Se connecter / S'enregistrer
Votre question
Fermé

Infection cheval de troie services.exe, desktop.ini... (pubs intempestives)

Tags :
  • Google Chrome
  • Trojan
  • Midi
  • Antivirus
  • Desktop
  • Sécurité
Dernière réponse : dans Sécurité et virus
17 Juin 2012 21:39:41

Bonsoir,

Depuis cette après-midi, AVG m'alertais sans cesse d'un cheval de troie dans services.exe.
Au début je croyais à une erreur de l'anti-virus, mais j'ai ensuite remarqué des signes d'infections qui ne trompent pas :
- Avec google chrome, n'importe quelle recherche google se redirige vers une pub (Avec un avertissement : "Le certificat de sécurité du site a été signé avec un algorithme de signature faible.") En revanche je navigue sur Mozilla et je n'ai aucun problème de recherche.
- J'ai par moment des pubs audio qui sortent de nul part ! (même sans navigateur ouvert)
- Et bien sûr des détection de menaces très fréquentes par AVG.

Actuellement j'ai deux types de menaces détectées : services.exe, mais aussi sur Desktop.ini (windows/assembly/GAC_32 et /GAC_64).

Je vous remercie d'apporter une réponse rapide car j'ai l'impression que les choses tournent mal ! (je suis en train de sauvegarder tous mes fichiers en prévision ^^).

Message à Sham_Rock : Désolé pour avoir commenté l'autre sujet, et justement j'étais en train d'en recréer un nouveau et de supprimer mes messages juste avant que tu me previenne ! ;) 

Autres pages sur : infection cheval troie services exe desktop ini pubs intempestives

a b 8 Sécurité
17 Juin 2012 22:25:45

Bonjour,

On va regarder ça de plus près.

  • Télécharge OTL (de Old Timer) sur ton Bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche Avec liste blanche sous Registre: approfondi.
  • Fais de même pour celle devant Tous les utilisateurs.

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    Contenus similaires
    a b 8 Sécurité
    17 Juin 2012 23:18:40

    Re,

    Désinstalle Emsisoft Anti-Malware, il y a mieux.
    Je peux avoir le rapport d'AVG ?

    Avec du P2P c'est rapide d'attraper une infection hein..

