sur ton bureau

Important : Désactive toutes tes protections : http://forum.pcastuces.com/desactiver_l ... -f31s4.htm" onclick="window.open(this.href);return false;

Ne pas utiliser l'ordinateur pendant le scan de GMER

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit executer en tant que…. »

GMER va lancer un scan automatique

s'il detecte une activité de rootkit et demande un scan complet , répondre non.

décoche IAT/EAT, ShowAll et les lecteurs (C:\ , D:\....) , et coche tout le reste

clique sur Scan

si une fenêtre indiquant un rootkit apparait clique sur OK.
Une fois le scan terminé sauvegarde le rapport sur ton bureau sous le nom gmer.log

ensuite clique sur copy, puis colle-le dans ta réponse.

Réactive tes protections.

Note: Si problèmes utiliser GMER en mode sans echec.
Avatar du membre
par wrap12
#206008
Re : Gmer utilisé en mode normal -> Ok Je joins le log que j'ai appelé vqrdu.log au lieu de gmer.log
GMER 2.1.19357 - http://www.gmer.net" onclick="window.open(this.href);return false;
Rootkit scan 2014-10-03 16:15:12
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP4T0L0-6 WDC_WD5000AAKS-00WWPA0 rev.01.03B01 465,76GB
Running: udrqv412.exe; Driver: C:\Users\Alain\AppData\Local\Temp\pwdorpod.sys


---- User code sections - GMER 2.1 ----

.text C:\Program Files (x86)\Datacolor\Spyder4Pro\Utility\SpyderUtility.exe[3536] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000076561465 2 bytes [56, 76]
.text C:\Program Files (x86)\Datacolor\Spyder4Pro\Utility\SpyderUtility.exe[3536] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000765614bb 2 bytes [56, 76]
.text ... * 2
.text C:\Program Files (x86)\Everything\Everything.exe[3908] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000076561465 2 bytes [56, 76]
.text C:\Program Files (x86)\Everything\Everything.exe[3908] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000765614bb 2 bytes [56, 76]
.text ... * 2
.text C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[428] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000076561465 2 bytes [56, 76]
.text C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[428] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000765614bb 2 bytes [56, 76]
.text ... * 2

---- EOF - GMER 2.1 ----
à€ plus.
Avatar du membre
par g3n-h@ckm@n
#206021
refais comme ceci stp : décoche les lecteurs (C:\ , D:\....) , et coche tout le reste

bonsoir oki pour la fermeture je m'en charge car[…]

how to clean junk files

Hello don't use this program , it's a bullshit :)

Bonjour https://www.aht.li/3213847/AdsFix.exe b[…]

De rien Bon WE :)