Sujet Précédent Sujet Suivant

Pour Lyonnais92 PC2

Loading Messages postés 61 Statut Membre -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
Voici le log de hijackthis relatif au PC2

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:06:51, on 12/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\OpenERP Server\service\OpenERPServerService.exe
C:\Program Files\OpenERP Server\openerp-server.exe
C:\oracle\product\10.2.0\db_1\bin\isqlplussvc.exe
C:\oracle\product\10.2.0\db_1\BIN\TNSLSNR.exe
c:\oracle\product\10.2.0\db_1\bin\ORACLE.EXE
C:\Java\jdk1.5.0_15\bin\java.exe
C:\Program Files\PostgreSQL4OpenERP\bin\pg_ctl.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\VisualSVN Server\bin\VisualSVNServer.exe
C:\Program Files\TightVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\VisualSVN Server\bin\VisualSVNServer.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\CloneCD\CloneCDTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Java\jdevstudio10134\jdev\bin\jdevw.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Java\Topcased-2.2.0\topcased.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.6.8.190:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [Software Informer] "C:\Program Files\Free Download Manager\softinfo.exe" -autorun
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1214440339-1220945662-725345543-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'openpgsvc')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
O4 - Startup: ¡¡¡¡¡¡.lnk = C:\WINDOWS\system32\XP-D4B4D314.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = sndi-ci.net
O17 - HKLM\System\CS1\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = sndi-ci.net
O17 - HKLM\System\CS2\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = sndi-ci.net
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: OpenERP Server (openerp-service) - Unknown owner - C:\Program Files\OpenERP Server\service\OpenERPServerService.exe
O23 - Service: OracleDBConsoleorcl - Unknown owner - C:\Java\oracle\bin\nmesrvc.exe (file missing)
O23 - Service: OracleJobSchedulerORCL - Unknown owner - c:\oracle\product\10.2.0\db_1\Bin\extjob.exe
O23 - Service: OracleOraDb10g_home1iSQL*Plus - Oracle - C:\oracle\product\10.2.0\db_1\bin\isqlplussvc.exe
O23 - Service: OracleOraDb10g_home1TNSListener - Unknown owner - C:\oracle\product\10.2.0\db_1\BIN\TNSLSNR.exe
O23 - Service: OracleServiceORCL - Oracle Corporation - c:\oracle\product\10.2.0\db_1\bin\ORACLE.EXE
O23 - Service: PostgreSQL4OpenERP (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL4OpenERP\bin\pg_ctl.exe
O23 - Service: VisualSVN Server (VisualSVNServer) - Unknown owner - C:\Program.exe (file missing)
O23 - Service: VNC Server (winvnc) - TightVNC Group - C:\Program Files\TightVNC\WinVNC.exe

18 réponses

Réponse 1 / 18
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

je regarde et je te dis quoi faire;
0
Loading Messages postés 61 Statut Membre 4
 
Ok et merci. Pour le pc1 je suivrais les instructions un peu plutard.
0
Réponse 2 / 18
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

tu connais sndi-ci.net ?

Tu sais à quoi correspond : 10.6.8.1
0
Réponse 3 / 18
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

un point commun trouvé.

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\XP-D4B4D314.EXE

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

================

Si tu ne trouves pas le fichier :

->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
0
Réponse 4 / 18
Loading Messages postés 61 Statut Membre 4
 
10.6.8.1 doit etre l'adresse d'un PC du service (sndi) ou j'effectue mon stage. Je n'arrive pas à ouvir https://www.virustotal.com/gui/
Merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

comme ça non plus ?

Vas sur le site https://virusscan.jotti.org/
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : xxxxxxxxx
- Clic sur submit toujours en haut à droite
- Le scan va se lancer, ça va prendre un petit instant
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici.

============

Si ca ne passe pas non plus,

Télécharge cet outil de SiRi:

http://siri.urz.free.fr/RHosts.php

Double cliquer dessus pour l'exécuter

et cliquer sur " Restore original Hosts "

Réessaye avec virusTotal.
0
Loading Messages postés 61 Statut Membre 4
 
C'est encore pareil. Je n'arrive toujours pas à ouvrir les adresse que tu m'as transmise
0
Réponse 6 / 18
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

pour avancer en attendant le résultat de VT sur l'autre ordi :

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
.

NB : Les rapports sont sauvegardés dans le dossier C:\rsit
0
Loading Messages postés 61 Statut Membre 4
 
Ok. Je poursuivrai avec l'autre pc quand je l'aurai sous la main; ça sera certainement pour ce soir. Merci
0
Réponse 7 / 18
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

avance sur celui-ci avec RSIT.

Ca peut me fournir de nouvelles infos (à défaut de VT).
0
Loading Messages postés 61 Statut Membre 4
 
