[Réglé] aide désinfection PC

[bruno_nantes]

Bonjour à tous,

Je viens sur ce forum en recherche d'aide pour désinfecter mon PC.

Symptômes infections :
- alertes régulières (toutes les 1/2 heures de mon antivirus AVG), lien copie écran ci-dessous
http://cjoint.com/?0IcmWzjCXgG
- recherches google qui aboutissent sur des pages de pub (ebay en général), je dois cliquer au moins 3 fois sur le résultat d'une recherche pour aller sur le bonne page.

Rapports OTL :
http://cjoint.com/?0IcmP3JsPtn
http://cjoint.com/?0IcmQwCj51P

Malwarebytes Anti-Malware :
http://cjoint.com/?0IcmjdDTNXj

Remarque : je n'ai pas de moyen de restauration

Merci d'avance pour votre aide précieuse
Cdt

[bernard53]

Bonsoir et Bienvenu
Fait ceci s.t.p

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case " Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:OTL
PRC - [2011/05/29 20:57:34 | 000,114,232 | ---- | M] () -- C:\Program Files (x86)\vShare\vprot.exe
MOD - [2011/05/29 20:57:34 | 000,114,232 | ---- | M] () -- C:\Program Files (x86)\vShare\vprot.exe
IE - HKLM\..\SearchScopes\{D35CF825-366C-408B-AF48-4C6CD594799A}: "URL" = http://startsear.ch/?aff=1&q={searchTerms}
IE - HKLM\..\SearchScopes\{D6785522-B2C5-461A-8C2A-14B1AA19ECD2}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=3e ... 839eb02&q={searchTerms}
IE - HKU\S-1-5-21-97914646-3004973215-3397985723-1002\..\SearchScopes,DefaultScope = {D6785522-B2C5-461A-8C2A-14B1AA19ECD2}
IE - HKU\S-1-5-21-97914646-3004973215-3397985723-1002\..\SearchScopes\{56CE654C-9477-43A0-BCB3-14D3FB95C258}: "URL" = http://www.google.com/search?hl=en&q={searchTerms}
IE - HKU\S-1-5-21-97914646-3004973215-3397985723-1002\..\SearchScopes\{D6785522-B2C5-461A-8C2A-14B1AA19ECD2}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=3e ... 839eb02&q={searchTerms}
FF - HKCU\Software\MozillaPlugins\@octoshape.com/Octoshape Streaming Services,version=1.0: C:\Users\Bruno\AppData\Roaming\Octoshape\Octoshape Streaming Services\sua-1101262-0-npoctoshape.dll (Octoshape ApS)
O2 - BHO: (vShare Toolbar) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files (x86)\vShare\vshare_toolbar.dll ()
O2 - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (vShare Toolbar) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files (x86)\vShare\vshare_toolbar.dll ()
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKU\S-1-5-21-97914646-3004973215-3397985723-1002\..\Run: [Epson Stylus SX430(Réseau)] C:\Windows\system32\spool\DRIVERS\x64\3\E_IATIHAE.EXE /FU "C:\Users\Bruno\AppData\Local\Temp\E_S6335.tmp" /EF "HKCU" File not found
O4 - HKU\S-1-5-21-97914646-3004973215-3397985723-1002\..\Run: [vProt] C:\Program Files (x86)\vShare\vprot.exe ()
O18 - Protocol\Handler\vsharechrome {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - C:\Program Files (x86)\vShare\vshare_toolbar.dll ()
[2012/09/02 12:13:19 | 000,232,960 | ---- | C] () -- C:\Windows\Installer\{5a32afa1-9d2c-7d69-a2f1-570b62b18579}\U\00000008.@
[2012/09/02 12:13:17 | 000,093,184 | ---- | C] () -- C:\Windows\Installer\{5a32afa1-9d2c-7d69-a2f1-570b62b18579}\U\80000032.@
[2012/09/02 12:13:16 | 000,001,632 | ---- | C] () -- C:\Windows\Installer\{5a32afa1-9d2c-7d69-a2f1-570b62b18579}\U\000000cb.@
[2012/07/21 21:14:03 | 000,016,896 | ---- | C] () -- C:\Windows\Installer\{5a32afa1-9d2c-7d69-a2f1-570b62b18579}\U\80000000.@
[2012/07/21 21:14:03 | 000,002,048 | ---- | C] () -- C:\Windows\Installer\{5a32afa1-9d2c-7d69-a2f1-570b62b18579}\U\00000004.@
[2012/07/21 21:14:03 | 000,000,804 | ---- | C] () -- C:\Windows\Installer\{5a32afa1-9d2c-7d69-a2f1-570b62b18579}\L\00000004.@
[2012/07/21 21:14:01 | 000,081,408 | ---- | C] () -- C:\Windows\Installer\{5a32afa1-9d2c-7d69-a2f1-570b62b18579}\U\80000064.@
[2012/01/14 00:20:57 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{5a32afa1-9d2c-7d69-a2f1-570b62b18579}\@
[2012/01/14 00:20:57 | 000,002,048 | -HS- | C] () -- C:\Users\Bruno\AppData\Local\{5a32afa1-9d2c-7d69-a2f1-570b62b18579}\@
@Alternate Data Stream - 150 bytes -> C:\ProgramData\Temp:5D7E5A8F
@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:E36F5B57
@Alternate Data Stream - 129 bytes -> C:\ProgramData\Temp:E1F04E8D
@Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:0B9176C0
@Alternate Data Stream - 116 bytes -> C:\ProgramData\Temp:4D066AD2
O4 - HKU\S-1-5-21-97914646-3004973215-3397985723-1000\..\RunOnce: [spchecker] "C:\Program Files (x86)\AVG\AVG10\Notification\SPCheckerTE.exe
O4 - HKLM\..\Run: [hp Update 3300C] C:\sj650\hpupdate.exe 3300C+ File not found

