Problème Spyware / Virus Résolu

Question

Bonjour,

J'ai été attaqué par plusieurs virus/trojan suite à un téléchargement (malgré le scan préalable pr vérifier que le fichier était sain...)

J'ai fait plusieurs scans Spybot, Antivir, Spyeraser, Malwarebytes, mais il semble qu'il y ait des résistances. J'ai notamment un  Keylogger.super-spy qui m'inquiète !
Autres problèmes : TR/Agent15456.A, BDS/Rustock.net, Tr/Rootkit.gen, TR/Patched.DY.1

Il semble que ces soucis bloquent la mise à jour Antivir / Spybot (erreur Spybot 'Erreur lors de la récupération du fichier d'info Maj). 


Ci-dessous le log Hijack this : 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:32:21, on 21/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
slsvice.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\lotus
otes
tmulti.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\umonit.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Prodipe\Prodipe\PVE_Lite\PVE_GMMode_Lite.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Uniblue\SpyEraser\SpyEraser.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\SpywareDetector\SDService.exe
C:\Program Files\SpywareDetector\SDMainService.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.criticsonline.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.criticsonline.org/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: SuperAdBlockerBHO Class - {00000000-6C30-11D8-9363-000AE6309654} - D:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABBHO.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -masquer
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PVE_Lite] "C:\Program Files\Prodipe\Prodipe\PVE_Lite\PVE_GMMode_Lite.exe"
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [SDActiveMonitor] C:\Program Files\SpywareDetector\SDActiveMonitor.exe -AUTO
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Uniblue SpeedUpMyPC] C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe -s
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Uniblue SpyEraser] "C:\Program Files\Uniblue\SpyEraser\SpyEraser.exe" -m
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancer le Gestionnaire Internet.lnk = C:\Program Files\Wanadoo\GestMAJ.exe
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1D33~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O15 - Trusted Zone: http://webmail-lhr.expeditors.com
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3E82BB3F-ABE4-458D-9281-0187286A4E51} (VoxsyncCtrl Class) - https://login.orange.fr/captcha?return_url=https%3A%2F%2Fmescontacts.orange.fr
O16 - DPF: {45B69029-F3AB-4204-92DE-D5140C3E8E74} (F5 Networks Auto Update) - 
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/10.20.0002/OCI/setup.exe
O16 - DPF: {57C76689-F052-487B-A19F-855AFDDF28EE} (F5 Networks Policy Agent Host Class) - http://webmail-lhr.expeditors.com/...
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111847736609
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/fr/fr/importer/ImageUploader4.cab
O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - http://dl.uc.sina.com/cab/downloader.cab
O16 - DPF: {79E0C1C0-316D-11D5-A72A-006097BFA1AC} (EPSON Web Printer-SelfTest Control Class) - https://www.epson.eu/support/
O16 - DPF: {7DA181BB-EF8D-4A7E-8C53-7BFC718EF71D} (Upload Class) - http://photos.wanadoo.fr/al/presentation/pc/resources/activex/Ephoto.cab
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} - 
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BEF9DA9B-002E-4901-AEFD-53043E9F3965} - 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://livekuva.suomi.net/activex/AMC.cab
O16 - DPF: {E615C9EA-AD69-4AE9-83C9-9D906A0ACA6D} (F5 Networks OS Policy Agent) - http://webmail-lhr.expeditors.com/...
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by106fd.bay106.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{E77010A0-B029-4C5C-9676-7D11BC145D1B}: NameServer = 85.255.115.106,85.255.112.111
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.106,85.255.112.111
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.115,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.106,85.255.112.111
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Lotus Notes Single Logon - IBM Corp - C:\WINDOWS\system32
slsvice.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Program Files\lotus
otes
tmulti.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Super Ad Blocker (SABSVC) - SuperAdBlocker.com - D:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
O23 - Service: SDMainSvc - Max Secure Software  - C:\Program Files\SpywareDetector\SDMainService.exe
O23 - Service: SDService - Max Secure Software  - C:\Program Files\SpywareDetector\SDService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

V-X · Answer

Salut,

Plusieurs infections.

&#x25B6 Installe - Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31)

&#x25B6 Option:1 => Recherche:

&#x25B6  Double cliquer sur SmitfraudFix.exe
    
&#x25B6 Sélectionner 1 et pressez =>Entrée dans le menu pour créer 

&#x25B6 un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque 

système 

&#x25B6 C:\rapport.txt et colle le rapport génèrer sur le forum.

&#x25B6 Ne pas faire l'option 2 sans un avis d'une personne compétente*<=


Tutoriel Smitfraudix

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.

V-X · Answer

Re,

On va commencer par sa:

Relance smithfraudix :

Au panneau tu fait l'option 5.

V-X · Answer

Re,

Tu clic sur oui.

Si problème suite a cela tu feras sa:

PS:Salut chimay8..

Télécharge se petit soft , ZEB_RESTORE :

ici http://telechargement.zebulon.fr/zeb-restore.html
ou https://forum.zebulon.fr/index.php?act=attach&type=blogentry&id=1153

Enregistre ce fichier sur ton bureau.

-Clique droit Zeb-Restore.zip ==> "Extraire tout" choisis comme lieu d'enregistrement le bureau.
-Ouvre le dossier ZR_1.0.0.37 ==> double clique sur Zeb-Restore.exe
---> Coche les cases devant ( et uniquement celles-ci ! ) :

* regedit : rétablis l'editeur de registre
* clés run : réactive les valeurs bloquant l'utilisation de celles-ci
* Bouton Arrêter : rétablit le bouton Arrêter
* Windows Update : rétablit la fonction Windows Update
* Gestionnaire des tâches : réactive le gestionnaire des tâches
* Panneau de configuration : réactive le Panneau de configuration
* Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes
* Policies : remet en place des éléments désactivés par "Policies"
* Bureau : réactive le bureau
* Réparation IE : répare Internet Exploreur (pages de recherche)
* Extension des fichiers : répare les extensions des fichiers .exe .bat .reg .pif .cmd .scr .com
* Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
* Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
* Réinitialiser Fichier Hosts : réinitialise le fichier Hosts
* restauration du système : répare l'option "restauration du système" ...

-Clique sur : " Restaurer " et laisse faire ....

--> Une fois finit, redémarre ton PC . 

Egalement =>https://www.pcastuces.com/newsletter/adj/1943.htm

V-X · Answer

Re,

Non pas besoin.

Maintenant fait ce qui suit:

2) Nettoyage:==>En mode sans échec obligatoirement

&#x25B6 Redemarrer l'ordinateur en mode sans échec:
   
&#x25B6 Double cliquer sur smitfraudix:
  
&#x25B6 Sélectionner 2 et pressez Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
   
&#x25B6 A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection:.
  
&#x25B6 Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu:.
 
&#x25B6 Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt:

Option::

 * Pour effacer la liste des sites de confiance et sensibles, sélectionner 3 et pressez Entrée dans le menu.
    
&#x25B6  A la question: Réinitialiser la liste des sites de confiance et sensibles ? répondre O (oui) et pressez Entrée afin de restaurer les zones de confiances et sensibles:.