Voici le contenu de log.txt

Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2009-01-12 14:24:23
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 785 MB (2%) free of 36 GB
Total RAM: 2039 MB (34% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:24:24, on 12/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\OpenERP Server\service\OpenERPServerService.exe
C:\Program Files\OpenERP Server\openerp-server.exe
C:\oracle\product\10.2.0\db_1\bin\isqlplussvc.exe
C:\oracle\product\10.2.0\db_1\BIN\TNSLSNR.exe
c:\oracle\product\10.2.0\db_1\bin\ORACLE.EXE
C:\Java\jdk1.5.0_15\bin\java.exe
C:\Program Files\PostgreSQL4OpenERP\bin\pg_ctl.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\VisualSVN Server\bin\VisualSVNServer.exe
C:\Program Files\TightVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\VisualSVN Server\bin\VisualSVNServer.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\CloneCD\CloneCDTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Java\jdevstudio10134\jdev\bin\jdevw.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Java\Topcased-2.2.0\topcased.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.6.8.190:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [Software Informer] "C:\Program Files\Free Download Manager\softinfo.exe" -autorun
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1214440339-1220945662-725345543-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'openpgsvc')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
O4 - Startup: ¡¡¡¡¡¡.lnk = C:\WINDOWS\system32\XP-D4B4D314.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = sndi-ci.net
O17 - HKLM\System\CS1\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = sndi-ci.net
O17 - HKLM\System\CS2\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = sndi-ci.net
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: OpenERP Server (openerp-service) - Unknown owner - C:\Program Files\OpenERP Server\service\OpenERPServerService.exe
O23 - Service: OracleDBConsoleorcl - Unknown owner - C:\Java\oracle\bin\nmesrvc.exe (file missing)
O23 - Service: OracleJobSchedulerORCL - Unknown owner - c:\oracle\product\10.2.0\db_1\Bin\extjob.exe
O23 - Service: OracleOraDb10g_home1iSQL*Plus - Oracle - C:\oracle\product\10.2.0\db_1\bin\isqlplussvc.exe
O23 - Service: OracleOraDb10g_home1TNSListener - Unknown owner - C:\oracle\product\10.2.0\db_1\BIN\TNSLSNR.exe
O23 - Service: OracleServiceORCL - Oracle Corporation - c:\oracle\product\10.2.0\db_1\bin\ORACLE.EXE
O23 - Service: PostgreSQL4OpenERP (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL4OpenERP\bin\pg_ctl.exe
O23 - Service: VisualSVN Server (VisualSVNServer) - Unknown owner - C:\Program.exe (file missing)
O23 - Service: VNC Server (winvnc) - TightVNC Group - C:\Program Files\TightVNC\WinVNC.exe
0
Réponse 8 / 18
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

RSIT a donné des infos.

Connais tu 2009-01-06 15:31:34 ----A---- C:\WINDOWS\NAVIGMA.INI ?

L'essentiel de l'infection doit être ici :

2009-01-07 07:59:10 ----SH---- C:\WINDOWS\system32\ul.dll
2009-01-07 07:59:10 ----ASH---- C:\WINDOWS\system32\og.dll
2009-01-07 07:59:09 ----RSH---- C:\WINDOWS\system32\XP-D4B4D314.EXE

https://www.symantec.com?md5=8c43e5ae9c0baeef1824e1e53bbb57c0

A quoi correspond F: ?

===============
2 références (isew32.exe)
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/search/wormautorunbep
https://www.symantec.com?md5=b7a7b193f4d562b9c02356c20de4198f

kk3.bat
http://www.prevx.com/filenames/2471377157619709827-X1/KK32EBAT.html

jwbaxg.pif inconnu
jgont.exe inconnu
vevi.exe inconnu

====================
Je suis obligé de faire spécialement attention. C'est visiblement un odi professionnel qui àpeut avoir des applications propriétaires donc avec des fichiers non référencés sur le Web mais légitimes (ce qui n'est pas le cas d'un ordi perso).

===================

Début de traitement

Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

O4 - Startup: ¡¡¡¡¡¡.lnk = C:\WINDOWS\system32\XP-D4B4D314.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

================
--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> Le PC va redémarrer.

--> Après redémarrage, poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

===================
télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le Bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

double-clique sur combofix.exe et suis les instructions

en particulier installe la Console de récupération.

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Bon courage.
0
Loading Messages postés 61 Statut Membre 4
 
Salut,
Je suis vraiment coincé. Je lancer combofix, et à la fin je n'ai pas eu de log. Cependant voici le log de usbfix
Je pense aussi que j'ai été infecté par sality-gen win32. Je l'ai détecté en analysant des repertoire que j'ai mis en partage sur le réseaux, parce que mon avast est désactivé. voici le log de usbfix



-------------- UsbFix V2.414 ---------------

* User : Administrateur - SNDI0025
* Outils mis a jours le 09/01/2009 par Chiquitine29 et Chimay8
* Recherche effectuée à 8:29:14 le 13/01/2009
* Windows Xp - Internet Explorer 7.0.5730.13


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\OpenERP Server\service\OpenERPServerService.exe
C:\Program Files\OpenERP Server\openerp-server.exe
C:\oracle\product\10.2.0\db_1\bin\isqlplussvc.exe

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixeF: - Lecteur amovibleG: - Lecteur amovibleH: - Lecteur fixeZ: - Lecteur r‚seau ou … distance
+- Contenu de l'autorun : F:\autorun.inf

;kmpKYoGxR
[AutoRun]
;lxxSUlcPqmLmpYcvV wAtig svowCQeppm SsSP
;wsolm
SHElL\oPeN\comManD= cfbugm.exe

;hMGXrnqTNtyd xbdnuopwhMkolK pnhhd
sHElL\Open\DeFAulT=1
;xdletr
shell\EXpLORe\COMmANd=cfbugm.exe

;vvHg
oPen = cfbugm.exe
;pxBgbfmSE VVvfeFwwMq
shEll\Autoplay\CoMMaND =cfbugm.exe


+- Contenu de l'autorun : G:\autorun.inf

[AutoRun]
;ylolhWtBcYQg ldvcdokFsNTlsF
;
oPen=ajseo.pif

;KOHmcF dhTfx PyAo
shelL\oPeN\DefAult=1
;mXkx
shell\EXplOre\CoMMAnd= ajseo.pif
;
sHELl\Open\COmmanD= ajseo.pif

;kafg eAeHAs
sHelL\autoPLAy\coMmaNd=ajseo.pif
;ygSJN


--------------- [ Lecteur C ] ----------------

C: - Lecteur fixe
+- Listing des fichiers présents :

[06/08/2008 12:46][--a------] C:\AUTOEXEC.BAT
[03/08/2004 20:38][-rahs----] C:\NTDETECT.COM
[06/08/2008 12:38][---hs----] C:\boot.ini
[13/01/2009 08:29][--a------] C:\UsbFix.txt
[06/08/2008 12:46][--a------] C:\CONFIG.SYS
[06/08/2008 12:46][--a------] C:\IO.SYS
[06/08/2008 12:46][--a------] C:\MSDOS.SYS
[06/08/2008 12:46][--a------] C:\pagefile.sys

--------------- [ Lecteur F ] ----------------

F: - Lecteur amovible
+- Listing des fichiers présents :