:Files
C:\Windows\Installer\{5a32afa1-9d2c-7d69-a2f1-570b62b18579}
C:\Users\Bruno\AppData\Local\{5a32afa1-9d2c-7d69-a2f1-570b62b18579}
:Commands
[emptytemp]

* Cliques sur l'icône Correction (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport s'ouvrir "OTL.log"
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
Mets le rapport ici car il prend bien de la place.
http://cjoint.com/
ou.
http://www.1fichier.com/

Tu as trop de chose au démarrage du pc.

Tu peux contrôler le démarrage de tous ces processus avec un logiciel comme Starter de Code Stuff.
Télécharge et installe Code Stuff Starter :

http://www.pc-infopratique.com/telechar ... arter.html

Ensuite vas dans l’onglet démarrage et décoches les lignes voulues.

Ne t'inquiète pas si a l'usage tu veux réactiver l'une d'elles, il suffit de la. recocher

Elles sont lancées inutilement au démarrage du système et cela ne comporte aucun danger.


Lignes à décocher qui sont en relation.

O4 - HKLM\..\Run: [Acer ePower Management] C:\Program Files\Acer\Acer ePower Management\ePowerTray.exe (Acer Incorporated)
O4 - HKLM\..\Run: [ETDWare] C:\Program Files\Elantech\ETDCtrl.exe (ELAN Microelectronic Corp.)
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\SysNative\hkcmd.exe (Intel Corporation)
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\SysNative\igfxtray.exe (Intel Corporation) =
O4 - HKLM\..\Run: [mwlDaemon] C:\Program Files (x86)\EgisTec MyWinLocker\x86\mwlDaemon.exe (Egis Technology Inc.)
O4 - HKLM\..\Run: [Persistence] C:\Windows\SysNative\igfxpers.exe (Intel Corporation)
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor) =
O4 - HKLM\..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM\..\Run: [BackupManagerTray] C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe (NewTech Infosystems, Inc.)
O4 - HKLM\..\Run: [EEventManager] C:\Program Files (x86)\Epson Software\Event Manager\EEventManager.exe (SEIKO EPSON CORPORATION)
O4 - HKLM\..\Run: [EgisTecPMMUpdate] C:\Program Files (x86)\EgisTec IPS\PmmUpdate.exe (Egis Technology Inc.)
O4 - HKLM\..\Run: [EgisUpdate] C:\Program Files (x86)\EgisTec IPS\EgisUpdate.exe (Egis Technology Inc.)
O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel Rapid Storage Technology\IAStorIcon.exe (Intel Corporation)
O4 - HKLM\..\Run: [LManager] C:\Program Files (x86)\Launch Manager\LManager.exe (Dritek System Inc.)
O4 - HKLM\..\Run: [SuiteTray] C:\Program Files (x86)\EgisTec MyWinLockerSuite\x86\SuiteTray.exe (Egis Technology Inc.)
O4 - HKU\S-1-5-21-97914646-3004973215-3397985723-1002\..\Run: [Octoshape Streaming Services] C:\Users\Bruno\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe (Octoshape ApS)
O4 - HKU\S-1-5-21-97914646-3004973215-3397985723-1002\..\Run: [Spotify] C:\Users\Bruno\AppData\Roaming\Spotify\Spotify.exe (Spotify Ltd)
O4 - HKU\S-1-5-21-97914646-3004973215-3397985723-1002\..\Run: [TomTomHOME.exe] C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe (TomTom)
O4 - HKU\S-1-5-21-97914646-3004973215-3397985723-1000\..
O4 - HKU\S-1-5-21-97914646-3004973215-3397985723-1000\..\RunOnce: [ScrSav] C:\Program Files (x86)\Acer\Screensaver\run_Acer.exe ()

Redémarres le pc ensuite pour constater le mieux.