:FAUX POSITIF::

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.

chimay8 · Answer

est-ce que je lance l'autre programme par sécurité ?

si tu as du rustock,ce n'est pas avec un tool que tu vas t'en sortir...

chimay8 · Answer

fais ceci stp

vide ton cache dns
clic sur démarrer--> exécuter
tape cmd puis valide par [Enter] 
ensuite tape où copie/colle ce qui est en gras:

ipconfig /flushdns    **n'oublie pas l'espace entre  ...ipconfig[espace]/flushdns**

puis valide par [Enter]

Redémarre l'ordinateur en mode sans échec . 
Comment aller en Mode sans échec 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copie ou imprime bien les infos ci-dessous ...) 

*Double click sur SmitfraudFix.exe 

* Sélectionnes 2 et presses "Entrée" dans le menu pour supprimer les fichiers responsables de l'infection. 

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presse Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection. 

( Le correctif déterminera si le fichier wininet.dll est infecté.) 

* A la question: "Corriger le fichier infecté ?" répondre O (oui) et presser Entrée 
pour remplacer le fichier corrompu. 

* Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage ( sinon fais le manuellement ) 

Le rapport se trouve à la racine de C\: 
(dans le fichier "rapport.txt") 

redémarre ton pc

poste un nouveau rapport Hijack avec stp

chimay8 · Answer

regarde le poste 6

tu coches : * Réparation IE

tu as fais ça?

vide ton cache dns 
clic sur démarrer--> exécuter 
tape cmd puis valide par [Enter] 
ensuite tape où copie/colle ce qui est en gras: 

ipconfig /flushdns **n'oublie pas l'espace entre ...ipconfig[espace]/flushdns** 

puis valide par [Enter]

si oui,ne le fais plus(inutile)

refais un scan rapide avec MBAM

poste le rapport

chimay8 · Answer

oui
tu supprimes

je n'ai pas vu le rapport de l'option 2 avec smitfraudfix
c'est important pour savoir si les autoruns ont été dégommé

chimay8 · Answer

Le rapport se trouve à la racine de C\: 
(dans le fichier "rapport.txt")

chimay8 · Answer

bin c'est vachement plus propre

y a encore ton histoire de rustock

mais avant,un zeste de nettoyage

relance Hijack(scan only) et coche ces lignes

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install     
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe     
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"     
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE     
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe     
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')     
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')     
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')     
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')     
O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} - http://dl.uc.sina.com/cab/downloader.cab     
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} -     
O16 - DPF: {BEF9DA9B-002E-4901-AEFD-53043E9F3965} -     


clic sur fix checked


ensuite


Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
et sauvegarde le sur ton bureau et pas ailleurs! 

**Désactive les logiciels de protection** (Antivirus, Antispywares) puis : 
deconnecte toi d'internet,ferme tout les programmes 

Double-clique sur combofix,si il te demande d'installer la console,fais le(voir plus bas)
ensuite,
il va te poser une question, réponds par la touche 1 et entrée pour valider. 
ne touche plus à rien, même pas ta souris!! 

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

chimay8 · Answer

y a encore du boulot...

combofix a bien travaillé mais il reste des crasses

si tu le permets,on reprends demain car je suis vidé

++

chimay8 · Answer

ok,
a demain
je te rassure on a bien avancé!!!

chimay8 · Answer

Copie le texte ci-dessous : 

File::
c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
c:\windows\system\SysSD.dll
c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\__t.bin
c:\windows\system32\DDDE.tmp
c:\windows\system32\DDDD.tmp
c:\windows\system32\DDDC.tmp
c:\windows\system32\DDDB.tmp
c:\windows\system32\DDD6.tmp
c:\windows\system32\DDD9.tmp
c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\wklnhst.dat

Folder::
c:\program files\SpywareDetector
c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\_4f2bbb3471001f5bd7db6d2d8f3817e4
C:\1684826783


Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] 
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled
tldr.com d:
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] 
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled
tldr.com e:



Ouvre le Bloc-Notes puis colle le texte copié. 
(Démarrer\Tous les programmes\Accessoires\Bloc notes.) 
Sauvegarde ce fichier(sur le bureau) sous le nom de CFScript.txt 

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci : 
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif 

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. 

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! 

Ne touche à rien tant que le scan n'est pas terminé. 

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis. 

S'il n'y a pas de rédémarrage, poste quand même les rapports.

chimay8 · Answer

ah zut, les mountpoints2 relance l'infection Télécharge RavAntivirus d'Evosla : http://ww25.evosla.com/compteur.php?soft=rav_antivirus # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau # Doucle-clique sur >> RAV.exe << afin de lancer l'outil. # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles) # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain . # Retire tes disques amovibles et redémarrez votre ordinateur. # Poste le rapport, si infection! 2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe Double-clique sur l’icône. Les icônes vont disparaître. C’est normal. Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite Redémarre ensuite le PC. Pour RAV, le rapport est là https://imageshack.com/

chimay8 · Answer

Antivir n'a rien trouvé de plus que la quarantaine de Combo

evite de faire tourner plusieurs tools en même temps,tu risques de planter ton pc.

et je suis sur que spy eraser a trouvé les mêmes trucs dans la quarantaine de combo


des que rav a terminé,dis moi quoi!

chimay8 · Answer

en fait ils étaient dans la restauration système
donc inactifs tant qu'il n'y a pas de restauration;mais dans tout les cas je fais nettoyer la restauration à la fin de la désinfection

c'est ceci qui m'inquiète

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] 
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled
tldr.com d: 
\Shell\Open\command - d:esycled
tldr.com d: 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] 
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled
tldr.com e: 
\Shell\Open\command - e:esycled
tldr.com e:

il faut que je me renseigne

patiente un peu que l'on me réponde et je te dis quoi faire

chimay8 · Answer

Copie le texte ci-dessous : 

File:: 
d:esycled
tldr.com
e:esycled
tldr.com


Registry:: 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] 
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled
tldr.com d: 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] 
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled
tldr.com e: 



Ouvre le Bloc-Notes puis colle le texte copié. 
(Démarrer\Tous les programmes\Accessoires\Bloc notes.) 
Sauvegarde ce fichier(sur le bureau) sous le nom de CFScript.txt 

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci : 
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif 

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. 

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! 

Ne touche à rien tant que le scan n'est pas terminé. 

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis. 

S'il n'y a pas de rédémarrage, poste quand même les rapports.

chimay8 · Answer

c'est la guigne...il s'accroche!!!