[31/12/2008 17:25][-r-hs----] F:\crjrv.pif
[11/01/2009 10:24][--a------] F:\Calendars.exe
[11/01/2009 10:24][--a------] F:\iPod_Control.exe
[11/01/2009 10:24][--a------] F:\Contacts.exe
[11/01/2009 10:24][--a------] F:\Notes.exe
[11/01/2009 10:24][--a------] F:\Recordings.exe
[11/01/2009 10:24][--a------] F:\Recycled.exe
[11/01/2009 10:24][--a------] F:\cfbugm.exe
[04/08/2004 01:55][-r-hs----] F:\autorun.inf

--------------- [ Lecteur G ] ----------------

G: - Lecteur amovible
+- Listing des fichiers présents :

[10/01/2009 13:47][-r-hs----] G:\jwbaxg.pif
[10/01/2009 13:47][-r-hs----] G:\ajseo.pif
[10/01/2009 13:47][--a------] G:\anglais.exe
[10/01/2009 13:47][--a------] G:\Photo.exe
[10/01/2009 13:47][--a------] G:\HI5.exe
[10/01/2009 13:47][--a------] G:\Logiciel.exe
[10/01/2009 13:47][--a------] G:\maformation.exe
[10/01/2009 13:47][--a------] G:\Recycled.exe
[04/08/2004 01:55][-r-hs----] G:\autorun.inf

--------------- [ Lecteur H ] ----------------

H: - Lecteur fixe
+- Listing des fichiers présents :


--------------- [ Lecteur Z ] ----------------

Z: - Lecteur r‚seau ou … distance
+- Listing des fichiers présents :

[31/01/2008 09:29][--a------] Z:\prefs.js

--------------- [ Registre / Startup ] ----------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*https://fr.search.yahoo.com/"
"Start Page"="https://fr.yahoo.com/"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
SuperCopier2.exe=C:\Program Files\SuperCopier2\SuperCopier2.exe
Free Download Manager="C:\Program Files\Free Download Manager\fdm.exe" -autorun
Software Informer="C:\Program Files\Free Download Manager\softinfo.exe" -autorun
fsm=
googletalk="C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
Messenger (Yahoo!)="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
MsnMsgr="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
IgfxTray=C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
Persistence=C:\WINDOWS\system32\igfxpers.exe
CloneCDElbyCDFL="C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL
CloneCDTray="C:\Program Files\CloneCD\CloneCDTray.exe"
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
WinVNC="C:\Program Files\TightVNC\WinVNC.exe" -servicehelper
avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime
iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"

--------------- [ Registre / Mountpoint2 ] ----------------

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{698c4a5a-72dc-11dd-b43a-000d6065baf5}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{698c4a5a-72dc-11dd-b43a-000d6065baf5}\Shell\open\Command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a7ca5128-cc47-11dd-b463-000d6065baf5}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a7ca5128-cc47-11dd-b463-000d6065baf5}\Shell\explore\Command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a7ca5128-cc47-11dd-b463-000d6065baf5}\Shell\open\Command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd5ed-e3f5-11d4-b461-000d6065baf5}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd5ed-e3f5-11d4-b461-000d6065baf5}\Shell\explore\Command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd5ed-e3f5-11d4-b461-000d6065baf5}\Shell\open\Command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd62b-e3f5-11d4-b461-000d6065baf5}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd62b-e3f5-11d4-b461-000d6065baf5}\Shell\explore\Command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd62b-e3f5-11d4-b461-000d6065baf5}\Shell\open\Command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd6a5-e3f5-11d4-b461-000d6065baf5}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd6a5-e3f5-11d4-b461-000d6065baf5}\Shell\explore\Command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd6a5-e3f5-11d4-b461-000d6065baf5}\Shell\open\Command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd6a6-e3f5-11d4-b461-000d6065baf5}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd6a6-e3f5-11d4-b461-000d6065baf5}\Shell\explore\Command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd6a6-e3f5-11d4-b461-000d6065baf5}\Shell\open\Command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bccae45e-6539-11dd-b42e-000d6065baf5}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c0e9d3d2-a4e4-11dd-b45e-000d6065baf5}\Shell\AutoRun\command

--------------- [ Nettoyage des disques ] ----------------

F:\autorun.inf ~> fichier appelé : "F:\ cfbugm.exe" ( absent ! )
G:\autorun.inf ~> fichier appelé : "G:\ ajseo.pif" ( absent ! )
Supprimé ! - [11/01/2009 10:24][-r-hs----] F:\Recycled.exe
Supprimé ! - [04/08/2004 01:55][-r-hs----] F:\autorun.inf
Supprimé ! - [10/01/2009 13:47][-r-hs----] G:\Recycled.exe
Supprimé ! - [04/08/2004 01:55][-r-hs----] G:\autorun.inf

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[06/08/2008 12:46][--a------] C:\AUTOEXEC.BAT
[03/08/2004 20:38][-rahs----] C:\NTDETECT.COM
[06/08/2008 12:38][---hs----] C:\boot.ini
[31/12/2008 17:25][-r-hs----] F:\crjrv.pif
[11/01/2009 10:24][--a------] F:\Calendars.exe
[11/01/2009 10:24][--a------] F:\iPod_Control.exe
[11/01/2009 10:24][--a------] F:\Contacts.exe
[11/01/2009 10:24][--a------] F:\Notes.exe
[11/01/2009 10:24][--a------] F:\Recordings.exe
[11/01/2009 10:24][--a------] F:\cfbugm.exe
[10/01/2009 13:47][-r-hs----] G:\jwbaxg.pif
[10/01/2009 13:47][-r-hs----] G:\ajseo.pif
[10/01/2009 13:47][--a------] G:\anglais.exe
[10/01/2009 13:47][--a------] G:\Photo.exe
[10/01/2009 13:47][--a------] G:\HI5.exe
[10/01/2009 13:47][--a------] G:\Logiciel.exe
[10/01/2009 13:47][--a------] G:\maformation.exe
[31/01/2008 09:29][--a------] Z:\prefs.js

--------------- [ Vaccination ] ----------------

A:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
C:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
F:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
G:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
H:\autorun.inf -> Dossier autorun.inf crée par UsbFix !

