Sujet Précédent Sujet Suivant

Je suis infecté par un wareout!

Jow -  
 Jow -
Bonjour,

J'ai actuellement un virus sur mon ordinateur, qui me cause les problèmes suivants:
Sur Google, les liens de recherches ne me mettent pas sur le site concerné, par exemple, quand je recherche le site
Pokémon.fr au lieu de m'amener sur le site en question google me redirige vers des liens comerciaux ou pornographiques...

Le virus me met aussi la pagaille dans plusieurs applications, des jeux, msn messenger...

J'ai consulté plusieurs pages internet et forums, et mes symptômes prédisent un Wareout dans mon ordinateur.
Presque tout ce que j'ai consulté parlait du logiciel, Fixwarout, seulement je n'arrive pas a le telecharger.
Des rumeurs disent que il a été retiré du Web.
Pouriez vous m'aider a desinfecter mon ordinateur rapidement?
Je vous remercie d'avance.

Jo.

32 réponses

Précédent
  • 1
  • 2
Réponse 21 / 32
Jow
 
et voici mon rapport combofix
(je dois ajouter que mon ordi ne rame plus, je n'ai plus les pubs sur google mais j'ai toujours le bordel dans mes peripheriques et mon lecteur cd semble infecté.)

ComboFix 08-12-28.04 - Fidel 2008-12-30 12:36:40.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1023.566 [GMT 1:00]
Lancé depuis: c:\documents and settings\Fidel\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-28 au 2008-12-30 ))))))))))))))))))))))))))))))))))))
.

2008-12-30 12:34 . 2008-12-30 12:35 <REP> d-------- C:\Jow
2008-12-29 19:40 . 2008-12-29 21:56 <REP> d-------- C:\Lop SD
2008-12-29 17:17 . 2008-12-29 17:17 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-29 17:17 . 2008-12-03 19:54 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-22 09:45 . 2008-10-16 11:23 1,499,648 --a------ c:\windows\system32\SET17.tmp
2008-12-22 09:45 . 2008-10-16 11:23 1,024,512 --a------ c:\windows\system32\SET23.tmp
2008-12-22 09:45 . 2008-10-16 11:23 671,744 --a------ c:\windows\system32\SET14.tmp
2008-12-22 09:45 . 2008-10-16 11:23 621,056 --a------ c:\windows\system32\SET15.tmp
2008-12-22 09:45 . 2008-10-16 11:23 474,624 --------- c:\windows\system32\SET16.tmp
2008-12-22 09:45 . 2008-10-15 20:05 370,176 --a------ c:\windows\system32\SET25.tmp
2008-12-21 21:17 . 2008-12-21 21:17 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard
2008-12-21 20:26 . 2008-12-21 20:27 1,500 --a------ c:\windows\Active Setup Log.BAK
2008-12-21 19:56 . 2008-12-21 19:56 230 --a------ c:\windows\system32\spupdsvc.inf
2008-12-20 19:40 . 2008-12-29 21:25 <REP> d-------- c:\documents and settings\Christine\Tracing
2008-12-20 12:53 . 2008-12-20 12:56 <REP> d-------- c:\windows\SxsCaPendDel
2008-12-16 19:23 . 2008-12-30 09:27 <REP> d-------- c:\documents and settings\Plùme\Tracing
2008-12-16 19:23 . 2008-12-30 09:27 <REP> d-------- c:\documents and settings\Plùme\Tracing
2008-12-16 17:33 . 2008-12-29 19:46 <REP> d-------- c:\documents and settings\Fidel\Tracing
2008-12-16 17:31 . 2008-12-16 17:31 <REP> d-------- c:\program files\Microsoft
2008-12-16 17:24 . 2008-12-16 17:24 <REP> d-------- c:\program files\Fichiers communs\Windows Live
2008-12-02 22:37 . 2008-12-02 22:37 49,480 --a------ c:\windows\system32\sirenacm.dll
2008-11-23 20:11 . 2003-11-04 15:11 53,248 --a------ c:\windows\system32\lftga13n.dll
2008-11-19 19:07 . 2008-11-19 19:07 0 --a------ c:\windows\ynh.dx
2008-11-19 13:14 . 2008-11-19 13:29 <REP> d-------- c:\program files\Dofus
2008-11-09 12:42 . 2008-11-09 12:42 <REP> d-------- c:\program files\Intuisphere
2008-11-08 17:38 . 2008-12-30 11:47 <REP> d-------- c:\documents and settings\Fidel\Application Data\OpenOffice.org2
2008-11-04 18:59 . 2000-10-03 19:54 2,998 --a------ c:\windows\setup.ico
2008-11-04 18:58 . 1998-01-23 12:20 305,664 --a------ c:\windows\ZeusIsUninst.Exe
2008-11-04 18:56 . 2008-11-04 18:56 <REP> d-------- c:\program files\Sierra On-Line
2008-11-04 16:10 . 2008-11-28 20:39 <REP> d-------- c:\program files\Bonjour

