analyse pc Fermé

Question

Bonjour,
je voudrais analyser mon pc car j'ai attraper une crasse mais aucun de mes divers programmes (antivirus,anti spy,anti malware...) ne detecte quoi que se soit.est ce que quelqu'un peut me guider ou m'aiguiller (a faire une analyse eventuellement)? merci d'avance.

Lyonnais92 · Accepted Answer

Bonjour,

savoir où est localisée l'infection, de quelle nature elle est et comment tu es protégé est prioritaire sur touteb autre action.

Pour le savoir, fais ceci :

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
.

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

DarkRodWarrior · Answer

http://www.bitdefender.fr/scan_fr/scan8/ie.html

Attention à bien tout lire !!!

Voilà ;)

Utilisateur anonyme · Answer

bonjour, vous permettez que j'intervienne,avast est de piètre qualité, avira antivir est meillieur

DarkRodWarrior · Answer

J'ai déjà résolu le sujet en lui donnant un scanner en ligne !!!
C'est plus simple.

mr peyrsone · Answer

autant pour moi darkrodwarrior. 
donc c est moi qui la ferme

^^Marie^^ · Answer

Bonjour

Au lieu de blablater vos inepties comme si vous étiez sur MSN, vous ne pouvez pas suivre les indications de Lyonnais 
http://www.commentcamarche.net/forum/affich 10720357 analyse pc#11

DarkRodWarrior · Answer

[X] - O1 - Hosts: 66.98.148.65 auto.search.msn.com
[X] - O1 - Hosts: 66.98.148.65 auto.search.msn.es
[?] - O4 - HKLM\..\Run: [Startup Cleaner] C:\Program Files\CM Data Software\CM DiskCleaner\Startup Cleaner.exe
[?] - O8 - Extra context menu item: Add to AMV Converter... - (value not set)
[?] - O8 - Extra context menu item: MediaManager tool grab multimedia file - (value not set)

A fixer non ?

afideg · Answer

Re,

Fixer ne supprime ni l'infection, ni sa cause.
Tu vas trop vite en besogne.

Je te conseille d'attendre le recours de Lyonnais92 sur ce topic intéressant.
Merci aussi pour les bons offices de Marie, toujours attentive.

Al.

^^Marie^^ · Answer

Re On continue ICI 1- protocole à suivre pour Windows Vista : *Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) : Aller dans "démarrer" puis "panneau de configuration" : --->Sur la droite de la fenêtre , cliques sur " affichage classique " --->Double-Cliquer sur l'icône "Comptes d'utilisateurs" --->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." . --->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK . Puis redémarrer le PC quand il le vous saura demandé ... Tuto : https://forum.malekal.com/viewtopic.php?f=59&t=6517 Télécharge MSNFix.zip de !aur3n7sur ton Bureau : http://sosvirus.changelog.fr/MSNFix.zip Tuto https://www.malekal.com/supprimer-virus-desinfecter-pc/ Décompresse-le (clic droit >> Extraire ici) et double clique sur le fichier MSNFix.bat. - Lance la recherche en appuyant sur la touche R puis sur Entrée -- Si l'infection est détectée, exécute l'option N. --- Sauvegarde ce rapport puis faites un copier/coller de ce rapport sur le forum, ainsi qu'un nouveau scan HijackThis. Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt Note : Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.: @++

Lyonnais92 · Answer

Re,

on analyse un fichier mal connu :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Program Files\CM Data Software\CM DiskCleaner\Startup Cleaner.exe       

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant 

======================

on réinitialise le fichier hosts :

Télécharge cet outil de SiRi:

http://siri.urz.free.fr/RHosts.php

Double cliquer dessus pour l'exécuter

et cliquer sur " Restore original Hosts "

===========================
on nettoie la base de registre

Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.  

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis Do a scan only

Coche la case devant les lignes suivantes

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O8 - Extra context menu item: Add to AMV Converter... - (value not set)  
O8 - Extra context menu item: E&xporter vers Microsoft Excel - (value not set)   
O8 - Extra context menu item: MediaManager tool grab multimedia file - (value not set)   

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

===========================
on traite l'infection des clés USB

Télécharge Flash_Disinfector de sUBs ici :

https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

Enregistre le sur ton Bureau.

Double clique sur Flash_Disinfector.exe pour le lancer
.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra , connecte les clés USB et périphériques USB externes susceptibles d'avoir été infectés.

Puis clique sur Ok

Les icônes sur le Bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"

Appuye sur "Ok", pour faire réapparaitre le Bureau

=================================

Est ce que l'ordi démarre en mode sans échec (par F5 ou F8, jamais par MSConfig)

=================================

Remets un rapport RSIT.

mr peyrsone · Answer

r hosts me dit : 
impossible de creer le fichier C/windows/system 32/driver/etc/hosts
   ?

DarkRodWarrior · Answer

Même avec ma méthode ?
Tu as fais aussi après ma méthode "utiliser en tant qu'administrateur" ?

mr peyrsone · Answer

darkrodwarrior, le mode administrateur fonctionne,merci,mais est ce normal qu apres avoir appuyer sur restaurer puis ok
il n y est aucun temp de chargement et que sa revienne aussitot sur restaurer?

mr peyrsone · Answer

https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe 

cette page est infecter

DarkRodWarrior · Answer

http://www.precisesecurity.com/tools-resources/adware-tools/flash-disinfector/

Ce lien est mieux je pense :)

Lyonnais92 · Answer

Re,

cette page n'est pas infectée.

Les AV confondent virus et risktools.

Désactive toin AV le temps du déchargement si nécessaire (même si je préfererai que tu n'en ais pas besoin). Par contre, ne supprime ni ne mets en quarantaine aucun des fichiers qui vont être téléchargés et installés.

Dernière remarque,l'AV parano qui bloque a gentiment laissé s'installer  AdobeR.exe  qui est un vrai malware (voir http://www.secuser.com/alertes/2006/rjumpa-adober.htm par exemple).

Tu peux télécharger sans crainte.

