Au secours!!!! Virus trojan Résolu/Fermé

Question

Bonjour,

Je viens d'acheter un pc portable hier et aujourd'hui j'essaie de mettre une chanson, elle ne passe pas et ça me dit qu'il faut des codec, je décide donc de cliquer sur le message afin qu'il télécharge ces fameux codecs!!

Et soudain une alert d'antivir!! Je met supprimer et puis encore une et encore et ça ne s'arréte plus!!!
J'ai donc fait un scan qui m'a trouvé 3virus!! j'ai fait supprimer a chaque fois mais les alerts ne s'arréte pas. J'ai donc refait un scan qui m'a trouver un virus que j'ai supprimé également.

La je suis en train de refaire un scan il m'a déjà trouvé un virus qur j'ai supprimé!

Pendant ce temps les alertes continue... Je ne sais plus quoi faire!
Dans les alertes il y a toujours le chiffre 32 a la fin du nom du fichier..

Si toutefois vous pouviez m'aider... Merci!!!


PS : Je suis sous windows XP pro et internet explorer 7

^^Marie^^ · Accepted Answer

Bonjour

Pour avancer, repartir sur de bonnes bases, alléger ton PC en supprimant tous les Fix, car trop nombreux


•	Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.(sur un des 2 liens)
http://pc-system.fr/
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner 
•	Clique sur Recherche et laisse le scan se terminer.
•	Clique, sur Suppression pour finaliser.
•	Tu peux, si tu le souhaites, te servir des Options facultatives.
•	Clique sur Quitter, pour que le rapport puisse se créer.
•	Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

kduc · Answer

Salut

Télécharge et installe SmitFraudFix
http://siri.urz.free.fr/Fix/SmitfraudFix.php (par S!Ri)

Double-clique sur SmitfraudFix.exe 
Dans le menu, fais le choix 1 et appuie sur "Entrée" pour créer un
rapport que tu trouveras à la racine du disque système C:\rapport.txt

Poste-le.

redfish85 · Answer

Ok merci de ton aide !! Je le fais de suite!!

redfish85 · Answer

Excuse moi, j'ai un soucis... J'ai bien télécharger mais quand je clique pour exécuter il y a une alerte qui s'affiche je met donc supprimer et la une fenêtre s'affiche et me dit d'appuyer sur une touche pour continuer ce que je fais mais après rien ne se passe...

kduc · Answer

...

C' est une alerte de ton antivirus ?

redfish85 · Answer

Oui, excuse moi, une alerte d'antivir!!

kduc · Answer

...

Désactice Antivir le temps du scan SmitFraudFix.

redfish85 · Answer

SmitFraudFix v2.391

Rapport fait à 19:28:16,95, 17/01/2009
Executé à partir de C:\Documents and Settings\user\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Documents and Settings\user\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Documents and Settings\user\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\user\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1	www.legal-at-spybot.info
127.0.0.1	legal-at-spybot.info
127.0.0.1	www.spywareinfo.com
127.0.0.1	spywareinfo.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\autorun.inf PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\user


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\user\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\user\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\user\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\WINDOWS\System32\dxmasf32.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom 570x Gigabit Integrated Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 89.2.0.1
DNS Server Search Order: 89.2.0.2

HKLM\SYSTEM\CCS\Services\Tcpip\..\{716CE161-9974-4658-8CE7-D77B38B8D209}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{716CE161-9974-4658-8CE7-D77B38B8D209}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS2\Services\Tcpip\..\{716CE161-9974-4658-8CE7-D77B38B8D209}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



Je réactive antivir?

kduc · Answer

...

Après ça ...

Redémarre le PC en mode sans échec ...
https://www.pcastuces.com/pratique/windows/mode_sans_echec/page2.htm
(méthode F8 de préférence)

Double-clique sur SmitfraudFix.exe 
Dans le menu, fais le choix 2 et appuie sur "Entrée". 
Puis, aux deux questions qui te seront posées, réponds O (oui) et appuie
sur "Entrée" .... 
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage. 
Le rapport se trouve à la racine du disque système C:\rapport.txt

Poste-le.

redfish85 · Answer

Ok !! Merci encore!

redfish85 · Answer

SmitFraudFix v2.391

Rapport fait à 19:46:47,68, 17/01/2009
Executé à partir de C:\Documents and Settings\user\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
127.0.0.1	www.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	www.008k.com
127.0.0.1	008k.com
127.0.0.1	www.00hq.com
127.0.0.1	00hq.com
127.0.0.1	010402.com
127.0.0.1	www.032439.com
...

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\autorun.inf supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{716CE161-9974-4658-8CE7-D77B38B8D209}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{716CE161-9974-4658-8CE7-D77B38B8D209}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS2\Services\Tcpip\..\{716CE161-9974-4658-8CE7-D77B38B8D209}: DhcpNameServer=89.2.0.1 89.2.0.2


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

redfish85 · Answer

Je sais pas si j'ai mis ce qu'il fallait : 

SmitFraudFix v2.391

Rapport fait à 19:46:47,68, 17/01/2009
Executé à partir de C:\Documents and Settings\user\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
127.0.0.1	www.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	www.008k.com
127.0.0.1	008k.com
127.0.0.1	www.00hq.com
127.0.0.1	00hq.com
127.0.0.1	010402.com
127.0.0.1	www.032439.com
...

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\autorun.inf supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{716CE161-9974-4658-8CE7-D77B38B8D209}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{716CE161-9974-4658-8CE7-D77B38B8D209}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS2\Services\Tcpip\..\{716CE161-9974-4658-8CE7-D77B38B8D209}: DhcpNameServer=89.2.0.1 89.2.0.2


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

kduc · Answer

...

Tu as bien manoeuvré ...

Maintenant, télécharge, installe et mets à jour Malwarebytes Anti-Malware :
http://forum.telecharger.01net.com/microhebdo/6/tuto-securite/tuto-malwaresbytes-anti-malware-352008/messages-1.html ; puis, fais un scan complet et poste le rapport.

Si MalwareByte's a détecté des infections, clique sur Afficher les résultats, 
puis sur Supprimer la sélection.

Ensuite, ...

Fais un scan HijackThis 
http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ... et poste le rapport.

redfish85 · Answer

Ok c'est parti!! :)

redfish85 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:41:04, on 17/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\user\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Program Files\Apoint\Apntex.exe
C:\Documents and Settings\user\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: iGraal - {88F05591-0079-4c37-B138-5DA8BC1782EF} - C:\Program Files\iGraal\iGraal.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: iGraal - {88F05591-0079-4c37-B138-5DA8BC1782EF} - C:\Program Files\iGraal\iGraal.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\user\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
O9 - Extra button: iGraal - {88F05591-0079-4c37-B138-5DA8BC1782EF} - C:\Program Files\iGraal\iGraal.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - 
O20 - AppInit_DLLs: C:\WINDOWS\System32\dxmasf32.dll
O20 - Winlogon Notify: dcc61f53517 - C:\WINDOWS\System32\dxmasf32.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

redfish85 · Answer

Tu n'es plus la?

^^Marie^^ · Answer

Bonsoir

Faudrait contrôler ces fichiers Hosts ;))

»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
... 

Non ??

+++

redfish85 · Answer

Bonsoir!

Que suis-je censé faire?

Merci!!

redfish85 · Answer

Il n'y a plus personne??

kduc · Answer

...

Merci de ne pas poster de messages à tout bout de champ !

Qu' attends-tu pour poster le rapport de scan Malwarebytes ?

---
Télécharge R-Hosts
http://siri.urz.free.fr/RHosts.php (par siri) : 

Installe-le sur le Bureau. 
Lance le ; puis, clique sur > Restaurer. 
Confirme. 
Ferme le programme.

redfish85 · Answer

Malwarebytes n'a rien trouvé je n'ai donc pas poster le rapport... 
Ok je fais ce que tu m'as dit!

redfish85 · Answer

C'est fait!

kduc · Answer

...

Fais un clic-droit sur le lien ci-dessous :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (par AndyManchesta)

Choisis "Enregistrer sous" (dans IE c'est "Enregistrer la cible/le lien sous..")
et sauvegarde-le (Enregistrer dans) sur le Bureau.

Important : dans "Nom du fichier" enregistre (renomme) "sdfix" ou "SdFix.exe" en sd-fix.exe

Redémarre en mode sans échec ...
https://www.pcastuces.com/pratique/windows/mode_sans_echec/page2.htm
(de préférence par F8 au démarrage).

--------------------------------------------
Tu n' auras pas accès à Internet pendant le "mode sans échec". 
Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la
sur le "bureau" pour l' avoir à ta disposition. 
--------------------------------------------

Sur le bureau, double-clique sur sd-fix.exe et choisis Install pour l'extraire sur le Bureau.
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur 
RunThis.cmd  (ou RunThis.bat) pour lancer le script.

Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre des trojans trouvés puis te 
demandera d'appuyer sur une touche pour redémarrer. Fais-le.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va 
continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera 
Aussi dans le dossier SDFix sous le nom Report.txt.

Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.

redfish85 · Answer

Je crois que j'ai un soucis.. J'en suis a la page du bureau avec une fenêtre bleu qui me dit d'attendre quelques minutes mais ça fait bien 10minutes et il ne se passe rien à part des alertes encore et toujours...

Que dois-je faire?

