15 sujets de 1 à 15 (sur un total de 50)
  • Auteur
    Messages
  • zo0w
    Participant
    Nombre d'articles : 25

    Bonjour,

    j’ai remarqué depuis quelques temps que mon ordinateur est infecté par le virus Trovigo, avec changement de la page d’accueil internet. Après quelques recherches sur le web pour m’en débarrasser, j’en ai conclu qu’il est préférable de faire des analyses car chaque cas est différent, je viens donc faire appel à quelqu’un de plus compétent que moi qui suis novice. Donc voilà voilà, j’attends quelques instructions ^^

    Merci d’avance !

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Bonjour :)

    Aller, on va regarder les bestioles présentes dans ta machine qui ne devrait pas y être :secretsmile:

    • Copie le script ci dessous :
      HKCUSoftware
      HKLMSoftware
      HKCUSoftwareMicrosoftCommand Processor /s
      HKLMSoftwareMicrosoftCommand Processor /s
      %Homedrive%*
      %Homedrive%*.
      %Userprofile%*
      %Userprofile%*.
      %Allusersprofile%*
      %Allusersprofile%*.
      %LocalAppData%*
      %LocalAppData%*.
      %Userprofile%Local SettingsApplication Data*
      %Userprofile%Local SettingsApplication Data*.
      %Userprofile%AppDataLocalGoogleChromeUser DataDefaultPepper DataShockwave FlashWritableRoot#SharedObjects*
      %Userprofile%AppDataLocalGoogleChromeUser DataDefaultPepper DataShockwave FlashWritableRoot#SharedObjects*.
      %programFiles%*
      %programfiles%GoogleDesktopInstall /s
      %programFiles%*.
      %Systemroot%Installer*.
      %Systemroot%Temp*.exe /s
      %systemroot%system32*.dll /lockedfiles
      %systemroot%system32*.exe /lockedfiles
      %systemroot%system32*.in*
      %systemroot%Tasks*
      %systemroot%Tasks*.
      %systemroot%system32Tasks*
      %systemroot%system32Tasks*.
      %systemroot%system32drivers*.sy* /lockedfiles
      %systemroot%system32config*.exe /s
      %Systemroot%ServiceProfiles*.exe /s
      %systemroot%system32*.sys
      dir %Homedrive%* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
    • Télécharge OTL (by OldTimer) sur ton bureau.
    • Lance OTL, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Coche/Sélectionne les cases comme l’image ci dessous
    • Colle le Script copié plus haut dans la partie inférieure d’OTL « Personnalisation »
    • Clique sur Analyse

    • Une fois le scan terminé 1 ou 2 rapports vont s’ouvrir OTL.txt et Extras.txt.
    • Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

      Note : Au cas où, tu peux les retrouver dans le dossier C:OTL ou sur ton bureau en fonction des cas rencontrés

      En cas de problème avec SOSUpload, utiliser Cjoint

    J’attends tes rapports ;)

    zo0w
    Participant
    Nombre d'articles : 25

    Merci de ta réponse !

    Voici les liens :
    http://cjoint.com/?DDpnCqNf2vU » onclick= »window.open(this.href);return false;
    http://cjoint.com/?DDpnD0IiPyL » onclick= »window.open(this.href);return false;

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Re,

    1.
    Les programmes à désinstaller (s’ils sont présent dans la liste) comme çi dessous sont : Boxore Client, SearchProtect, Conduit, Babylon, BrowserProtect

    • Télécharges Revo Unistaller.
    • Procèdes à l’installation de celui çi Laisser cocher « Lancer Revo Unistaller »
    • Sélectionne le(s) Programme(s) demandé(s)
    • Clique sur Désinstaller
    • Acceptes l’avertissement en cliquant sur Oui
    • Choisi le dernier mode : Avancé

      Note : Désinstalle le programme quand cela t’es demandé, puis patiente.

    • Dans Revo Unistaller, Clique sur Suivant.

      Note : Patiente pendant le scan après désinstallation.

    • Si rien est trouvé :
      • Clique sur Terminer
    • Sinon, clique sur Suivant
    • Coche la case à gauche de « Mon ordinateur »
    • Clique sur Supprimer (acceptes l’avertissement) puis clique sur Suivant
    • Si rien est trouvé :
      • Clique sur Terminer
    • Sinon, clique sur Sélectionné tout clique sur Supprimer (acceptes l’avertissement) puis clique sur Suivant
    • Clique sur Fini

    2.

    • Copie les lignes ci dessous :

    :otl
    PRC – [2014/04/08 15:06:38 | 004,693,792 | —- | M] (Conduit) — C:Program Files (x86)SearchProtectSearchProtectbincltmng.exe
    PRC – [2014/04/08 15:06:38 | 003,037,472 | —- | M] (Conduit) — C:Program Files (x86)SearchProtectUIbincltmngui.exe
    PRC – [2014/04/08 15:06:38 | 002,470,688 | —- | M] (Conduit) — C:Program Files (x86)SearchProtectMainbinCltMngSvc.exe
    MOD – [2014/04/08 15:06:38 | 004,693,792 | —- | M] (Conduit) — C:Program Files (x86)SearchProtectSearchProtectbincltmng.exe
    MOD – [2014/04/08 15:06:38 | 003,037,472 | —- | M] (Conduit) — C:Program Files (x86)SearchProtectUIbincltmngui.exe
    IE – HKUS-1-5-21-4137965156-3251259476-3827350911-1001..SearchScopes{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}: « URL » = http://search.conduit.com/ResultsExt.aspx?q= » onclick= »window.open(this.href);return false;{searchTerms}&SearchSource=4&ctid=CT3311268&CUI=UN18121088622721216&UM=2&UP=SPA3203E47-AF53-47FA-87DB-5887D29D7CF8&SSPV=
    IE – HKUS-1-5-21-4137965156-3251259476-3827350911-1001..SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: « URL » = http://search.babylon.com/?q= » onclick= »window.open(this.href);return false;{searchTerms}&affID=121562&tt=gc_&babsrc=SP_ss_din2g&mntrId=A2F608EDB91DF1A6
    IE – HKUS-1-5-21-4137965156-3251259476-3827350911-1001..SearchScopes{F12A3160-5AAC-4B59-8660-3F8F2BBD4532}: « URL » = http://search.conduit.com/ResultsExt.aspx?q= » onclick= »window.open(this.href);return false;{searchTerms}&SearchSource=4&ctid=CT3311268&CUI=UN18121088622721216&UM=2&UP=SPA3203E47-AF53-47FA-87DB-5887D29D7CF8&SSPV=
    IE – HKUS-1-5-21-4137965156-3251259476-3827350911-1001..SearchScopes,DefaultScope = {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}
    FF – prefs.js..browser.search.selectedEngine: « http://www.trovigo.com/Results.aspx?gd=&ctid=CT3318001&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=5&UP=SPA3203E47-AF53-47FA-87DB-5887D29D7CF8&q={searchTerms}&SSPV= »
    FF – prefs.js..browser.startup.homepage: « http://www.trovigo.com/?gd=&ctid=CT3318001&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=5&UP=SPA3203E47-AF53-47FA-87DB-5887D29D7CF8&SSPV= »
    %userprofile%AppDataLocalGoogleChromeUser DataDefaultWeb Data*
    %userprofile%AppDataLocalGoogleChromeUser DataDefaultPreferences*
    O3 – HKLM..Toolbar: (no name) – Locked – No CLSID value found.
    O3 – HKUS-1-5-21-4137965156-3251259476-3827350911-1001..ToolbarWebBrowser: (no name) – {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} – No CLSID value found.
    O4 – HKLM..Run: [] File not found
    O2 – BHO: (no name) – {02478D38-C3F9-4efb-9B51-7695ECA05670} – No CLSID value found.

    :reg
    [-HKEY_LOCAL_MACHINESoftwareBabylon]
    [-HKEY_LOCAL_MACHINESoftwareConduit]

    :files
    C:UsersAlexandraAppDataLocalSearchProtect
    C:Program Files (x86)SearchProtect
    C:ProgramDataBabylon
    C:ProgramDataBrowserProtect
    C:ProgramDataConduit
    C:UsersAlexandraAppDataLocalConduit
    C:Program Files (x86)Conduit

    :commands
    [reboot]

    • Lance OTL, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Colle les lignes copier au ci dessus dans la partie inférieure d’OTL « Personnalisation »
    • Clique sur Correction

    • OTL peut te demander de redémarrer, si c’est le cas fait le immédiatement !
    • Une fois le scan terminé 1 rapport va s’ouvrir ¤¤¤¤¤¤¤¤¤¤¤.log.
    • Copie et colle le contenu du rapport sur le forum.

      Note : Au cas où, tu peux les retrouver dans le dossier C:OTL ou sur ton bureau en fonction des cas rencontrés

    3.

    • Désactive ton antivirus
    • Télécharge Shortcut_Module sur ton bureau.

      Note : Enregistrer votre travail avant de continuer !

    • Lance Shortcut_Module,
    • Clic sur Nettoyer

      Note : Patiente le temps du scan

    • Laisse travailler l’outil même s’il te parait bloqué
    • Si l’outil détecte un proxy que tu ne connais pas clic sur : « Supprimer le proxy« 
    • Héberge le rapport C:Shortcut_Module_date_heure.txt sur http://upload.sosvirus.net/ » onclick= »window.open(this.href);return false; puis donne le lien obtenu

    ++ :)

    zo0w
    Participant
    Nombre d'articles : 25

    Re,

    je rencontre un problème dès la première étape. Lorsque la boite de dialogue demandant si je veux désinstaller le programme, je clique oui. Puis, un message d’erreur apparait disant que la source du logiciel que je veux désinstaller n’est pas valide, est-ce normal ?

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Dans ce cas c’est qu’il ne peut pas donc passe au suivant :)

    zo0w
    Participant
    Nombre d'articles : 25

    Voici le rapport :

    ========== OTL ==========
    No active process named cltmng.exe was found!
    No active process named cltmngui.exe was found!
    No active process named CltMngSvc.exe was found!
    Registry key HKEY_USERSS-1-5-21-4137965156-3251259476-3827350911-1001SoftwareMicrosoftInternet ExplorerSearchScopes{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} deleted successfully.
    Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} not found.
    Registry key HKEY_USERSS-1-5-21-4137965156-3251259476-3827350911-1001SoftwareMicrosoftInternet ExplorerSearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} deleted successfully.
    Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} not found.
    Registry key HKEY_USERSS-1-5-21-4137965156-3251259476-3827350911-1001SoftwareMicrosoftInternet ExplorerSearchScopes{F12A3160-5AAC-4B59-8660-3F8F2BBD4532} deleted successfully.
    Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{F12A3160-5AAC-4B59-8660-3F8F2BBD4532} not found.
    HKEY_USERSS-1-5-21-4137965156-3251259476-3827350911-1001SoftwareMicrosoftInternet ExplorerSearchScopes\DefaultScope| /E : value set successfully!
    Prefs.js: « http://www.trovigo.com/Results.aspx?gd=&ctid=CT3318001&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=5&UP=SPA3203E47-AF53-47FA-87DB-5887D29D7CF8&q={searchTerms}&SSPV= » removed from browser.search.selectedEngine
    Prefs.js: « http://www.trovigo.com/?gd=&ctid=CT3318001&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=5&UP=SPA3203E47-AF53-47FA-87DB-5887D29D7CF8&SSPV= » removed from browser.startup.homepage
    Registry value HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerToolbar\Locked deleted successfully.
    Registry value HKEY_USERSS-1-5-21-4137965156-3251259476-3827350911-1001SoftwareMicrosoftInternet ExplorerToolbarWebBrowser\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} deleted successfully.
    Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} not found.
    Registry value HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{02478D38-C3F9-4efb-9B51-7695ECA05670} deleted successfully.
    Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{02478D38-C3F9-4efb-9B51-7695ECA05670} not found.
    ========== REGISTRY ==========
    Registry key HKEY_LOCAL_MACHINESoftwareBabylon deleted successfully.
    Registry key HKEY_LOCAL_MACHINESoftwareConduit deleted successfully.
    ========== FILES ==========
    C:UsersAlexandraAppDataLocalSearchProtectUIrep folder moved successfully.
    C:UsersAlexandraAppDataLocalSearchProtectUI folder moved successfully.
    C:UsersAlexandraAppDataLocalSearchProtectSearchProtectSTG folder moved successfully.
    C:UsersAlexandraAppDataLocalSearchProtectSearchProtectrep folder moved successfully.
    C:UsersAlexandraAppDataLocalSearchProtectSearchProtectLogs folder moved successfully.
    C:UsersAlexandraAppDataLocalSearchProtectSearchProtect folder moved successfully.
    C:UsersAlexandraAppDataLocalSearchProtectLogs folder moved successfully.
    C:UsersAlexandraAppDataLocalSearchProtect folder moved successfully.
    FileFolder C:Program Files (x86)SearchProtect not found.
    C:ProgramDataBabylon folder moved successfully.
    C:ProgramDataBrowserProtect2.6.1519.190{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}traking_settings folder moved successfully.
    C:ProgramDataBrowserProtect2.6.1519.190{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8} folder moved successfully.
    C:ProgramDataBrowserProtect2.6.1519.190 folder moved successfully.
    C:ProgramDataBrowserProtect folder moved successfully.
    C:ProgramDataConduit folder moved successfully.
    C:UsersAlexandraAppDataLocalConduit folder moved successfully.
    C:Program Files (x86)ConduitCT3311268plugins folder moved successfully.
    C:Program Files (x86)ConduitCT3311268 folder moved successfully.
    C:Program Files (x86)ConduitCommunity Alerts folder moved successfully.
    C:Program Files (x86)Conduit folder moved successfully.
    ========== COMMANDS ==========