Télécharge OTMoveIt3( de Old Timer ) 
http://oldtimer.geekstogo.com/OTMoveIt3.exe
Une fois téléchargé double-clique sur OTMoveIt3.exe pour le lancer. 
Assure toi que la case "Unregister Dll's and Ocx's" est cochée 
Copie les lignes(qui sont en gras) qui se trouvent en dessous : 

:Processes 
explorer.exe

:Files
C:\1684826783
c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\???????sAppData
c:\windows\COVERE~1.INI
d:esycled
tldr.com 
e:esycled
tldr.com

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] 
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled
tldr.com d: 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] 
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled
tldr.com e:

:Commands 
[emptytemp] 
[start explorer] 
[Reboot]

et colle-les dans le cadre de gauche de OTMoveIt : "Paste List Of Files/Folders to Move." 
Clique sur "MoveIt!" pour lancer la suppression. 
Le résultat apparaitra dans le cadre "Results". 
Clique sur Exit pour fermer. 
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 
 -Il te sera peut-être demander de redémarrer le pc pour achever la suppression -> Accepte ( si il ne fait pas automatiquement , fait-le toi même ) 

/!\ Note : Au démarrage ton bureau RISQUE de ne plus apparaître, dans ce cas fait --> CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches. 
Puis rends toi sur l'onglet "Processus". Clique en haut à gauche sur "Fichiers" et choisis "Exécuter" 
Tape "explorer.exe"(sans les guillemèts) et valide. Cela fera réapparaître le Bureau.

chimay8 · Answer

non

relance MBAM,fais un scan complet et supprime tout ce qu'il trouve

n'oublie pas de poster le rapport

jlpjlp · Answer

slt,

pour avancer chimay8:


Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

jlpjlp · Answer

analyse ce fichier sur virus total et colle le rapport:  https://www.virustotal.com/gui/
c:\windows\system32\drivers\7c5c634b.sys

jlpjlp · Answer

ok

vire ce qui est en quarantaine dans antivir et malwarebyte
_________________


télécharge OTMoveIt 
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

double-clique sur OTMoveIt.exe pour le lancer. 
copie la liste qui se trouve en citation ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste instruction for items to be moved. 
(attention bien mettre :files)


:processes
explorer.exe
:services
7c5c634b 
:files
C:\WINDOWS\System32\drivers\7c5c634b.sys
E:esycled
tldr.com e:
C:\autorun.inf 
E:esycled
C:\Documents and Settings\Arnaud Meunier.ARNAUD-PC1\Local Settings\Temporary Internet Files\Content.IE5\OFNZAGXP\enavweb[1].cab
C:\Documents and Settings\Arnaud Meunier.ARNAUD-PC1\Local Settings\Temporary Internet Files\Content.IE5\OFNZAGXP\enavweb[2].cab
:reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
:commands
[purity]
[emptytemp]
[start explorer]

clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes. 

_______________


remets ensuite un rapport RSIT







----------------------


rq:
sinon ce qui a été trouvé par antivir c'est iren de méchant ceci correspond a combofix et smitfraudfix qui t'on aidé et que chimay8 te fera virer par la suite

C:\Documents and Settings\Arnaud Meunier.ARNAUD-PC1.000\Bureau\ComboFix.exe
C:\Documents and Settings\Arnaud Meunier.ARNAUD-PC1.000\Bureau\IS\SmitfraudFix\Agent.OMZ.Fix.exe
C:\Documents and Settings\Arnaud Meunier.ARNAUD-PC1.000\Bureau\IS\SmitfraudFix\Reboot.exe
C:\Documents and Settings\Arnaud Meunier.ARNAUD-PC1.000\Bureau\IS\SmitfraudFixestart.exe

----------------------
pour tous les autres commençant par  System Volume Information  c'est ta sauvegarde de windows qui permet de revenir en arrière si plantage de l'ordi donc aucun souci, chimay8 te fera la désactiver à la fin car il est préferable d'en garder tant que l'ordi n'est pas completement nettoyé:

E:\System Volume Information\_restore{06F68E53-00BC-4B00-AF56-317698F0D65B}\RP1334\A0175919.com

E:\System Volume Information\_restore{06F68E53-00BC-4B00-AF56-317698F0D65B}\RP1334\A0175954.com

E:\System Volume Information\_restore{06F68E53-00BC-4B00-AF56-317698F0D65B}\RP1338\A0175958.com

.....

jlpjlp · Answer

c'est quoi le disque E ?K il est branché?

____________________

nettoie ton registre avec regcleaner

https://www.malekal.com/nettoyer-sa-base-de-registre-avec-windows-registry-cleaner/

_________________


utilise  pour supprimer tes traces 

CCLEANER: (lance un nettoyage et répare 3 fois le registre) sans installer la barre yahoo 
(dans les options puis avancé :désactive la case: effacer les fichiers de plus de 48 heures)
https://www.malekal.com/tutoriel-ccleaner/
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

___________________

télécharge combofix (par sUBs) ici : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

et enregistre le sur le bureau. 
déconnecte toi d'internet et ferme toutes tes applications. 

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) 


double-clique sur combofix.exe et suis les instructions 

à la fin, il va produire un rapport C:\ComboFix.txt 

réactive ton parefeu, ton antivirus, la garde de ton antispyware 

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Tu as un tutoriel complet ici : 

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

chimay8 · Answer

Salut(merci à jlpjlp pour l'avancement)

==> Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau

Double clique sur OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier/coller de : resycled
tldr.com e
- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il ai terminé.
Le rapport de recherche s'affichera automatiquement dès qu'il aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain poste.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient

chimay8 · Answer

oups!!

double poste

salut Jérome tu vas bien?

je pensais faire une recherche sur ce pu*** de fichier

t'en pense quoi?

jlpjlp · Answer

slt chimay8


je te laisse poursuivre :)

a plus

chimay8 · Answer

c'est pas grave si regcleaner plante
tu as pu passer ccleaner?

vire combofix comme ceci

~>Clique sur " Démarrer " ~> " Exécuter "( ou combine la touche Windows + R ) -> copie/colle cette ligne : 

ComboFix /u 

( laisse l'espace entre Combofix et /u ) 

~>Valide .

vire le dossier qoobox dans c:\


et retélécharge le comme demandé au poste 53 par jlpjlp
puis tu le lances réponds par la touche 1 et entrée pour valider. 
ne touche plus à rien, même pas ta souris!! 

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

chimay8 · Answer

oui
c'est toujours mieux d'installer la console
une fois que celle-ci est installée tu peux sans problème continuer...