--------------- ! Fin du rapport ! ----------------
0
Réponse 9 / 18
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

pas de fichier c:\combofix.txt ?

Remets un rapport RSIT.
0
Loading Messages postés 61 Statut Membre 4
 
Je n'ai pas fichier c:\combofix.txt ?

voici le rapport RSIT.

Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2009-01-13 14:56:06
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 550 MB (2%) free of 36 GB
Total RAM: 2039 MB (35% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:56, on 2009-01-13
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\OpenERP Server\service\OpenERPServerService.exe
C:\Program Files\OpenERP Server\openerp-server.exe
C:\oracle\product\10.2.0\db_1\bin\isqlplussvc.exe
C:\oracle\product\10.2.0\db_1\BIN\TNSLSNR.exe
C:\Java\jdk1.5.0_15\bin\java.exe
c:\oracle\product\10.2.0\db_1\bin\ORACLE.EXE
C:\Program Files\PostgreSQL4OpenERP\bin\pg_ctl.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\CloneCD\CloneCDTray.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\VisualSVN Server\bin\VisualSVNServer.exe
C:\Program Files\TightVNC\WinVNC.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\VisualSVN Server\bin\VisualSVNServer.exe
C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\Java\sqldeveloper\sqldeveloper.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Java\jdevstudio10134\jdev\bin\jdevw.exe
C:\WINDOWS\system32\cmd.exe
C:\Java\jdk1.5.0_15\bin\java.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.6.8.190:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [Software Informer] "C:\Program Files\Free Download Manager\softinfo.exe" -autorun
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-21-1214440339-1220945662-725345543-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'openpgsvc')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = sndi-ci.net
O17 - HKLM\System\CS1\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = sndi-ci.net
O17 - HKLM\System\CS2\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = sndi-ci.net
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: OpenERP Server (openerp-service) - Unknown owner - C:\Program Files\OpenERP Server\service\OpenERPServerService.exe
O23 - Service: OracleDBConsoleorcl - Unknown owner - C:\Java\oracle\bin\nmesrvc.exe (file missing)
O23 - Service: OracleJobSchedulerORCL - Unknown owner - c:\oracle\product\10.2.0\db_1\Bin\extjob.exe
O23 - Service: OracleOraDb10g_home1iSQL*Plus - Oracle - C:\oracle\product\10.2.0\db_1\bin\isqlplussvc.exe
O23 - Service: OracleOraDb10g_home1TNSListener - Unknown owner - C:\oracle\product\10.2.0\db_1\BIN\TNSLSNR.exe
O23 - Service: OracleServiceORCL - Oracle Corporation - c:\oracle\product\10.2.0\db_1\bin\ORACLE.EXE
O23 - Service: PostgreSQL4OpenERP (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL4OpenERP\bin\pg_ctl.exe
O23 - Service: VisualSVN Server (VisualSVNServer) - Unknown owner - C:\Program.exe (file missing)
O23 - Service: VNC Server (winvnc) - TightVNC Group - C:\Program Files\TightVNC\WinVNC.exe
0
Réponse 10 / 18
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

télécharge Zeb Restore
http://telechargement.zebulon.fr/zeb-restore.html
Zeb-Restore est un petit utilitaire de restauration de clés de la base de registre. Le but du programme n'est pas de restaurer l'ensemble du système mais uniquement les points les plus souvent touchés afin de solutionner différents problèmes qui peuvent revenir de façon récurrente.

Voici les éléments qui peuvent être restaurés : coche les lignes engras
- RegEdit : réactive l'accès à RegEdit
- Clés RUN : réactive le lancement de programmes par clés RunXXX
- Bouton Arrêter : rétablit le bouton Arrêter
- Windows Update : rétablit la fonction Windows Update
- Gestionnaire des tâches : réactive le gestionnaire des tâches
- Panneau de configuration : réactive le Panneau de configuration
- Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes
- Policies : remet en place des éléments désactivés par "Policies"
- Bureau : réactive le Bureau
- Réparation IE : répare Internet Exploreur (pages de recherche)
- Extension des fichiers : répare les extensions des fichiers .exe .bat .reg. Pif.cmd.scr .com
- Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
- Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
- Réinitialiser Fichier Hosts : réinitialise le fichier Hosts

=======================
déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
0
Loading Messages postés 61 Statut Membre 4
 
L'opération à retourné ce message: "la modification du registre à été désactivé par votre administrateur". Je n'ai pas eu ce c:\combofix.txt mais jai remarqué qu'il y avait c:\combofix\combofix.txt dont voici le contenu

ComboFix 09-01-11.04 - Administrateur 2009-01-13 8:54:50.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2039.1391 [GMT 0:00]
Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1229 [VPS 080723-1] *On-access scanning disabled* (Outdated)
* Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\com.run
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\dp1.fne
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\eAPI.fne
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\internet.fne
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\krnln.fnr
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\RegEx.fnr
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\shell.fne
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\spec.fne
C:\WINDOWS\system32\com.run
C:\WINDOWS\system32\dp1.fne
C:\WINDOWS\system32\eAPI.fne
C:\WINDOWS\system32\internet.fne
C:\WINDOWS\system32\krnln.fnr
C:\WINDOWS\system32\og.dll
C:\WINDOWS\system32\og.edt
C:\WINDOWS\system32\RegEx.fnr
C:\WINDOWS\system32\shell.fne
C:\WINDOWS\system32\spec.fne
C:\WINDOWS\system32\ul.dll
F:\crjrv.pif
G:\ajseo.pif
G:\jwbaxg.pif

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ASC3360PR
-------\Service_asc3360pr


((((((((((((((((((((((((((((( Fichiers créés du 2008-12-13 au 2009-01-13 ))))))))))))))))))))))))))))))))))))
.