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-30 09:20 --------- d-----w c:\documents and settings\Plùme\Application Data\OpenOffice.org2
2008-12-29 19:48 --------- d-----w c:\documents and settings\Christine\Application Data\OpenOffice.org2
2008-12-29 15:50 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-21 20:17 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2008-12-17 18:39 --------- d-----w c:\program files\Messenger Plus! Live
2008-12-17 09:21 87,584 ----a-w c:\documents and settings\Christine\Application Data\GDIPFONTCACHEV1.DAT
2008-12-16 16:32 --------- d-----w c:\program files\Windows Live
2008-12-14 14:53 22,328 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2008-12-14 14:51 103,736 ----a-w c:\windows\system32\PnkBstrB.exe
2008-12-10 17:52 --------- d-----w c:\documents and settings\Plùme\Application Data\LimeWire
2008-12-10 17:51 --------- d-----w c:\program files\LimeWire
2008-12-06 16:03 --------- d-----w c:\program files\SystemRequirementsLab
2008-11-25 15:17 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2008-11-13 16:37 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-11-07 14:20 --------- d-----w c:\program files\Warcraft III
2008-11-04 15:10 --------- d-----w c:\program files\QuickTime
2008-11-04 15:09 --------- d-----w c:\program files\Fichiers communs\Apple
2008-10-23 13:00 283,648 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-16 10:23 671,744 ----a-w c:\windows\system32\wininet.dll
2008-10-03 10:17 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-27 17:51 10,856 --sha-w c:\windows\system32\KGyGaAvL.sys
2008-09-15 15:39 1,846,144 ----a-w c:\windows\system32\win32k.sys
2008-09-12 17:52 88 --sh--r c:\documents and settings\All Users\Application Data\BEF428B2A5.sys
2008-09-12 17:52 848 --sha-w c:\documents and settings\All Users\Application Data\KGyGaAvL.sys
2008-09-04 16:45 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-04-05 11:44 22,328 ----a-w c:\documents and settings\Fidel\Application Data\PnkBstrK.sys
2008-02-29 19:24 87,290 ----a-w c:\program files\TPhotoshop.zip
2008-01-25 16:40 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat
2007-08-11 09:30 8,171,975 ----a-w c:\program files\LimeWireOSX.dmg
2007-02-24 11:13 2,825,676 ----a-w c:\program files\Photo Filtre Studio.exe
2007-02-02 11:31 10,232,739 ----a-w c:\program files\RVov0MtV2sQ.flv
2007-02-02 11:18 9,453,630 ----a-w c:\program files\vlc-0.8.6a-win32.exe
2007-02-01 16:17 2,599,097 ----a-w c:\program files\decocreator.zip
2007-01-24 18:07 20,019 ----a-w c:\program files\unfreez.zip
2008-09-27 17:51 10,856 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-12-29_19.02.49.73 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-12-21 19:43:35 72,020 ----a-w c:\windows\system32\perfc009.dat
+ 2008-12-29 20:04:04 72,020 ----a-w c:\windows\system32\perfc009.dat
- 2008-12-21 19:43:35 85,832 ----a-w c:\windows\system32\perfc00C.dat
+ 2008-12-29 20:04:04 85,832 ----a-w c:\windows\system32\perfc00C.dat
- 2008-12-21 19:43:35 425,636 ----a-w c:\windows\system32\perfh009.dat
+ 2008-12-29 20:04:04 425,636 ----a-w c:\windows\system32\perfh009.dat
- 2008-12-21 19:43:35 494,114 ----a-w c:\windows\system32\perfh00C.dat
+ 2008-12-29 20:04:04 494,114 ----a-w c:\windows\system32\perfh00C.dat
- 2008-12-29 17:48:17 12,661 ----a-w c:\windows\system32\tablet.dat
+ 2008-12-30 10:47:44 12,661 ----a-w c:\windows\system32\tablet.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-10 15360]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-09 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"ntiMUI"="c:\program files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-10 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Acer Empowering Technology Monitor"="c:\windows\system32\SysMonitor.exe" [2006-04-18 49152]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 345088]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
"nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2008-12-02 3882312]