Charliek · Answer

Bon voilà le rapport : ComboFix 09-01-21.04 - Arnaud Meunier 2009-01-23 14:45:05.4 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1023.558 [GMT 1:00] Lancé depuis: c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Bureau\ComboFix.exe AV: AntiVir PersonalEdition Classic Virus Protection *On-access scanning disabled* (Updated) AV: AntiVir PersonalEdition Classic Virus Protection *On-access scanning enabled* (Updated) AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) * Un nouveau point de restauration a été créé . ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-23 au 2009-01-23 )))))))))))))))))))))))))))))))))))) . 2009-01-23 12:58 . 2009-01-23 12:58 d-------- c:\program files\RegCleaner 2009-01-23 11:35 . 2009-01-23 11:36 d-------- C: sit 2009-01-23 10:12 . 2009-01-23 10:12 222 --a------ c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\wklnhst.dat 2009-01-21 17:47 . 2009-01-23 11:43 d-------- c:\program files\CCleaner 2009-01-21 12:21 . 2009-01-21 12:21 d-------- c:\program files\Malwarebytes' Anti-Malware 2009-01-21 12:21 . 2009-01-21 12:21 d-------- c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\Malwarebytes 2009-01-21 12:21 . 2009-01-21 12:21 d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes 2009-01-21 12:21 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-01-21 12:21 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-01-21 12:18 . 2009-01-21 12:18 d-------- c:\program files\Trend Micro 2009-01-21 09:24 . 2009-01-21 09:24 d-------- c:\program files\iLike 2009-01-20 20:10 . 2009-01-20 20:10 108,336 --a------ c:\windows\system32\mswinsck.ocx 2009-01-19 16:35 . 2009-01-19 16:35 d-------- c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Library 2009-01-19 16:35 . 2009-01-19 16:35 d-------- c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\com.adobe.ExMan 2009-01-19 14:25 . 2009-01-19 15:11 d-------- c:\documents and settings\All Users.WINDOWS\Application Data\FLEXnet 2009-01-19 12:03 . 2009-01-19 13:24 d-------- c:\program files\Adobe CS4 2009-01-17 18:56 . 2009-01-17 18:56 d-------- c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\Todae 2009-01-15 19:18 . 2009-01-15 19:18 d-------- c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\Expeditors 2008-12-29 08:04 . 2008-12-08 17:01 55,136 --a------ c:\windows\system32\drivers\fssfltr_tdi.sys 2008-12-29 08:01 . 2008-12-29 08:01 d-------- c:\program files\Windows Live SkyDrive 2008-12-29 08:01 . 2008-12-29 08:04 d-------- c:\program files\Microsoft . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-23 11:19 --------- d-----w c:\program files\Wanadoo 2009-01-23 11:18 13,440 ----a-w c:\windows\system32\drivers\USBCRFT.SYS 2009-01-23 11:04 --------- d-----w c:\program files\DivX 2009-01-23 10:46 --------- d-----w c:\program files\Logitech 2009-01-23 08:33 --------- d-----w c:\program files\Veetle 2009-01-22 17:32 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\AntiVir PersonalEdition classic 2009-01-22 15:47 --------- d-----w c:\program files\Fichiers communs\Macrovision Shared 2009-01-22 15:47 --------- d-----w c:\program files\Fichiers communs\Adobe 2009-01-22 15:30 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy 2009-01-22 14:06 --------- d-----w c:\program files\Windows Media Connect 2 2009-01-22 14:06 --------- d-----w c:\program files\Make bootable flashcards 2009-01-21 16:57 --------- d-----w c:\program files\Fichiers communs\Real 2009-01-21 13:08 --------- d-----w c:\program files\QuickTime 2009-01-21 12:41 --------- d-----w c:\program files\eMule 2009-01-20 19:12 --------- d-----w c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\uTorrent 2009-01-19 10:52 --------- d-----w c:\program files\Final Draft 7 2009-01-17 14:27 --------- d-----w c:\program files\Macromedia 2008-12-29 07:04 --------- d-----w c:\program files\Windows Live 2008-12-28 20:44 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard 2008-12-21 12:15 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data View_Profiles 2008-12-21 12:11 --------- d-----w c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\360desktop 2008-12-16 12:32 410,984 ----a-w c:\windows\system32\deploytk.dll 2008-12-16 12:32 --------- d-----w c:\program files\Java 2008-12-14 16:16 --------- d-----w c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\Synthesia 2008-12-13 14:07 --------- d-----w c:\program files\SpywareBlaster 2008-12-13 14:05 --------- d-----w c:\program files\Apple Software Update 2008-12-13 14:01 --------- d---a-w c:\documents and settings\All Users.WINDOWS\Application Data\TEMP 2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys 2008-12-04 23:11 308,584 ----a-w c:\windows\WLXPGSS.SCR 2008-12-02 21:37 49,480 ----a-w c:\windows\system32\sirenacm.dll 2008-12-02 20:25 --------- d-----w c:\program files\VstPlugins 2008-12-02 20:25 --------- d-----w c:\program files\Outsim 2008-12-02 20:25 --------- d-----w c:\program files\Image-Line 2008-12-02 20:25 --------- d-----w c:\program files\ASIO4ALL v2 2008-12-02 19:22 290,816 ----a-w c:\windows\system32\PVE_Lite.dll 2008-12-02 19:20 --------- d-----w c:\program files\Prodipe 2008-11-16 18:45 48,396 ----a-w c:\windows\UninstVeetleTVPlayer.exe 2008-11-04 18:50 270,128 ----a-w c:\program files\utorrent.exe 2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll 2008-09-12 19:55 137,399 ----a-w c:\program files\CS4 Design Premium — Lisez-moi.pdf 2008-01-19 15:59 869,376 ----a-w c:\program files\Printkey2000.exe 2006-12-15 06:10 66,608 ----a-w c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\GDIPFONTCACHEV1.DAT 2003-05-07 12:52 657 ----a-w c:\program files\Advanced MP3 Converter v1.81.txt 2003-05-02 16:15 1,616,269 ----a-w c:\program files\advanced-mp3-converter.exe 1999-05-05 13:49 463,872 ----a-w c:\program files\Convert.exe 2008-09-20 16:17 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008092020080921\index.dat . ------- Sigcheck ------- 2005-05-25 20:07 359936 63fdfea54eb53de2d863ee454937ce1e c:\windows\$hf_mig$\KB893066\SP2QFE cpip.sys 2006-01-13 18:07 360448 5562cc0a47b2aef06d3417b733f3c195 c:\windows\$hf_mig$\KB913446\SP2QFE cpip.sys 2006-04-20 13:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 c:\windows\$hf_mig$\KB917953\SP2QFE cpip.sys 2007-10-30 17:53 360832 64798ecfa43d78c7178375fcdd16d8c8 c:\windows\$hf_mig$\KB941644\SP2QFE cpip.sys 2008-06-20 11:44 360960 744e57c99232201ae98c49168b918f48 c:\windows\$hf_mig$\KB951748\SP2QFE cpip.sys 2008-06-20 12:51 361600 9aefa14bd6b182d61e3119fa5f436d3d c:\windows\$hf_mig$\KB951748\SP3GDR cpip.sys 2008-06-20 12:59 361600 ad978a1b783b5719720cff204b666c8e c:\windows\$hf_mig$\KB951748\SP3QFE cpip.sys 2008-06-20 11:45 360320 2a5554fc5b1e04e131230e3ce035c3f9 c:\windows\$NtServicePackUninstall$ cpip.sys 2004-08-04 07:14 359040 9f4b36614a0fc234525ba224957de55c c:\windows\$NtUninstallKB893066$ cpip.sys 2005-05-25 20:04 359808 88763a98a4c26c409741b4aa162720c9 c:\windows\$NtUninstallKB913446$ cpip.sys 2006-01-13 03:28 359808 583e063fdc888ca30d05c2724b0d7ef4 c:\windows\$NtUninstallKB917953$ cpip.sys 2006-04-20 12:51 359808 1dbf125862891817f374f407626967f4 c:\windows\$NtUninstallKB941644$ cpip.sys 2008-04-13 20:20 361344 93ea8d04ec73a85db02eb8805988f733 c:\windows\$NtUninstallKB951748$ cpip.sys 2007-10-30 18:20 360064 90caff4b094573449a0872a0f919b178 c:\windows\$NtUninstallKB951748_0$ cpip.sys 2008-04-13 20:20 361344 93ea8d04ec73a85db02eb8805988f733 c:\windows\ServicePackFiles\i386 cpip.sys 2008-06-20 12:51 361600 4afb3b0919649f95c1964aa1fad27d73 c:\windows\system32\dllcache cpip.sys 2008-06-20 12:51 361600 4afb3b0919649f95c1964aa1fad27d73 c:\windows\system32\drivers cpip.sys . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WOOKIT"="c:\program files\Wanadoo\Shell.exe" [2004-08-23 122880] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2008-01-22 152872] "Uniblue SpeedUpMyPC"="c:\program files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe" [2008-04-02 9442584] "Uniblue SpyEraser"="c:\program files\Uniblue\SpyEraser\SpyEraser.exe" [2008-04-02 1424648] "ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2008-12-19 1434864] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497] "UMonit"="c:\windows\system32\umonit.exe" [2005-08-06 53248] "WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-01 5562368] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-04-01 86016] "PVE_Lite"="c:\program files\Prodipe\Prodipe\PVE_Lite\PVE_GMMode_Lite.exe" [2008-12-02 856064] "CHotkey"="mHotkey.exe" [2002-07-23 c:\windows\mHotkey.exe] "Dit"="Dit.exe" [2004-04-02 c:\windows\Dit.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160] "iLike"="c:\program files\iLike\1.2.11\ilikesidebar.exe" [2008-09-11 63024] c:\documents and settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\ Lancer le Gestionnaire Internet.lnk - c:\program files\Wanadoo\GestMAJ.exe [2008-08-05 32768] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.ACDV"= ACDV.dll "midi"= PVE_Lite.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\Program Files\Macromedia\Fireworks MX\Fireworks.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\Program Files\FileZilla\FileZilla.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\WINDOWS\system32\dxdiag.exe"= "c:\Program Files\Fichiers communs\Ahead\Nero Web\SetupX.exe"= "c:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe"= "c:\Program Files\sina\SAP\SAPlatform.exe"= "c:\WINDOWS\system32\dpvsetup.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"= "c:\Program Files\uTorrent\uTorrent.exe"= "c:\WINDOWS\system32\sessmgr.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009 R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-01-31 22336] R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2006-01-31 45376] R3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [2006-11-19 13440] R3 cmudax;C-Media Azalia Audio Interface;c:\windows\system32\drivers\cmudax.sys [2004-06-25 1390976] R4 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2008-12-29 55136] R4 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [2006-11-03 13592] S1 SDManager;SDManager;\??\c:\program files\SpywareDetector\SDManager.sys --> c:\program files\SpywareDetector\SDManager.sys [?] S3 Defender;Defender;\??\c:\program files\SinEspias\Defender.sys --> c:\program files\SinEspias\Defender.sys [?] S3 fixustor;fixustor;c:\windows\system32\drivers\fixustor.sys [2007-01-13 6656] S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [2008-12-08 533344] S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\w300mgmt.sys [2006-08-12 87824] S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;c:\windows\system32\drivers\w300obex.sys [2006-08-11 85696] S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\drivers\WlanUIG.sys [2004-11-18 379456] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled tldr.com e: \Shell\Open\command - e: esycled tldr.com e: [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] "c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe" . Contenu du dossier 'Tâches planifiées' 2009-01-23 c:\windows\Tasks\MP Scheduled Scan.job - c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20] 2009-01-18 c:\windows\Tasks\Uniblue SpeedUpMyPC Nag.job - c:\program files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe [2008-04-02 08:50] 2008-05-23 c:\windows\Tasks\Uniblue SpeedUpMyPC.job - c:\program files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe [2008-04-02 08:50] 2008-05-23 c:\windows\Tasks\Uniblue SpyEraser.job - c:\program files\Uniblue\SpyEraser\SpyEraser.exe [2008-04-02 08:50] 2006-01-14 c:\windows\Tasks\XoftSpy.job - c:\program files\XoftSpy\XoftSpy.exe [] . - - - - ORPHELINS SUPPRIMES - - - - MSConfigStartUp-Acrobat Assistant 8 - c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe MSConfigStartUp-Adobe Acrobat Speed Launcher - c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.criticsonline.org/ IE: { - c:\program files\Messenger\msmsgs.exe Trusted Zone: expeditors.com\webmail-lhr DPF: {3E82BB3F-ABE4-458D-9281-0187286A4E51} - hxxp://contacts.orange.fr/wfr_webab/VoxsyncX.cab DPF: {7DA181BB-EF8D-4A7E-8C53-7BFC718EF71D} - hxxp://photos.wanadoo.fr/al/presentation/pc/resources/activex/Ephoto.cab DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://livekuva.suomi.net/activex/AMC.cab . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-23 14:48:06 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run UMonit = c:\windows\system32\umonit.exe?ixustor.sys??_0fce&Pi??????$?I_01??658???B\?O???????????????????????????w??????????????P?l??????|p??|????m??|C??w??????????$?B$?|???w???w*?,???$????????????????????????????????w??????????????P?????T???~?P???????P???P???????? Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_USERS\S-1-5-21-1957994488-484061587-725345543-1004\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) [HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\USB\Vid_0db0&Pid_4011\AAAA12345678\LogConf] @DACL=(02 0000) . Heure de fin: 2009-01-23 14:50:03 ComboFix-quarantined-files.txt 2009-01-23 13:50:01 Avant-CF: 55 110 909 952 octets libres Après-CF: 55,099,731,968 octets libres 216 --- E O F --- 2009-01-23 07:12:16