DarkRodWarrior · Answer

Le mieux c'est encore clic droit sur le lien et enregistrer sous ^^

mr peyrsone · Answer

resume:
ce lien est verolé https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe 

Est ce que l'ordi démarre en mode sans échec (par F5 ou F8, jamais par MSConfig)??? 
bin,il demmare quand je l allume

r hosts a bien fonctionner virus total et hijack this aussi

RAPPORT RSIT
Logfile of random's system information tool 1.05 (written by random/random)
Run by PUNKY at 2009-01-27 17:48:32
Microsoft® Windows Vista™ Édition Familiale Basique  
System drive C: has 7 GB (20%) free of 33 GB
Total RAM: 1525 MB (37% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:48:35, on 27/01/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16757)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Windows\System32\hkcmd.exe
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
C:\Windows\system32\igfxsrvc.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\igfxext.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\PUNKY\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\PUNKY.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Startup Cleaner] C:\Program Files\CM Data Software\CM DiskCleaner\Startup Cleaner.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O13 - Gopher Prefix: 
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. https://www.bitdefender.fr/ - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Lyonnais92 · Answer

Re,

il reste (au moins) ceci :

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a728d6d9-87dc-11dd-8772-001b382d61a0}]
shell\Auto\command - F:\AdobeR.exe e
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\AdobeR.exe e 


Tu télécharges Flash desinfector du lien que je t'ai donné (il est sûr, je viens de le télécharger et de l'exécuter sur mon ordi puis de le supprimmer ; mon AV a hurlé aussi, j'ai ignoré autant de fois qu'il a fallu).

Tu te déconnectes d'Internet quand tu as fini le téléchargement et tu l'exécutes (sans oublier de brancher ta clé quand il le demande).

Tu remets un rapport RSIT.

PS je suis intervenu sur environ  2500 topics de V/S. Il va falloir trouver celui où j'ai préconisé un lien qui a infecté l'internaute.

mr peyrsone · Answer

rien ne s ouvre avec flash disinfector 

et avec msn fix dont ma parler marie on me dit : scan  -  acces refuse

je fais quoi docteur?

Lyonnais92 · Answer

Re,

a-t-il demandé d'insérer les clés USB (plug in ) ?

Si oui, il a travaillé.

Remets un rapport RSIT.

mr peyrsone · Answer

non on me demande l acces a l ordi (securite vista) mais apres rien ne s installe ou ne s ouvre

mr peyrsone · Answer

C EST BON POUR FLASH DISINFECTOR, j en ai trouver sur un autre site

rapport RSIT

Logfile of random's system information tool 1.05 (written by random/random)
Run by PUNKY at 2009-01-27 18:50:21
Microsoft® Windows Vista™ Édition Familiale Basique  
System drive C: has 7 GB (20%) free of 33 GB
Total RAM: 1525 MB (61% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:50:37, on 27/01/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16757)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Windows\System32\hkcmd.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Windows\system32\igfxext.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\system32\conime.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\System32\mobsync.exe
C:\Windows\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\PUNKY\Desktop\RSIT.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\PUNKY.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Startup Cleaner] C:\Program Files\CM Data Software\CM DiskCleaner\Startup Cleaner.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O13 - Gopher Prefix: 
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

mr peyrsone · Answer

JE CROIS AVOIR UN AUTRE VIRUS


Logfile of random's system information tool 1.05 (written by random/random)
Run by PUNKY at 2009-01-27 19:10:04
Microsoft® Windows Vista™ Édition Familiale Basique  
System drive C: has 6 GB (18%) free of 33 GB
Total RAM: 1525 MB (47% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:10:25, on 27/01/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16757)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Windows\System32\hkcmd.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Windows\system32\igfxext.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\system32\conime.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\System32\mobsync.exe
C:\Windows\explorer.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\PUNKY\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\PUNKY.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Startup Cleaner] C:\Program Files\CM Data Software\CM DiskCleaner\Startup Cleaner.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O13 - Gopher Prefix: 
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Lyonnais92 · Answer

Re,

j"ai un autre virus.

Dans quel fichier, quel outil le voit, quel malware il voit ?

Si c'est C:\autorun.inf, clic droit et modifier. Il y a lpt3: dedans ?

================================

Pour le mode sans échec, je ne sais pas ce que je peux conclure de ta réponse.

L'ordi démarre. Il démarre en mode sans échec, tu as essayé ?

====================================
On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

N'oublie pas de réactiver tes protections avant de te reconnecter.

mr peyrsone · Answer

le virus c $recycle bin (suivi de chiffre)
si je t envoi un autre rapport rsit tu peux le localiser?

mode sans echec pour moi sa veut dire que mon pc s allume normalement sinon dis moi se que j ai a faire

Lyonnais92 · Answer

Re,

à mon avis, recycle ... c'est la Corbeille. Vide la.

=======================

pour le mode sans échec, fais ceci :

    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).

Si tu y arrives, avec la mention mode sans échec aux 4 coins, l'ordi démarre en MSE.

=====================

Redémarre en mode normal.

Exécute la partie combofix du post 96.