2009-01-13 08:24 . 2009-01-13 08:29 <REP> d-------- C:\Program Files\UsbFix
2009-01-13 07:48 . 2009-01-13 07:49 <REP> d-------- C:\WinDev 12 - Installation
2009-01-12 14:24 . 2009-01-12 14:24 <REP> d-------- C:\rsit
2009-01-12 10:06 . 2009-01-12 10:06 <REP> d-------- C:\Program Files\Trend Micro
2009-01-09 11:55 . 2009-01-09 11:56 <REP> d-------- C:\Program Files\IZArc
2009-01-07 07:59 . 2009-01-07 07:59 1,571,488 -r-hs---- C:\WINDOWS\system32\XP-D4B4D314.EXE
2009-01-06 15:33 . 1998-09-24 13:03 171,967 --a------ C:\WINDOWS\system32\Odbcjet.hlp
2009-01-06 15:33 . 1998-09-24 13:03 7,348 --a------ C:\WINDOWS\system32\Odbcjet.cnt
2009-01-06 15:32 . 1998-06-18 00:00 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2009-01-06 15:31 . 2009-01-06 16:09 <REP> d-------- C:\Program Files\Micro Application
2009-01-06 15:31 . 2009-01-06 15:39 224 --a------ C:\WINDOWS\NAVIGMA.INI
2009-01-06 09:57 . 2009-01-06 09:57 <REP> d-------- C:\Program Files\Foxit Software
2009-01-06 09:57 . 2009-01-06 09:57 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Foxit
2009-01-05 08:05 . 2009-01-05 08:05 <REP> d-------- C:\Program Files\LizardTech
2009-01-05 08:05 . 1998-10-29 15:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-12-31 11:37 . 2008-12-31 11:37 <REP> d-------- C:\Documents and Settings\Administrateur\.netbeans-derby
2008-12-31 10:41 . 2008-12-31 10:41 <REP> d-------- C:\Documents and Settings\Administrateur\.netbeans-registration
2008-12-31 10:41 . 2008-12-31 11:09 <REP> d-------- C:\Documents and Settings\Administrateur\.netbeans
2008-12-31 10:26 . 2008-12-31 10:46 <REP> d-------- C:\Documents and Settings\Administrateur\.nbi
2008-12-30 11:44 . 2008-12-30 11:45 <REP> d-------- C:\Documents and Settings\Administrateur\petstoreDB
2008-12-29 12:28 . 2008-12-29 12:28 <REP> d-------- C:\Documents and Settings\Administrateur\.argouml
2008-12-29 11:56 . 2009-01-06 15:27 <REP> d-------- C:\TP Java EE 5
2008-12-22 15:55 . 2008-12-30 10:58 <REP> d-------- C:\Program Files\VP Suite 3.4
2008-12-22 14:54 . 2008-12-23 17:46 <REP> d-------- C:\Documents and Settings\Administrateur\vpworkspace
2008-12-22 14:38 . 2008-12-22 14:49 <REP> d-------- C:\Documents and Settings\Administrateur\.vplls
2008-12-17 08:22 . 2008-12-17 08:22 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Apple Computer
2008-12-17 08:21 . 2008-04-17 13:12 107,368 --a------ C:\WINDOWS\system32\GEARAspi.dll
2008-12-17 08:21 . 2008-04-17 13:12 15,464 --a------ C:\WINDOWS\system32\drivers\GEARAspiWDM.sys
2008-12-17 08:20 . 2008-12-17 08:21 <REP> d-------- C:\Program Files\iTunes
2008-12-17 08:20 . 2008-12-17 08:20 <REP> d-------- C:\Program Files\iPod
2008-12-17 08:20 . 2008-12-17 08:20 <REP> d-------- C:\Program Files\Bonjour
2008-12-17 08:20 . 2008-12-17 08:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-17 08:18 . 2008-12-17 08:19 <REP> d-------- C:\Program Files\QuickTime
2008-12-17 08:18 . 2008-12-17 08:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-12-17 08:17 . 2008-12-17 08:18 <REP> d-------- C:\Program Files\Apple Software Update
2008-12-17 08:17 . 2008-10-01 13:01 32,000 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys
2008-12-17 08:16 . 2008-12-17 08:18 <REP> d-------- C:\Program Files\Fichiers communs\Apple
2008-12-17 08:16 . 2008-12-17 08:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-12-16 15:02 . 2008-12-16 15:02 <REP> d-------- C:\Program Files\Download Express
2008-12-16 15:02 . 2008-12-16 15:02 <REP> d-------- C:\Documents and Settings\SNDI\Application Data\MetaProducts
2008-12-16 15:02 . 2008-12-16 15:02 <REP> d-------- C:\Documents and Settings\openpgsvc\Application Data\MetaProducts
2008-12-16 15:02 . 2008-12-16 15:02 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\MetaProducts

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-13 08:52 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Free Download Manager
2009-01-07 12:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip
2009-01-06 16:09 --------- d--h--w C:\Program Files\InstallShield Installation Information
2009-01-06 16:09 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-12-26 07:47 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\U3
2008-12-17 13:28 3,532 ----a-w C:\drmHeader.bin
2008-12-05 09:09 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Skype
2008-12-05 08:55 410,984 ----a-w C:\WINDOWS\system32\deploytk.dll
2008-12-05 08:55 --------- d-----w C:\Program Files\Java
2008-12-04 07:55 --------- d-----w C:\Program Files\Fichiers communs\Vbox
2008-12-04 07:55 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-11-28 08:55 --------- d-----w C:\Program Files\Bandoo
2008-11-24 13:04 --------- d-----w C:\Program Files\MSN Messenger
2008-11-21 10:10 --------- d-----w C:\Program Files\IBM
2008-11-20 16:56 --------- d-----w C:\Program Files\OpenERP Client
2008-11-20 16:55 --------- d-----w C:\Program Files\PostgreSQL4OpenERP
2008-11-20 16:55 --------- d-----w C:\Program Files\OpenERP AllInOne
2008-11-20 16:53 --------- d-----w C:\Program Files\OpenERP Server
.
0
Réponse 11 / 18
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

tu es sur d'avoir copié la totalité de C:\Combofix\combofix.txt ?.

Tu as normalement des droits d'administrateur sur l'ordi ?

Tu n'as pas dit si tu connaissais NAVIGMA.INI

J'avance une manip pour continuer (tu es là jusqu'à quelle heure ?)
0
Loading Messages postés 61 Statut Membre 4
 
Oui j'ai bien copié la totalité de C:\Combofix\combofix.txt, et c'est en tant que administrateur que je me connecte au pc. Je ne connais pas NAVIGMA.INI
J'en ai encore pour une heure.
0
Réponse 12 / 18
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 

driver::
oreans32
asc3360pr
mchInjDrv

file::
c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isew32.exe
C:\WINDOWS\system32\XP-D4B4D314.EXE
C:\WINDOWS\NAVIGMA.INI
C:\WINDOWS\system32\drivers\ekjmll.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mc21.tmp


folder::
c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013

registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"fsm"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
"DisableRegistryTools"=dword:00000000
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"F:\gomrxs.exe"=-
"C:\WINDOWS\system32\XP-D4B4D314.EXE"=-


Enregistre ce fichier sous le nom CFscript

Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
0
Loading Messages postés 61 Statut Membre 4
 
Bonjour,
J'ai effectué les opération demandé. Mais j'ai maintenant un message dans une fenetre windows me disant qu'une sérieuse erreur à été détecte. Et lorsque je clic sur ne pa envoyer, le pc redémarre tout seul dans les minutes qui suivent

Voici le rapport ComboFix et HijackThis

Rapport ComboFix

ComboFix 09-01-11.04 - Administrateur 2009-01-14 8:05:11.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2039.1024 [GMT 0:00]
Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\Administrateur\Bureau\CFscript.txt
AV: avast! antivirus 4.8.1229 [VPS 080723-1] *On-access scanning disabled* (Outdated)
* Un nouveau point de restauration a été créé
[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
FILE ::
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mc21.tmp
c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isew32.exe
C:\WINDOWS\NAVIGMA.INI
C:\WINDOWS\system32\drivers\ekjmll.sys
C:\WINDOWS\system32\XP-D4B4D314.EXE
.
[color=purple]Les fichiers ci-dessous ont été désactivés pendant l'exécution:[/color]
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ToroHaspHooker.dll

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\NAVIGMA.INI
C:\WINDOWS\system32\XP-D4B4D314.EXE
.
---- Previous Run -------
.
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\com.run
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\dp1.fne
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\eAPI.fne
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\internet.fne
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\krnln.fnr
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\RegEx.fnr
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\shell.fne
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\spec.fne
C:\WINDOWS\system32\com.run
C:\WINDOWS\system32\dp1.fne
C:\WINDOWS\system32\eAPI.fne
C:\WINDOWS\system32\internet.fne
C:\WINDOWS\system32\krnln.fnr
C:\WINDOWS\system32\og.dll
C:\WINDOWS\system32\og.edt
C:\WINDOWS\system32\RegEx.fnr
C:\WINDOWS\system32\shell.fne
C:\WINDOWS\system32\spec.fne
C:\WINDOWS\system32\ul.dll
F:\crjrv.pif
G:\ajseo.pif
G:\jwbaxg.pif
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ASC3360PR
-------\Service_asc3360pr
-------\Legacy_ASC3360PR
-------\Legacy_MCHINJDRV
-------\Legacy_OREANS32
-------\Service_asc3360pr
-------\Service_mchInjDrv
-------\Service_oreans32