jlpjlp · Answer

==> Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau

Double clique sur OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier/coller de :      resycled
- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il ai terminé.
Le rapport de recherche s'affichera automatiquement dès qu'il aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain poste.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient

chimay8 · Answer

je suis sidéré par la résistance de l'autorun!!! Télécharge sur ton bureau Dr.Web CureIt https://free.drweb.com/ - Lance Dr.Web CureIt : - Clique sur puis sur à l'invite de l'analyse rapide. Le scan va analyser les processus chargés en mémoire. S'il trouve des infections clique sur le bouton à chaque propositions. NB : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction". Quitte en cliquant le . - Une fois le scan rapide achevé, clique sur puis choisis . Choisis l'onglet , décoche puis clique sur . - De retour à la fenêtre principale, clique pour activer puis sur le bouton avec la flèche verte => le scan débute alors. - Lorsque qu'un fichier est détecté, clique sur pour tout à l'invite puis sur . - Lorsque le scan sera terminé, regarde si tu peux cliquer sur cet icône adjacent aux fichiers détectés. Si oui, alors clique dessus et ensuite clique sur l'icône au dessous, et choisis . - En haut à gauche du menu principal de l'outil, clique sur le menu et choisis . - Sauvegarde le rapport dans le dossier de ton bureau créé au début de la manip. Il se nomme : DrWeb.csv - Ferme Dr.Web Cureit. - Redémarre ton PC (c'est très important car certains fichiers peuvent être déplacés/réparés au redémarrage. - Après redémarrage copie/colle le rapport Dr. Web sur le forum.

chimay8 · Answer

oui,
fais une recherche sur le fichier demandé par jlpjlp

si tu vois que la recherche est négative,passe au poste 66

Charliek · Answer

je fais la recherche sur Oad et non sur le site web c'est bien ça ?

jlpjlp · Answer

essaye ceci:

Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :


Driver ::
7c5c634b
File::
C:\WINDOWS\System32\drivers\7c5c634b.sys
E:esycled
tldr.com e:
E:esycled
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversio­n\explorer\mountpoints2\E]





Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

jlpjlp · Answer

essaye combofix avant 

arrete dr web

Charliek · Answer

Et voicile rapport combo : ComboFix 09-01-21.04 - Arnaud Meunier 2009-01-23 15:40:12.5 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1023.393 [GMT 1:00] Lancé depuis: c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Bureau\ComboFix.exe Commutateurs utilisés :: c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Bureau\CFscript.txt AV: AntiVir PersonalEdition Classic Virus Protection *On-access scanning disabled* (Updated) AV: AntiVir PersonalEdition Classic Virus Protection *On-access scanning enabled* (Updated) AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) * Un nouveau point de restauration a été créé FILE :: c:\windows\System32\drivers\7c5c634b.sys E: esycled e: esycled tldr.com e: . ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-23 au 2009-01-23 )))))))))))))))))))))))))))))))))))) . 2009-01-23 15:22 . 2009-01-23 15:22 d-------- c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\DoctorWeb 2009-01-23 12:58 . 2009-01-23 12:58 d-------- c:\program files\RegCleaner 2009-01-23 11:35 . 2009-01-23 11:36 d-------- C: sit 2009-01-23 10:12 . 2009-01-23 10:12 222 --a------ c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\wklnhst.dat 2009-01-21 17:47 . 2009-01-23 11:43 d-------- c:\program files\CCleaner 2009-01-21 12:21 . 2009-01-21 12:21 d-------- c:\program files\Malwarebytes' Anti-Malware 2009-01-21 12:21 . 2009-01-21 12:21 d-------- c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\Malwarebytes 2009-01-21 12:21 . 2009-01-21 12:21 d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes 2009-01-21 12:21 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-01-21 12:21 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-01-21 12:18 . 2009-01-21 12:18 d-------- c:\program files\Trend Micro 2009-01-21 09:24 . 2009-01-21 09:24 d-------- c:\program files\iLike 2009-01-20 20:10 . 2009-01-20 20:10 108,336 --a------ c:\windows\system32\mswinsck.ocx 2009-01-19 16:35 . 2009-01-19 16:35 d-------- c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Library 2009-01-19 16:35 . 2009-01-19 16:35 d-------- c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\com.adobe.ExMan 2009-01-19 14:25 . 2009-01-19 15:11 d-------- c:\documents and settings\All Users.WINDOWS\Application Data\FLEXnet 2009-01-19 12:03 . 2009-01-19 13:24 d-------- c:\program files\Adobe CS4 2009-01-17 18:56 . 2009-01-17 18:56 d-------- c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\Todae 2009-01-15 19:18 . 2009-01-15 19:18 d-------- c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\Expeditors 2008-12-29 08:04 . 2008-12-08 17:01 55,136 --a------ c:\windows\system32\drivers\fssfltr_tdi.sys 2008-12-29 08:01 . 2008-12-29 08:01 d-------- c:\program files\Windows Live SkyDrive 2008-12-29 08:01 . 2008-12-29 08:04 d-------- c:\program files\Microsoft . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-23 11:19 --------- d-----w c:\program files\Wanadoo 2009-01-23 11:18 13,440 ----a-w c:\windows\system32\drivers\USBCRFT.SYS 2009-01-23 11:04 --------- d-----w c:\program files\DivX 2009-01-23 10:46 --------- d-----w c:\program files\Logitech 2009-01-23 08:33 --------- d-----w c:\program files\Veetle 2009-01-22 17:32 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\AntiVir PersonalEdition classic 2009-01-22 15:47 --------- d-----w c:\program files\Fichiers communs\Macrovision Shared 2009-01-22 15:47 --------- d-----w c:\program files\Fichiers communs\Adobe 2009-01-22 15:30 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy 2009-01-22 14:06 --------- d-----w c:\program files\Windows Media Connect 2 2009-01-22 14:06 --------- d-----w c:\program files\Make bootable flashcards 2009-01-21 16:57 --------- d-----w c:\program files\Fichiers communs\Real 2009-01-21 13:08 --------- d-----w c:\program files\QuickTime 2009-01-21 12:41 --------- d-----w c:\program files\eMule 2009-01-20 19:12 --------- d-----w c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\uTorrent 2009-01-19 10:52 --------- d-----w c:\program files\Final Draft 7 2009-01-17 14:27 --------- d-----w c:\program files\Macromedia 2008-12-29 07:04 --------- d-----w c:\program files\Windows Live 2008-12-28 20:44 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard 2008-12-21 12:15 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data View_Profiles 2008-12-21 12:11 --------- d-----w c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\360desktop 2008-12-16 12:32 410,984 ----a-w c:\windows\system32\deploytk.dll 2008-12-16 12:32 --------- d-----w c:\program files\Java 2008-12-14 16:16 --------- d-----w c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\Synthesia 2008-12-13 14:07 --------- d-----w c:\program files\SpywareBlaster 2008-12-13 14:05 --------- d-----w c:\program files\Apple Software Update 2008-12-13 14:01 --------- d---a-w c:\documents and settings\All Users.WINDOWS\Application Data\TEMP 2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys 2008-12-04 23:11 308,584 ----a-w c:\windows\WLXPGSS.SCR 2008-12-02 21:37 49,480 ----a-w c:\windows\system32\sirenacm.dll 2008-12-02 20:25 --------- d-----w c:\program files\VstPlugins 2008-12-02 20:25 --------- d-----w c:\program files\Outsim 2008-12-02 20:25 --------- d-----w c:\program files\Image-Line 2008-12-02 20:25 --------- d-----w c:\program files\ASIO4ALL v2 2008-12-02 19:22 290,816 ----a-w c:\windows\system32\PVE_Lite.dll 2008-12-02 19:20 --------- d-----w c:\program files\Prodipe 2008-11-16 18:45 48,396 ----a-w c:\windows\UninstVeetleTVPlayer.exe 2008-11-04 18:50 270,128 ----a-w c:\program files\utorrent.exe 2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll 2008-09-12 19:55 137,399 ----a-w c:\program files\CS4 Design Premium — Lisez-moi.pdf 2008-01-19 15:59 869,376 ----a-w c:\program files\Printkey2000.exe 2006-12-15 06:10 66,608 ----a-w c:\documents and settings\Arnaud Meunier.ARNAUD-PC1.000\Application Data\GDIPFONTCACHEV1.DAT 2003-05-07 12:52 657 ----a-w c:\program files\Advanced MP3 Converter v1.81.txt 2003-05-02 16:15 1,616,269 ----a-w c:\program files\advanced-mp3-converter.exe 1999-05-05 13:49 463,872 ----a-w c:\program files\Convert.exe 2008-09-20 16:17 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008092020080921\index.dat . ------- Sigcheck ------- 2005-05-25 20:07 359936 63fdfea54eb53de2d863ee454937ce1e c:\windows\$hf_mig$\KB893066\SP2QFE cpip.sys 2006-01-13 18:07 360448 5562cc0a47b2aef06d3417b733f3c195 c:\windows\$hf_mig$\KB913446\SP2QFE cpip.sys 2006-04-20 13:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 c:\windows\$hf_mig$\KB917953\SP2QFE cpip.sys 2007-10-30 17:53 360832 64798ecfa43d78c7178375fcdd16d8c8 c:\windows\$hf_mig$\KB941644\SP2QFE cpip.sys 2008-06-20 11:44 360960 744e57c99232201ae98c49168b918f48 c:\windows\$hf_mig$\KB951748\SP2QFE cpip.sys 2008-06-20 12:51 361600 9aefa14bd6b182d61e3119fa5f436d3d c:\windows\$hf_mig$\KB951748\SP3GDR cpip.sys 2008-06-20 12:59 361600 ad978a1b783b5719720cff204b666c8e c:\windows\$hf_mig$\KB951748\SP3QFE cpip.sys 2008-06-20 11:45 360320 2a5554fc5b1e04e131230e3ce035c3f9 c:\windows\$NtServicePackUninstall$ cpip.sys 2004-08-04 07:14 359040 9f4b36614a0fc234525ba224957de55c c:\windows\$NtUninstallKB893066$ cpip.sys 2005-05-25 20:04 359808 88763a98a4c26c409741b4aa162720c9 c:\windows\$NtUninstallKB913446$ cpip.sys 2006-01-13 03:28 359808 583e063fdc888ca30d05c2724b0d7ef4 c:\windows\$NtUninstallKB917953$ cpip.sys 2006-04-20 12:51 359808 1dbf125862891817f374f407626967f4 c:\windows\$NtUninstallKB941644$ cpip.sys 2008-04-13 20:20 361344 93ea8d04ec73a85db02eb8805988f733 c:\windows\$NtUninstallKB951748$ cpip.sys 2007-10-30 18:20 360064 90caff4b094573449a0872a0f919b178 c:\windows\$NtUninstallKB951748_0$ cpip.sys 2008-04-13 20:20 361344 93ea8d04ec73a85db02eb8805988f733 c:\windows\ServicePackFiles\i386 cpip.sys 2008-06-20 12:51 361600 4afb3b0919649f95c1964aa1fad27d73 c:\windows\system32\dllcache cpip.sys 2008-06-20 12:51 361600 4afb3b0919649f95c1964aa1fad27d73 c:\windows\system32\drivers cpip.sys . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WOOKIT"="c:\program files\Wanadoo\Shell.exe" [2004-08-23 122880] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2008-01-22 152872] "Uniblue SpeedUpMyPC"="c:\program files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe" [2008-04-02 9442584] "Uniblue SpyEraser"="c:\program files\Uniblue\SpyEraser\SpyEraser.exe" [2008-04-02 1424648] "ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2008-12-19 1434864] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497] "UMonit"="c:\windows\system32\umonit.exe" [2005-08-06 53248] "WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-01 5562368] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-04-01 86016] "PVE_Lite"="c:\program files\Prodipe\Prodipe\PVE_Lite\PVE_GMMode_Lite.exe" [2008-12-02 856064] "CHotkey"="mHotkey.exe" [2002-07-23 c:\windows\mHotkey.exe] "Dit"="Dit.exe" [2004-04-02 c:\windows\Dit.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160] "iLike"="c:\program files\iLike\1.2.11\ilikesidebar.exe" [2008-09-11 63024] c:\documents and settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\ Lancer le Gestionnaire Internet.lnk - c:\program files\Wanadoo\GestMAJ.exe [2008-08-05 32768] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.ACDV"= ACDV.dll "midi"= PVE_Lite.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\Program Files\Macromedia\Fireworks MX\Fireworks.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\Program Files\FileZilla\FileZilla.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\WINDOWS\system32\dxdiag.exe"= "c:\Program Files\Fichiers communs\Ahead\Nero Web\SetupX.exe"= "c:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe"= "c:\Program Files\sina\SAP\SAPlatform.exe"= "c:\WINDOWS\system32\dpvsetup.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"= "c:\Program Files\uTorrent\uTorrent.exe"= "c:\WINDOWS\system32\sessmgr.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009 R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-01-31 22336] R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2006-01-31 45376] R3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [2006-11-19 13440] R3 cmudax;C-Media Azalia Audio Interface;c:\windows\system32\drivers\cmudax.sys [2004-06-25 1390976] R4 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2008-12-29 55136] R4 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [2006-11-03 13592] S1 SDManager;SDManager;\??\c:\program files\SpywareDetector\SDManager.sys --> c:\program files\SpywareDetector\SDManager.sys [?] S3 Defender;Defender;\??\c:\program files\SinEspias\Defender.sys --> c:\program files\SinEspias\Defender.sys [?] S3 fixustor;fixustor;c:\windows\system32\drivers\fixustor.sys [2007-01-13 6656] S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [2008-12-08 533344] S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\w300mgmt.sys [2006-08-12 87824] S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;c:\windows\system32\drivers\w300obex.sys [2006-08-11 85696] S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\drivers\WlanUIG.sys [2004-11-18 379456] --- Autres Services/Pilotes en mémoire --- *Deregistered* - DwShield00000BB3 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled tldr.com e: \Shell\Open\command - e: esycled tldr.com e: [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] "c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe" . Contenu du dossier 'Tâches planifiées' 2009-01-23 c:\windows\Tasks\MP Scheduled Scan.job - c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20] 2009-01-18 c:\windows\Tasks\Uniblue SpeedUpMyPC Nag.job - c:\program files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe [2008-04-02 08:50] 2008-05-23 c:\windows\Tasks\Uniblue SpeedUpMyPC.job - c:\program files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe [2008-04-02 08:50] 2008-05-23 c:\windows\Tasks\Uniblue SpyEraser.job - c:\program files\Uniblue\SpyEraser\SpyEraser.exe [2008-04-02 08:50] 2006-01-14 c:\windows\Tasks\XoftSpy.job - c:\program files\XoftSpy\XoftSpy.exe [] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.criticsonline.org/ IE: { - c:\program files\Messenger\msmsgs.exe Trusted Zone: expeditors.com\webmail-lhr DPF: {3E82BB3F-ABE4-458D-9281-0187286A4E51} - hxxp://contacts.orange.fr/wfr_webab/VoxsyncX.cab DPF: {7DA181BB-EF8D-4A7E-8C53-7BFC718EF71D} - hxxp://photos.wanadoo.fr/al/presentation/pc/resources/activex/Ephoto.cab DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://livekuva.suomi.net/activex/AMC.cab . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-23 15:43:18 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run UMonit = c:\windows\system32\umonit.exe?ixustor.sys??_0fce&Pi??????$?I_01??658???B\?O???????????????????????????w??????????????P?l??????|p??|????m??|C??w??????????$?B$?|???w???w*?,???$????????????????????????????????w??????????????P?????T???~?P???????P???P???????? Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_USERS\S-1-5-21-1957994488-484061587-725345543-1004\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) [HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\USB\Vid_0db0&Pid_4011\AAAA12345678\LogConf] @DACL=(02 0000) . Heure de fin: 2009-01-23 15:45:14 ComboFix-quarantined-files.txt 2009-01-23 14:45:12 ComboFix2.txt 2009-01-23 13:50:05 Avant-CF: 55 048 364 032 octets libres Après-CF: 55,037,820,928 octets libres 220 --- E O F --- 2009-01-23 07:12:16

chimay8 · Answer

dans la recherche avec OAD il est noté : resycled

§§§§§§ [: resycled ] §§§§§§

si tu as fais la recherche avec les ":" ca ne fonctionnera pas
es-tu sur de ton coup?

chimay8 · Answer

ok,super

on viens de gagner une grosse bataille....

on attend la fin de dr web et la...ca va ch***  :))))))

chimay8 · Answer

Copie les lignes(qui sont en gras) qui se trouvent en dessous : 

:Processes 
explorer.exe

:Reg
[HKEY_USERS\S-1-5-21-1957994488-484061587-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\Shell\AutoRun\command] 
@=- 
[HKEY_USERS\S-1-5-21-1957994488-484061587-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\Shell\Open\command] 
@=-


:Commands 
[emptytemp] 
[start explorer] 
[Reboot]

et colle-les dans le cadre de gauche de OTMoveIt : "Paste List Of Files/Folders to Move." 
Clique sur "MoveIt!" pour lancer la suppression. 
Le résultat apparaitra dans le cadre "Results". 
Clique sur Exit pour fermer. 
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 
 -Il te sera peut-être demander de redémarrer le pc pour achever la suppression -> Accepte ( si il ne fait pas automatiquement , fait-le toi même ) 

/!\ Note : Au démarrage ton bureau RISQUE de ne plus apparaître, dans ce cas fait --> CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches. 
Puis rends toi sur l'onglet "Processus". Clique en haut à gauche sur "Fichiers" et choisis "Exécuter" 
Tape "explorer.exe"(sans les guillemèts) et valide. Cela fera réapparaître le Bureau.

Charliek · Answer

Pr info après reboot, ces deux fichiers existent tjs sur C :

C:\WINDOWS\Temp\Perflib_Perfdata_798.dat
C:\Documents and Settings\Arnaud Meunier.ARNAUD-PC1.000\Local Settings	emp\Perflib_Perfdata_a34.dat

chimay8 · Answer

je suis perdu...

Télécharge sur ton bureau GenProc de Narco4 & jean-chretien1

 Ensuite dézippe le dossier puis double-clique sur le fichier GenProc.bat 

Une fois qu'il a finit son analyse fait un copier/coller du log qui vient de s'ouvrir dans Bloc-note 
Poste le ici

Aide en images

chimay8 · Answer

j'ai demandé de l'aide car la!!!!! je suis perdu...

chimay8 · Answer

comme c'est un fichier temp,normalement ce n'est pas dangereux

si tu passes ccleaner il les nettoies

chimay8 · Answer

on va nettoyer un peu pour pouvoir travailler avec des outils mis à jour!

Pour supprimer les outils/fix utilisés :

Télécharge ToolsCleaner sur ton bureau.
--> http://pc-system.fr/

# Clique sur "Recherche" et laisse le scan agir ...
# Clique sur "Suppression" pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

Supprime Combofix ainsi :
~>Clique sur " Démarrer " ~> " Exécuter "( ou combine la touche Windows + R ) -> copie/colle cette ligne :

ComboFix /u

( laisse l'espace entre Combofix et /u )

~>Valide .

ensuite

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
http://images.malwareremoval.com/random/RSIT.exe
Double-clique sur RSIT.exe afin de lancer RSIT.
Clique Continue à l'écran Disclaimer.
Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
NB : Les rapports sont sauvegardés dans le dossier C:\rsit

chimay8 · Answer

bon,
il y a toujours ceci qui est pas bon du tout

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]

shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled
tldr.com e:

shell\Open\command - E:esycled
tldr.com e:


pour les détections de spyeraser

---> Télécharge HostsXpert sur ton Bureau : 
http://www.funkytoad.com/download/HostsXpert.zip 

---> Décompresse-le (Clic droit >> Extraire ici) 

---> Double-clique sur HostsXpert pour le lancer 

***Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.

---> clique sur le bouton "Restore MS Hosts File" puis ferme le programme 

ensuite

- Télécharge sur ton bureau DiagHelp.zip 
 http://www.malekal.com/download/DiagHelp.zip
 Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
- !!! Ne double-clic pas dessus !!! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Si une fenêtre de licences SigCheck s'ouvre... accepte, si tu as un parefeu qui demande si SigCheck tente de se connecter à internet, accepte.
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes.
- Lorsque l'analyse sera terminé... Il peut t'être demandé d'envoyer un fichier contenant des fichiers infectieux.
Envoie le fichier (si ça ne fonctionne pas.. continue la procédure) puis retourne sur la fenêtre noire, suis les instructions en appuyant sur une touche pour obtenir le rapport dans le bloc-note

chimay8 · Answer

il manque la fin du rapport
c'est pas normal que cela se termine ainsi

c:\Documents and Settin


tu peux vérifier dans le rapport stp?

chimay8 · Answer

ok,merci,je regarde

chimay8 · Answer

bon,j'ai trouvé un trojan...      
Télécharge OTMoveIt3( de Old Timer ) 
http://oldtimer.geekstogo.com/OTMoveIt3.exe
Une fois téléchargé double-clique sur OTMoveIt3.exe pour le lancer. 
Assure toi que la case "Unregister Dll's and Ocx's" est cochée 
Copie les lignes(qui sont en gras) qui se trouvent en dessous : 

:Processes 
explorer.exe 
:Files 
c:\Documents and Settings\Arnaud Meunier.ARNAUD-PC1.000\Bureau\IS\Programme d'installation d'Adobe Reader 9\Setup.exe
E:esycled
tldr.com e:
E:esycled

:Reg 
[HKEY_USERS\S-1-5-21-1957994488-484061587-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\Shell\AutoRun\command] 
@=- 
[HKEY_USERS\S-1-5-21-1957994488-484061587-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\Shell\Open\command] 
@=- 


:Commands 
[emptytemp] 
[start explorer] 
[Reboot] 

et colle-les dans le cadre de gauche de OTMoveIt : "Paste List Of Files/Folders to Move." 
Clique sur "MoveIt!" pour lancer la suppression. 
Le résultat apparaitra dans le cadre "Results". 
Clique sur Exit pour fermer. 
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 
-Il te sera peut-être demander de redémarrer le pc pour achever la suppression -> Accepte ( si il ne fait pas automatiquement , fait-le toi même ) 

/!\ Note : Au démarrage ton bureau RISQUE de ne plus apparaître, dans ce cas fait --> CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches. 
Puis rends toi sur l'onglet "Processus". Clique en haut à gauche sur "Fichiers" et choisis "Exécuter" 
Tape "explorer.exe"(sans les guillemèts) et valide. Cela fera réapparaître le Bureau.

chimay8 · Answer

tu peux vérifier dans le registre si il est toujours présent?

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]

shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled
tldr.com e:

shell\Open\command - E:esycled
tldr.com e:

dis moi quoi,
en tout cas le trojan est dégommé

chimay8 · Answer

tu peux supprimer les deux valeurs?

chimay8 · Answer

bien,

redémarre ton pc,puis postes un nouveau rapport rsit(log.txt)

chimay8 · Answer

re,

ça a l'air ok,

il reste juste le nettoyage de la restauration système à faire

mais avant,j'aimerai que tu surfs un jour ou deux pour être sur de mon coup.

ensuite reposte ici et on termine

tu peux nettoyer les tools qu'ont a utilisés

Télécharge ToolsCleaner sur ton bureau. 
--> 
http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner

# Clique sur "Recherche" et laisse le scan agir ... 
# Clique sur "Suppression" pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

ensuite

Télécharges : - CCleaner (n'installe pas la barre d'outil Yahoo)
https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première. 
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ). 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

---> Utilisation: 
! déconnectes toi et fermes toutes applications en cours ! 
* vas dans "nettoyeur" : fait analyse puis nettoyage 
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

Problème Spyware / Virus

52 réponses

Votre réponse

Discussions similaires

Newsletters