[bruno_nantes]

Bonsoir,

Voilà le lien pour le rapport d'OTL :
http://cjoint.com/?0IcuqMK7XYp

Merci beaucoup pour ton aide !!

[bernard53]

ok comment va ton pc cette fois?

[bruno_nantes]

Je n'ai plus le problème avec les recherches google.
En revanche j'ai toujours les messages de mon antivirus.

[bernard53]

ok donne moi l'adresse de détection de ton Antivirus a moins que cela est la même que précédemment?

[bruno_nantes]

oui c'est toujours la même :
"C:\Windows\System32\services.exe";"Cheval de Troie : Dropper.Generic_c.MMI"

[bernard53]

ok alors ceci.



Télécharge sur ton bureau
http://support.kaspersky.com/downloads/ ... killer.zip
dezippe le et execute le , un rapport sera crée ici:

C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu

tu as aussi directement l'executable là :
http://support.kaspersky.com/downloads/ ... killer.exe
A cette fenêtre lance le scan.



Tu peux récupérer le rapport en validant Report

Si une détection est faite valide Cure puis



redémarres le pc pour confirmer la suppression de celle-ci.

INFO::
http://support.kaspersky.com/viruses/so ... =208280684

Si TDSS.tdl2 est détecté l'option "delete" sera cochée par défaut.
• Si TDSS.tdl3 est détecté assure toi que "Cure" est bien cochée.
• Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que "Cure" est bien cochée.
• Si Suspicious file est indiqué, laisse l'option cochée sur "Skip"
• Clique sur Continue puis sur Reboot now pour redémarrer le PC.

Ensuite si toujours soucis.
Télécharge ComboFix <ICI>>

Pour les Utilisateurs de VISTA et SEVEN: Clic-droit et choisis "Exécuter en tant qu'administrateur".
Pour VISTA et SEVEN: pas d'installation de la console de récupération.

>> Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée.

Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir préinstallée sur votre PC avant toute suppression de nuisibles.
Elle permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela est demandé, accepte le Contrat de Licence Utilisateur Final pour l'installer.
>> Une fois sur ton bureau double clique dessus pour le lancer.
Note importante : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

Lorsque le scan sera complet, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt

>>Ne pas cliquer dans la fenêtre de Combofix durant l’analyse, ceci provoquerait le gel du programme

[bruno_nantes]

J'ai utilisé "kaspersky". A priori ça a fonctionné, je n'ai plus de message, et le scan de mon antivirus n'a detecté aucune menace.

Merci beaucoup pour ton aide

[bernard53]

OK alors ne touche pas a Combofix et mets moi le rapport de TDSSKiller s.t.p

[bruno_nantes]

pas de problème

voilà le 1er rapport :
http://cjoint.com/?0IipMK2CJk6

puis le rapport après redemarrage :
http://cjoint.com/?BIipNaOc2OJ

[bernard53]

OK puisque tout va.

Fait ceci pour supprimer les logiciels qui ont servis à cette désinfection.

Télécharge << DELFIX >> de Xplode pour supprimer les logiciels qui ont servis a cette désinfection.


Lance-le.

* A l'invite, [Suppression] ()

* Un rapport va s'ouvrir à la fin, colle le dans la réponse

Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]

Puis::

On va mettre la restauration du système propre.
Pour cela:

1- Valides les touches Windows et Pause en même temps.

Puis Protection du système

Sur cette fenêtre décoches la case concernant le DD ou est installé ton système normalement C:

Valide et acceptes les demandes suivantes.

***Pour Windows 7** il faut valider l'onglet Configurer puis valider la désactivation de la restauration.

**Toujours sur cette même fenêtre : Il te faut donc maintenant recrée un nouveau point de restauration.

Coche cette même case et valides cela par l’onglet APPLIQUER puis onglet « CREER »

Nommes ce point PC- Clean: Valides.

Vous pouvez maintenant fermer toutes les fenêtres.

Bon Weekend à Nantes avec ce beau temps

[bruno_nantes]

voilà le rapport

http://cjoint.com/?0Iiqq0jkV5e


Merci pour ton aide,
bon week end aussi !