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
      IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
      IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?src=maxpc
      IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?src=maxpc
      IE - HKU\S-1-5-21-3347937613-1183965349-2909618078-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = fr
      IE - HKU\S-1-5-21-3347937613-1183965349-2909618078-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 9F 62 44 30 5A 6A CC 01 [binary data]
      IE - HKU\S-1-5-21-3347937613-1183965349-2909618078-1001\..\SearchScopes,DefaultScope = ${searchCLSID}
      FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_257.dll File not found
      FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
      FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll File not found
      FF - HKLM\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.0: C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.0\npesnsonar.dll File not found
      FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.104.0: C:\Program Files (x86)\Battlelog Web Plugins\1.104.0\npesnlaunch.dll File not found
      FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.96.0: C:\Program Files (x86)\Battlelog Web Plugins\1.96.0\npesnlaunch.dll File not found
      FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
      O7 - HKU\S-1-5-21-3347937613-1183965349-2909618078-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
      O8:[b]64bit:[/b] - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 File not found
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found
      O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found
      O33 - MountPoints2\D\Shell - = AutoRun
      O33 - MountPoints2\D\Shell\AutoRun\command - = D:\wubi.exe --cdmenu
      MsConfig:64bit - StartUpReg: [b]cacaoweb[/b] - hkey= - key= - File not found
      MsConfig:64bit - StartUpReg: [b]LogMeIn GUI[/b] - hkey= - key= - File not found
      [2012/06/17 11:20:15 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{98F64F9E-7E1D-4D57-87CC-24BF41581DE4}
      [2012/06/16 09:54:59 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{16BFA477-FE52-4720-9C15-4242876E6697}
      [2012/06/15 17:06:58 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{EC94CC18-2E8D-4991-B15A-80A98EED2408}
      [2012/06/14 15:50:25 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{FBD4454B-6C84-4C1F-A3CF-F87D6E451F8A}
      [2012/06/14 15:50:05 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{A0DAB340-0F69-4C55-9006-78A85E4A8F04}
      [2012/06/13 10:12:25 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{7330D344-3EB8-49D5-9000-10114214F2E7}
      [2012/06/13 10:12:01 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{7CAA3DBD-4183-4AE2-979E-060048399747}
      [2012/06/12 15:47:26 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{03945994-50E6-407C-940F-41515F2B985F}
      [2012/06/12 15:47:08 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{1DA1D468-8F91-433C-8573-D6D378871175}
      [2012/06/11 21:42:52 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{891E23BF-F074-4266-90FC-0A0CC2498CD5}
      [2012/06/11 21:42:39 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{2852994F-E3C4-4B83-A600-41C803BE0D66}
      [2012/06/11 09:07:59 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{3B8EA975-F670-4DBC-8D78-E004EB3ED1B2}
      [2012/06/11 09:07:40 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{537D0C0B-0651-4133-8368-1399F85A3432}
      [2012/06/10 10:55:17 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{BFAEFED2-8A35-403F-A6CC-655BCA057AC5}
      [2012/06/10 10:54:53 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{386E06FB-5078-4DD3-8ED5-0362BD86D425}
      [2012/06/09 22:42:05 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{47333936-AD06-4470-8E00-A48D9A3C80D8}
      [2012/06/09 22:41:53 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{E30D5E41-D188-4164-96B1-A277184328BC}
      [2012/06/09 10:41:23 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{5464CA82-DD8B-4655-913B-64FB17E4C51A}
      [2012/06/09 10:41:07 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{E1B1F930-DEFC-4CED-91AD-6E5AFFDBB8B0}
      [2012/06/08 09:54:15 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{44780BF4-8AE6-4B1D-ACC5-2B052A8E4389}
      [2012/06/08 09:53:44 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{96D68E10-5EF2-4C8D-8345-8FA5171B70DC}
      [2012/06/07 17:50:13 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{23C6087F-F7CE-4DE9-BE89-392CE56E4F4F}
      [2012/06/07 17:49:55 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{62C1663D-3D45-40BE-A7B6-00C5E9CE30DE}
      [2012/06/06 15:42:35 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{16EEDD80-F84B-476C-99C9-CABBDE217A51}
      [2012/06/06 15:42:19 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{D67E456A-61F1-4E41-9067-7F69E4FE6F22}
      [2012/06/05 17:49:53 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{5E737CD6-C0D9-404A-9615-77336B69386D}