mr peyrsone · Answer

jme doute que tu sais se que tu fais mais mon pc rame de plus en plus. je vais essayer le mode sans echec ComboFix 09-01-21.04 - PUNKY 2009-01-27 20:48:36.1 - NTFSx86 Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6000.0.1252.1.1036.18.1525.824 [GMT 1:00] Lancé depuis: c:\users\PUNKY\Desktop\ComboFix.exe AV: BitDefender Antivirus *On-access scanning disabled* (Updated) AV: Norton Internet Security *On-access scanning disabled* (Outdated) FW: Norton Internet Security *disabled* FW: Pare-feu BitDefender *disabled* * Un nouveau point de restauration a été créé . [i] ADS - Windows: deleted 24 bytes in 1 streams. /i (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\x64 . ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-27 au 2009-01-27 )))))))))))))))))))))))))))))))))))) . 2009-01-27 17:56 . 2009-01-27 17:58 331 --a------ c:\windows\System32\BDUpdateV1.xml 2009-01-27 17:25 . 2009-01-27 17:24 104,328 --a------ c:\windows\System32\drivers\bdfndisf.sys 2009-01-27 14:51 . 2009-01-27 14:51 850 --a------ c:\windows\System32\ProductTweaks.xml 2009-01-27 14:51 . 2009-01-27 14:51 385 --a------ c:\windows\System32\user_gensett.xml 2009-01-27 14:38 . 2009-01-27 18:10 d-------- c:\program files\Common Files\BitDefender 2009-01-27 11:56 . 2009-01-27 11:56 d-------- C: sit 2009-01-27 01:18 . 2009-01-27 01:18 d-------- c:\program files\Free Audio Pack 2009-01-27 01:12 . 2009-01-27 01:12 d-------- c:\program files\Free Easy Burner 2009-01-27 01:12 . 2008-09-24 20:33 484,352 --a------ c:\windows\System32\lame_enc.dll 2009-01-27 01:12 . 2006-11-18 11:38 200,704 --a------ c:\windows\System32\vbalExpBar6.ocx 2009-01-27 01:12 . 1998-07-13 17:53 44,544 --a------ c:\windows\System32\GIF89.DLL 2009-01-21 17:47 . 2009-01-21 17:47 d-------- c:\program files\CM Data Software 2009-01-18 13:32 . 2009-01-27 19:34 d-------- c:\users\PUNKY\AppData\Roaming\uTorrent 2009-01-18 13:32 . 2009-01-18 13:32 d-------- c:\program files\uTorrent 2009-01-16 19:51 . 2009-01-18 16:58 d-------- C:\Downloads 2009-01-16 17:49 . 2009-01-16 17:49 d-------- c:\program files\CCleaner 2009-01-16 17:48 . 2004-03-08 23:00 224,016 --a------ c:\windows\System32\TABCTL32.OCX 2009-01-16 17:38 . 2009-01-16 17:38 d-------- c:\program files\Audacity 2009-01-16 17:37 . 2009-01-16 17:37 d-------- c:\users\PUNKY\AppData\Roaming\vlc 2009-01-16 17:35 . 2009-01-16 17:35 d-------- c:\program files\VirtualDJ 2009-01-13 22:38 . 2009-01-13 22:38 d-------- c:\program files\VideoLAN 2009-01-13 18:21 . 2009-01-13 18:21 dr------- c:\users\PUNKY\Documents 2009-01-05 18:47 . 2004-03-08 23:00 124,688 --a------ c:\windows\System32\MSWINSCK.OCX 2008-12-27 14:26 . 2008-08-29 16:45 16,896 --a------ c:\windows\System32\drivers\VirtualAudio.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-27 01:54 --------- d-----w c:\users\PUNKY\AppData\Roaming\dvdcss 2009-01-26 20:25 --------- d-----w c:\users\PUNKY\AppData\Roaming\Desktopicon 2009-01-25 00:32 --------- d--h--w c:\program files\InstallShield Installation Information 2009-01-21 16:47 737,280 ----a-w c:\windows\iun6002.exe 2009-01-16 21:55 --------- d-----w c:\progra~2\eMule 2009-01-15 13:08 --------- d-----w c:\program files\Common Files\Adobe 2009-01-13 19:09 174 --sha-w c:\program files\desktop.ini 2009-01-13 19:04 --------- d-----w c:\program files\Windows Mail 2008-12-24 17:21 --------- d---a-w c:\progra~2\TEMP 2008-12-19 11:32 134,144 ----a-w c:\windows\~GLC0000.TMP 2008-12-15 11:54 2,560 ----a-w c:\windows\_MSRSTRT.EXE 2008-12-15 10:55 --------- d-----w c:\users\PUNKY\AppData\Roaming\DAEMON Tools Pro 2008-12-15 10:55 --------- d-----w c:\users\PUNKY\AppData\Roaming\DAEMON Tools Lite 2008-12-15 10:55 --------- d-----w c:\users\PUNKY\AppData\Roaming\DAEMON Tools 2008-12-15 10:55 --------- d-----w c:\progra~2\DAEMON Tools Lite 2008-12-07 13:14 --------- d-----w c:\users\PUNKY\AppData\Roaming\TotalRecorder 2008-12-04 21:35 717,296 ----a-w c:\windows\system32\drivers\sptd.sys 2008-08-24 12:17 810 ----a-w c:\users\PUNKY\AppData\Roaming\waver_2.95.dat 2008-06-13 23:05 561,152 ----a-w c:\program files\gpupec.dll 2008-06-13 23:05 127 ----a-w c:\program files\pec.ini 2007-12-23 14:06 92,064 ----a-w c:\users\PUNKY\mqdmmdm.sys 2007-12-23 14:06 9,232 ----a-w c:\users\PUNKY\mqdmmdfl.sys 2007-12-23 14:06 79,328 ----a-w c:\users\PUNKY\mqdmserd.sys 2007-12-23 14:06 66,656 ----a-w c:\users\PUNKY\mqdmbus.sys 2007-12-23 14:06 6,208 ----a-w c:\users\PUNKY\mqdmcmnt.sys 2007-12-23 14:06 5,936 ----a-w c:\users\PUNKY\mqdmwhnt.sys 2007-12-23 14:06 4,048 ----a-w c:\users\PUNKY\mqdmcr.sys 2007-12-23 14:06 25,600 ----a-w c:\users\PUNKY\usbsermptxp.sys 2007-12-23 14:06 22,768 ----a-w c:\users\PUNKY\usbsermpt.sys 2008-09-23 13:31 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat 2008-09-23 13:31 32,768 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat 2008-09-23 13:31 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2007-07-16 768520] "Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-06-06 159744] "WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-11 141848] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-11 166424] "Startup Cleaner"="c:\program files\CM Data Software\CM DiskCleaner\Startup Cleaner.exe" [2006-10-08 122880] "RtHDVCpl"="RtHDVCpl.exe" [2006-11-09 c:\windows\RtHDVCpl.exe] c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\Startup\ Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-07-31 535336] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "TaskbarNoNotification"= 1 (0x1) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ProfSvc] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys] @="FSFilter System Recovery" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" "Startup Cleaner"=c:\program files\CM Data Software\CM DiskCleaner\Startup Cleaner.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1277486648-2254832490-4034658548-1000] "EnableNotificationsRef"=dword:00000005 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "TCP Query User{51FAF036-2F25-4C36-B606-45ADB6A00375}c:\program files\emule\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule "UDP Query User{F86EAF69-E04C-4A88-8B40-A12579D6921D}c:\program files\emule\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule "TCP Query User{FD5C9A7D-812A-420C-89EE-0214AE73014F}c:\program files\emule\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule Plus "UDP Query User{BBE5A389-64A9-48BF-A21F-75B36CCA6D30}c:\program files\emule\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule Plus "{7B68986E-FC64-4C56-98C1-0D9AA94561AC}"= Disabled:UDP:c:\users\PUNKY\AppData\Local\Temp\ImInstaller\incredimail_installer.exe:IncrediMail Installer "{6C05D79C-3B99-42BC-9A82-CF940D9CB9D7}"= Disabled:TCP:c:\users\PUNKY\AppData\Local\Temp\ImInstaller\incredimail_installer.exe:IncrediMail Installer "{4AD3B167-4499-4B2D-99FB-AC6C4BC07DFF}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone) "{26FDC9FF-CD39-486B-8152-011EDAF8BC2F}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone) "{A6B8DE1B-5C12-464E-A3A8-3812291A1748}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In) "{E73BD2D1-EAF7-48EB-ABE8-D17E2A6B7CD6}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System] "DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic| R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\System32\drivers\b57nd60x.sys [2007-07-31 179712] R3 wsvad_driver;WS Audio Device;c:\windows\System32\drivers\VirtualAudio.sys [2008-12-27 16896] R4 ALaunchService;ALaunch Service;c:\acer\ALaunch\ALaunchSvc.exe [2007-07-31 50688] S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [2008-03-05 28224] S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\System32\drivers\sis163u.sys [2008-06-12 217600] S3 SISNPF;SIS Netgroup Packet Filter;c:\windows\System32\drivers\sisnpf.sys [2008-06-12 31872] --- Autres Services/Pilotes en mémoire --- *Deregistered* - sptd [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \shell\AutoRun\command - F:\WDSetup.exe . - - - - ORPHELINS SUPPRIMES - - - - WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file) SafeBoot-dmboot.sys SafeBoot-dmio.sys SafeBoot-dmload.sys SafeBoot-dmadmin SafeBoot-dmserver SafeBoot-SRService . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 mStart Page = hxxp://fr.fr.acer.yahoo.com uInternet Settings,ProxyOverride = *.local uSearchURL,(Default) = hxxp://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-27 20:55:42 Windows 6.0.6000 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . Heure de fin: 2009-01-27 21:01:38 ComboFix-quarantined-files.txt 2009-01-27 20:01:13 Avant-CF: 15 250 911 232 octets libres Après-CF: 14,443,307,008 octets libres 170