c:\documents and settings\Pl—me\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

c:\documents and settings\Pl—meau.ACER-7989E0343A\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-02-26 110592]

c:\documents and settings\Christine\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

c:\documents and settings\Fidel\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2006-12-19 45056]
Acer WLAN 11g USB Dongle.lnk - c:\program files\Acer WLAN 11g USB Dongle\ZDWlan.exe [2005-11-16 745472]
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-02-26 110592]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
TabUserW.exe.lnk - c:\windows\system32\WTablet\TabUserW.exe [2006-12-21 106496]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.JPGL"= jpgl.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ipfwhfyb2iz.sys]
@="\??\c:\windows\system32\drivers\ipfwhfyb2iz.sys"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"c:\\Program Files\\Warcraft III\\Warcraft III.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\kav\\kis7.0\\french\\setup.exe"=
"d:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"d:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"d:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"d:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"d:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"d:\\Program Files\\LucasArts\\Star Wars Republic Commando\\GameData\\System\\SWRepublicCommando.exe"=
"d:\\Program Files\\GameSpy Arcade\\Aphex.exe"=
"d:\\Program Files\\LucasArts\\Star Wars Battlefront II\\GameData\\BattlefrontII.exe"=
"d:\\Program Files\\Codemasters\\Worms 4 Mayhem\\WORMS 4 MAYHEM.EXE"=
"d:\\Program Files\\Sierra\\FEAR\\FEARServer.exe"=
"d:\\Program Files\\Sierra\\FEAR\\FEAR.exe"=
"d:\\Program Files\\Sierra\\FEAR\\FEARMP.exe"=
"d:\\Program Files\\halo.exe"=
"d:\\Program Files\\Sierra\\FEARCombat\\FPUpdate.exe"=
"d:\\Program Files\\Sierra\\FEARCombat\\FEARMP.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"d:\\Program Files\\THQ\\Dawn of War - Soulstorm\\Soulstorm.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R3 LVHybrid;LVHybrid service;c:\windows\system32\DRIVERS\LVHybrid.sys [2006-05-16 892032]
S2 ipfwhfyb2iz.sys;ipfwhfyb2iz.sys;\??\c:\windows\system32\drivers\ipfwhfyb2iz.sys []
S2 SeaPort;SeaPort;"c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe" []
S3 PAC207;Webcam 1200;c:\windows\system32\DRIVERS\PFC027.SYS [2008-01-26 611584]
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;c:\windows\system32\DRIVERS\usbiad.sys [2005-06-13 31579]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{73d4dca9-4832-11dc-add2-0016ce4e91ab}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{73d4dcaa-4832-11dc-add2-0016ce4e91ab}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe
.
Contenu du dossier 'Tâches planifiées'