      [2012/06/05 17:49:29 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{EDB94B2A-2DB8-4C2E-BA2A-9AF5104554CA}
      [2012/06/04 08:50:22 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{0BD61B46-988C-4B20-A5DA-9BFC47E24222}
      [2012/06/04 08:50:02 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{1DA8BF96-2916-44A7-96A3-1BA66EBB5310}
      [2012/06/03 15:13:25 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{41004755-E72D-4893-9110-2C16C731A123}
      [2012/06/03 15:13:12 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{37007796-5FBD-49F4-B4E4-E70356223DA5}
      [2012/06/02 23:53:21 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{A5B799D1-BB48-47DB-B3EF-3B4515556FCB}
      [2012/06/02 23:53:07 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{C05C4F0D-976C-4EF9-AA0A-51C689421F71}
      [2012/06/02 10:04:39 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{EE3E133D-2141-43A8-BC24-62E316CD2C68}
      [2012/06/02 10:04:18 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{F78574C5-433C-4DC9-992E-1437649AA8BC}
      [2012/06/01 17:51:53 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{469B0F8B-0304-415A-8007-8389E50151E4}
      [2012/06/01 17:51:36 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{00B041BA-DB36-41BA-A4E3-77B2B74FBE74}
      [2012/05/31 17:38:26 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{DBAA49ED-8E5A-4D47-A586-4E3FF86D89F2}
      [2012/05/31 17:38:08 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{CA3FAED3-6CD9-449E-BF34-0A9A1F6FE1EA}
      [2012/05/30 22:46:29 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{279D862D-51E0-4639-B836-B5130510CB6D}
      [2012/05/30 10:45:53 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{B915B872-5C84-481E-919F-4366ED36A594}
      [2012/05/30 10:45:35 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{58DDEC6C-82EB-42DA-B475-70E1D45780A6}
      [2012/05/29 17:31:58 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{3D5A8B92-FD96-4BD6-A06B-B9623B76BAB7}
      [2012/05/29 17:30:45 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{65F707BE-4E56-4D57-8B6C-CC6DF423669E}
      [2012/05/28 11:36:37 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{70D319D0-8AD9-4DD4-83AD-12228C8EE9DD}
      [2012/05/28 11:36:19 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{E424793D-8877-4799-AA9C-AA875BE6F792}
      [2012/05/26 22:45:33 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{E99E89E0-DE5F-4F0A-A61E-62B8E074FD2C}
      [2012/05/26 22:45:21 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{CEA02A58-BAC6-4933-B6CD-098995CC5FD7}
      [2012/05/26 10:44:40 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{7DAD87D8-270D-4142-9B71-E746464337C1}
      [2012/05/26 10:44:22 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{5BD20C52-63EC-49F6-A577-A8FD101369BA}
      [2012/05/25 16:45:36 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{A270CEDD-C3A1-4CF5-8BB0-904C16CCCFFF}
      [2012/05/25 16:45:20 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{7B057CBE-8E9C-4E69-93CF-7146BD89DD8D}
      [2012/05/24 17:09:02 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{BF07B465-76E7-4295-82E2-EC27B3C1153E}
      [2012/05/24 17:08:36 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{09450789-6FE8-484E-9353-4CBD51012A82}
      [2012/05/23 12:10:17 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{99A41756-A696-4662-B0C1-5F1402EAA4A3}
      [2012/05/23 12:10:06 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{8065218B-EE02-40E2-9FD5-4C8836A40413}
      [2012/05/23 00:09:40 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{0351E535-022B-4784-A626-0F34133BFF76}
      [2012/05/23 00:09:28 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{5AEC900C-0F35-431B-AFE7-24DE09CB7C86}
      [2012/05/22 08:56:16 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{B159BED0-4495-4398-B54E-2EBA3FE1130B}
      [2012/05/22 08:55:56 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{AD8EF6E4-9D6F-47A5-A3CA-86E43081E55B}
      [2012/05/21 18:38:33 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{D0AA3809-1A63-4C81-A5A4-ED080CD20BF6}
      [2012/05/21 18:38:12 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{BFCDA469-EA7D-4820-938D-6DFC26A0E928
      [2012/05/20 11:49:16 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{5156F311-E6BD-4453-961E-99ABD21F5B45}
      [2012/05/20 11:49:05 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{6FFD509B-DC18-486D-8B14-13A04970548B}
      [2012/05/19 23:48:38 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{1FFB65B3-ECD0-40D4-A670-299189143E54}
      [2012/05/19 23:48:26 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{6EDC04B2-EFB7-453B-BB14-FC7E8375F008}
      [2012/05/19 10:41:24 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{56567948-10B1-483B-8DD6-2EC07266F296}
      [2012/05/19 10:40:57 | 000,000,000 | ---D | C] -- C:\Users\Arnaud\AppData\Local\{BBAD5C97-74DE-49F3-AF1B-CE7EAAE37553}