^^Marie^^ · Answer

Bonsoir

M'étonne pas que tu rames

Au risque de planter ton PC ;(((

mr peyrsone · Answer

a part tes conseils,marie, et ceux de lyonnais 92,je ne fais aucune autre manip jte rassure ComboFix 09-01-21.04 - PUNKY 2009-01-27 21:34:57.1 - NTFSx86 Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6000.0.1252.1.1036.18.1525.762 [GMT 1:00] Lancé depuis: c:\users\PUNKY\Desktop\ComboFix.exe AV: BitDefender Antivirus *On-access scanning disabled* (Updated) AV: Norton Internet Security *On-access scanning disabled* (Outdated) FW: Norton Internet Security *disabled* FW: Pare-feu BitDefender *disabled* * Un nouveau point de restauration a été créé . ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-27 au 2009-01-27 )))))))))))))))))))))))))))))))))))) . 2009-01-27 17:56 . 2009-01-27 17:58 331 --a------ c:\windows\System32\BDUpdateV1.xml 2009-01-27 17:25 . 2009-01-27 17:24 104,328 --a------ c:\windows\System32\drivers\bdfndisf.sys 2009-01-27 14:51 . 2009-01-27 14:51 850 --a------ c:\windows\System32\ProductTweaks.xml 2009-01-27 14:51 . 2009-01-27 14:51 385 --a------ c:\windows\System32\user_gensett.xml 2009-01-27 14:38 . 2009-01-27 18:10 d-------- c:\program files\Common Files\BitDefender 2009-01-27 11:56 . 2009-01-27 11:56 d-------- C: sit 2009-01-27 01:18 . 2009-01-27 01:18 d-------- c:\program files\Free Audio Pack 2009-01-27 01:12 . 2009-01-27 01:12 d-------- c:\program files\Free Easy Burner 2009-01-27 01:12 . 2008-09-24 20:33 484,352 --a------ c:\windows\System32\lame_enc.dll 2009-01-27 01:12 . 2006-11-18 11:38 200,704 --a------ c:\windows\System32\vbalExpBar6.ocx 2009-01-27 01:12 . 1998-07-13 17:53 44,544 --a------ c:\windows\System32\GIF89.DLL 2009-01-21 17:47 . 2009-01-21 17:47 d-------- c:\program files\CM Data Software 2009-01-18 13:32 . 2009-01-27 19:34 d-------- c:\users\PUNKY\AppData\Roaming\uTorrent 2009-01-18 13:32 . 2009-01-18 13:32 d-------- c:\program files\uTorrent 2009-01-16 19:51 . 2009-01-18 16:58 d-------- C:\Downloads 2009-01-16 17:49 . 2009-01-16 17:49 d-------- c:\program files\CCleaner 2009-01-16 17:48 . 2004-03-08 23:00 224,016 --a------ c:\windows\System32\TABCTL32.OCX 2009-01-16 17:38 . 2009-01-16 17:38 d-------- c:\program files\Audacity 2009-01-16 17:37 . 2009-01-16 17:37 d-------- c:\users\PUNKY\AppData\Roaming\vlc 2009-01-16 17:35 . 2009-01-16 17:35 d-------- c:\program files\VirtualDJ 2009-01-13 22:38 . 2009-01-13 22:38 d-------- c:\program files\VideoLAN 2009-01-13 18:21 . 2009-01-13 18:21 dr------- c:\users\PUNKY\Documents 2009-01-05 18:47 . 2004-03-08 23:00 124,688 --a------ c:\windows\System32\MSWINSCK.OCX 2008-12-27 14:26 . 2008-08-29 16:45 16,896 --a------ c:\windows\System32\drivers\VirtualAudio.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-27 01:54 --------- d-----w c:\users\PUNKY\AppData\Roaming\dvdcss 2009-01-26 20:25 --------- d-----w c:\users\PUNKY\AppData\Roaming\Desktopicon 2009-01-25 00:32 --------- d--h--w c:\program files\InstallShield Installation Information 2009-01-21 16:47 737,280 ----a-w c:\windows\iun6002.exe 2009-01-16 21:55 --------- d-----w c:\progra~2\eMule 2009-01-15 13:08 --------- d-----w c:\program files\Common Files\Adobe 2009-01-13 19:09 174 --sha-w c:\program files\desktop.ini 2009-01-13 19:04 --------- d-----w c:\program files\Windows Mail 2008-12-24 17:21 --------- d---a-w c:\progra~2\TEMP 2008-12-19 11:32 134,144 ----a-w c:\windows\~GLC0000.TMP 2008-12-15 11:54 2,560 ----a-w c:\windows\_MSRSTRT.EXE 2008-12-15 10:55 --------- d-----w c:\users\PUNKY\AppData\Roaming\DAEMON Tools Pro 2008-12-15 10:55 --------- d-----w c:\users\PUNKY\AppData\Roaming\DAEMON Tools Lite 2008-12-15 10:55 --------- d-----w c:\users\PUNKY\AppData\Roaming\DAEMON Tools 2008-12-15 10:55 --------- d-----w c:\progra~2\DAEMON Tools Lite 2008-12-07 13:14 --------- d-----w c:\users\PUNKY\AppData\Roaming\TotalRecorder 2008-12-04 21:35 717,296 ----a-w c:\windows\system32\drivers\sptd.sys 2008-08-24 12:17 810 ----a-w c:\users\PUNKY\AppData\Roaming\waver_2.95.dat 2008-06-13 23:05 561,152 ----a-w c:\program files\gpupec.dll 2008-06-13 23:05 127 ----a-w c:\program files\pec.ini 2007-12-23 14:06 92,064 ----a-w c:\users\PUNKY\mqdmmdm.sys 2007-12-23 14:06 9,232 ----a-w c:\users\PUNKY\mqdmmdfl.sys 2007-12-23 14:06 79,328 ----a-w c:\users\PUNKY\mqdmserd.sys 2007-12-23 14:06 66,656 ----a-w c:\users\PUNKY\mqdmbus.sys 2007-12-23 14:06 6,208 ----a-w c:\users\PUNKY\mqdmcmnt.sys 2007-12-23 14:06 5,936 ----a-w c:\users\PUNKY\mqdmwhnt.sys 2007-12-23 14:06 4,048 ----a-w c:\users\PUNKY\mqdmcr.sys 2007-12-23 14:06 25,600 ----a-w c:\users\PUNKY\usbsermptxp.sys 2007-12-23 14:06 22,768 ----a-w c:\users\PUNKY\usbsermpt.sys 2008-09-23 13:31 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat 2008-09-23 13:31 32,768 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat 2008-09-23 13:31 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2007-07-16 768520] "Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-06-06 159744] "WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-11 141848] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-11 166424] "Startup Cleaner"="c:\program files\CM Data Software\CM DiskCleaner\Startup Cleaner.exe" [2006-10-08 122880] "RtHDVCpl"="RtHDVCpl.exe" [2006-11-09 c:\windows\RtHDVCpl.exe] c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\Startup\ Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-07-31 535336] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "TaskbarNoNotification"= 1 (0x1) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ProfSvc] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys] @="FSFilter System Recovery" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" "Startup Cleaner"=c:\program files\CM Data Software\CM DiskCleaner\Startup Cleaner.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1277486648-2254832490-4034658548-1000] "EnableNotificationsRef"=dword:00000005 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "TCP Query User{51FAF036-2F25-4C36-B606-45ADB6A00375}c:\program files\emule\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule "UDP Query User{F86EAF69-E04C-4A88-8B40-A12579D6921D}c:\program files\emule\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule "TCP Query User{FD5C9A7D-812A-420C-89EE-0214AE73014F}c:\program files\emule\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule Plus "UDP Query User{BBE5A389-64A9-48BF-A21F-75B36CCA6D30}c:\program files\emule\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule Plus "{7B68986E-FC64-4C56-98C1-0D9AA94561AC}"= Disabled:UDP:c:\users\PUNKY\AppData\Local\Temp\ImInstaller\incredimail_installer.exe:IncrediMail Installer "{6C05D79C-3B99-42BC-9A82-CF940D9CB9D7}"= Disabled:TCP:c:\users\PUNKY\AppData\Local\Temp\ImInstaller\incredimail_installer.exe:IncrediMail Installer "{4AD3B167-4499-4B2D-99FB-AC6C4BC07DFF}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone) "{26FDC9FF-CD39-486B-8152-011EDAF8BC2F}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone) "{A6B8DE1B-5C12-464E-A3A8-3812291A1748}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In) "{E73BD2D1-EAF7-48EB-ABE8-D17E2A6B7CD6}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System] "DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic| R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\System32\drivers\b57nd60x.sys [2007-07-31 179712] R3 wsvad_driver;WS Audio Device;c:\windows\System32\drivers\VirtualAudio.sys [2008-12-27 16896] R4 ALaunchService;ALaunch Service;c:\acer\ALaunch\ALaunchSvc.exe [2007-07-31 50688] S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [2008-03-05 28224] S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\System32\drivers\sis163u.sys [2008-06-12 217600] S3 SISNPF;SIS Netgroup Packet Filter;c:\windows\System32\drivers\sisnpf.sys [2008-06-12 31872] --- Autres Services/Pilotes en mémoire --- *Deregistered* - sptd [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \shell\AutoRun\command - F:\WDSetup.exe . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 mStart Page = hxxp://fr.fr.acer.yahoo.com uInternet Settings,ProxyOverride = *.local uSearchURL,(Default) = hxxp://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-27 21:39:59 Windows 6.0.6000 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . Heure de fin: 2009-01-27 21:45:21 ComboFix-quarantined-files.txt 2009-01-27 20:44:50 ComboFix2.txt 2009-01-27 20:01:39 Avant-CF: 14 387 253 248 octets libres Après-CF: 14,068,871,168 octets libres 158

Lyonnais92 · Answer

Re,

résultat pour le mode sans échec ?