2008-12-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Examen supplémentaire -------
.
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000

c:\windows\Downloaded Program Files\sysreqlab3.dll - c:\windows\Downloaded Program Files\sysreqlab_srl.dll
O16 -: {1E54D648-B804-468d-BC78-4AFFED8E262E}
hxxp://www.srtest.com/srl_bin/sysreqlab_srl.cab
c:\windows\Downloaded Program Files\sysreqlab.osd

c:\windows\Downloaded Program Files\ECRITMATH.OCX - O16 -: {4B62C0F0-DCFF-11D2-91E2-004005195FF7}
file://c:\documents and settings\Fidel\Local Settings\Temp\Rar$EX00.703\EcritMath.CAB
c:\windows\Downloaded Program Files\EcritMath.INF

c:\windows\system32\GP32.DLL - c:\windows\Downloaded Program Files\GP0.OCX
O16 -: {DA6462AC-9024-11D2-8454-004005195FED}
file://c:\documents and settings\Fidel\Local Settings\Temp\Rar$EX00.703\GP0.CAB
c:\windows\Downloaded Program Files\GP0.INF

c:\windows\system32\GE32.DLL - c:\windows\Downloaded Program Files\GE0.OCX
O16 -: {E29016D7-8E99-11D2-8454-004005195FED}
file://c:\documents and settings\Fidel\Local Settings\Temp\Rar$EX00.703\GE0.CAB
c:\windows\Downloaded Program Files\GE0.INF

c:\windows\Downloaded Program Files\GoPetsWeb.ocx - O16 -: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8}
hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab
c:\windows\Downloaded Program Files\GoPetsWeb.inf
FF - ProfilePath - c:\documents and settings\Fidel\Application Data\Mozilla\Firefox\Profiles\i4ydmzuc.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-30 12:41:31
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-12-30 12:43:46
ComboFix-quarantined-files.txt 2008-12-30 11:42:56
ComboFix2.txt 2008-12-29 18:03:28

Avant-CF: 25,708,720,128 octets libres
Après-CF: 25,711,378,432 octets libres

242 --- E O F --- 2008-12-22 13:20:58
0
Réponse 22 / 32
Jow
 
bon après tout ça tout est réglé, mon lecteur cd remarche je n'ai plus les pubs sur google... mais il reste encore un problème mon lecteur de carte sd ne marche plus, quand je mets une carte sd dedans le voyant s'allume mais l'ordinateur ne reconnais rien...
0
Réponse 23 / 32
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
mwouais
mais tu as encore des mountpoints2 infectés

on dirais que le script combo n'a pas fonctionné correctement
la moitié des fichiers n'ont pas été supprimer
et le log combo n'est pas le bon!!

Supprime Combofix ainsi :
~>Clique sur " Démarrer " ~> " Exécuter "( ou combine la touche Windows + R ) -> copie/colle cette ligne :

ComboFix /u

( laisse l'espace entre Combofix et /u )

~>Valide .

Pour supprimer les outils/fix utilisés :

Télécharge ToolsCleaner sur ton bureau.
--> http://pc-system.fr/

# Clique sur "Recherche" et laisse le scan agir ...
# Clique sur "Suppression" pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

puis réessaye usbfix

Télécharge UsbFix sur ton bureau

--> Lance l'installation avec les paramètres par défaut

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d'avoir été infectées sans les ouvrir.

--> Double clic sur le raccourci UsbFix sur ton bureau

--> Choisis l'option nettoyage

--> Le pc va redémarer

-->Après redémarrage poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide!