Merci!!

kduc · Answer

Salut,

(si ce n’ est déjà fait) Télécharge CCleaner :
http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite) et laisse-toi guider.
Ne coche pas >> "Ajouter la barre d' outils Yahoo".
Laisse-le s’ installer tel que …

-------
Redémarre le PC en mode sans échec ... 
https://www.pcastuces.com/pratique/windows/mode_sans_echec/page2.html
(méthode F8 de préférence) 
 
-------------------------------------------- 
Tu n' auras pas accès à Internet pendant le "mode sans échec". 
Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la 
sur le "bureau" pour l' avoir à ta disposition. 
--------------------------------------------

Ferme toutes les fenêtres et applications et messagerie ...
Relance HijackThis et clique sur > Do a system scan only puis, coche 
les cases devant les lignes qui suivent (et uniquement ces lignes), si tjrs présentes :

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\System32\dxmasf32.dll  
O20 - Winlogon Notify: dcc61f53517 - C:\WINDOWS\System32\dxmasf32.dll 

Ensuite, clique sur > Fix checked et valide par "Yes". Referme HijackThis. 

Affiche les fichiers et dossiers cachés … 
Pour ce faire, tu vas dans un dossier, par ex. "Mes Images". 
Ensuite, clique sur > Outils > Options des dossiers ...  
clique sur l' onglet « Affichage » et ... 
coche --> Afficher les fichiers et dossiers cachés 
décoche > Masquer les extensions des fichiers dont le type est connu 
décoche > Masquer les fichiers protégés du système d' exploitation (recommandé). 
« Appliquer » et « OK ».

Ensuite, va dans > Démarrer > Poste de travail > C:\

et supprime le(s) fichier(s) en gras, ci-dessous, si tu le(s) trouves.

C:\WINDOWS\System32\dxmasf32.dll <--

Vide la Corbeille. 

Remet les fichiers et dossiers cachés comme tu les as trouvés ! 

Lance CCleaner ...
Clique sur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.  
(re)Lance le nettoyage et (re)confirme par OK.

Relance un scan HIjackThis et poste le rapport.

redfish85 · Answer

Bonjour! Je m'y met de suite!! Merci!!

redfish85 · Answer

Excuse moi j'ai encore un soucis.. 

Je ne peux pas supprimer le fichier C:\WINDOWS\System32\dxmasf32.dll 

Ca me dit : Accès refusé : vérifier que le disque n'est pas plein ou protégé en écriture, et que le fichier n'est pas utilisé actuellement.

kduc · Answer

...

Relance Malwarebytes pour un scan et poste le rapport.

redfish85 · Answer

Heu je redémarre en mode normal pour faire ca?

kduc · Answer

...

Pour le scan Malwarebytes mode normal ; mais, le mode sans échec est aussi, fortement, conseillé
pour une meilleure efficacité.

redfish85 · Answer

Ca fait plus d'une heure que ça dure mais ça n'a toujours rien trouvé..
Par contre je n'arrive plus à me connecter a internet ...

kduc · Answer

1) Désactive tes logiciels de protection.
https://forum.pcastuces.com/default.asp

2) Télécharge OTMoveIt3
http://oldtimer.geekstogo.com/OTMoveIt3.exe de OldTimer :

- Enregistre-le sur ton bureau
- Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître)
- Copie-colle ce qui est en gras, ci-dessous, dans la partie "Paste Instructions for Items to be Moved" 
(en-dessous de la barre jaune) :

:Processes
explorer.exe

:Files
C:\WINDOWS\System32\dxmasf32.dll 

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

- Ferme tous tes programmes et clique sur le bouton rouge Moveit! pour lancer le nettoyage
- Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results (en vert à droite)
--> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage 
de l'outil (mmddyyyy_hhmmss.log)
- Ferme OTMoveIt3 (en cliquant sur Exit)

Note : Si un fichier ou un dossier ne sait être supprimé directement, l'outil peut demander un redémarrage 
pour terminer le processus. Clique alors sur "Yes" pour accepter...

---
Ensuite, installe Combofix ; clique doit sur le lien ci-dessous :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe (par sUBs)

Choisis "Enregistrer sous" (dans IE c'est "Enregistrer la cible/le lien sous..")
et sauvegarde-le (Enregistrer dans) sur le Bureau.

Important : dans "Nom du fichier" enregistre (renomme) "combofix" en combo-fix.exe
 
Ferme toutes les fenêtres et applications + messagerie.
Déconnectes-toi du net et désactive tes protections résidentes 
(antivirus, antispyware, etc ...) : 
https://forum.pcastuces.com/default.asp

Sur le bureau, double clique combo-fix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
ComboFix redémarrera ton PC.
Lorsque le scan sera complété, un rapport apparaîtra. 
Copie/colle ce rapport dans ta prochaine réponse et nouveau rapport hijackthis

PS : Le rapport se trouve également ici : C:\Combofix.txt

redfish85 · Answer

Ok c'est parti! Je te remercie!!

redfish85 · Answer

Alors je précise que je n'ai pas accés au bureau dés qu'une page s'affiche elle reste affiché a l'écran même quand je la ferme...

Et je n'ai toujours pas accés a internet depuis le portable, j'ai donc mis le programme sur une clé usb que j'ai branché sur mon portable mais il est trés trés lent donc ce n'est pas facile.

Et il me met quand je double-clique sur OTMoveIt3.exe que ce n'est pas une application win32 valide..

Que dois-je faire? merci de ta patiente et de ton aide!!

Shippuden51 · Answer

Fait un clique droit sur ta barre des taches et clique sur "Gestionnaire des tâches" va dans l'onglet "processus" ensuite "fichier" "nouvelle tâche (éxecuter)" et tape "explorer.exe" et clique sur OK, là tu devrai avoir ton bureau qui s'affiche.

redfish85 · Answer

Excuse moi j'étais parti manger.. Je le fais de suite!! Merci!!

redfish85 · Answer

Le bureau ne c'est toujours pas affiché... :S

Shippuden51 · Answer

Essaie de redémarrer.

redfish85 · Answer

Ok

redfish85 · Answer

Shippuden51 tu es toujours la?

kduc · Answer

...

Sur ton bureau, télécharge UsbFix
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe (par Chiquitine29) 

Lance l’ installation avec les paramètres par défaut.

Déconnectes-toi d’ Internet et ferme toutes les applications en cours.

Branche tes sources de données externes à ton PC
(clé USB, disque dur externe, etc ...) sans les ouvrir.

Double-clique sur le raccourci UsbFix sur ton Bureau.
Choisis la fonction : Nettoyage.
Le PC va redémarrer.

Après redémarrage, poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque dur (C:\UsbFix.txt).

PS : Si le Bureau ne réapparait pas, presse Ctrl/Alt/Suppr, onglet "Fichier", 
"Nouvelle tâche", tape explorer.exe et valide.

redfish85 · Answer

Ok c'est parti merci!!

redfish85 · Answer

Apparament c'est en train de redémarrer!! Excuse moi pour le temps mais le pc est trés lent ..

redfish85 · Answer

C'est encore moi.. en fait ça fait 10minutes et il n'a toujours pas redémarrer. Il y a la fenêtre de UsbFix et un écran bleu derrière, c'est normal??

Merci!

redfish85 · Answer

Désolé je n'étais pas chez moi.. Mais je le fais de suite!! merci!

redfish85 · Answer

[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\SDFIX: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\user\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\user\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\user\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\user\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\user\Bureau\UsbFix.lnk: trouvé !
C:\Documents and Settings\user\Bureau\OTMoveIt3.exe: trouvé !
C:\Documents and Settings\user\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\user\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\user\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
C:\Program Files\UsbFix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\user\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\user\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\user\Bureau\SmitFraudFix.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Documents and Settings\user\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\user\Bureau\UsbFix.lnk: supprimé !
C:\Documents and Settings\user\Bureau\OTMoveIt3.exe: supprimé !
C:\Documents and Settings\user\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\SDFIX: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\user\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\user\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Program Files\UsbFix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Lyonnais92 · Answer

Bonjour,

à la demande de ^^Marie^^, on repart avec un scan histoire de voir :

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)


NB : Les rapports sont sauvegardés dans le dossier C:\rsit

redfish85 · Answer

Excuse moi j'étais parti mais maintenant c'est bon je ne dois plus sortir!! Je fais tout de suite ce que tu m'as dit!! Merci de m'aider!! :)

redfish85 · Answer

Logfile of random's system information tool 1.05 (written by random/random)
Run by user at 2009-01-19 16:14:54
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 19 GB (67%) free of 29 GB
Total RAM: 1023 MB (67% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:16:53, on 19/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\Ati2mdxx.exe
C:\WINDOWS\system32\dumprep.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\user\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Documents and Settings\user\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\WINDOWS\system32\wuauclt.exe
E:\RSIT.exe
C:\Program Files	rend micro\user.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: iGraal - {88F05591-0079-4c37-B138-5DA8BC1782EF} - C:\Program Files\iGraal\iGraal.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: iGraal - {88F05591-0079-4c37-B138-5DA8BC1782EF} - C:\Program Files\iGraal\iGraal.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SDFix] C:\SDFix\RunThis.bat /second
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\user\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
O9 - Extra button: iGraal - {88F05591-0079-4c37-B138-5DA8BC1782EF} - C:\Program Files\iGraal\iGraal.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - 
O20 - AppInit_DLLs: C:\WINDOWS\System32\dxmasf32.dll
O20 - Winlogon Notify: dcc61f53517 - C:\WINDOWS\System32\dxmasf32.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

Lyonnais92 · Answer

Re,

il me faut un peu de temps pour analyser le rapport.

Je reviens en début de soirée.

profites en pour faire le point sur les dysfonctionnements, ça aide toujours.

redfish85 · Answer

D'accord!!

Lyonnais92 · Answer

Re,

après une petite discussion avec ^^Marie^^, fais ceci (in devrait gagner du temps) :

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

N'oublie pas de réactiver tes protections avant de te reconnecter.

redfish85 · Answer

Je précise que je n'arrive plus a accéder a internet depuis le pc portable... Je post de mon pc fixe! 
Mais je suis en train de faire ce que tu m'as demandé!

redfish85 · Answer

Ca fait presque 1h qu'il cherche des fichiers infectés c'st normal que ce soit si long?

Lyonnais92 · Answer

Re,

il en est à quelle étape ?

redfish85 · Answer

C'est écris : "recherche de fichiers infectés... Ceci ne prend généralement pas plus de 10 minutes. Le temps d'analyse d'une machine sévérement infectée peut facilement doubler"

redfish85 · Answer

Je l'ai redemarrer et cette fois ça marche!! Il redemarre le pc !! Je t'envois bientôt le rapport!!

redfish85 · Answer

ComboFix 09-01-19.01 - user 2009-01-19 19:34:51.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1023.719 [GMT 1:00] Lancé depuis: E:\ComboFix.exe AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\user\Application Data\02000000759f2412517C.manifest C:\Documents and Settings\user\Application Data\02000000759f2412517O.manifest C:\Documents and Settings\user\Application Data\02000000759f2412517P.manifest C:\Documents and Settings\user\Application Data\02000000759f2412517S.manifest C:\WINDOWS\system32\1.tmp C:\WINDOWS\system32\404Fix.exe C:\WINDOWS\system32\Agent.OMZ.Fix.exe C:\WINDOWS\system32\dumphive.exe C:\WINDOWS\system32\IEDFix.C.exe C:\WINDOWS\system32\IEDFix.exe C:\WINDOWS\system32\o4Patch.exe C:\WINDOWS\system32\Process.exe C:\WINDOWS\system32\SrchSTS.exe C:\WINDOWS\system32 mp.reg C:\WINDOWS\system32\VACFix.exe C:\WINDOWS\system32\VCCLSID.exe C:\WINDOWS\system32\WS2Fix.exe . ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-19 au 2009-01-19 )))))))))))))))))))))))))))))))))))) . 2009-01-19 16:14 . 2009-01-19 16:16 d-------- C: sit 2009-01-18 22:46 . 2009-01-18 23:33 d-------- C:\Program Files\Unlocker 2009-01-18 13:20 . 2009-01-18 13:20 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2009-01-18 00:28 . 2009-01-19 13:30 d-------- C:\WINDOWS\ERUNT 2009-01-18 00:28 . 2009-01-18 00:28 d-------- C:\Backups 2009-01-17 21:40 . 2009-01-19 16:16 d-------- C:\Program Files\Trend Micro 2009-01-17 21:08 . 2009-01-17 21:08 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2009-01-17 21:08 . 2009-01-17 21:08 d-------- C:\Documents and Settings\user\Application Data\Malwarebytes 2009-01-17 21:08 . 2009-01-17 21:08 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2009-01-17 21:08 . 2009-01-14 16:11 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2009-01-17 21:08 . 2009-01-14 16:11 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2009-01-17 19:26 . 2009-01-17 19:26 135,168 --a------ C:\WINDOWS\system32\dxmasf32.dll 2009-01-17 16:35 . 2009-01-17 16:35 d-------- C:\Documents and Settings\user\Application Data\Media Player Classic 2009-01-17 16:25 . 2008-10-16 14:06 268,648 --a------ C:\WINDOWS\system32\mucltui.dll 2009-01-17 16:25 . 2008-10-16 14:06 208,744 --a------ C:\WINDOWS\system32\muweb.dll 2009-01-17 16:25 . 2008-10-16 14:06 27,496 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2009-01-17 15:18 . 2009-01-17 15:18 69 --a------ C:\WINDOWS\NeroDigital.ini 2009-01-17 15:15 . 2003-03-19 04:14 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll 2009-01-17 15:15 . 2004-01-11 23:00 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll 2009-01-17 13:38 . 2009-01-17 13:38 d-------- C:\Program Files\iGraal 2009-01-17 12:52 . 2009-01-17 17:17 d-------- C:\Documents and Settings\user\Application Data\Azureus 2009-01-17 12:52 . 2009-01-17 12:52 d-------- C:\Documents and Settings\All Users\Application Data\Azureus 2009-01-17 12:51 . 2009-01-17 12:51 d-------- C:\Program Files\Vuze 2009-01-17 02:18 . 2009-01-17 02:18 d-------- C:\Program Files\Fichiers communs\Adobe 2009-01-17 02:16 . 2009-01-17 11:53 d-------- C:\Program Files\NOS 2009-01-17 02:16 . 2009-01-17 11:53 d-------- C:\Documents and Settings\All Users\Application Data\NOS 2009-01-17 01:43 . 2009-01-17 01:43 d-------- C:\Program Files\Windows Media Connect 2 2009-01-17 01:41 . 2009-01-17 01:41 d-------- C:\WINDOWS\system32\LogFiles 2009-01-17 01:41 . 2009-01-17 01:41 d-------- C:\WINDOWS\system32\drivers\UMDF 2009-01-17 01:34 . 2009-01-19 19:53 d-------- C:\Documents and Settings\user\Tracing 2009-01-17 01:33 . 2009-01-17 01:33 d-------- C:\Program Files\Microsoft 2009-01-17 01:32 . 2009-01-17 01:32 d-------- C:\Program Files\Windows Live SkyDrive 2009-01-17 01:32 . 2009-01-17 01:33 d-------- C:\Program Files\Windows Live 2009-01-17 01:28 . 2009-01-17 01:28 d-------- C:\Program Files\Fichiers communs\Windows Live 2009-01-17 00:41 . 2009-01-17 15:03 d-------- C:\Documents and Settings\user\Application Data\LimeWire 2009-01-17 00:40 . 2009-01-17 00:41 d-------- C:\Program Files\LimeWire 2009-01-17 00:25 . 2009-01-17 00:25 d-------- C:\WINDOWS\system32\fr-fr 2009-01-17 00:25 . 2008-10-16 21:18 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll 2009-01-17 00:25 . 2007-04-17 10:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat 2009-01-17 00:25 . 2007-03-08 06:10 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui 2009-01-17 00:25 . 2008-10-16 21:18 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll 2009-01-17 00:25 . 2008-10-16 21:18 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll 2009-01-17 00:25 . 2008-10-16 21:18 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll 2009-01-17 00:25 . 2008-10-16 21:18 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll 2009-01-17 00:25 . 2008-10-16 21:18 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll 2009-01-17 00:25 . 2008-10-16 14:11 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe 2009-01-16 23:58 . 2009-01-17 00:08 d-------- C:\WINDOWS\system32\CatRoot_bak 2009-01-16 20:31 . 2008-08-14 14:39 2,188,032 -----c--- C:\WINDOWS\system32\dllcache toskrnl.exe 2009-01-16 20:31 . 2008-08-14 14:39 2,144,768 -----c--- C:\WINDOWS\system32\dllcache tkrnlmp.exe 2009-01-16 20:31 . 2008-08-14 14:39 2,065,024 -----c--- C:\WINDOWS\system32\dllcache tkrnlpa.exe 2009-01-16 20:31 . 2008-08-14 14:39 2,022,912 -----c--- C:\WINDOWS\system32\dllcache tkrpamp.exe 2009-01-16 20:30 . 2008-10-24 12:10 453,632 -----c--- C:\WINDOWS\system32\dllcache\mrxsmb.sys 2009-01-16 20:28 . 2009-01-16 20:28 d---s---- C:\Documents and Settings\user\UserData 2009-01-16 20:28 . 2006-09-25 17:58 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe 2009-01-16 20:24 . 2009-01-16 20:25 d-------- C:\Program Files\CCleaner 2009-01-16 20:11 . 2009-01-16 20:11 d-------- C:\Program Files\Spybot - Search & Destroy 2009-01-16 20:11 . 2009-01-17 18:10 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2009-01-16 20:07 . 2009-01-16 20:07 d-------- C:\Program Files\Lavasoft 2009-01-16 20:07 . 2009-01-16 20:08 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft 2009-01-16 20:06 . 2009-01-16 20:06 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard 2009-01-08 10:14 . 2004-08-05 11:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll 2008-12-22 14:50 . 2008-12-22 14:50 d-------- C:\Program Files\Fichiers communs\Ahead 2008-12-22 14:50 . 2004-07-26 17:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll 2008-12-22 14:50 . 2004-07-26 17:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll 2008-12-22 14:50 . 2004-07-26 17:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll 2008-12-22 14:50 . 2004-07-26 17:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll 2008-12-22 14:50 . 2001-07-09 11:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe 2008-12-22 14:50 . 2004-03-02 17:37 125,184 --------- C:\WINDOWS\system32\drivers\imagesrv.sys 2008-12-22 14:50 . 2000-06-26 11:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll 2008-12-22 14:50 . 2004-03-02 17:37 5,504 --------- C:\WINDOWS\system32\drivers\imagedrv.sys 2008-12-22 14:49 . 2008-12-22 14:50 d-------- C:\Program Files\Ahead 2008-12-22 14:48 . 2008-12-22 14:48 d-------- C:\Program Files\Avira . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-22 13:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\Avira 2008-12-11 11:57 333,184 ----a-w C:\WINDOWS\system32\drivers\srv.sys . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 11:00 15360] "msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2008-12-02 22:41 3882312] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="C:\Program Files\Apoint\Apoint.exe" [2002-08-22 18:28 143360] "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-01-03 16:00 294912] "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-12-08 17:35 32768] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0\bin\jusched.exe" [2007-10-31 13:09 77824] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 13:28 266497] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672] "UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2008-05-02 05:15 15872] "CARPService"="carpserv.exe" [2002-10-17 10:54 4608 C:\WINDOWS\system32\carpserv.exe] "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 15:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 11:00 110592 C:\WINDOWS\system32\bthprops.cpl] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 11:00 15360] C:\Documents and Settings\user\Menu D‚marrer\Programmes\D‚marrage\ Outil de notification Live Search.lnk - C:\Documents and Settings\user\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe [2009-01-17 00:34:25 143360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\dcc61f53517] 2009-01-17 19:26 135168 C:\WINDOWS\system32\dxmasf32.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Windows Live\Messenger\wlcsdk.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\LimeWire\LimeWire.exe"= "C:\Program Files\Vuze\Azureus.exe"= --- Autres Services/Pilotes en mémoire --- *Deregistered* - aawservice *Deregistered* - AFD *Deregistered* - ALG *Deregistered* - AntiVirScheduler *Deregistered* - AntiVirService *Deregistered* - Aspi32 *Deregistered* - Ati HotKey Poller *Deregistered* - AudioSrv *Deregistered* - audstub *Deregistered* - avgio *Deregistered* - avgntflt *Deregistered* - avipbb *Deregistered* - Beep *Deregistered* - Browser *Deregistered* - BthServ *Deregistered* - Cdfs *Deregistered* - Compbatt *Deregistered* - CryptSvc *Deregistered* - DcomLaunch *Deregistered* - Dhcp *Deregistered* - Dnscache *Deregistered* - ERSvc *Deregistered* - EventSystem *Deregistered* - FastUserSwitchingCompatibility *Deregistered* - Fips *Deregistered* - FltMgr *Deregistered* - Ftdisk *Deregistered* - Gpc *Deregistered* - helpsvc *Deregistered* - HTTP *Deregistered* - IntelIde *Deregistered* - IpNat *Deregistered* - IPSec *Deregistered* - irda *Deregistered* - Irmon *Deregistered* - KSecDD *Deregistered* - lanmanserver *Deregistered* - lanmanworkstation *Deregistered* - LmHosts *Deregistered* - mdmxsdk *Deregistered* - mnmdd *Deregistered* - MountMgr *Deregistered* - MRxDAV *Deregistered* - MRxSmb *Deregistered* - Msfs *Deregistered* - mssmbios *Deregistered* - Mup *Deregistered* - NDIS *Deregistered* - NdisTapi *Deregistered* - Ndisuio *Deregistered* - NdisWan *Deregistered* - NDProxy *Deregistered* - NetBIOS *Deregistered* - NetBT *Deregistered* - Netman *Deregistered* - Nla *Deregistered* - Npfs *Deregistered* - Ntfs *Deregistered* - Null *Deregistered* - OMCI *Deregistered* - PartMgr *Deregistered* - ParVdm *Deregistered* - PolicyAgent *Deregistered* - PptpMiniport *Deregistered* - ProtectedStorage *Deregistered* - PSched *Deregistered* - RasAcd *Deregistered* - Rasirda *Deregistered* - Rasl2tp *Deregistered* - RasMan *Deregistered* - RasPppoe *Deregistered* - Raspti *Deregistered* - Rdbss *Deregistered* - RDPCDD *Deregistered* - rdpdr *Deregistered* - RemoteRegistry *Deregistered* - RpcSs *Deregistered* - SamSs *Deregistered* - SCardSvr *Deregistered* - Schedule *Deregistered* - seclogon *Deregistered* - SENS *Deregistered* - SharedAccess *Deregistered* - ShellHWDetection *Deregistered* - Spooler *Deregistered* - sr *Deregistered* - srservice *Deregistered* - Srv *Deregistered* - SSDPSRV *Deregistered* - ssmdrv *Deregistered* - StreamDispatcher *Deregistered* - swenum *Deregistered* - TapiSrv *Deregistered* - Tcpip *Deregistered* - TermDD *Deregistered* - TermService *Deregistered* - Themes *Deregistered* - TrkWks *Deregistered* - Update *Deregistered* - VgaSave *Deregistered* - VolSnap *Deregistered* - W32Time *Deregistered* - Wanarp *Deregistered* - WebClient *Deregistered* - winmgmt *Deregistered* - wscsvc *Deregistered* - wuauserv *Deregistered* - WZCSVC . - - - - ORPHELINS SUPPRIMES - - - - HKLM-Run-SDFix - C:\SDFix\RunThis.bat ************************************************************************** Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(876) C:\WINDOWS\System32\dxmasf32.dll - - - - - - - > 'Explorer.EXE'(1868) C:\WINDOWS\System32\dxmasf32.dll C:\WINDOWS\system32\msi.dll C:\WINDOWS\system32\WPDShServiceObj.dll C:\WINDOWS\system32\PortableDeviceTypes.dll C:\WINDOWS\system32\PortableDeviceApi.dll . ------------------------ Autres processus actifs ------------------------ . C:\WINDOWS\system32\WgaTray.exe C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\scardsvr.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32 undll32.exe C:\Documents and Settings\user\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe C:\Program Files\Apoint\ApntEx.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\ati2evxx.exe C:\ComboFix\hidec.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\guardgui.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\guardgui.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\guardgui.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\guardgui.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\guardgui.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\guardgui.exe . ************************************************************************** . Heure de fin: 2009-01-19 19:56:10 - La machine a redémarré [user] ComboFix-quarantined-files.txt 2009-01-19 18:55:07

Lyonnais92 · Answer

Re,

un fichier à vérifier :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\dxmasf32.dll 

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

redfish85 · Answer

Juste une question.. Je suis censé le faire a partir du pc ou il y a le virus? ou je peux télécharger le programme a partir de ce pc et le mettre ensuite sur le pc infecté?

redfish85 · Answer

Excuse moi j'aurais du cliquer avant de te poser la question :S  Je ne peux pas accéder a internet depuis le pc infecté comment puis-je faire alors?

Lyonnais92 · Answer

Re,

je suis face à un problème nouveau.

N'éteins pas l'ordi.

Fais ceci :

Ouvre le gestionnaire des périphériques :

Démarrer, Panneau de configuration

Clique sur l'icône "Système" puis sur l'onglet "Matériel".

Clique sur "Gestionnaire de périphériques".

Clique sur Affichage puis sur "Afficher les périphériques cachés" (très important) 

Affiche par connexion (via affichage)

Cherche VGAsave

Fais un double clic pour afficher les propriétés.

Donne moi le résultat (mieux, prend une copie écran net essaye de la transmettre).

En fait, il y a 2 pages (général et pilote).

==========================================

As tu des points de restauration ?

Ils datent de quand ?


@+

redfish85 · Answer

J'ignore ce que c'est... J'ai acheté l'ordinateur vendredi d'occasion...

Lyonnais92 · Answer

Re,

tu as le CD d'origine de Windows avec la clé de 25 caractères ?

Fais ceci pour les points de restauration :

Démarrer, Aide et support.

Annulez les modifications ....

Clique sur suivant.

Dans le calendrier, il y a des jours en gras ?

Clique dessus.

Des données supplémentaires s'affichent.

Quel est le point le plus proche avant que tu télécharges ces faux codecs ?

redfish85 · Answer

Non il ne m'on pas fourni de CD..

redfish85 · Answer

voici les copies écran je sais pas si tu vas bien voir...

oups je ne peux pas les coller ici? Comment puis-je faire pour te les transmettre?

Lyonnais92 · Answer

Re,

on va procéder autrement.

Tu peux comparer ce que tu vois sur le portable infecté et sur ton fixe qui ne l'est pas ?

Après avoir consulté des cas semblables, tu peux faire redémarrer l'ordi.

Regarde de nouveau VGAsave et dis moi les différences.

================

Pour le CD, tu devrais poser la question à tes vendeurs (si c'est possible).

C'est un ordi de marque ?

===================

Les points de restauration ?

redfish85 · Answer

Mon pc est un DELL que j'ai acheté sur internet chez "PLUS DE PC". J'ai également acheté mon pc fixe sur internet et il ne m'avais pas fourni de CD non plus!

Alors voici les copies d'écran : général : http://img187.imageshack.us/img187/3121/gnralmp0.jpg

et pilote : http://img145.imageshack.us/img145/958/pilotens3.jpg

mais on ne voit pas trés bien..

Lyonnais92 · Answer

Re,

les points de restauration ?

Fais redémarrer l'ordi.

Internet ne fonctionne toujours pas ?

Quel est ton dispositif de connexion ?

Il se passe quoi exactement ?

redfish85 · Answer

Alors déjà je suis obligé de le faire redémarrer manuellement parce que en faisant démarrer et arréter ça ne marche pas!

Quand je le redémarre il est long a afficher le bureau et une fois qu'il s'affiche j'ai 16 alertes d'antiivir qui s'affiche et dés que j'en faerme une, une autre arrive aussitôt! Par contre jamais plus de 16 en même temps. 

Excuse moi mais qu'est-ce qu'un disposotif de connexion?? 

Quand je lance une page internet ça me dit "connexion en cours" sur l'onglet mais rien ne s'affiche alors j'ai essayé de taper l'adresse de CCM mais ça me dit "www.commentcamarche.net n'est pas disponible" et ça me le fais avec n'importe quel site que je tape!

Pour les points de restauration j'ai suivi tes instructions et le plus proche est le 16 janvier!

Lyonnais92 · Answer

Re,

scan l'ordi avec antivir.

Mets en quarantaine tout ce qu'il trouve et poste le rapport.

=====================

Le point de restauration du 16 janvier est le dernier ?

Prends en un après le scan antivir.

redfish85 · Answer

Le dernier point de restauration est du 19 janvier avec combofix! Le premier est du 16 janvier le jour ou j'ai eu mon pc!

Je fais le scan de suite!

redfish85 · Answer

voici le rapport : 



Avira AntiVir Personal
Date de création du fichier de rapport : 2009-01-20  00:10

La recherche porte sur 1230368 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme :      Windows XP
Version de Windows :(Service Pack 2)  [5.1.2600]
Mode Boot :       Démarré normalement
Identifiant :     user
Nom de l'ordinateur :BIORAD-43CC2635

Informations de version :
BUILD.DAT     : 8.2.0.52       16931 Bytes  2008-12-02 14:55:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  2008-11-18 08:21:00
AVSCAN.DLL    : 8.1.4.1        49921 Bytes  2008-07-21 13:44:27
LUKE.DLL      : 8.1.4.5       164097 Bytes  2008-06-12 12:44:16
LUKERES.DLL   : 8.1.4.0        13057 Bytes  2008-07-04 07:30:27
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  2008-10-27 11:30:36
ANTIVIR1.VDF  : 7.1.1.113    2817536 Bytes  2009-01-14 19:25:47
ANTIVIR2.VDF  : 7.1.1.114       2048 Bytes  2009-01-14 19:25:48
ANTIVIR3.VDF  : 7.1.1.142     385024 Bytes  2009-01-19 18:20:55
Version du moteur: 8.2.0.57  
AEVDF.DLL     : 8.1.0.6       102772 Bytes  2008-10-14 10:05:56
AESCRIPT.DLL  : 8.1.1.26      340347 Bytes  2009-01-16 19:26:10
AESCN.DLL     : 8.1.1.5       123251 Bytes  2008-11-07 15:06:41
AERDL.DLL     : 8.1.1.3       438645 Bytes  2008-11-04 13:58:38
AEPACK.DLL    : 8.1.3.5       393588 Bytes  2009-01-16 19:26:07
AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  2009-01-16 19:26:05
AEHEUR.DLL    : 8.1.0.84     1540471 Bytes  2009-01-16 19:26:03
AEHELP.DLL    : 8.1.2.0       119159 Bytes  2009-01-16 19:25:56
AEGEN.DLL     : 8.1.1.10      323957 Bytes  2009-01-16 19:25:56
AEEMU.DLL     : 8.1.0.9       393588 Bytes  2008-10-14 10:05:56
AECORE.DLL    : 8.1.5.2       172405 Bytes  2009-01-16 19:25:53
AEBB.DLL      : 8.1.0.3        53618 Bytes  2008-10-14 10:05:56
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  2008-07-09 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  2008-05-16 09:27:58
AVREP.DLL     : 8.0.0.2        98344 Bytes  2008-07-31 12:02:15
AVREG.DLL     : 8.0.0.1        33537 Bytes  2008-05-09 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  2008-02-12 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  2008-06-12 12:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  2008-01-22 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  2008-06-12 12:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  2008-01-25 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  2008-07-04 07:23:16
RCTEXT.DLL    : 8.0.52.1       86273 Bytes  2008-07-17 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Sélection manuelle
Fichier de configuration.........: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:, 
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : 2009-01-20  00:10

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'Mise-a-jour-LiveSearch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'guardgui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Notification-LiveSearch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'UnlockerAssistant.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ApntEx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PDVDServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'atiptaxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Apoint.exe' - '1' module(s) sont contrôlés
Processus de recherche 'carpserv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'scardsvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'aawservice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'39' processus ont été contrôlés avec '39' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
C:\WINDOWS\system32\dxmasf32.dll
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
    [AVERTISSEMENT] Impossible de supprimer le fichier!
    [REMARQUE]  Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bb3546a.qua' !

Le registre a été contrôlé ( '56' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <d600>
C:\ARK16.tmp
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
    [AVERTISSEMENT] Impossible de supprimer le fichier!
    [REMARQUE]  Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b919c1b.qua' !
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\dxmasf32.dll
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e20bf4.qua' !
Recherche débutant dans 'D:\'
Impossible d'ouvrir le chemin à contrôler D:\ !
Erreur système [21]: Le périphérique n'est pas prêt.


Fin de la recherche : 2009-01-20  00:26
Temps nécessaire: 15:41 Minute(s)

La recherche a été effectuée intégralement

   2143 Les répertoires ont été contrôlés
 180462 Des fichiers ont été contrôlés
      3 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      3 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
 180458 Fichiers non infectés
   1580 Les archives ont été contrôlées
      3 Avertissements
      3 Consignes

Lyonnais92 · Answer

Re,

vide la quarantaine d'antivir.

La suite au jour.

redfish85 · Answer

C'est fait! Je peux éteindre le pc en attendant demain? Ou il vaut mieux le laisser allumé?

Lyonnais92 · Answer

Re,

je crois que tu peux éteindre.

redfish85 · Answer

Ok!! Je te remercie !! 

A demain si tu es toujours disponible pour m'aider...

Bonne nuit!

redfish85 · Answer

Bonjour!! C'était juste pour vous dire que je suis disponible pour continuer si toutefois vous l'êtes aussi... :)

Merci!!

Lyonnais92 · Answer

Bonjour,

un peu plus tard.

En attendant,

ta connexion, elle est sur le téléphone ? avec une box ? avec un routeur ?

ton PC est connecté avec un cable ? en wifi ?

Il a redémarré ?

Remets un rapport RSIT.

redfish85 · Answer

Bonjour!

Oui il a redémarré, je suis connecté en ethernet sur un modem numéricable.. 

Voici le rapport : 

Logfile of random's system information tool 1.05 (written by random/random)
Run by user at 2009-01-20 19:40:15
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 20 GB (69%) free of 29 GB
Total RAM: 1023 MB (67% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:40, on 2009-01-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Apoint\Apntex.exe
C:\Documents and Settings\user\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\Documents and Settings\user\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
E:\RSIT.exe
C:\Program Files	rend micro\user.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: iGraal - {88F05591-0079-4c37-B138-5DA8BC1782EF} - C:\Program Files\iGraal\iGraal.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: iGraal - {88F05591-0079-4c37-B138-5DA8BC1782EF} - C:\Program Files\iGraal\iGraal.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SDFix] C:\SDFix\RunThis.bat /second
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\user\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
O9 - Extra button: iGraal - {88F05591-0079-4c37-B138-5DA8BC1782EF} - C:\Program Files\iGraal\iGraal.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - 
O20 - Winlogon Notify: dcc61f53517 - C:\WINDOWS\System32\dxmasf32.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

Lyonnais92 · Answer

Re,

Double clique sur l'icone de MBAM 'Malwarebytes' Anti-Malware) pour le lancer.

(vérifie que "Exécuter une analyse rapide"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

redfish85 · Answer

J'ai encore un soucis.. désolé..

J'ai bien lancé malwarebytes mais il ne s'affiche pas.. Il me dit qu'il est en court d'exécution mais la fenétre n'apparait pas. Le rapport va-t-il arriver quand même?

Merci

Lyonnais92 · Answer

Re,

arrête le et recommencer.

redfish85 · Answer

Je ne peux pas l'arréter car il n'y a pas d'icone dans la barre des taches et quand je met ouvrir en faisant un clique droit sur l'icone du bureau ca me dit que c'est en cours d'exécution...

J'ai donc redémarré le pc et j'ai voulu relancer malwarebytes mais il me dit toujours qu'il est en cours d'exécution...

Lyonnais92 · Answer

Re,

Ouvre ce lien :

http://telechargement.zebulon.fr/zeb-restore.html

et exécute toutes les modalités.

redfish85 · Answer

Alors je l'ai lancé une fenetre avec écris en bas "restaurer" c'est affiché mais elle est partie et maintenant quand je clique pour relancer zeb-restore ca me dit que c'est déjà en cours d'utilisation mais je ne vois rien aucune fenêtre... 

C'est normal?

Lyonnais92 · Answer

Re,

le gestionnaire des tâches ne s'ouvre toujours pas (Ctrl Alt Suppr) ?

redfish85 · Answer

Si je l'ai!! (le gestionnaire des taches)

Lyonnais92 · Answer

Re,

alors tu peux arrêter MBAM (et zebrestore) ?

redfish85 · Answer

C'est bien dans applications qu'il faut que je les ferme? Parce qu'il n'y sont pas! (dans application)

Lyonnais92 · Answer

Re,

fais redémarrer l'ordi (avec le gestionnaire des tâches si il ne veut pas le faire naturellement)

redfish85 · Answer

D'accord!

redfish85 · Answer

Il est redémarré!! Je tiens a préciser qu'il y a du mieux les pages ne reste plus affiché je vois mon bureau maintenant!!

Lyonnais92 · Answer

Re,

tu relances MBAM.

Tu me dis comment ça se passe.

redfish85 · Answer

C'est bon c'est reparti et la page s'est affiché!! Je te post le rapport quand c'est fini?

redfish85 · Answer

J'ai parlé trop vite une alerte antivir est arrivé et du coup malwarebytes est bloqué... en tout cas il en a l'aire car le compteur ne compte plus :)  et il y a a la place de la souris le petit sablier quand je survole la fenêtre..

Lyonnais92 · Answer

Re,

oui.

Lyonnais92 · Answer

Re,

alors arrête MBAM et scanne ton ordi avec antivir.

mets en quarantaine ce qu'il trouve.

redfish85 · Answer

Ok!!

redfish85 · Answer

Avira AntiVir Personal
Date de création du fichier de rapport : 2009-01-20  23:42

La recherche porte sur 1230368 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme :      Windows XP
Version de Windows :(Service Pack 2)  [5.1.2600]
Mode Boot :       Démarré normalement
Identifiant :     user
Nom de l'ordinateur :BIORAD-43CC2635

Informations de version :
BUILD.DAT     : 8.2.0.52       16931 Bytes  2008-12-02 14:55:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  2008-11-18 08:21:00
AVSCAN.DLL    : 8.1.4.1        49921 Bytes  2008-07-21 13:44:27
LUKE.DLL      : 8.1.4.5       164097 Bytes  2008-06-12 12:44:16
LUKERES.DLL   : 8.1.4.0        13057 Bytes  2008-07-04 07:30:27
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  2008-10-27 11:30:36
ANTIVIR1.VDF  : 7.1.1.113    2817536 Bytes  2009-01-14 19:25:47
ANTIVIR2.VDF  : 7.1.1.114       2048 Bytes  2009-01-14 19:25:48
ANTIVIR3.VDF  : 7.1.1.142     385024 Bytes  2009-01-19 18:20:55
Version du moteur: 8.2.0.57  
AEVDF.DLL     : 8.1.0.6       102772 Bytes  2008-10-14 10:05:56
AESCRIPT.DLL  : 8.1.1.26      340347 Bytes  2009-01-16 19:26:10
AESCN.DLL     : 8.1.1.5       123251 Bytes  2008-11-07 15:06:41
AERDL.DLL     : 8.1.1.3       438645 Bytes  2008-11-04 13:58:38
AEPACK.DLL    : 8.1.3.5       393588 Bytes  2009-01-16 19:26:07
AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  2009-01-16 19:26:05
AEHEUR.DLL    : 8.1.0.84     1540471 Bytes  2009-01-16 19:26:03
AEHELP.DLL    : 8.1.2.0       119159 Bytes  2009-01-16 19:25:56
AEGEN.DLL     : 8.1.1.10      323957 Bytes  2009-01-16 19:25:56
AEEMU.DLL     : 8.1.0.9       393588 Bytes  2008-10-14 10:05:56
AECORE.DLL    : 8.1.5.2       172405 Bytes  2009-01-16 19:25:53
AEBB.DLL      : 8.1.0.3        53618 Bytes  2008-10-14 10:05:56
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  2008-07-09 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  2008-05-16 09:27:58
AVREP.DLL     : 8.0.0.2        98344 Bytes  2008-07-31 12:02:15
AVREG.DLL     : 8.0.0.1        33537 Bytes  2008-05-09 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  2008-02-12 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  2008-06-12 12:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  2008-01-22 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  2008-06-12 12:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  2008-01-25 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  2008-07-04 07:23:16
RCTEXT.DLL    : 8.0.52.1       86273 Bytes  2008-07-17 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Lecteurs locaux
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\alldrives.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:, 
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : 2009-01-20  23:42

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'guardgui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbam.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'guardgui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Mise-a-jour-LiveSearch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'Notification-LiveSearch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ApntEx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'UnlockerAssistant.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PDVDServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'atiptaxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Apoint.exe' - '1' module(s) sont contrôlés
Processus de recherche 'carpserv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'scardsvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'aawservice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'41' processus ont été contrôlés avec '41' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
C:\WINDOWS\system32\dxmasf32.dll
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
    [AVERTISSEMENT] Impossible de supprimer le fichier!
    [REMARQUE]  Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b310aa7.qua' !

Le registre a été contrôlé ( '56' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <d600>
C:\ARK1.tmp
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
    [AVERTISSEMENT] Impossible de supprimer le fichier!
    [REMARQUE]  Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ba4c20f.qua' !
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\dxmasf32.dll
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e3570e.qua' !
C:\WINDOWS\system32\GroupPolicyManifest\2.tmp
    [0] Type d'archive: RAR SFX (self extracting)
    --> 38.mpgvideo.mpg
      [RESULTAT]  Contient le modèle de détection de l'exploit EXP/ASF.GetCodec.Gen
    --> 31.music.mp3
      [RESULTAT]  Contient le modèle de détection de l'exploit EXP/ASF.GetCodec.Gen
      --> 34.setup.zip
        [1] Type d'archive: ZIP
        --> crack+keygen.exe
          [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen
        --> setup.exe
          [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ea5752.qua' !
C:\WINDOWS\system32\GroupPolicyManifest\31.music.mp3
    [RESULTAT]  Contient le modèle de détection de l'exploit EXP/ASF.GetCodec.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a45759.qua' !
C:\WINDOWS\system32\GroupPolicyManifest\34.setup.zip
    [0] Type d'archive: ZIP
    --> crack+keygen.exe
      [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen
    --> setup.exe
      [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a45760.qua' !
C:\WINDOWS\system32\GroupPolicyManifest\38.mpgvideo.mpg
    [RESULTAT]  Contient le modèle de détection de l'exploit EXP/ASF.GetCodec.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a45768.qua' !
Recherche débutant dans 'D:\'
Impossible d'ouvrir le chemin à contrôler D:\ !
Erreur système [21]: Le périphérique n'est pas prêt.


Fin de la recherche : 2009-01-20  23:59
Temps nécessaire: 16:32 Minute(s)

La recherche a été effectuée intégralement

   2145 Les répertoires ont été contrôlés
 180565 Des fichiers ont été contrôlés
     11 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      7 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
 180553 Fichiers non infectés
   1593 Les archives ont été contrôlées
      3 Avertissements
      7 Consignes

Lyonnais92 · Answer

Re,

relance MBAM et poste le rapport.

redfish85 · Answer

OK!

redfish85 · Answer

C'est le même probléme toujours... Je le lance est au bout de 5seconde une alerte antivir se déclanche et ca bloque malwarebytes.

Lyonnais92 · Answer

Re,

vide la quarantaine d'antivir.

Vide la corbeille.

1. Télécharge The Avenger par Swandog46 sur le Bureau
 
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras  ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Files to delete:
C:\WINDOWS\system32\dxmasf32.dll
C:\ARK1.tmp
C:\WINDOWS\system32\dxmasf32.dll 
C:\WINDOWS\system32\GroupPolicyManifest\2.tmp 
C:\WINDOWS\system32\GroupPolicyManifest\31.music.mp3
C:\WINDOWS\system32\GroupPolicyManifest\34.setup.zip
C:\WINDOWS\system32\GroupPolicyManifest\38.mpgvideo.mpg
 
 
IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.  
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger.  Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

====================

au redémarrage, essaye de bloquer la connexion à Internet.

rescanne avec antivir mets en quarantaine puis vide la quarantaine.

rescanne avec MBAM, mets en quarantaine, vide la quarantaine.

Vide la Corbeille.

Reconnecte toi.

Poste les rapports de The Avenger, Antivivr et MBAM.

redfish85 · Answer

Ok c'est parti!! Merci encore!!

redfish85 · Answer

AVENGER : 

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\dxmasf32.dll" deleted successfully.

Error:  file "C:\ARK1.tmp" not found!
Deletion of file "C:\ARK1.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\dxmasf32.dll" not found!
Deletion of file "C:\WINDOWS\system32\dxmasf32.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\GroupPolicyManifest\2.tmp" not found!
Deletion of file "C:\WINDOWS\system32\GroupPolicyManifest\2.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\GroupPolicyManifest\31.music.mp3" not found!
Deletion of file "C:\WINDOWS\system32\GroupPolicyManifest\31.music.mp3" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\GroupPolicyManifest\34.setup.zip" not found!
Deletion of file "C:\WINDOWS\system32\GroupPolicyManifest\34.setup.zip" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\GroupPolicyManifest\38.mpgvideo.mpg" not found!
Deletion of file "C:\WINDOWS\system32\GroupPolicyManifest\38.mpgvideo.mpg" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

redfish85 · Answer

ANTIVIR : 



Avira AntiVir Personal
Date de création du fichier de rapport : 2009-01-21  01:05

La recherche porte sur 1230368 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme :      Windows XP
Version de Windows :(Service Pack 2)  [5.1.2600]
Mode Boot :       Démarré normalement
Identifiant :     user
Nom de l'ordinateur :BIORAD-43CC2635

Informations de version :
BUILD.DAT     : 8.2.0.52       16931 Bytes  2008-12-02 14:55:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  2008-11-18 08:21:00
AVSCAN.DLL    : 8.1.4.1        49921 Bytes  2008-07-21 13:44:27
LUKE.DLL      : 8.1.4.5       164097 Bytes  2008-06-12 12:44:16
LUKERES.DLL   : 8.1.4.0        13057 Bytes  2008-07-04 07:30:27
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  2008-10-27 11:30:36
ANTIVIR1.VDF  : 7.1.1.113    2817536 Bytes  2009-01-14 19:25:47
ANTIVIR2.VDF  : 7.1.1.114       2048 Bytes  2009-01-14 19:25:48
ANTIVIR3.VDF  : 7.1.1.142     385024 Bytes  2009-01-19 18:20:55
Version du moteur: 8.2.0.57  
AEVDF.DLL     : 8.1.0.6       102772 Bytes  2008-10-14 10:05:56
AESCRIPT.DLL  : 8.1.1.26      340347 Bytes  2009-01-16 19:26:10
AESCN.DLL     : 8.1.1.5       123251 Bytes  2008-11-07 15:06:41
AERDL.DLL     : 8.1.1.3       438645 Bytes  2008-11-04 13:58:38
AEPACK.DLL    : 8.1.3.5       393588 Bytes  2009-01-16 19:26:07
AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  2009-01-16 19:26:05
AEHEUR.DLL    : 8.1.0.84     1540471 Bytes  2009-01-16 19:26:03
AEHELP.DLL    : 8.1.2.0       119159 Bytes  2009-01-16 19:25:56
AEGEN.DLL     : 8.1.1.10      323957 Bytes  2009-01-16 19:25:56
AEEMU.DLL     : 8.1.0.9       393588 Bytes  2008-10-14 10:05:56
AECORE.DLL    : 8.1.5.2       172405 Bytes  2009-01-16 19:25:53
AEBB.DLL      : 8.1.0.3        53618 Bytes  2008-10-14 10:05:56
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  2008-07-09 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  2008-05-16 09:27:58
AVREP.DLL     : 8.0.0.2        98344 Bytes  2008-07-31 12:02:15
AVREG.DLL     : 8.0.0.1        33537 Bytes  2008-05-09 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  2008-02-12 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  2008-06-12 12:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  2008-01-22 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  2008-06-12 12:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  2008-01-25 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  2008-07-04 07:23:16
RCTEXT.DLL    : 8.0.52.1       86273 Bytes  2008-07-17 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Lecteurs locaux
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\alldrives.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:, 
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : 2009-01-21  01:05

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'scardsvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Mise-a-jour-LiveSearch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ApntEx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Notification-LiveSearch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'UnlockerAssistant.exe' - '1' module(s) sont contrôlés
Processus de recherche 'reader_sl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PDVDServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'atiptaxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Apoint.exe' - '1' module(s) sont contrôlés
Processus de recherche 'carpserv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'aawservice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'41' processus ont été contrôlés avec '41' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '55' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <d600>
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\'
Impossible d'ouvrir le chemin à contrôler D:\ !
Erreur système [21]: Le périphérique n'est pas prêt.


Fin de la recherche : 2009-01-21  01:20
Temps nécessaire: 15:14 Minute(s)

La recherche a été effectuée intégralement

   2147 Les répertoires ont été contrôlés
 180535 Des fichiers ont été contrôlés
      0 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      0 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
 180534 Fichiers non infectés
   1586 Les archives ont été contrôlées
      1 Avertissements
      0 Consignes

redfish85 · Answer

MBAM : 

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1663
Windows 5.1.2600 Service Pack 2

2009-01-21 01:36:37
mbam-log-2009-01-21 (01-36-37).txt

Type de recherche: Examen rapide
Eléments examinés: 42471
Temps écoulé: 3 minute(s), 8 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\1.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

Lyonnais92 · Answer

Re,

fais redémarrer l'ordi et poste un rapport RSIT.

redfish85 · Answer

Oki!

redfish85 · Answer

Et voila!!

Logfile of random's system information tool 1.05 (written by random/random)
Run by user at 2009-01-21 02:04:16
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 20 GB (69%) free of 29 GB
Total RAM: 1023 MB (69% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:04, on 2009-01-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Documents and Settings\user\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\Documents and Settings\user\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\user\Bureau\RSIT.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files	rend micro\user.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: iGraal - {88F05591-0079-4c37-B138-5DA8BC1782EF} - C:\Program Files\iGraal\iGraal.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: iGraal - {88F05591-0079-4c37-B138-5DA8BC1782EF} - C:\Program Files\iGraal\iGraal.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SDFix] C:\SDFix\RunThis.bat /second
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\user\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
O9 - Extra button: iGraal - {88F05591-0079-4c37-B138-5DA8BC1782EF} - C:\Program Files\iGraal\iGraal.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - 
O20 - Winlogon Notify: dcc61f53517 - C:\WINDOWS\System32\dxmasf32.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

Lyonnais92 · Answer

Re,

je crois qu'on l'a eu.

Ne touche plus à rien.

Je reviens vers 9-10 h.

redfish85 · Answer

Oui j'ai l'impression!!

Je ne l'éteins pas?

Lyonnais92 · Answer

Re,

si je crois que tu peux.

redfish85 · Answer

D'accord merci mille fois !!! A demain!! Bonne nuit!! :)

redfish85 · Answer

Bonjour!! C'était juste pour savoir s'il y avait encore quelque chose a faire? :)

Lyonnais92 · Answer

Bonjour,

oui, il faut finir de nettoyer tout ça.

Par contre, tu peux utiliser l'ordi normalement.

=====================

Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
mets les à jour, comme indiqué dans les démos ou tutos.

Ne les utilise pas tout de suite.


Antispywares et autres :
 
Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.


Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
========================================
-> Relance HijackThis ( C:\Program Files	rend micro\user.exe) 

clique sur « scanner seulement » ou (« do a scan only »),
coche les cases devant ces lignes :

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O20 - Winlogon Notify: dcc61f53517 - C:\WINDOWS\System32\dxmasf32.dll (file missing)

et ensuite ferme toutes les fenêtres actives autres que HijackThis!, navigateur inclus,
puis clique "Fix checked"( ou « fixer objet »). Ferme HijackThis!
========================================
 

=======================================

->Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
puis tape « entrée ».
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
========================================
 
========================================
->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]



========================================
Lance Malwarebytes AntiMalware

Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain teps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter. 
========================================

->Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Registre] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================
->Redémarre en mode normal,


- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

http://www.bitdefender.fr/scan_fr/scan8/ie.html

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier sur le forum.

Tutoriel en images ici : http://perso.orange.fr/rginformatique/section%20virus/defender.htm(merci à Balltrap34 pour cette réalisation)
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »


Remets un rapport RSIT (poste en plusieurs fois que les rapports soient complets).

redfish85 · Answer

C'est bien ça le rapport pour bitdefender??

C:\WINDOWS\BDOSCAN8\bitdefender.html

redfish85 · Answer

rapport RSIT : 

Logfile of random's system information tool 1.05 (written by random/random)
Run by user at 2009-01-21 15:38:16
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 20 GB (69%) free of 29 GB
Total RAM: 1023 MB (69% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:38, on 2009-01-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\user\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\Documents and Settings\user\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\user\Bureau\RSIT.exe
C:\Program Files\Trend Micro\user.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: iGraal - {88F05591-0079-4c37-B138-5DA8BC1782EF} - C:\Program Files\iGraal\iGraal.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: iGraal - {88F05591-0079-4c37-B138-5DA8BC1782EF} - C:\Program Files\iGraal\iGraal.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\user\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: iGraal - {88F05591-0079-4c37-B138-5DA8BC1782EF} - C:\Program Files\iGraal\iGraal.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - 
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

Lyonnais92 · Answer

Re,

pour Bit defenderr, il doit y avoir une version txt (la version html va être illisible sauf erreur).

redfish85 · Answer

Je la trouve ou la version texte??

Lyonnais92 · Answer

Re,

pour Bit defender :

peut être ici : C:\WINDOWS\BDOSCAN8\bdoscan.log

Sinon, tu postes celui que tu as.

====
N'oublie pas le rapport de MBAM.

======

Fais ceci :

Télécharge DirLook de jpshortstuff ici :

http://jpshortstuff.247fixes.com/DirLook.exe

[*]Double-clique sur DirLook.exe pour le lancer.
[*]Assure-toi que Show Hidden Files et BBCode Ouput soient tous les deux cochés.
[*]Copie le contenu de la boîte ci-dessous dans le champ texte principal :

C:\WINDOWS\system32\GroupPolicyManifest
 

[*]Clique sur le bouton DirLook pour lancer l'examen.
[*]Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan. Merci de poster ce rapport dans ta prochaine réponse.

Note : Le rapport peut aussi être trouvé dans C:dl_log.txt
Note :Il se peut que l'examen prenne plus de temps pour les gros répertoires.

redfish85 · Answer

voici le rapport de bit defender : (enfin je pense)


[General]
App	= "BitDefender Online Scanner v8"
Date	= 21:01:2009
Time	= 15:22:38
Scan Path	= C:\;D:\;

[Engines Info]
Virus Definitions	= 2566736
Engine build	= "AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)"
Scan plugins	= 17
Archive plugins	= 45
Unpack plugins	= 7
E-mail plugins	= 6
System plugins	= 4

[Scan Statistics]
Folders	= 2227
Files	= 28741
Archives	= 644
Packed files	= 1290
Identified viruses	= 1
Infected files	= 3
Warnings	= 0
Suspect files	= 0
Disinfected files	= 0
Deleted files	= 3
Copied files	= 0
Moved files	= 0
Renamed files	= 0
I/O Errors	= 6

[Scan Settings]
SecondAction	= Delete
FirstAction	= Disinfect
Heuristics	= 1
Enable Warnings	= 1
Exclude Ext	= 
Extensions	= exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
Scan Emails	= 1
Scan Archives	= 1
Scan Packed	= 1
Scan Files	= 1
Scan Boot	= 1
Verify Memory	= 0

[Scan Results]
Line00000008	= "C:\System Volume Information\_restore{4238E831-36A0-437F-842F-4EE83ECFC031}\RP25\A0004818.exe Détecté avec:  Application.Generic.26831"
Line00000007	= "C:\System Volume Information\_restore{4238E831-36A0-437F-842F-4EE83ECFC031}\RP25\A0004818.exe Echec de la désinfection"
Line00000006	= "C:\System Volume Information\_restore{4238E831-36A0-437F-842F-4EE83ECFC031}\RP25\A0004818.exe Supprimé"
Line00000005	= "C:\System Volume Information\_restore{4238E831-36A0-437F-842F-4EE83ECFC031}\RP25\A0004857.exe Détecté avec:  Application.Generic.26831"
Line00000004	= "C:\System Volume Information\_restore{4238E831-36A0-437F-842F-4EE83ECFC031}\RP25\A0004857.exe Echec de la désinfection"
Line00000003	= "C:\System Volume Information\_restore{4238E831-36A0-437F-842F-4EE83ECFC031}\RP25\A0004857.exe Supprimé"
Line00000002	= "C:\System Volume Information\_restore{4238E831-36A0-437F-842F-4EE83ECFC031}\RP26\A0010064.exe Détecté avec:  Application.Generic.26831"
Line00000001	= "C:\System Volume Information\_restore{4238E831-36A0-437F-842F-4EE83ECFC031}\RP26\A0010064.exe Echec de la désinfection"
Line00000000	= "C:\System Volume Information\_restore{4238E831-36A0-437F-842F-4EE83ECFC031}\RP26\A0010064.exe Supprimé"

redfish85 · Answer

Et celui de MBAM : 

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1674
Windows 5.1.2600 Service Pack 2

2009-01-21 14:51:10
mbam-log-2009-01-21 (14-51-10).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 64781
Temps écoulé: 33 minute(s), 0 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

redfish85 · Answer

J'essaie de te poster le rapport de dir look mais ca ne marche pas ... 
Le scan a duré 2seconde...

Lyonnais92 · Answer

Re,

tout ça est de très bon augure.

2 sec, normal.

pas de rapport ?

PS j'ai édité au vu de ton post.

redfish85 · Answer

rapport dir look : 

DirLook.exe v2.0 by jpshortstuff
Log created at 16:18 on 21/01/2009
==================================[b]
Contents of "C:\WINDOWS\system32\GroupPolicyManifest"
[/b]
[b][color=blue]---FOLDERS---[/b][/color]

(none found)

[b][color=blue]---FILES---[/b][/color]

[b]31.music.mp3.kwd[/b] (18 bytes - created on 20/01/2009 at 19:38, modified on 22/11/2008 at 19:26) --a---
[b]32.crack.zip[/b] (220733 bytes - created on 20/01/2009 at 19:38, modified on 16/01/2009 at 10:25) --a---
[b]32.crack.zip.kwd[/b] (468 bytes - created on 20/01/2009 at 19:38, modified on 13/01/2009 at 21:00) --a---
[b]33.video.zip[/b] (106649 bytes - created on 20/01/2009 at 19:38, modified on 16/01/2009 at 10:26) --a---
[b]33.video.zip.kwd[/b] (32544 bytes - created on 20/01/2009 at 19:38, modified on 13/01/2009 at 20:54) --a---
[b]34.setup.zip.kwd[/b] (266 bytes - created on 20/01/2009 at 19:38, modified on 08/01/2009 at 22:11) --a---
[b]35.unpack.zip[/b] (136565 bytes - created on 20/01/2009 at 19:38, modified on 16/01/2009 at 10:28) --a---
[b]35.unpack.zip.kwd[/b] (6 bytes - created on 20/01/2009 at 19:38, modified on 22/11/2008 at 19:32) --a---
[b]36.keygen.zip[/b] (191638 bytes - created on 20/01/2009 at 19:38, modified on 16/01/2009 at 10:29) --a---
[b]36.keygen.zip.kwd[/b] (457 bytes - created on 20/01/2009 at 19:38, modified on 13/01/2009 at 20:59) --a---
[b]37.serial.zip[/b] (173327 bytes - created on 20/01/2009 at 19:38, modified on 16/01/2009 at 10:08) --a---
[b]37.serial.zip.kwd[/b] (256 bytes - created on 20/01/2009 at 19:38, modified on 13/01/2009 at 20:59) --a---
[b]38.mpgvideo.mpg.kwd[/b] (32544 bytes - created on 20/01/2009 at 19:38, modified on 13/01/2009 at 20:55) --a---

==================================
[b][color=blue]=EOF=[/b][/color]

redfish85 · Answer

Je le poste mais il n'apparait pas ... Ce n'est pas la premiére fois que ca me fait ca sur ce forum... Je ne sias pas a quoi c'est du..

Lyonnais92 · Answer

Re,

probablement un mot interdit.

je vais voir ce que je peux faire.

redfish85 · Answer

Ok merci!!

Lyonnais92 · Answer

Re,

j'ai failli t'oublier avec cette histoire.

Dis moi, tu as téléchargé ça volontairement ou c'est un malware qui s'en est chargé ?

redfish85 · Answer

Heu téléchargé quoi?

Lyonnais92 · Answer

re,

C:\WINDOWS\system32\GroupPolicyManifest

redfish85 · Answer

Ha ça ce n'est pas moi! Je ne sais même pas ce que c'est...

Lyonnais92 · Answer

Re,

au vu de la localisation et du contenu, je m'en doutais, mais je préfère vérifier.

Supprime le avec l'explorateur Windows (clic droit et supprimer).

Vide ta Corbeille.

=================
On va prendre un point de restauration propre;

Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.

===================

On nettoie les outils.

Démarrer, Exécuter, tu tapes combofix /u dans la zone de saisie puis OK.

* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

redfish85 · Answer

Excuse moi mais je ne le trouve pas... 

J'ai été dans C:\ dans windows et dans system32 mais une fois la je ne le trouve pas... 
Alors j'ai essayé dans recherche mais il ne le trouve que dans les rapports des antivirus.. 

Comment le supprimer dans ce cas?

Merci!

Lyonnais92 · Answer

Re,

tu parles bien de C:\WINDOWS\system32\GroupPolicyManifest ?

Comme DirLook l'a trouvé et que on a rien supprimé depuis, il y est.

->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]

Cherche le de nouveau.

Quand tu l'auras trouvé et supprimé, 


[Décoche] « afficher les dossiers et fichiers cachés »

[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

redfish85 · Answer

C'est fait!! Je fais la suite de ce que tu m'as demandé plus haut?

Lyonnais92 · Answer

Re,

absolument.

redfish85 · Answer

Quand je tape ce que tu m'as dit dans executer ca ne fonctionne pas...

Je continue le reste quand même?

Lyonnais92 · Answer

Re,

oui.

redfish85 · Answer

[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\avenger.txt: trouvé !
C:\avenger: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\ComboFix\Combofix.txt: trouvé !
C:\Documents and Settings\user\Bureau\Rsit.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Program Files\Trend Micro\HijackThis.exe: supprimé !
C:\avenger.txt: supprimé !
C:\ComboFix\Combofix.txt: supprimé !
C:\Documents and Settings\user\Bureau\Rsit.exe: supprimé !
C:\Program Files\Trend Micro\hijackthis.log: supprimé !
C:\avenger: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !

Lyonnais92 · Answer

Re,

supprime ToolsCleaner sur ton bureau et C:\TCleaner.txt.

================

On va prendre un point de restauration propre :

Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.


======================================
Voici quelques conseils pour mieux protéger ton ordi des malwares : 
 
1) Mets à jour Windows en consultant régulièrement le site de mise à jour :
http://www.update.microsoft.com/windowsupdate/v6/default.aspx

En particulier, installe le SP3 

2) pour réduire les risques de réinfection, je te recommande fortement d'installer ces programmes gratuits :

- SpywareBlaster protège des ActiveX malicieux  : http://www.commentcamarche.net/telecharger/telecharger 226 spyware blaster

un tutoriel :
https://www.malekal.com/tutorial-spywareblaster/

- SpywareGuard offre une protection en temps réel contre les tentatives d'installation des spywares. Prends garde à n'avoir qu'un seul anti-spyware en garde active pour éviter les risques de conflit : http://www.commentcamarche.net/telecharger/telecharger 34055277 spywareguard .

- Sécurise Internet Explorer
         * Clique sur Démarrer puis Exécuter
         * Tape Inetcpl.cpl dans la zone de saisie puis OK
         * Clique sur l'onglet Sécurité
         * Clique sur "Rétablir toutes les zones au niveau par défaut"
         * Sélectionne Zone Internet et clique sur "Personaliser le niveau"
         * Dans la section sur les ActiveX, règle sur "Demander" les téléchargements des ActiveX sognés et non sognés et règle sur "Désactivé" "Contrôles d'initialisation et de script ActiveX non marqués comme sécurisés" 

- ATF Cleaner nettoye les fichiers temporaires d'Internet Explorer et Windows (et Firefox), vide la corbeille et effectue quelques autres actions de nettoyage. Il améliore la vitesse et élimine les fichiers malveillants logés dans les fichiers temporaires : https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

- Noscript est un "Addon" pour Firefox qui empêche l'exécution de scripts en provenance des sites Web. il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée : http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net

- Conserve une sauvegarde des fichiers importants. Ceco devient de plus en plus important. Cet article, en anglais, est rempli d'informations sur les solutions possibles : http://www.geekstogo.com/559/options-for-home-computer-data-backup-part-1/

- MVPS Hosts replace le fichier Hosts par un fichier contenantles sites de pub et autres sites dangereux. Fondamentalement, cela empêche l'ordi de se connecter à ces sites en redirigeant l'appel vers 127.0.0.1 qui correspond à ton ordi. Ceci rend plus difficile d'infecter l'ordi.

https://winhelp2002.mvps.org/hosts.htm

- Il vaut mieux utiliser un navigateur alternatif à Internet Explorer. Je recommande celui de Mozilla, Firefox, très agréable, mieux sécurisé et doté d'un très bon bloqueur de pop-ups. lien de téléchargement : http://www.commentcamarche.net/telecharger/telecharger 111 firefox

3) Si tu lis l'anglais, cet article de Tony Klein comporte d'excellentes suggestions : http://www.geekstogo.com/how-did-i-get-infected-in-the-first-place

4)ERUNT (Emergency Recovery Utility NT) permet de prendre une sauvegarde de la base de registre et de la restaurer en cas de besoin. La copie de sauvegarde du registre effectuée par Windows n'est pas complète : http://www.commentcamarche.net/telecharger/telecharger 34055395 erunt

5)Console de récupération Face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution. Un tutoriel ici : https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm . N'hésite pas à poser des questions si nécessaire.

redfish85 · Answer

Je dois installer tout ça??

Lyonnais92 · Answer

Re,

à mon avis oui,

ça minimisera les risques que tu reviennes.

redfish85 · Answer

Ok je suis en train d'installer le Service pack 3!!

Et ensuite j'installerais tout ce que tu m'as conseillé!!

En tout cas je te remercie sincérement de m'avoir aidé et débarassé de ce virus!!!

Je ne sias pas comment vous remercier tous pour cette précieuse aide...

MERCIIIII!!!!! :)

Lyonnais92 · Answer

Re,

de rien pour l'aide.

Etre mieux protégé ne doit pas faire baisser ta vigilance ! Le premier risque, c'est celui qui tape au clavier.

Tu peux mettre en résolu (première page à la fin du titre, clique sur statut).

Mais ça ne ferme pas le topic.

Je suis encore là si tu as besoin.

redfish85 · Answer

Ok je met en résolu!! Merci encore!

Au secours!!!! Virus trojan

148 réponses

Discussions similaires