===================
déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions
 

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

mr peyrsone · Answer

le mode sans echec fonctionne je suis revenu en mode"normal"

je n est plus d anti virus 

est ce que le rapport que jai envoyer ne va pas???

il n y arien dans C:\ComboFix.txt 

heu....je fais quoi la concretement......?

Lyonnais92 · Answer

Re,

remets en route ton antivirus et scanne l'ordi.

mr peyrsone · Answer

jai pas encore remis l antivirus mais voila le rapport je nai que sa ComboFix 09-01-21.04 - PUNKY 2009-01-27 22:13:18.1 - NTFSx86 Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6000.0.1252.1.1036.18.1525.430 [GMT 1:00] Lancé depuis: c:\users\PUNKY\Desktop\ComboFix.exe AV: BitDefender Antivirus *On-access scanning disabled* (Updated) AV: Norton Internet Security *On-access scanning disabled* (Outdated) FW: Norton Internet Security *disabled* FW: Pare-feu BitDefender *disabled* * Un nouveau point de restauration a été créé . ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-27 au 2009-01-27 )))))))))))))))))))))))))))))))))))) . 2009-01-27 17:56 . 2009-01-27 17:58 331 --a------ c:\windows\System32\BDUpdateV1.xml 2009-01-27 17:25 . 2009-01-27 17:24 104,328 --a------ c:\windows\System32\drivers\bdfndisf.sys 2009-01-27 14:51 . 2009-01-27 14:51 850 --a------ c:\windows\System32\ProductTweaks.xml 2009-01-27 14:51 . 2009-01-27 14:51 385 --a------ c:\windows\System32\user_gensett.xml 2009-01-27 14:38 . 2009-01-27 18:10 d-------- c:\program files\Common Files\BitDefender 2009-01-27 11:56 . 2009-01-27 11:56 d-------- C: sit 2009-01-27 01:18 . 2009-01-27 01:18 d-------- c:\program files\Free Audio Pack 2009-01-27 01:12 . 2009-01-27 01:12 d-------- c:\program files\Free Easy Burner 2009-01-27 01:12 . 2008-09-24 20:33 484,352 --a------ c:\windows\System32\lame_enc.dll 2009-01-27 01:12 . 2006-11-18 11:38 200,704 --a------ c:\windows\System32\vbalExpBar6.ocx 2009-01-27 01:12 . 1998-07-13 17:53 44,544 --a------ c:\windows\System32\GIF89.DLL 2009-01-21 17:47 . 2009-01-21 17:47 d-------- c:\program files\CM Data Software 2009-01-18 13:32 . 2009-01-27 19:34 d-------- c:\users\PUNKY\AppData\Roaming\uTorrent 2009-01-18 13:32 . 2009-01-18 13:32 d-------- c:\program files\uTorrent 2009-01-16 19:51 . 2009-01-18 16:58 d-------- C:\Downloads 2009-01-16 17:49 . 2009-01-16 17:49 d-------- c:\program files\CCleaner 2009-01-16 17:48 . 2004-03-08 23:00 224,016 --a------ c:\windows\System32\TABCTL32.OCX 2009-01-16 17:38 . 2009-01-16 17:38 d-------- c:\program files\Audacity 2009-01-16 17:37 . 2009-01-16 17:37 d-------- c:\users\PUNKY\AppData\Roaming\vlc 2009-01-16 17:35 . 2009-01-16 17:35 d-------- c:\program files\VirtualDJ 2009-01-13 22:38 . 2009-01-13 22:38 d-------- c:\program files\VideoLAN 2009-01-13 18:21 . 2009-01-13 18:21 dr------- c:\users\PUNKY\Documents 2009-01-05 18:47 . 2004-03-08 23:00 124,688 --a------ c:\windows\System32\MSWINSCK.OCX 2008-12-27 14:26 . 2008-08-29 16:45 16,896 --a------ c:\windows\System32\drivers\VirtualAudio.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-27 01:54 --------- d-----w c:\users\PUNKY\AppData\Roaming\dvdcss 2009-01-26 20:25 --------- d-----w c:\users\PUNKY\AppData\Roaming\Desktopicon 2009-01-25 00:32 --------- d--h--w c:\program files\InstallShield Installation Information 2009-01-21 16:47 737,280 ----a-w c:\windows\iun6002.exe 2009-01-16 21:55 --------- d-----w c:\progra~2\eMule 2009-01-15 13:08 --------- d-----w c:\program files\Common Files\Adobe 2009-01-13 19:09 174 --sha-w c:\program files\desktop.ini 2009-01-13 19:04 --------- d-----w c:\program files\Windows Mail 2008-12-24 17:21 --------- d---a-w c:\progra~2\TEMP 2008-12-19 11:32 134,144 ----a-w c:\windows\~GLC0000.TMP 2008-12-15 11:54 2,560 ----a-w c:\windows\_MSRSTRT.EXE 2008-12-15 10:55 --------- d-----w c:\users\PUNKY\AppData\Roaming\DAEMON Tools Pro 2008-12-15 10:55 --------- d-----w c:\users\PUNKY\AppData\Roaming\DAEMON Tools Lite 2008-12-15 10:55 --------- d-----w c:\users\PUNKY\AppData\Roaming\DAEMON Tools 2008-12-15 10:55 --------- d-----w c:\progra~2\DAEMON Tools Lite 2008-12-07 13:14 --------- d-----w c:\users\PUNKY\AppData\Roaming\TotalRecorder 2008-12-04 21:35 717,296 ----a-w c:\windows\system32\drivers\sptd.sys 2008-08-24 12:17 810 ----a-w c:\users\PUNKY\AppData\Roaming\waver_2.95.dat 2008-06-13 23:05 561,152 ----a-w c:\program files\gpupec.dll 2008-06-13 23:05 127 ----a-w c:\program files\pec.ini 2007-12-23 14:06 92,064 ----a-w c:\users\PUNKY\mqdmmdm.sys 2007-12-23 14:06 9,232 ----a-w c:\users\PUNKY\mqdmmdfl.sys 2007-12-23 14:06 79,328 ----a-w c:\users\PUNKY\mqdmserd.sys 2007-12-23 14:06 66,656 ----a-w c:\users\PUNKY\mqdmbus.sys 2007-12-23 14:06 6,208 ----a-w c:\users\PUNKY\mqdmcmnt.sys 2007-12-23 14:06 5,936 ----a-w c:\users\PUNKY\mqdmwhnt.sys 2007-12-23 14:06 4,048 ----a-w c:\users\PUNKY\mqdmcr.sys 2007-12-23 14:06 25,600 ----a-w c:\users\PUNKY\usbsermptxp.sys 2007-12-23 14:06 22,768 ----a-w c:\users\PUNKY\usbsermpt.sys 2008-09-23 13:31 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat 2008-09-23 13:31 32,768 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat 2008-09-23 13:31 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2007-07-16 768520] "Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-06-06 159744] "WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-11 141848] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-11 166424] "Startup Cleaner"="c:\program files\CM Data Software\CM DiskCleaner\Startup Cleaner.exe" [2006-10-08 122880] "RtHDVCpl"="RtHDVCpl.exe" [2006-11-09 c:\windows\RtHDVCpl.exe] c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\Startup\ Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-07-31 535336] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "TaskbarNoNotification"= 1 (0x1) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ProfSvc] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys] @="FSFilter System Recovery" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" "Startup Cleaner"=c:\program files\CM Data Software\CM DiskCleaner\Startup Cleaner.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1277486648-2254832490-4034658548-1000] "EnableNotificationsRef"=dword:00000005 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "TCP Query User{51FAF036-2F25-4C36-B606-45ADB6A00375}c:\program files\emule\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule "UDP Query User{F86EAF69-E04C-4A88-8B40-A12579D6921D}c:\program files\emule\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule "TCP Query User{FD5C9A7D-812A-420C-89EE-0214AE73014F}c:\program files\emule\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule Plus "UDP Query User{BBE5A389-64A9-48BF-A21F-75B36CCA6D30}c:\program files\emule\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule Plus "{7B68986E-FC64-4C56-98C1-0D9AA94561AC}"= Disabled:UDP:c:\users\PUNKY\AppData\Local\Temp\ImInstaller\incredimail_installer.exe:IncrediMail Installer "{6C05D79C-3B99-42BC-9A82-CF940D9CB9D7}"= Disabled:TCP:c:\users\PUNKY\AppData\Local\Temp\ImInstaller\incredimail_installer.exe:IncrediMail Installer "{4AD3B167-4499-4B2D-99FB-AC6C4BC07DFF}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone) "{26FDC9FF-CD39-486B-8152-011EDAF8BC2F}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone) "{A6B8DE1B-5C12-464E-A3A8-3812291A1748}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In) "{E73BD2D1-EAF7-48EB-ABE8-D17E2A6B7CD6}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System] "DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic| R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\System32\drivers\b57nd60x.sys [2007-07-31 179712] R3 wsvad_driver;WS Audio Device;c:\windows\System32\drivers\VirtualAudio.sys [2008-12-27 16896] R4 ALaunchService;ALaunch Service;c:\acer\ALaunch\ALaunchSvc.exe [2007-07-31 50688] S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [2008-03-05 28224] S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\System32\drivers\sis163u.sys [2008-06-12 217600] S3 SISNPF;SIS Netgroup Packet Filter;c:\windows\System32\drivers\sisnpf.sys [2008-06-12 31872] --- Autres Services/Pilotes en mémoire --- *Deregistered* - sptd [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \shell\AutoRun\command - F:\WDSetup.exe . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 mStart Page = hxxp://fr.fr.acer.yahoo.com uInternet Settings,ProxyOverride = *.local uSearchURL,(Default) = hxxp://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-27 22:17:24 Windows 6.0.6000 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . Heure de fin: 2009-01-27 22:20:50 ComboFix-quarantined-files.txt 2009-01-27 21:20:30 ComboFix2.txt 2009-01-27 20:45:23 ComboFix3.txt 2009-01-27 20:01:39 Avant-CF: 14 697 938 944 octets libres Après-CF: 14,271,643,648 octets libres 159