/!\ "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

0
Réponse 24 / 32
Jow
 
voici mon rapport usb fix

-------------- UsbFix V2.413.8 ---------------

* User : Fidel - ACER-7989E0343A
* Outils mis a jours le 27/12/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 15:32:48 le 30/12/2008
* Windows Xp - Internet Explorer 6.0.2900.2180

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\a-squared Free\a2service.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

D: - Lecteur fixe

E: - Lecteur de CD-ROM

+- Contenu de l'autorun : E:\autorun.inf

[autorun]
open=autorun.exe
icon=install\jediacad.ico

--------------- [ Lecteur C ] ----------------

C: - Lecteur fixe

+- Listing des fichiers présents :

[24/05/2008 17:49][--a------] C:\AUTOEXEC.BAT
[10/08/2004 21:00][-rahs----] C:\NTDETECT.COM
[24/05/2001 11:59][--a------] C:\UNWISE.EXE
[29/12/2008 18:37][-rahs----] C:\boot.ini
[13/07/2007 17:57][--a------] C:\ModView_GL_report.txt
[13/07/2007 17:57][--a------] C:\profile.txt
[13/07/2007 17:57][--a------] C:\rapport.txt
[13/07/2007 17:57][--a------] C:\UsbFix.txt
[11/08/2006 18:29][--a------] C:\CONFIG.SYS
[11/08/2006 18:29][--a------] C:\hiberfil.sys
[11/08/2006 18:29][--a------] C:\IO.SYS
[11/08/2006 18:29][--a------] C:\MSDOS.SYS
[11/08/2006 18:29][--a------] C:\pagefile.sys

--------------- [ Lecteur D ] ----------------

D: - Lecteur fixe

+- Listing des fichiers présents :

--------------- [ Lecteur E ] ----------------

E: - Lecteur de CD-ROM

+- Listing des fichiers présents :

[07/03/2002 22:55][-r-------] E:\autorun.exe
[07/03/2002 22:55][-r-------] E:\autorun2.exe
[07/07/2003 23:46][-r-------] E:\autorun.ini
[16/07/2003 23:09][-r-------] E:\autorun.inf

--------------- [ Registre / Startup ] ----------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ehTray=C:\WINDOWS\ehome\ehtray.exe
LaunchApp=Alaunch
RTHDCPL=RTHDCPL.EXE
SkyTel=SkyTel.EXE
ntiMUI=c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
IMEKRMIG6.1=C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
MSPY2002=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz=nwiz.exe /install
SunJavaUpdateSched="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
Acer Empowering Technology Monitor=C:\WINDOWS\system32\SysMonitor.exe
eDataSecurity Loader=C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
eRecoveryService=C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=dword:00000143
"NoDriveAutoRun"=dword:03ffffff
"NoDrives"=dword:00000000

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=dword:03ffffff
"NoDriveTypeAutoRun"=dword:00000143
"NoDrives"=dword:00000000

--------------- [ Registre / Mountpoint2 ] ----------------

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{73d4dca9-4832-11dc-add2-0016ce4e91ab}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{73d4dcaa-4832-11dc-add2-0016ce4e91ab}\Shell\AutoRun\command

--------------- [ Nettoyage des disques ] ----------------

Supprimé ! - [23/12/2008 19:25][--a------] C:\WINDOWS\system32\tmp.txt
Echec de la supression !! - [16/07/2003 23:09] E:\autorun.inf
Echec de la supression !! - [07/07/2003 23:46] E:\autorun.ini
Echec de la supression !! - [07/03/2002 22:55] E:\autorun.exe
Echec de la supression !! - [16/07/2003 23:09] E:\autorun.inf
Echec de la supression !! - [16/07/2003 23:09] E:\autorun.inf

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[24/05/2008 17:49][--a------] C:\AUTOEXEC.BAT
[10/08/2004 21:00][-rahs----] C:\NTDETECT.COM
[24/05/2001 11:59][--a------] C:\UNWISE.EXE
[29/12/2008 18:37][-rahs----] C:\boot.ini
[07/03/2002 22:55][-r-------] E:\autorun.exe
[07/03/2002 22:55][-r-------] E:\autorun2.exe
[07/07/2003 23:46][-r-------] E:\autorun.ini
[16/07/2003 23:09][-r-------] E:\autorun.inf

--------------- ! Fin du rapport ! ----------------
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 32
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
c'est ok pour les infections autorun
tu ne m'as pas donné le rapport toolscleaner
0
Réponse 26 / 32
Jow
 