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-14 au 2009-01-14 ))))))))))))))))))))))))))))))))))))
.
2009-01-13 13:01 . 2009-01-13 13:01 33,824 --a------ C:\WINDOWS\system32\drivers\oreans32.sys
2009-01-13 12:56 . 2005-07-28 08:18 685,056 --a------ C:\WINDOWS\system32\drivers\hardlock.sys
2009-01-13 12:56 . 2009-01-14 08:09 0 --a------ C:\WINDOWS\TempFile
2009-01-13 12:55 . 2009-01-13 12:55 47,616 --a------ C:\WINDOWS\system32\drivers\Haspnt.sys
2009-01-13 12:55 . 2009-01-13 12:55 6,656 --a------ C:\WINDOWS\system32\haspvdd.dll
2009-01-13 12:55 . 2009-01-13 12:55 383 --a------ C:\WINDOWS\system32\haspdos.sys
2009-01-13 12:51 . 2009-01-13 12:51 <REP> d-------- C:\Program Files\Fichiers communs\PC SOFT
2009-01-13 12:50 . 2009-01-13 13:04 <REP> d---s---- C:\Mes projets
2009-01-13 12:19 . 2007-12-06 15:24 2,309,632 --a------ C:\WINDOWS\system32\WD120ODH.DLL
2009-01-13 12:19 . 2007-12-04 14:42 577,536 --a------ C:\WINDOWS\system32\WD120ODS.DLL
2009-01-13 12:19 . 2007-11-30 16:50 187,392 --a------ C:\WINDOWS\system32\WDShell.dll
2009-01-13 12:19 . 2007-10-30 15:05 135,168 --a------ C:\WINDOWS\system32\WD120HFO.DLL
2009-01-13 12:18 . <REP> C:\WINDOWS\LastGood.Tmp
2009-01-13 12:18 . 2009-01-13 12:55 3,168 --a------ C:\WINDOWS\system32\config.hsp
2009-01-13 12:10 . 2009-01-13 16:07 <REP> d-------- C:\WinDev 12
2009-01-13 10:11 . 2009-01-13 10:11 223,232 --a------ C:\sauvegarde_sigafdb.dmp
2009-01-13 10:07 . 2009-01-13 10:07 <REP> d-------- C:\db_export
2009-01-13 09:16 . 2009-01-13 09:16 <REP> d-------- C:\Program Files\EMS
2009-01-13 08:24 . 2009-01-13 08:29 <REP> d-------- C:\Program Files\UsbFix
2009-01-13 07:48 . 2009-01-13 12:09 <REP> d-------- C:\WinDev 12 - Installation
2009-01-12 14:24 . 2009-01-12 14:24 <REP> d-------- C:\rsit
2009-01-12 10:06 . 2009-01-12 10:06 <REP> d-------- C:\Program Files\Trend Micro
2009-01-09 11:55 . 2009-01-09 11:56 <REP> d-------- C:\Program Files\IZArc
2009-01-06 15:33 . 1998-09-24 13:03 171,967 --a------ C:\WINDOWS\system32\Odbcjet.hlp
2009-01-06 15:33 . 1998-09-24 13:03 7,348 --a------ C:\WINDOWS\system32\Odbcjet.cnt
2009-01-06 15:32 . 1998-06-18 00:00 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2009-01-06 15:31 . 2009-01-06 16:09 <REP> d-------- C:\Program Files\Micro Application
2009-01-06 09:57 . 2009-01-06 09:57 <REP> d-------- C:\Program Files\Foxit Software
2009-01-06 09:57 . 2009-01-06 09:57 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Foxit
2009-01-05 08:05 . 2009-01-05 08:05 <REP> d-------- C:\Program Files\LizardTech
2009-01-05 08:05 . 1998-10-29 15:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-12-31 11:37 . 2008-12-31 11:37 <REP> d-------- C:\Documents and Settings\Administrateur\.netbeans-derby
2008-12-31 10:41 . 2008-12-31 10:41 <REP> d-------- C:\Documents and Settings\Administrateur\.netbeans-registration
2008-12-31 10:41 . 2008-12-31 11:09 <REP> d-------- C:\Documents and Settings\Administrateur\.netbeans
2008-12-31 10:26 . 2008-12-31 10:46 <REP> d-------- C:\Documents and Settings\Administrateur\.nbi
2008-12-30 11:44 . 2008-12-30 11:45 <REP> d-------- C:\Documents and Settings\Administrateur\petstoreDB
2008-12-29 12:28 . 2008-12-29 12:28 <REP> d-------- C:\Documents and Settings\Administrateur\.argouml
2008-12-29 11:56 . 2009-01-06 15:27 <REP> d-------- C:\TP Java EE 5
2008-12-22 15:55 . 2008-12-30 10:58 <REP> d-------- C:\Program Files\VP Suite 3.4
2008-12-22 14:54 . 2008-12-23 17:46 <REP> d-------- C:\Documents and Settings\Administrateur\vpworkspace
2008-12-22 14:38 . 2008-12-22 14:49 <REP> d-------- C:\Documents and Settings\Administrateur\.vplls
2008-12-17 08:22 . 2008-12-17 08:22 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Apple Computer
2008-12-17 08:21 . 2008-04-17 13:12 107,368 --a------ C:\WINDOWS\system32\GEARAspi.dll
2008-12-17 08:21 . 2008-04-17 13:12 15,464 --a------ C:\WINDOWS\system32\drivers\GEARAspiWDM.sys
2008-12-17 08:20 . 2008-12-17 08:21 <REP> d-------- C:\Program Files\iTunes
2008-12-17 08:20 . 2008-12-17 08:20 <REP> d-------- C:\Program Files\iPod
2008-12-17 08:20 . 2008-12-17 08:20 <REP> d-------- C:\Program Files\Bonjour
2008-12-17 08:20 . 2008-12-17 08:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-17 08:18 . 2008-12-17 08:19 <REP> d-------- C:\Program Files\QuickTime
2008-12-17 08:18 . 2008-12-17 08:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-12-17 08:17 . 2008-12-17 08:18 <REP> d-------- C:\Program Files\Apple Software Update
2008-12-17 08:17 . 2008-10-01 13:01 32,000 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys
2008-12-17 08:16 . 2008-12-17 08:18 <REP> d-------- C:\Program Files\Fichiers communs\Apple
2008-12-17 08:16 . 2008-12-17 08:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-12-16 15:02 . 2008-12-16 15:02 <REP> d-------- C:\Program Files\Download Express
2008-12-16 15:02 . 2008-12-16 15:02 <REP> d-------- C:\Documents and Settings\SNDI\Application Data\MetaProducts
2008-12-16 15:02 . 2008-12-16 15:02 <REP> d-------- C:\Documents and Settings\openpgsvc\Application Data\MetaProducts
2008-12-16 15:02 . 2008-12-16 15:02 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\MetaProducts
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-14 07:57 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Free Download Manager
2009-01-13 11:47 --------- d-----w C:\Program Files\IBM
2009-01-07 12:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip
2009-01-06 16:09 --------- d--h--w C:\Program Files\InstallShield Installation Information
2009-01-06 16:09 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-12-26 07:47 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\U3
2008-12-17 13:28 3,532 ----a-w C:\drmHeader.bin
2008-12-05 09:09 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Skype
2008-12-05 08:55 410,984 ----a-w C:\WINDOWS\system32\deploytk.dll
2008-12-05 08:55 --------- d-----w C:\Program Files\Java
2008-12-04 07:55 --------- d-----w C:\Program Files\Fichiers communs\Vbox
2008-12-04 07:55 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-11-28 08:55 --------- d-----w C:\Program Files\Bandoo
2008-11-24 13:04 --------- d-----w C:\Program Files\MSN Messenger
2008-11-20 16:56 --------- d-----w C:\Program Files\OpenERP Client
2008-11-20 16:55 --------- d-----w C:\Program Files\PostgreSQL4OpenERP
2008-11-20 16:55 --------- d-----w C:\Program Files\OpenERP AllInOne
2008-11-20 16:53 --------- d-----w C:\Program Files\OpenERP Server
.
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Rapport hijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:43, on 2009-01-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\OpenERP Server\service\OpenERPServerService.exe
C:\Program Files\OpenERP Server\openerp-server.exe
C:\oracle\product\10.2.0\db_1\bin\isqlplussvc.exe
C:\oracle\product\10.2.0\db_1\BIN\TNSLSNR.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
c:\oracle\product\10.2.0\db_1\bin\ORACLE.EXE
C:\Java\jdk1.5.0_15\bin\java.exe
C:\Program Files\CloneCD\CloneCDTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\PostgreSQL4OpenERP\bin\pg_ctl.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\VisualSVN Server\bin\VisualSVNServer.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Program Files\TightVNC\WinVNC.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\VisualSVN Server\bin\VisualSVNServer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\WINDOWS\system32\dwwin.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.6.8.190:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [Software Informer] "C:\Program Files\Free Download Manager\softinfo.exe" -autorun
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-21-1214440339-1220945662-725345543-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'openpgsvc')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = sndi-ci.net
O17 - HKLM\System\CS1\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = sndi-ci.net
O17 - HKLM\System\CS2\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = sndi-ci.net
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: OpenERP Server (openerp-service) - Unknown owner - C:\Program Files\OpenERP Server\service\OpenERPServerService.exe
O23 - Service: OracleDBConsoleorcl - Unknown owner - C:\Java\oracle\bin\nmesrvc.exe (file missing)
O23 - Service: OracleJobSchedulerORCL - Unknown owner - c:\oracle\product\10.2.0\db_1\Bin\extjob.exe
O23 - Service: OracleOraDb10g_home1iSQL*Plus - Oracle - C:\oracle\product\10.2.0\db_1\bin\isqlplussvc.exe
O23 - Service: OracleOraDb10g_home1TNSListener - Unknown owner - C:\oracle\product\10.2.0\db_1\BIN\TNSLSNR.exe
O23 - Service: OracleServiceORCL - Oracle Corporation - c:\oracle\product\10.2.0\db_1\bin\ORACLE.EXE
O23 - Service: PostgreSQL4OpenERP (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL4OpenERP\bin\pg_ctl.exe
O23 - Service: VisualSVN Server (VisualSVNServer) - Unknown owner - C:\Program.exe (file missing)
O23 - Service: VNC Server (winvnc) - TightVNC Group - C:\Program Files\TightVNC\WinVNC.exe
0
Réponse 13 / 18
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