    OTL by OldTimer – Version 3.2.69.0 log created on 04152014_180729

    Anonyme
    Nombre d'articles : 0

    :hello: ,

    en attente du rapport Shortcut_Module :)

    zo0w
    Participant
    Nombre d'articles : 25

    Re,

    voici tardivement le lien du rapport shortcut

    http://cjoint.com/?DDpxArB8DHD » onclick= »window.open(this.href);return false;

    Anonyme
    Nombre d'articles : 0

    Hello :hello: ,

    Impec :)

    Comment le PC , y’a du mieux ?

    Refais un scan OTL comme expliqué plus haut et communique moi le nouveau rapport stp :)

    zo0w
    Participant
    Nombre d'articles : 25

    Bonjour bonjour !

    Voici le dernier rapport http://cjoint.com/?DDqjrnG5am3 » onclick= »window.open(this.href);return false;

    Je ne note plus rien d’anormal en rapport avec ce virus :) c’est cool ! En revanche, y a-t-il un rapport si je ne peux plus faire les maj avec windows update ni les maj du pare feu, ne peux plus activer centre de sécu windows ? :shocked:

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Bonjour,

    Je suis au travail, ne n’ai pas le temps de regarder ton rapport, je le ferai plus tard ;)

    Pour tes soucis, fait ceci stp :

    • Télécharge ESET Services Repair (de ESET) sur ton bureau.
    • Lance ESET Online Scanner, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Une fenêtre va s’ouvrir, clique sur Oui

      Note : Laisse l’outil travailler

    • Une autre fenêtre va s’ouvrir, clique sur Oui
    • Le dossier CC Support va se crée à l’endroit ou tu l’a lancé
    • Héberge le rapport CC SupportLogsSvcRepair.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

    Dit moi ce qu’il en est par la suite :)

    zo0w
    Participant
    Nombre d'articles : 25

    http://cjoint.com/?DDqn2jIdv1f » onclick= »window.open(this.href);return false; voilà le rapport, et rien n’a changé.
    Décidément, mon ordi a plus de problèmes que je ne pensais ^^

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Bon, plan B :)

    • Télécharges WinUpdateFix sur ton Bureau.
    • Lance WinUpdateFix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      Important : Dans Services, tout doit être Démarré et sur automatique. Si ce n’est pas le cas, corrige en cliquant sur les boutons appropriés.

      1. Clique sur Tous
      2. Clique sur Exécuter

    zo0w
    Participant
    Nombre d'articles : 25

    Le problème est que dans services, je n’ai pas centre de sécurité…

15 sujets de 1 à 15 (sur un total de 50)

Vous devez être connecté pour répondre à ce sujet.