      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

    &

    • Télécharge Gmer (de Przemyslaw Gmerek).
    • Dézippe-le dans un dossier dédié ou sur ton Bureau.
    • Déconnecte toi d'Internet puis ferme tous les programmes.
    • Double-clique sur Gmer.exe.
      Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
    • Clique sur l'onglet Rootkit.
    • A droite, coche seulement Files, Services & Registry.
    • Clique maintenant sur Scan.
    • Lorsque le scan est terminé, clique sur Copy.
    • Ouvre le Bloc-notes puis clique sur le Menu Edition puis Coller.
    • Le rapport doit alors apparaître.
    • Enregistre le fichier sur ton Bureau et poste le contenu ici.
    a b 8 Sécurité
    18 Juin 2012 18:30:10

    Re,

    Refais un script avec OTL :
    :OTL
    [2012/06/17 11:56:30 | 000,093,696 | ---- | C] () -- C:\Windows\Installer\{de1ebceb-66af-2621-62d1-e609dbd9363d}\U\80000032.@
    [2012/06/17 11:56:30 | 000,076,800 | ---- | C] () -- C:\Windows\Installer\{de1ebceb-66af-2621-62d1-e609dbd9363d}\U\80000064.@
    [2012/06/17 11:56:30 | 000,016,896 | ---- | C] () -- C:\Windows\Installer\{de1ebceb-66af-2621-62d1-e609dbd9363d}\U\80000000.@
    [2012/06/17 11:56:30 | 000,000,773 | ---- | C] () -- C:\Windows\Installer\{de1ebceb-66af-2621-62d1-e609dbd9363d}\L\00000004.@
    [2012/06/17 11:56:29 | 000,002,048 | ---- | C] () -- C:\Windows\Installer\{de1ebceb-66af-2621-62d1-e609dbd9363d}\U\00000004.@
    [2012/06/17 11:56:29 | 000,001,584 | ---- | C] () -- C:\Windows\Installer\{de1ebceb-66af-2621-62d1-e609dbd9363d}\U\000000cb.@
    [2012/06/17 20:55:11 | 000,232,960 | ---- | C] () -- C:\Windows\Installer\{de1ebceb-66af-2621-62d1-e609dbd9363d}\U\00000008.@


    Fais ensuite un scan avec Combofix puis poste le rapport :
    http://www.bleepingcomputer.com/combofix/fr/comment-uti...
    a b 8 Sécurité
    18 Juin 2012 20:54:26

    Tu as le rapport de la correction avec OTL ? refais une analyse OTL comme au début, on va voir s'il y a des restes.
    a b 8 Sécurité
    18 Juin 2012 21:33:16

    Re,

    Tu as encore des alertes ?

    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.
      /!\ Désactive ton anti-virus et ferme toutes applications en cours /!\
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player pour tous les navigateurs.
    • Ensuite, clique sur le bouton Update Java et Adobe Reader pour installer la dernière version proposée.
      /!\ Lors des installations, pense à décocher les cases d'installation pour des toolbars et autres /!\
    • Au menu principal, choisis l'option Rapport.
    • Poste le rapport qui s'affiche à ton écran.


  • On va s'occuper de supprimer les logiciels de désinfection maintenant :
    • Sur cette page DelFix (de Xplode) , clique sur bouton de téléchargement et enregistre le fichier sur ton Bureau.
    • Lance le programme puis clique sur Suppression puis poste le rapport.

  • Pour ne plus avoir ce genre de problème, il est capital de respecter les règles du dossier Prévention & Protection.
    a b 8 Sécurité
    20 Juin 2012 21:36:20

    Désolé du retard. Désinstalle juste Java(TM) 6 Update 22.
    N'oublie pas de lire le petit dossier ;)  d'autres questions ?
    12 Juillet 2012 20:08:33

    Bonjour, je subis le même problème depuis peu. AVG me signale un cheval de troie services.exe, impossible à supprimer. J'ai des fenêtres intempestives....
    J'ai fait les analyses comme dans le premier message :

    OTL.Txt : ici
    Extrats.Txt :

    Pourriez-vous m'indiquer la suite des évènements ? Je suppose qu'elle diffère de celle de arno-38, si il faut poster SON rapport...
    a c 547 8 Sécurité
    12 Juillet 2012 20:26:54

    Bonsoir,

    Effectivement, comme énoncé dans les règles de cette section, un seul sujet par utilisateur et pc, donc merci de créer ton propre sujet pour obtenir une prise en charge, je ferme ici.

    :jap: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS