Pour Lyonnais92 PC2

Loading Messages postés 61 Statut Membre -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
Voici le log de hijackthis relatif au PC2

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:06:51, on 12/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\OpenERP Server\service\OpenERPServerService.exe
C:\Program Files\OpenERP Server\openerp-server.exe
C:\oracle\product\10.2.0\db_1\bin\isqlplussvc.exe
C:\oracle\product\10.2.0\db_1\BIN\TNSLSNR.exe
c:\oracle\product\10.2.0\db_1\bin\ORACLE.EXE
C:\Java\jdk1.5.0_15\bin\java.exe
C:\Program Files\PostgreSQL4OpenERP\bin\pg_ctl.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\VisualSVN Server\bin\VisualSVNServer.exe
C:\Program Files\TightVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\VisualSVN Server\bin\VisualSVNServer.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\CloneCD\CloneCDTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Java\jdevstudio10134\jdev\bin\jdevw.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Java\Topcased-2.2.0\topcased.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.6.8.190:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [Software Informer] "C:\Program Files\Free Download Manager\softinfo.exe" -autorun
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1214440339-1220945662-725345543-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'openpgsvc')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
O4 - Startup: ¡¡¡¡¡¡.lnk = C:\WINDOWS\system32\XP-D4B4D314.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = sndi-ci.net
O17 - HKLM\System\CS1\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = sndi-ci.net
O17 - HKLM\System\CS2\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = sndi-ci.net
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: OpenERP Server (openerp-service) - Unknown owner - C:\Program Files\OpenERP Server\service\OpenERPServerService.exe
O23 - Service: OracleDBConsoleorcl - Unknown owner - C:\Java\oracle\bin\nmesrvc.exe (file missing)
O23 - Service: OracleJobSchedulerORCL - Unknown owner - c:\oracle\product\10.2.0\db_1\Bin\extjob.exe
O23 - Service: OracleOraDb10g_home1iSQL*Plus - Oracle - C:\oracle\product\10.2.0\db_1\bin\isqlplussvc.exe
O23 - Service: OracleOraDb10g_home1TNSListener - Unknown owner - C:\oracle\product\10.2.0\db_1\BIN\TNSLSNR.exe
O23 - Service: OracleServiceORCL - Oracle Corporation - c:\oracle\product\10.2.0\db_1\bin\ORACLE.EXE
O23 - Service: PostgreSQL4OpenERP (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL4OpenERP\bin\pg_ctl.exe
O23 - Service: VisualSVN Server (VisualSVNServer) - Unknown owner - C:\Program.exe (file missing)
O23 - Service: VNC Server (winvnc) - TightVNC Group - C:\Program Files\TightVNC\WinVNC.exe

--
End of file - 11255 bytes
Configuration: Windows XP
Firefox 3.0.5

18 réponses

  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    je regarde et je te dis quoi faire;
    0
    1. Loading Messages postés 61 Statut Membre 4
       
      Ok et merci. Pour le pc1 je suivrais les instructions un peu plutard.
      0
  2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    tu connais sndi-ci.net ?

    Tu sais à quoi correspond : 10.6.8.1
    0
  3. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    un point commun trouvé.

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\XP-D4B4D314.EXE

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

    ================

    Si tu ne trouves pas le fichier :

    ->Affiche tous les fichiers et dossiers :
    clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

    [Coche] « afficher les dossiers et fichiers cachés »

    [Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

    [Décoche] « masquer les extensions dont le type est connu »

    Puis fais [appliquer] pour valider les changements.

    Et [Ok]
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    comme ça non plus ?

    Vas sur le site https://virusscan.jotti.org/
    - Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : xxxxxxxxx
    - Clic sur submit toujours en haut à droite
    - Le scan va se lancer, ça va prendre un petit instant
    - En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici.

    ============

    Si ca ne passe pas non plus,

    Télécharge cet outil de SiRi:

    http://siri.urz.free.fr/RHosts.php

    Double cliquer dessus pour l'exécuter

    et cliquer sur " Restore original Hosts "

    Réessaye avec virusTotal.
    0
    1. Loading Messages postés 61 Statut Membre 4
       
      C'est encore pareil. Je n'arrive toujours pas à ouvrir les adresse que tu m'as transmise
      0
  6. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    pour avancer en attendant le résultat de VT sur l'autre ordi :

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    .

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    0
    1. Loading Messages postés 61 Statut Membre 4
       
      Ok. Je poursuivrai avec l'autre pc quand je l'aurai sous la main; ça sera certainement pour ce soir. Merci
      0
  7. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    avance sur celui-ci avec RSIT.

    Ca peut me fournir de nouvelles infos (à défaut de VT).
    0
    1. Loading Messages postés 61 Statut Membre 4
       
      Voici le contenu de log.txt

      Logfile of random's system information tool 1.05 (written by random/random)
      Run by Administrateur at 2009-01-12 14:24:23
      Microsoft Windows XP Professionnel Service Pack 2
      System drive C: has 785 MB (2%) free of 36 GB
      Total RAM: 2039 MB (34% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 14:24:24, on 12/01/2009
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.5730.0013)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\OpenERP Server\service\OpenERPServerService.exe
      C:\Program Files\OpenERP Server\openerp-server.exe
      C:\oracle\product\10.2.0\db_1\bin\isqlplussvc.exe
      C:\oracle\product\10.2.0\db_1\BIN\TNSLSNR.exe
      c:\oracle\product\10.2.0\db_1\bin\ORACLE.EXE
      C:\Java\jdk1.5.0_15\bin\java.exe
      C:\Program Files\PostgreSQL4OpenERP\bin\pg_ctl.exe
      C:\WINDOWS\system32\cmd.exe
      C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
      C:\Program Files\VisualSVN Server\bin\VisualSVNServer.exe
      C:\Program Files\TightVNC\WinVNC.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
      C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
      C:\Program Files\VisualSVN Server\bin\VisualSVNServer.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\Program Files\CloneCD\CloneCDTray.exe
      C:\Program Files\Java\jre6\bin\jusched.exe
      C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
      C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
      C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
      C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\SuperCopier2\SuperCopier2.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\WINDOWS\system32\wbem\wmiapsrv.exe
      C:\Program Files\MSN Messenger\usnsvc.exe
      C:\Java\jdevstudio10134\jdev\bin\jdevw.exe
      C:\PROGRA~1\FREEDO~1\fdm.exe
      C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
      C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Java\Topcased-2.2.0\topcased.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*https://fr.search.yahoo.com/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.6.8.190:3128
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
      O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
      O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
      O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL
      O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe"
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
      O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\TightVNC\WinVNC.exe" -servicehelper
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
      O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
      O4 - HKCU\..\Run: [Software Informer] "C:\Program Files\Free Download Manager\softinfo.exe" -autorun
      O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
      O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-21-1214440339-1220945662-725345543-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'openpgsvc')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
      O4 - Startup: ¡¡¡¡¡¡.lnk = C:\WINDOWS\system32\XP-D4B4D314.EXE
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
      O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
      O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
      O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
      O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
      O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
      O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
      O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O17 - HKLM\System\CCS\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
      O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = sndi-ci.net
      O17 - HKLM\System\CS1\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
      O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = sndi-ci.net
      O17 - HKLM\System\CS2\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = sndi-ci.net
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
      O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: OpenERP Server (openerp-service) - Unknown owner - C:\Program Files\OpenERP Server\service\OpenERPServerService.exe
      O23 - Service: OracleDBConsoleorcl - Unknown owner - C:\Java\oracle\bin\nmesrvc.exe (file missing)
      O23 - Service: OracleJobSchedulerORCL - Unknown owner - c:\oracle\product\10.2.0\db_1\Bin\extjob.exe
      O23 - Service: OracleOraDb10g_home1iSQL*Plus - Oracle - C:\oracle\product\10.2.0\db_1\bin\isqlplussvc.exe
      O23 - Service: OracleOraDb10g_home1TNSListener - Unknown owner - C:\oracle\product\10.2.0\db_1\BIN\TNSLSNR.exe
      O23 - Service: OracleServiceORCL - Oracle Corporation - c:\oracle\product\10.2.0\db_1\bin\ORACLE.EXE
      O23 - Service: PostgreSQL4OpenERP (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL4OpenERP\bin\pg_ctl.exe
      O23 - Service: VisualSVN Server (VisualSVNServer) - Unknown owner - C:\Program.exe (file missing)
      O23 - Service: VNC Server (winvnc) - TightVNC Group - C:\Program Files\TightVNC\WinVNC.exe
      0
  8. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    RSIT a donné des infos.

    Connais tu 2009-01-06 15:31:34 ----A---- C:\WINDOWS\NAVIGMA.INI ?

    L'essentiel de l'infection doit être ici :

    2009-01-07 07:59:10 ----SH---- C:\WINDOWS\system32\ul.dll
    2009-01-07 07:59:10 ----ASH---- C:\WINDOWS\system32\og.dll
    2009-01-07 07:59:09 ----RSH---- C:\WINDOWS\system32\XP-D4B4D314.EXE

    https://www.symantec.com?md5=8c43e5ae9c0baeef1824e1e53bbb57c0

    A quoi correspond F: ?

    ===============
    2 références (isew32.exe)
    https://www.trendmicro.com/vinfo/us/threat-encyclopedia/search/wormautorunbep
    https://www.symantec.com?md5=b7a7b193f4d562b9c02356c20de4198f

    kk3.bat
    http://www.prevx.com/filenames/2471377157619709827-X1/KK32EBAT.html

    jwbaxg.pif inconnu
    jgont.exe inconnu
    vevi.exe inconnu

    ====================
    Je suis obligé de faire spécialement attention. C'est visiblement un odi professionnel qui àpeut avoir des applications propriétaires donc avec des fichiers non référencés sur le Web mais légitimes (ce qui n'est pas le cas d'un ordi perso).

    ===================

    Début de traitement

    Relance HijackThis.

    Choisis Do a scan only

    Coche la case devant les lignes suivantes

    O4 - Startup: ¡¡¡¡¡¡.lnk = C:\WINDOWS\system32\XP-D4B4D314.EXE
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

    Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

    Clique sur fix checked.

    Ferme Hijackthis.

    ================
    --> Télécharge UsbFix (de Chiquitine29) sur ton Bureau :
    http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

    --> Lance l'installation avec les paramètres par défaut.

    --> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

    --> Double-clique sur le raccourci UsbFix sur ton Bureau.

    --> Le PC va redémarrer.

    --> Après redémarrage, poste le rapport UsbFix.txt

    Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

    (Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

    ===================
    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le Bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    en particulier installe la Console de récupération.

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Bon courage.
    0
    1. Loading Messages postés 61 Statut Membre 4
       
      Salut,
      Je suis vraiment coincé. Je lancer combofix, et à la fin je n'ai pas eu de log. Cependant voici le log de usbfix
      Je pense aussi que j'ai été infecté par sality-gen win32. Je l'ai détecté en analysant des repertoire que j'ai mis en partage sur le réseaux, parce que mon avast est désactivé. voici le log de usbfix



      -------------- UsbFix V2.414 ---------------

      * User : Administrateur - SNDI0025
      * Outils mis a jours le 09/01/2009 par Chiquitine29 et Chimay8
      * Recherche effectuée à 8:29:14 le 13/01/2009
      * Windows Xp - Internet Explorer 7.0.5730.13


      --------------- [ Processus actifs ] ----------------


      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\userinit.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\OpenERP Server\service\OpenERPServerService.exe
      C:\Program Files\OpenERP Server\openerp-server.exe
      C:\oracle\product\10.2.0\db_1\bin\isqlplussvc.exe

      --------------- [ Informations lecteurs ] ----------------

      C: - Lecteur fixeF: - Lecteur amovibleG: - Lecteur amovibleH: - Lecteur fixeZ: - Lecteur r‚seau ou … distance
      +- Contenu de l'autorun : F:\autorun.inf

      ;kmpKYoGxR
      [AutoRun]
      ;lxxSUlcPqmLmpYcvV wAtig svowCQeppm SsSP
      ;wsolm
      SHElL\oPeN\comManD= cfbugm.exe

      ;hMGXrnqTNtyd xbdnuopwhMkolK pnhhd
      sHElL\Open\DeFAulT=1
      ;xdletr
      shell\EXpLORe\COMmANd=cfbugm.exe

      ;vvHg
      oPen = cfbugm.exe
      ;pxBgbfmSE VVvfeFwwMq
      shEll\Autoplay\CoMMaND =cfbugm.exe


      +- Contenu de l'autorun : G:\autorun.inf

      [AutoRun]
      ;ylolhWtBcYQg ldvcdokFsNTlsF
      ;
      oPen=ajseo.pif

      ;KOHmcF dhTfx PyAo
      shelL\oPeN\DefAult=1
      ;mXkx
      shell\EXplOre\CoMMAnd= ajseo.pif
      ;
      sHELl\Open\COmmanD= ajseo.pif

      ;kafg eAeHAs
      sHelL\autoPLAy\coMmaNd=ajseo.pif
      ;ygSJN


      --------------- [ Lecteur C ] ----------------

      C: - Lecteur fixe
      +- Listing des fichiers présents :

      [06/08/2008 12:46][--a------] C:\AUTOEXEC.BAT
      [03/08/2004 20:38][-rahs----] C:\NTDETECT.COM
      [06/08/2008 12:38][---hs----] C:\boot.ini
      [13/01/2009 08:29][--a------] C:\UsbFix.txt
      [06/08/2008 12:46][--a------] C:\CONFIG.SYS
      [06/08/2008 12:46][--a------] C:\IO.SYS
      [06/08/2008 12:46][--a------] C:\MSDOS.SYS
      [06/08/2008 12:46][--a------] C:\pagefile.sys

      --------------- [ Lecteur F ] ----------------

      F: - Lecteur amovible
      +- Listing des fichiers présents :

      [31/12/2008 17:25][-r-hs----] F:\crjrv.pif
      [11/01/2009 10:24][--a------] F:\Calendars.exe
      [11/01/2009 10:24][--a------] F:\iPod_Control.exe
      [11/01/2009 10:24][--a------] F:\Contacts.exe
      [11/01/2009 10:24][--a------] F:\Notes.exe
      [11/01/2009 10:24][--a------] F:\Recordings.exe
      [11/01/2009 10:24][--a------] F:\Recycled.exe
      [11/01/2009 10:24][--a------] F:\cfbugm.exe
      [04/08/2004 01:55][-r-hs----] F:\autorun.inf

      --------------- [ Lecteur G ] ----------------

      G: - Lecteur amovible
      +- Listing des fichiers présents :

      [10/01/2009 13:47][-r-hs----] G:\jwbaxg.pif
      [10/01/2009 13:47][-r-hs----] G:\ajseo.pif
      [10/01/2009 13:47][--a------] G:\anglais.exe
      [10/01/2009 13:47][--a------] G:\Photo.exe
      [10/01/2009 13:47][--a------] G:\HI5.exe
      [10/01/2009 13:47][--a------] G:\Logiciel.exe
      [10/01/2009 13:47][--a------] G:\maformation.exe
      [10/01/2009 13:47][--a------] G:\Recycled.exe
      [04/08/2004 01:55][-r-hs----] G:\autorun.inf

      --------------- [ Lecteur H ] ----------------

      H: - Lecteur fixe
      +- Listing des fichiers présents :


      --------------- [ Lecteur Z ] ----------------

      Z: - Lecteur r‚seau ou … distance
      +- Listing des fichiers présents :

      [31/01/2008 09:29][--a------] Z:\prefs.js

      --------------- [ Registre / Startup ] ----------------

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
      "Search Page"="http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*https://fr.search.yahoo.com/"
      "Start Page"="https://fr.yahoo.com/"

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
      CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
      SuperCopier2.exe=C:\Program Files\SuperCopier2\SuperCopier2.exe
      Free Download Manager="C:\Program Files\Free Download Manager\fdm.exe" -autorun
      Software Informer="C:\Program Files\Free Download Manager\softinfo.exe" -autorun
      fsm=
      googletalk="C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
      Messenger (Yahoo!)="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
      MsnMsgr="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
      IgfxTray=C:\WINDOWS\system32\igfxtray.exe
      HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
      Persistence=C:\WINDOWS\system32\igfxpers.exe
      CloneCDElbyCDFL="C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL
      CloneCDTray="C:\Program Files\CloneCD\CloneCDTray.exe"
      SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
      WinVNC="C:\Program Files\TightVNC\WinVNC.exe" -servicehelper
      avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime
      iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"

      --------------- [ Registre / Mountpoint2 ] ----------------

      Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{698c4a5a-72dc-11dd-b43a-000d6065baf5}\Shell\AutoRun\command
      Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{698c4a5a-72dc-11dd-b43a-000d6065baf5}\Shell\open\Command
      Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a7ca5128-cc47-11dd-b463-000d6065baf5}\Shell\AutoRun\command
      Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a7ca5128-cc47-11dd-b463-000d6065baf5}\Shell\explore\Command
      Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a7ca5128-cc47-11dd-b463-000d6065baf5}\Shell\open\Command
      Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd5ed-e3f5-11d4-b461-000d6065baf5}\Shell\AutoRun\command
      Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd5ed-e3f5-11d4-b461-000d6065baf5}\Shell\explore\Command
      Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd5ed-e3f5-11d4-b461-000d6065baf5}\Shell\open\Command
      Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd62b-e3f5-11d4-b461-000d6065baf5}\Shell\AutoRun\command
      Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd62b-e3f5-11d4-b461-000d6065baf5}\Shell\explore\Command
      Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd62b-e3f5-11d4-b461-000d6065baf5}\Shell\open\Command
      Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd6a5-e3f5-11d4-b461-000d6065baf5}\Shell\AutoRun\command
      Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd6a5-e3f5-11d4-b461-000d6065baf5}\Shell\explore\Command
      Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd6a5-e3f5-11d4-b461-000d6065baf5}\Shell\open\Command
      Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd6a6-e3f5-11d4-b461-000d6065baf5}\Shell\AutoRun\command
      Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd6a6-e3f5-11d4-b461-000d6065baf5}\Shell\explore\Command
      Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b9fdd6a6-e3f5-11d4-b461-000d6065baf5}\Shell\open\Command
      Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bccae45e-6539-11dd-b42e-000d6065baf5}\Shell\AutoRun\command
      Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c0e9d3d2-a4e4-11dd-b45e-000d6065baf5}\Shell\AutoRun\command

      --------------- [ Nettoyage des disques ] ----------------

      F:\autorun.inf ~> fichier appelé : "F:\ cfbugm.exe" ( absent ! )
      G:\autorun.inf ~> fichier appelé : "G:\ ajseo.pif" ( absent ! )
      Supprimé ! - [11/01/2009 10:24][-r-hs----] F:\Recycled.exe
      Supprimé ! - [04/08/2004 01:55][-r-hs----] F:\autorun.inf
      Supprimé ! - [10/01/2009 13:47][-r-hs----] G:\Recycled.exe
      Supprimé ! - [04/08/2004 01:55][-r-hs----] G:\autorun.inf

      --------------- [ Resumé ] ----------------

      -> /!\ Le resultat doit etre interprété par un spécialiste /!\

      [06/08/2008 12:46][--a------] C:\AUTOEXEC.BAT
      [03/08/2004 20:38][-rahs----] C:\NTDETECT.COM
      [06/08/2008 12:38][---hs----] C:\boot.ini
      [31/12/2008 17:25][-r-hs----] F:\crjrv.pif
      [11/01/2009 10:24][--a------] F:\Calendars.exe
      [11/01/2009 10:24][--a------] F:\iPod_Control.exe
      [11/01/2009 10:24][--a------] F:\Contacts.exe
      [11/01/2009 10:24][--a------] F:\Notes.exe
      [11/01/2009 10:24][--a------] F:\Recordings.exe
      [11/01/2009 10:24][--a------] F:\cfbugm.exe
      [10/01/2009 13:47][-r-hs----] G:\jwbaxg.pif
      [10/01/2009 13:47][-r-hs----] G:\ajseo.pif
      [10/01/2009 13:47][--a------] G:\anglais.exe
      [10/01/2009 13:47][--a------] G:\Photo.exe
      [10/01/2009 13:47][--a------] G:\HI5.exe
      [10/01/2009 13:47][--a------] G:\Logiciel.exe
      [10/01/2009 13:47][--a------] G:\maformation.exe
      [31/01/2008 09:29][--a------] Z:\prefs.js

      --------------- [ Vaccination ] ----------------

      A:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
      C:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
      F:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
      G:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
      H:\autorun.inf -> Dossier autorun.inf crée par UsbFix !

      --------------- ! Fin du rapport ! ----------------
      0
  9. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    pas de fichier c:\combofix.txt ?

    Remets un rapport RSIT.
    0
    1. Loading Messages postés 61 Statut Membre 4
       
      Je n'ai pas fichier c:\combofix.txt ?

      voici le rapport RSIT.

      Logfile of random's system information tool 1.05 (written by random/random)
      Run by Administrateur at 2009-01-13 14:56:06
      Microsoft Windows XP Professionnel Service Pack 2
      System drive C: has 550 MB (2%) free of 36 GB
      Total RAM: 2039 MB (35% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 14:56, on 2009-01-13
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.5730.0013)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\OpenERP Server\service\OpenERPServerService.exe
      C:\Program Files\OpenERP Server\openerp-server.exe
      C:\oracle\product\10.2.0\db_1\bin\isqlplussvc.exe
      C:\oracle\product\10.2.0\db_1\BIN\TNSLSNR.exe
      C:\Java\jdk1.5.0_15\bin\java.exe
      c:\oracle\product\10.2.0\db_1\bin\ORACLE.EXE
      C:\Program Files\PostgreSQL4OpenERP\bin\pg_ctl.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\WINDOWS\system32\cmd.exe
      C:\Program Files\CloneCD\CloneCDTray.exe
      C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
      C:\Program Files\Java\jre6\bin\jusched.exe
      C:\Program Files\VisualSVN Server\bin\VisualSVNServer.exe
      C:\Program Files\TightVNC\WinVNC.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\SuperCopier2\SuperCopier2.exe
      C:\Program Files\Free Download Manager\fdm.exe
      C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
      C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
      C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
      C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
      C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
      C:\Program Files\VisualSVN Server\bin\VisualSVNServer.exe
      C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
      C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
      C:\Java\sqldeveloper\sqldeveloper.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\WINDOWS\system32\wbem\wmiapsrv.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\Google\Google Talk\googletalk.exe
      C:\Java\jdevstudio10134\jdev\bin\jdevw.exe
      C:\WINDOWS\system32\cmd.exe
      C:\Java\jdk1.5.0_15\bin\java.exe
      C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.6.8.190:3128
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
      O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
      O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
      O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL
      O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe"
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
      O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\TightVNC\WinVNC.exe" -servicehelper
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
      O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
      O4 - HKCU\..\Run: [Software Informer] "C:\Program Files\Free Download Manager\softinfo.exe" -autorun
      O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
      O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - HKUS\S-1-5-21-1214440339-1220945662-725345543-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'openpgsvc')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
      O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
      O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
      O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
      O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
      O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
      O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
      O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O17 - HKLM\System\CCS\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
      O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = sndi-ci.net
      O17 - HKLM\System\CS1\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
      O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = sndi-ci.net
      O17 - HKLM\System\CS2\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = sndi-ci.net
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
      O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: OpenERP Server (openerp-service) - Unknown owner - C:\Program Files\OpenERP Server\service\OpenERPServerService.exe
      O23 - Service: OracleDBConsoleorcl - Unknown owner - C:\Java\oracle\bin\nmesrvc.exe (file missing)
      O23 - Service: OracleJobSchedulerORCL - Unknown owner - c:\oracle\product\10.2.0\db_1\Bin\extjob.exe
      O23 - Service: OracleOraDb10g_home1iSQL*Plus - Oracle - C:\oracle\product\10.2.0\db_1\bin\isqlplussvc.exe
      O23 - Service: OracleOraDb10g_home1TNSListener - Unknown owner - C:\oracle\product\10.2.0\db_1\BIN\TNSLSNR.exe
      O23 - Service: OracleServiceORCL - Oracle Corporation - c:\oracle\product\10.2.0\db_1\bin\ORACLE.EXE
      O23 - Service: PostgreSQL4OpenERP (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL4OpenERP\bin\pg_ctl.exe
      O23 - Service: VisualSVN Server (VisualSVNServer) - Unknown owner - C:\Program.exe (file missing)
      O23 - Service: VNC Server (winvnc) - TightVNC Group - C:\Program Files\TightVNC\WinVNC.exe
      0
  10. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    télécharge Zeb Restore
    http://telechargement.zebulon.fr/zeb-restore.html
    Zeb-Restore est un petit utilitaire de restauration de clés de la base de registre. Le but du programme n'est pas de restaurer l'ensemble du système mais uniquement les points les plus souvent touchés afin de solutionner différents problèmes qui peuvent revenir de façon récurrente.

    Voici les éléments qui peuvent être restaurés : coche les lignes engras
    - RegEdit : réactive l'accès à RegEdit
    - Clés RUN : réactive le lancement de programmes par clés RunXXX
    - Bouton Arrêter : rétablit le bouton Arrêter
    - Windows Update : rétablit la fonction Windows Update
    - Gestionnaire des tâches : réactive le gestionnaire des tâches
    - Panneau de configuration : réactive le Panneau de configuration
    - Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes
    - Policies : remet en place des éléments désactivés par "Policies"
    - Bureau : réactive le Bureau
    - Réparation IE : répare Internet Exploreur (pages de recherche)
    - Extension des fichiers : répare les extensions des fichiers .exe .bat .reg. Pif.cmd.scr .com
    - Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
    - Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
    - Réinitialiser Fichier Hosts : réinitialise le fichier Hosts

    =======================
    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
    0
    1. Loading Messages postés 61 Statut Membre 4
       
      L'opération à retourné ce message: "la modification du registre à été désactivé par votre administrateur". Je n'ai pas eu ce c:\combofix.txt mais jai remarqué qu'il y avait c:\combofix\combofix.txt dont voici le contenu

      ComboFix 09-01-11.04 - Administrateur 2009-01-13 8:54:50.1 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2039.1391 [GMT 0:00]
      Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
      AV: avast! antivirus 4.8.1229 [VPS 080723-1] *On-access scanning disabled* (Outdated)
      * Un nouveau point de restauration a été créé

      [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\com.run
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\dp1.fne
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\eAPI.fne
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\internet.fne
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\krnln.fnr
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\RegEx.fnr
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\shell.fne
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\spec.fne
      C:\WINDOWS\system32\com.run
      C:\WINDOWS\system32\dp1.fne
      C:\WINDOWS\system32\eAPI.fne
      C:\WINDOWS\system32\internet.fne
      C:\WINDOWS\system32\krnln.fnr
      C:\WINDOWS\system32\og.dll
      C:\WINDOWS\system32\og.edt
      C:\WINDOWS\system32\RegEx.fnr
      C:\WINDOWS\system32\shell.fne
      C:\WINDOWS\system32\spec.fne
      C:\WINDOWS\system32\ul.dll
      F:\crjrv.pif
      G:\ajseo.pif
      G:\jwbaxg.pif

      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Legacy_ASC3360PR
      -------\Service_asc3360pr


      ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-13 au 2009-01-13 ))))))))))))))))))))))))))))))))))))
      .

      2009-01-13 08:24 . 2009-01-13 08:29 <REP> d-------- C:\Program Files\UsbFix
      2009-01-13 07:48 . 2009-01-13 07:49 <REP> d-------- C:\WinDev 12 - Installation
      2009-01-12 14:24 . 2009-01-12 14:24 <REP> d-------- C:\rsit
      2009-01-12 10:06 . 2009-01-12 10:06 <REP> d-------- C:\Program Files\Trend Micro
      2009-01-09 11:55 . 2009-01-09 11:56 <REP> d-------- C:\Program Files\IZArc
      2009-01-07 07:59 . 2009-01-07 07:59 1,571,488 -r-hs---- C:\WINDOWS\system32\XP-D4B4D314.EXE
      2009-01-06 15:33 . 1998-09-24 13:03 171,967 --a------ C:\WINDOWS\system32\Odbcjet.hlp
      2009-01-06 15:33 . 1998-09-24 13:03 7,348 --a------ C:\WINDOWS\system32\Odbcjet.cnt
      2009-01-06 15:32 . 1998-06-18 00:00 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
      2009-01-06 15:31 . 2009-01-06 16:09 <REP> d-------- C:\Program Files\Micro Application
      2009-01-06 15:31 . 2009-01-06 15:39 224 --a------ C:\WINDOWS\NAVIGMA.INI
      2009-01-06 09:57 . 2009-01-06 09:57 <REP> d-------- C:\Program Files\Foxit Software
      2009-01-06 09:57 . 2009-01-06 09:57 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Foxit
      2009-01-05 08:05 . 2009-01-05 08:05 <REP> d-------- C:\Program Files\LizardTech
      2009-01-05 08:05 . 1998-10-29 15:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
      2008-12-31 11:37 . 2008-12-31 11:37 <REP> d-------- C:\Documents and Settings\Administrateur\.netbeans-derby
      2008-12-31 10:41 . 2008-12-31 10:41 <REP> d-------- C:\Documents and Settings\Administrateur\.netbeans-registration
      2008-12-31 10:41 . 2008-12-31 11:09 <REP> d-------- C:\Documents and Settings\Administrateur\.netbeans
      2008-12-31 10:26 . 2008-12-31 10:46 <REP> d-------- C:\Documents and Settings\Administrateur\.nbi
      2008-12-30 11:44 . 2008-12-30 11:45 <REP> d-------- C:\Documents and Settings\Administrateur\petstoreDB
      2008-12-29 12:28 . 2008-12-29 12:28 <REP> d-------- C:\Documents and Settings\Administrateur\.argouml
      2008-12-29 11:56 . 2009-01-06 15:27 <REP> d-------- C:\TP Java EE 5
      2008-12-22 15:55 . 2008-12-30 10:58 <REP> d-------- C:\Program Files\VP Suite 3.4
      2008-12-22 14:54 . 2008-12-23 17:46 <REP> d-------- C:\Documents and Settings\Administrateur\vpworkspace
      2008-12-22 14:38 . 2008-12-22 14:49 <REP> d-------- C:\Documents and Settings\Administrateur\.vplls
      2008-12-17 08:22 . 2008-12-17 08:22 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Apple Computer
      2008-12-17 08:21 . 2008-04-17 13:12 107,368 --a------ C:\WINDOWS\system32\GEARAspi.dll
      2008-12-17 08:21 . 2008-04-17 13:12 15,464 --a------ C:\WINDOWS\system32\drivers\GEARAspiWDM.sys
      2008-12-17 08:20 . 2008-12-17 08:21 <REP> d-------- C:\Program Files\iTunes
      2008-12-17 08:20 . 2008-12-17 08:20 <REP> d-------- C:\Program Files\iPod
      2008-12-17 08:20 . 2008-12-17 08:20 <REP> d-------- C:\Program Files\Bonjour
      2008-12-17 08:20 . 2008-12-17 08:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
      2008-12-17 08:18 . 2008-12-17 08:19 <REP> d-------- C:\Program Files\QuickTime
      2008-12-17 08:18 . 2008-12-17 08:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
      2008-12-17 08:17 . 2008-12-17 08:18 <REP> d-------- C:\Program Files\Apple Software Update
      2008-12-17 08:17 . 2008-10-01 13:01 32,000 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys
      2008-12-17 08:16 . 2008-12-17 08:18 <REP> d-------- C:\Program Files\Fichiers communs\Apple
      2008-12-17 08:16 . 2008-12-17 08:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple
      2008-12-16 15:02 . 2008-12-16 15:02 <REP> d-------- C:\Program Files\Download Express
      2008-12-16 15:02 . 2008-12-16 15:02 <REP> d-------- C:\Documents and Settings\SNDI\Application Data\MetaProducts
      2008-12-16 15:02 . 2008-12-16 15:02 <REP> d-------- C:\Documents and Settings\openpgsvc\Application Data\MetaProducts
      2008-12-16 15:02 . 2008-12-16 15:02 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\MetaProducts

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-01-13 08:52 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Free Download Manager
      2009-01-07 12:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip
      2009-01-06 16:09 --------- d--h--w C:\Program Files\InstallShield Installation Information
      2009-01-06 16:09 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
      2008-12-26 07:47 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\U3
      2008-12-17 13:28 3,532 ----a-w C:\drmHeader.bin
      2008-12-05 09:09 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Skype
      2008-12-05 08:55 410,984 ----a-w C:\WINDOWS\system32\deploytk.dll
      2008-12-05 08:55 --------- d-----w C:\Program Files\Java
      2008-12-04 07:55 --------- d-----w C:\Program Files\Fichiers communs\Vbox
      2008-12-04 07:55 --------- d-----w C:\Program Files\Fichiers communs\Adobe
      2008-11-28 08:55 --------- d-----w C:\Program Files\Bandoo
      2008-11-24 13:04 --------- d-----w C:\Program Files\MSN Messenger
      2008-11-21 10:10 --------- d-----w C:\Program Files\IBM
      2008-11-20 16:56 --------- d-----w C:\Program Files\OpenERP Client
      2008-11-20 16:55 --------- d-----w C:\Program Files\PostgreSQL4OpenERP
      2008-11-20 16:55 --------- d-----w C:\Program Files\OpenERP AllInOne
      2008-11-20 16:53 --------- d-----w C:\Program Files\OpenERP Server
      .
      0
  11. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    tu es sur d'avoir copié la totalité de C:\Combofix\combofix.txt ?.

    Tu as normalement des droits d'administrateur sur l'ordi ?

    Tu n'as pas dit si tu connaissais NAVIGMA.INI

    J'avance une manip pour continuer (tu es là jusqu'à quelle heure ?)
    0
    1. Loading Messages postés 61 Statut Membre 4
       
      Oui j'ai bien copié la totalité de C:\Combofix\combofix.txt, et c'est en tant que administrateur que je me connecte au pc. Je ne connais pas NAVIGMA.INI
      J'en ai encore pour une heure.
      0
  12. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    Copie ou imprime les instructions avant

    Déconnecte toi d'internet et ferme toutes tes applications.

    Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    driver::
    oreans32
    asc3360pr
    mchInjDrv
    
    file::
    c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
    c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isew32.exe
    C:\WINDOWS\system32\XP-D4B4D314.EXE
    C:\WINDOWS\NAVIGMA.INI
    C:\WINDOWS\system32\drivers\ekjmll.sys
    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mc21.tmp
    
    
    folder::
    c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013
    
    registry::
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "fsm"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "DisableTaskMgr"=dword:00000000
    "DisableRegistryTools"=dword:00000000
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "F:\gomrxs.exe"=-
    "C:\WINDOWS\system32\XP-D4B4D314.EXE"=-


    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

    Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Réactive ton parefeu, ton antivirus, la garde de ton antispyware

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Remets aussi un rapport Hijackthis

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
    0
    1. Loading Messages postés 61 Statut Membre 4
       
      Bonjour,
      J'ai effectué les opération demandé. Mais j'ai maintenant un message dans une fenetre windows me disant qu'une sérieuse erreur à été détecte. Et lorsque je clic sur ne pa envoyer, le pc redémarre tout seul dans les minutes qui suivent

      Voici le rapport ComboFix et HijackThis

      Rapport ComboFix

      ComboFix 09-01-11.04 - Administrateur 2009-01-14 8:05:11.2 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2039.1024 [GMT 0:00]
      Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
      Commutateurs utilisés :: C:\Documents and Settings\Administrateur\Bureau\CFscript.txt
      AV: avast! antivirus 4.8.1229 [VPS 080723-1] *On-access scanning disabled* (Outdated)
      * Un nouveau point de restauration a été créé
      [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
      FILE ::
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mc21.tmp
      c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
      c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isew32.exe
      C:\WINDOWS\NAVIGMA.INI
      C:\WINDOWS\system32\drivers\ekjmll.sys
      C:\WINDOWS\system32\XP-D4B4D314.EXE
      .
      [color=purple]Les fichiers ci-dessous ont été désactivés pendant l'exécution:[/color]
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ToroHaspHooker.dll

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      C:\WINDOWS\NAVIGMA.INI
      C:\WINDOWS\system32\XP-D4B4D314.EXE
      .
      ---- Previous Run -------
      .
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\com.run
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\dp1.fne
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\eAPI.fne
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\internet.fne
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\krnln.fnr
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\RegEx.fnr
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\shell.fne
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_4\spec.fne
      C:\WINDOWS\system32\com.run
      C:\WINDOWS\system32\dp1.fne
      C:\WINDOWS\system32\eAPI.fne
      C:\WINDOWS\system32\internet.fne
      C:\WINDOWS\system32\krnln.fnr
      C:\WINDOWS\system32\og.dll
      C:\WINDOWS\system32\og.edt
      C:\WINDOWS\system32\RegEx.fnr
      C:\WINDOWS\system32\shell.fne
      C:\WINDOWS\system32\spec.fne
      C:\WINDOWS\system32\ul.dll
      F:\crjrv.pif
      G:\ajseo.pif
      G:\jwbaxg.pif
      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      -------\Legacy_ASC3360PR
      -------\Service_asc3360pr
      -------\Legacy_ASC3360PR
      -------\Legacy_MCHINJDRV
      -------\Legacy_OREANS32
      -------\Service_asc3360pr
      -------\Service_mchInjDrv
      -------\Service_oreans32

      ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-14 au 2009-01-14 ))))))))))))))))))))))))))))))))))))
      .
      2009-01-13 13:01 . 2009-01-13 13:01 33,824 --a------ C:\WINDOWS\system32\drivers\oreans32.sys
      2009-01-13 12:56 . 2005-07-28 08:18 685,056 --a------ C:\WINDOWS\system32\drivers\hardlock.sys
      2009-01-13 12:56 . 2009-01-14 08:09 0 --a------ C:\WINDOWS\TempFile
      2009-01-13 12:55 . 2009-01-13 12:55 47,616 --a------ C:\WINDOWS\system32\drivers\Haspnt.sys
      2009-01-13 12:55 . 2009-01-13 12:55 6,656 --a------ C:\WINDOWS\system32\haspvdd.dll
      2009-01-13 12:55 . 2009-01-13 12:55 383 --a------ C:\WINDOWS\system32\haspdos.sys
      2009-01-13 12:51 . 2009-01-13 12:51 <REP> d-------- C:\Program Files\Fichiers communs\PC SOFT
      2009-01-13 12:50 . 2009-01-13 13:04 <REP> d---s---- C:\Mes projets
      2009-01-13 12:19 . 2007-12-06 15:24 2,309,632 --a------ C:\WINDOWS\system32\WD120ODH.DLL
      2009-01-13 12:19 . 2007-12-04 14:42 577,536 --a------ C:\WINDOWS\system32\WD120ODS.DLL
      2009-01-13 12:19 . 2007-11-30 16:50 187,392 --a------ C:\WINDOWS\system32\WDShell.dll
      2009-01-13 12:19 . 2007-10-30 15:05 135,168 --a------ C:\WINDOWS\system32\WD120HFO.DLL
      2009-01-13 12:18 . <REP> C:\WINDOWS\LastGood.Tmp
      2009-01-13 12:18 . 2009-01-13 12:55 3,168 --a------ C:\WINDOWS\system32\config.hsp
      2009-01-13 12:10 . 2009-01-13 16:07 <REP> d-------- C:\WinDev 12
      2009-01-13 10:11 . 2009-01-13 10:11 223,232 --a------ C:\sauvegarde_sigafdb.dmp
      2009-01-13 10:07 . 2009-01-13 10:07 <REP> d-------- C:\db_export
      2009-01-13 09:16 . 2009-01-13 09:16 <REP> d-------- C:\Program Files\EMS
      2009-01-13 08:24 . 2009-01-13 08:29 <REP> d-------- C:\Program Files\UsbFix
      2009-01-13 07:48 . 2009-01-13 12:09 <REP> d-------- C:\WinDev 12 - Installation
      2009-01-12 14:24 . 2009-01-12 14:24 <REP> d-------- C:\rsit
      2009-01-12 10:06 . 2009-01-12 10:06 <REP> d-------- C:\Program Files\Trend Micro
      2009-01-09 11:55 . 2009-01-09 11:56 <REP> d-------- C:\Program Files\IZArc
      2009-01-06 15:33 . 1998-09-24 13:03 171,967 --a------ C:\WINDOWS\system32\Odbcjet.hlp
      2009-01-06 15:33 . 1998-09-24 13:03 7,348 --a------ C:\WINDOWS\system32\Odbcjet.cnt
      2009-01-06 15:32 . 1998-06-18 00:00 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
      2009-01-06 15:31 . 2009-01-06 16:09 <REP> d-------- C:\Program Files\Micro Application
      2009-01-06 09:57 . 2009-01-06 09:57 <REP> d-------- C:\Program Files\Foxit Software
      2009-01-06 09:57 . 2009-01-06 09:57 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Foxit
      2009-01-05 08:05 . 2009-01-05 08:05 <REP> d-------- C:\Program Files\LizardTech
      2009-01-05 08:05 . 1998-10-29 15:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
      2008-12-31 11:37 . 2008-12-31 11:37 <REP> d-------- C:\Documents and Settings\Administrateur\.netbeans-derby
      2008-12-31 10:41 . 2008-12-31 10:41 <REP> d-------- C:\Documents and Settings\Administrateur\.netbeans-registration
      2008-12-31 10:41 . 2008-12-31 11:09 <REP> d-------- C:\Documents and Settings\Administrateur\.netbeans
      2008-12-31 10:26 . 2008-12-31 10:46 <REP> d-------- C:\Documents and Settings\Administrateur\.nbi
      2008-12-30 11:44 . 2008-12-30 11:45 <REP> d-------- C:\Documents and Settings\Administrateur\petstoreDB
      2008-12-29 12:28 . 2008-12-29 12:28 <REP> d-------- C:\Documents and Settings\Administrateur\.argouml
      2008-12-29 11:56 . 2009-01-06 15:27 <REP> d-------- C:\TP Java EE 5
      2008-12-22 15:55 . 2008-12-30 10:58 <REP> d-------- C:\Program Files\VP Suite 3.4
      2008-12-22 14:54 . 2008-12-23 17:46 <REP> d-------- C:\Documents and Settings\Administrateur\vpworkspace
      2008-12-22 14:38 . 2008-12-22 14:49 <REP> d-------- C:\Documents and Settings\Administrateur\.vplls
      2008-12-17 08:22 . 2008-12-17 08:22 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Apple Computer
      2008-12-17 08:21 . 2008-04-17 13:12 107,368 --a------ C:\WINDOWS\system32\GEARAspi.dll
      2008-12-17 08:21 . 2008-04-17 13:12 15,464 --a------ C:\WINDOWS\system32\drivers\GEARAspiWDM.sys
      2008-12-17 08:20 . 2008-12-17 08:21 <REP> d-------- C:\Program Files\iTunes
      2008-12-17 08:20 . 2008-12-17 08:20 <REP> d-------- C:\Program Files\iPod
      2008-12-17 08:20 . 2008-12-17 08:20 <REP> d-------- C:\Program Files\Bonjour
      2008-12-17 08:20 . 2008-12-17 08:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
      2008-12-17 08:18 . 2008-12-17 08:19 <REP> d-------- C:\Program Files\QuickTime
      2008-12-17 08:18 . 2008-12-17 08:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
      2008-12-17 08:17 . 2008-12-17 08:18 <REP> d-------- C:\Program Files\Apple Software Update
      2008-12-17 08:17 . 2008-10-01 13:01 32,000 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys
      2008-12-17 08:16 . 2008-12-17 08:18 <REP> d-------- C:\Program Files\Fichiers communs\Apple
      2008-12-17 08:16 . 2008-12-17 08:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple
      2008-12-16 15:02 . 2008-12-16 15:02 <REP> d-------- C:\Program Files\Download Express
      2008-12-16 15:02 . 2008-12-16 15:02 <REP> d-------- C:\Documents and Settings\SNDI\Application Data\MetaProducts
      2008-12-16 15:02 . 2008-12-16 15:02 <REP> d-------- C:\Documents and Settings\openpgsvc\Application Data\MetaProducts
      2008-12-16 15:02 . 2008-12-16 15:02 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\MetaProducts
      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-01-14 07:57 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Free Download Manager
      2009-01-13 11:47 --------- d-----w C:\Program Files\IBM
      2009-01-07 12:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip
      2009-01-06 16:09 --------- d--h--w C:\Program Files\InstallShield Installation Information
      2009-01-06 16:09 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
      2008-12-26 07:47 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\U3
      2008-12-17 13:28 3,532 ----a-w C:\drmHeader.bin
      2008-12-05 09:09 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Skype
      2008-12-05 08:55 410,984 ----a-w C:\WINDOWS\system32\deploytk.dll
      2008-12-05 08:55 --------- d-----w C:\Program Files\Java
      2008-12-04 07:55 --------- d-----w C:\Program Files\Fichiers communs\Vbox
      2008-12-04 07:55 --------- d-----w C:\Program Files\Fichiers communs\Adobe
      2008-11-28 08:55 --------- d-----w C:\Program Files\Bandoo
      2008-11-24 13:04 --------- d-----w C:\Program Files\MSN Messenger
      2008-11-20 16:56 --------- d-----w C:\Program Files\OpenERP Client
      2008-11-20 16:55 --------- d-----w C:\Program Files\PostgreSQL4OpenERP
      2008-11-20 16:55 --------- d-----w C:\Program Files\OpenERP AllInOne
      2008-11-20 16:53 --------- d-----w C:\Program Files\OpenERP Server
      .
      ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
      Rapport hijackThis

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 08:43, on 2009-01-14
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.5730.0013)
      Boot mode: Normal
      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
      C:\Program Files\OpenERP Server\service\OpenERPServerService.exe
      C:\Program Files\OpenERP Server\openerp-server.exe
      C:\oracle\product\10.2.0\db_1\bin\isqlplussvc.exe
      C:\oracle\product\10.2.0\db_1\BIN\TNSLSNR.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\WINDOWS\system32\igfxpers.exe
      c:\oracle\product\10.2.0\db_1\bin\ORACLE.EXE
      C:\Java\jdk1.5.0_15\bin\java.exe
      C:\Program Files\CloneCD\CloneCDTray.exe
      C:\Program Files\Java\jre6\bin\jusched.exe
      C:\Program Files\PostgreSQL4OpenERP\bin\pg_ctl.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\WINDOWS\system32\cmd.exe
      C:\Program Files\VisualSVN Server\bin\VisualSVNServer.exe
      C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\SuperCopier2\SuperCopier2.exe
      C:\Program Files\Free Download Manager\fdm.exe
      C:\Program Files\TightVNC\WinVNC.exe
      C:\Program Files\Google\Google Talk\googletalk.exe
      C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
      C:\Program Files\MSN Messenger\MsnMsgr.Exe
      C:\Program Files\VisualSVN Server\bin\VisualSVNServer.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
      C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
      C:\Program Files\PostgreSQL4OpenERP\bin\postgres.exe
      C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
      C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
      C:\WINDOWS\system32\dwwin.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\system32\wbem\wmiapsrv.exe
      C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
      C:\Program Files\internet explorer\iexplore.exe
      C:\WINDOWS\system32\NOTEPAD.EXE
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.6.8.190:3128
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
      O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
      O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
      O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL
      O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe"
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
      O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\TightVNC\WinVNC.exe" -servicehelper
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
      O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
      O4 - HKCU\..\Run: [Software Informer] "C:\Program Files\Free Download Manager\softinfo.exe" -autorun
      O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
      O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - HKUS\S-1-5-21-1214440339-1220945662-725345543-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'openpgsvc')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
      O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
      O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
      O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
      O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
      O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
      O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
      O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O17 - HKLM\System\CCS\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
      O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = sndi-ci.net
      O17 - HKLM\System\CS1\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
      O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = sndi-ci.net
      O17 - HKLM\System\CS2\Services\Tcpip\..\{19B1A381-D4B2-4121-AD46-4211C221CBF6}: NameServer = 10.6.8.1,10.6.10.3
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = sndi-ci.net
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
      O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: OpenERP Server (openerp-service) - Unknown owner - C:\Program Files\OpenERP Server\service\OpenERPServerService.exe
      O23 - Service: OracleDBConsoleorcl - Unknown owner - C:\Java\oracle\bin\nmesrvc.exe (file missing)
      O23 - Service: OracleJobSchedulerORCL - Unknown owner - c:\oracle\product\10.2.0\db_1\Bin\extjob.exe
      O23 - Service: OracleOraDb10g_home1iSQL*Plus - Oracle - C:\oracle\product\10.2.0\db_1\bin\isqlplussvc.exe
      O23 - Service: OracleOraDb10g_home1TNSListener - Unknown owner - C:\oracle\product\10.2.0\db_1\BIN\TNSLSNR.exe
      O23 - Service: OracleServiceORCL - Oracle Corporation - c:\oracle\product\10.2.0\db_1\bin\ORACLE.EXE
      O23 - Service: PostgreSQL4OpenERP (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL4OpenERP\bin\pg_ctl.exe
      O23 - Service: VisualSVN Server (VisualSVNServer) - Unknown owner - C:\Program.exe (file missing)
      O23 - Service: VNC Server (winvnc) - TightVNC Group - C:\Program Files\TightVNC\WinVNC.exe
      0
  13. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    as tu le temps de faire ceci :

    (sinon, peux tu faire toute la manip en mode sans échec avec prise en charge réseau ?)

    Lis bien et exécute cette manip dans l’ordre.

    #Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
    mets les à jour, comme indiqué dans les démos ou tutos.

    Ne les utilise pas tout de suite.

    Antispywares et autres :

    Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

    https://www.malwarebytes.com/

    A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

    Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

    Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

    MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.

    Nettoyeurs (de fichiers inutiles) et autres :

    *Ccleaner (gratuit)
    Téléchargement :
    https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
    Tuto :
    https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

    Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

    ========================================
    ->Affiche tous les fichiers et dossiers :
    clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

    [Coche] « afficher les dossiers et fichiers cachés »

    [Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

    [Décoche] « masquer les extensions dont le type est connu »

    Puis fais [appliquer] pour valider les changements.

    Et [Ok]
    .

    =======================================

    ->Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
    puis tape « entrée ».
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).

    ========================================
    ->Lance CCleaner.

    Suppression des fichiers temporaires

    Va dans la section "Options" situé dans la marge gauche.
    Décoche "Avancé"
    Retourne ensuite dans la section "Nettoyeur"
    Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
    • Clique sur [Analyse]
    • Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
    • Une fois le scan terminé, clique sur [Lancer le Nettoyage]

    ========================================
    Lance Malwarebytes AntiMalware

    Dans l'onglet analyse, vérifie que "Exécuter un scan rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

    MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

    A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

    Si des malwares ont été détectés, leur liste s'affiche.
    En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

    Ferme MBAM en cliquant sur Quitter.

    Poste le rapport dans ta réponse.
    ========================================

    ->Relance CCleaner.
    Suppression des incohérences du registre

    • Clique sur l'icône [Registre] situés dans la marge à gauche
    • Puis clique sur [Analyser les erreurs]
    • Patiente pendant que CCleaner scan ton registre.
    • Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
    • Tu peux cliquer ensuite sur [Corriger les erreurs].

    Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
    ========================================
    ->Vide ta Corbeille.
    ========================================
    ->Redémarre en mode normal,

    - > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    Utilisation :
    Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
    Ensuite, cliquer sur "Cliquez ici pour scanner".
    Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

    Copier/coller le rapport entier sur le forum.

    Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)
    [Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »
    0
    1. Loading Messages postés 61 Statut Membre 4
       
      Je crois que j'ai de sérieux problèmes. Le PC refuse de démarrer en mode sans échec. J'ai quand même essayé de lancé ccleaner, mais au bout de quel minutes sa fenêtre à disparu et quand je lance à nouveau, il ne s'exécute plus.
      0
  14. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    essaye MBAM.

    Sinon, il va falloir réparer Windows (pas de formatage, réparation).

    Tu as le CD et la clé ?
    0
    1. Loading Messages postés 61 Statut Membre 4
       
      Je n'ai pas le cd qui a servi à installation sur ce pc, mais je peux trouver un autre. Voici le rapport MBAM


      Malwarebytes' Anti-Malware 1.32
      Version de la base de données: 1616
      Windows 5.1.2600 Service Pack 2

      2009-01-14 10:50:27
      mbam-log-2009-01-14 (10-50-21).txt

      Type de recherche: Examen rapide
      Eléments examinés: 56474
      Temps écoulé: 6 minute(s), 7 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 2
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
  15. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    relance zebrestore avec toutes les options sauf :

    - Réparation IE : répare Internet Exploreur (pages de recherche)
    - Extension des fichiers : répare les extensions des fichiers .exe .bat .reg. Pif.cmd.scr .com
    - Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
    - Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)

    Réessaye CCleaner.

    Tu as toujours le message avec le reboot ?
    0
  16. Loading Messages postés 61 Statut Membre 4
     
    J'ai effectué les opérations, mais j'ai reçu plusieurs fois ce message "Le registre à été désactivé par votre administrateur", puis le pc a redémarré tout seul. C'est toujours pareil avec CCleaner. Je n'ai plus de message au redemarrage
    0
  17. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    re,

    Fais un scan en ligne Kaspersky avec Internet Explorer :
    - Clique sur Démarrer Online-Scanner

    - Clique maintenant sur J'accepte.
    - Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
    - Patiente pendant l'installation des Mises à jour.
    - Choisis par la suite l'analyse du Poste de travail.
    - Sauvegarde puis colle le rapport généré en fin d'analyse.

    AIDE : Configurer le contrôle des ActiveX

    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

    Le tutoriel de PCA :
    https://forum.pcastuces.com/default.asp
    0
    1. Loading Messages postés 61 Statut Membre 4
       
      Je n'arrive pas à ouvrir http://www.webscanner.kaspersky.fr/ aussi. Dit est ce que je peux mettre mon disque dur dans un boitier pour le faire analyser sur un autre pc, puisque mon antivirus est bloqué. Puis ensuite faire une réparation. Merci et bonne soirée
      0
  18. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    oui, si tu as cette possibilité, tu peux faire ça.

    Si tu scannes, ne fait pas "supprimer" mais, au plus, "mettre en quarantaine" de manière à laisser le système capable de démarrer.

    Si des fichiers système sont infectés, l'ordi peut ne plus démarrer après suppression.
    0