Euh... ben je crois que TCLeaner ne m'a pas donné de rapport...
0
Réponse 27 / 32
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
regarde si tu n'as pas toolscleaner.txt sur ton DD(à la racine C:)
0
Réponse 28 / 32
Jow
 
Non je n'ai rien.
0
Réponse 29 / 32
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
ok,

pas grave du tout

normalement tu dois pouvoir passer MBAM

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton Bureau.
https://www.malwarebytes.com/

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.
Double-clique sur l'icône "Download_mbam-setup.exe" sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications n'apporte aucune modification aux réglages par défaut et en fin d'installation, vérifie que les options "Update Malwarebytes' Anti-Malware" et "Launch Malwarebytes' Anti-Malware" soit cochées.
MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.
La fenêtre principale de MBAM s'affiche :
Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.
MBAM analyse ton ordinateur.
L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
Si des malwares sont détectés, leur liste s'affiche.
***EN CLIQUANT SUR SUPPRESSION(?)FAIT LE*** , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
Ferme MBAM en cliquant sur Quitter.
Poste le rapport dans ta réponse
0
Réponse 30 / 32
Jow
 
Voici mon rapport MBAM qui annonce un résultat de nétoyage bien fait mais mon lecteur de carte SD ne reconais toujours pas mes cartes SD et ce n'etait pas le cas avant le virus

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1577
Windows 5.1.2600 Service Pack 2

30/12/2008 19:58:13
mbam-log-2008-12-30 (19-58-13).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Eléments examinés: 265641
Temps écoulé: 1 hour(s), 17 minute(s), 3 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 31 / 32
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
mwouais,je vois plus rien de grave

Télécharger ATF Cleaner par Atribune.
http://www.atribune.org/ccount/click.php?id=1
Installe-le sur le bureau. (A conserver car très utile après chaque séance de surf)

Double-clique ATF-Cleaner.exe afin de lancer le programme.
Sous l'onglet Main, choisis : Select All
Cliquer sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :
Clique Firefox au haut et choisis : Select All
Cliquer le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :
Clique Opera au haut et choisis : Select All
Cliquer le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.
Clique Exit, du menu principal, afin de fermer le programme.
0
Jow
 
Merci beaucoup de votre aide! l'ordi est complètement clean, mais pour mon lecteur de carte sd?
0
Réponse 32 / 32
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
tu as essayer de réinstaller les drivers?

Télécharge ToolsCleaner sur ton bureau.
-->
http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner

# Clique sur "Recherche" et laisse le scan agir ...
# Clique sur "Suppression" pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

ensuite

Télécharges : - CCleaner (n'installe pas la barre d'outil Yahoo)
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

***très important***

Suppression des points de restauration :
1.Ouvre le Menu Démarrer
2.Clique-droit sur Poste de travail
3.Clique sur Propriétés
4.Positionne-toi dans l'onglet Restauration du système
5.Coche "Désactiver la restauration système"
6.Valide par Ok
7.Redémarre ton pc
8.Reproduis les manipulations 1 à 3
9.Décoche "Désactiver la restauration système"
10.Valide par Ok

sous vista
https://forums.cnetfrance.fr

Ne pas oublier de créer un nouveau point de restauration en procédant comme indiqué sur le lien ci dessous

https://www.vulgarisation-informatique.com/creer-point-restauration.php

si tu n as pas d autres soucis change le statut du sujet en resolu stp

0
Jow
 
ben ça n'a rien changé... ma carte n'est toujours pas reconnue, pourtant aucun code d'erreur
0

Discussions similaires

spyware remover "WareOut"
sabby -
le_pti_seb -

34 réponses
infecté par des virus
Lisy59120 -
Lisy59120 -

5 réponses
Virus non détecté par mon anti-virus ?
F2L -
cabrier -

12 réponses
simon
sisititi -
azert1313 -

1 réponse
Powershell infecté
Bal2bin -
MisteryBean -

8 réponses