Lyonnais92 · Answer

Re,

remets en route ton antivirus et scanne l'ordi avec l'antivirus.

Poste le rapport.

mr peyrsone · Answer

analyse avec nod 32
le probleme est que quand je colle le rapport sa me fait planter internet donc voila le debut sachant que pour chaque elemenet il est marqué,en face :  le décompactage n'a pas pu être achevé (motifs possibles : mémoire libre ou espace disque insuffisant, ou problème avec les dossiers temporaires)

Journal de l'analyse
Version de la base des signatures de virus : 3804 (20090127)
Date : 28/01/2009  Heure : 01:05:53
Disques, dossiers et fichiers analysés : Mémoire vive;C:\Secteur d'amorçage;C:\;D:\Secteur d'amorçage;D:\;E:\Secteur d'amorçage;E:\;F:\Secteur d'amorçage;F:\
C:\pagefile.sys - erreur à l'ouverture [4]
C:\Acer\AcerReg\EMEAREG\SETUP.EXE » CAB » Install.cmd - le décompactage n'a pas pu être achevé (motifs possibles : mémoire libre ou espace disque insuffisant, ou problème avec les dossiers temporaires)

mr peyrsone · Answer

j  ai supprimer des fichiers musique et sa a  l air de fonctionner mieux et plus rapidement je refais une analyse avec nod 32 et je t envoi le resultat

mr peyrsone · Answer

Sa m indique toujours la meme chose
le décompactage n'a pas pu être achevé (motifs possibles : mémoire libre ou espace disque insuffisant, ou problème avec les dossiers temporaires) 
 que faire???