as tu le temps de faire ceci :

(sinon, peux tu faire toute la manip en mode sans échec avec prise en charge réseau ?)

Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
mets les à jour, comme indiqué dans les démos ou tutos.

Ne les utilise pas tout de suite.

Antispywares et autres :

Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.

Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
.

=======================================

->Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
puis tape « entrée ».
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

========================================
->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]

========================================
Lance Malwarebytes AntiMalware

Dans l'onglet analyse, vérifie que "Exécuter un scan rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter.

Poste le rapport dans ta réponse.
========================================

->Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Registre] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================
->Redémarre en mode normal,

- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

http://www.bitdefender.fr/scan_fr/scan8/ie.html

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier sur le forum.

Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »
0
Loading Messages postés 61 Statut Membre 4
 
Je crois que j'ai de sérieux problèmes. Le PC refuse de démarrer en mode sans échec. J'ai quand même essayé de lancé ccleaner, mais au bout de quel minutes sa fenêtre à disparu et quand je lance à nouveau, il ne s'exécute plus.
0
Réponse 14 / 18
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

essaye MBAM.

Sinon, il va falloir réparer Windows (pas de formatage, réparation).

Tu as le CD et la clé ?
0
Loading Messages postés 61 Statut Membre 4
 
Je n'ai pas le cd qui a servi à installation sur ce pc, mais je peux trouver un autre. Voici le rapport MBAM


Malwarebytes' Anti-Malware 1.32
Version de la base de données: 1616
Windows 5.1.2600 Service Pack 2

2009-01-14 10:50:27
mbam-log-2009-01-14 (10-50-21).txt

Type de recherche: Examen rapide
Eléments examinés: 56474
Temps écoulé: 6 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 15 / 18
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

relance zebrestore avec toutes les options sauf :

- Réparation IE : répare Internet Exploreur (pages de recherche)
- Extension des fichiers : répare les extensions des fichiers .exe .bat .reg. Pif.cmd.scr .com
- Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
- Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)

Réessaye CCleaner.

Tu as toujours le message avec le reboot ?
0
Réponse 16 / 18
Loading Messages postés 61 Statut Membre 4
 
J'ai effectué les opérations, mais j'ai reçu plusieurs fois ce message "Le registre à été désactivé par votre administrateur", puis le pc a redémarré tout seul. C'est toujours pareil avec CCleaner. Je n'ai plus de message au redemarrage
0
Réponse 17 / 18
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
re,

Fais un scan en ligne Kaspersky avec Internet Explorer :
- Clique sur Démarrer Online-Scanner

- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail.
- Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Le tutoriel de PCA :
https://forum.pcastuces.com/default.asp
0
Loading Messages postés 61 Statut Membre 4
 
Je n'arrive pas à ouvrir http://www.webscanner.kaspersky.fr/ aussi. Dit est ce que je peux mettre mon disque dur dans un boitier pour le faire analyser sur un autre pc, puisque mon antivirus est bloqué. Puis ensuite faire une réparation. Merci et bonne soirée
0
Réponse 18 / 18
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

oui, si tu as cette possibilité, tu peux faire ça.

Si tu scannes, ne fait pas "supprimer" mais, au plus, "mettre en quarantaine" de manière à laisser le système capable de démarrer.

Si des fichiers système sont infectés, l'ordi peut ne plus démarrer après suppression.
0

Discussions similaires

Mettre des barrettes PC3 sur ordinateur PC2 ?
Leoooo -
marcmarais -

2 réponses
compatibilité de deux ram ddr2 6400/5300
camarchemieux -
Docteur Gonzo -

4 réponses
pc2 xxxxx
lano -
TuTuDelPasso -

4 réponses
[RAM] Différence RAM PC et RAM PC2
kodada -
Claude Lachance -

8 réponses
barrette de ram: DDR2 533 pc2-4300 et 4200
Houip -
marcmarais -

1 réponse