Lyonnais92 · Answer

Re,

est ce que NOD32 gère une liste de fichiers à ne pas scanner ?

si oui, mets ce fichier C:\Acer\AcerReg\EMEAREG\SETUP.EXE dans cette liste et recommence.

mr peyrsone · Answer

SALUT
c est a dire ?
decocher ce fichier durant  l analyse en fait?

Lyonnais92 · Answer

Re,

antivir gère une liste "d'exceptions", des fichiers qu'il ne scanne pas.

Il faut trouver l'équivalent pour le tien de manière à arrêter de buter sur lui.

mr peyrsone · Answer

j ai decocher le fichier voulu du scan et sa ne change rien 
toujours le meme resultat
....?

mr peyrsone · Answer

Heu....tu cherches ou tu seches? ;)

Lyonnais92 · Answer

Re,

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]

===============

Maintenant que les fichiers temporaires sont nettoyés relance le scan avec Nod 32.

afideg · Answer

Bonsoir Lyonnais,

N'y aurait-il pas là un rapport avec Ver_W32.Serflog ?
(à lire l'historique de ce topic)   
Indépendamment de sa résolution en cours.   ;)

Merci
Al.

mr peyrsone · Answer

SA N a pas l air de changer grand chose

Lyonnais92 · Answer

Re,

Scanne ensuite ton PC avec BitDefender en ligne (uniquement sous Internet Explorer).

ouvre ce lien :



https://www.bitdefender.com/toolbox/

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.

Quand tu obtiens la page avec Scanner Options, à l'endroit "To change this and other settings, click here", clique sur "click here" puis clique sur le + devant Second option et coche Report only puis clique sur OK.

Ensuite, cliquer sur "Start scan".

Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier sur le forum.

Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)

mr peyrsone · Answer

quand je clique sur la fenetre active x il y a ecrit 
vos parametres de securite ne vous permettent pas aux sites web d utiliser les controles actives x installes sur cet ordinateur.

Lyonnais92 · Answer

Re,

clique sur Outils puis Options Internet.

Ouvre l'onglet Sécurité et clique sur Rétablir toutes les zones au niveau par défaut.

Réessaye.

Lyonnais92 · Answer

Re,

question bête :

tu es sous Internet explorer ou Firefox (ou autre) ?

Lyonnais92 · Answer

Re,

Outils

Options Internet

Programmes, clique sur "Gérer les modules complémentaires".

Affiche (dans afficher) "Tous les modules Active X téléchargé".

Tu dois voir celui de Bit defender.

Si il n'est pas avec le statut "activé", active le.

Lyonnais92 · Answer

Re,

quand tu vois ça :

quand je clique sur la fenetre active x il y a ecrit
vos parametres de securite ne vous permettent pas aux sites web d utiliser les controles actives x installes sur cet ordinateur.

tu dois avoir, sur la page, une option qui te permet de modifier ça.

Lyonnais92 · Answer

Re,

regarde ce que tu peux tirer de ce lien :

https://support.microsoft.com/fr-fr/help/272578

en particulier si tu as Outlook Express.

Restreint toi à modifier les paramètres de la zone Internet;

mr peyrsone · Answer

laisse tomber je trouve rien de se qu il y a d ecris sur cette page
les sections indiquees ne sont pas sur mon pc
en plus j ai pas outlook 
 
y a pas une autre facon de faire?
(jme doute que je suis un peu casse berle et que tu te casse la tete pour m aider mais je fais tout se que je peux)

Lyonnais92 · Answer

Re,

Idée !?

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.

et recommence la maneuvre Bit defender.

mr peyrsone · Answer

Heu...tu ne le croira pas mais sa ne change rien sa non plus
 ......?

Lyonnais92 · Answer

Bonjour,

>Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Registre] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.

===================

Refais tourner RSIT et poste le rapport.

mr peyrsone · Answer

salut,
voici le rapport RSIT:

Logfile of random's system information tool 1.05 (written by random/random)
Run by PUNKY at 2009-01-30 12:04:03
Microsoft® Windows Vista™ Édition Familiale Basique  
System drive C: has 17 GB (52%) free of 33 GB
Total RAM: 1525 MB (56% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:04:28, on 30/01/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16764)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Windows\System32\hkcmd.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\igfxsrvc.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Windows\system32\igfxext.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\PUNKY\Desktop\RSIT.exe
C:\Program Files	rend micro\PUNKY.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Startup Cleaner] C:\Program Files\CM Data Software\CM DiskCleaner\Startup Cleaner.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O13 - Gopher Prefix: 
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Lyonnais92 · Answer

Re,

comme je le craignais, NOD32 n'est pas actif.

C'est une version payante ?

une version d'évaluation limitée à 30 jours ?

Essaye d'activer la garde pour être protégé en temps réel.

Un tutoriel de la version d'évaluation :

http://www.malekal.com/tutorial_NOD32.php

mr peyrsone · Answer

c est une version d evaluation mais autre que celle expliquer dans le tutoriel
et je suis bel et bien proteger en temp reel puisque l antivirus me previent quand je telecharge (legalement) un dossier infecter.
donc...? me trompe je ?

afideg · Answer

Bonjour vous deux,
Salut Lyonnais92,

A- Drivers
S3 a0iyasdw;a0iyasdw; C:\Windows\system32\drivers\a0iyasdw.sys [] 
S3 abflham8;abflham8; C:\Windows\system32\drivers\abflham8.sys [] 

Semblent totalement inconnus ==> SReng pour confirmer ?


B- 2009-01-21 17:47:23 ----A---- C:\Windows\iun6002.exe

1)- https://www.broadcom.com/support/security-center "iun6002.exe" est un programme qui est installé par probablement 3/4 des logiciels existants, et qui ne fait que partager le nom d'un malware (largement détectable, pour sa part), d'où la confusion.

2)- https://www.generation-nt.com/reponses/iun6002-exe-entraide-307740.html CheckFlow en ligne; celui-ci m'a averti que j'avais ce fichier "iun6002.exe" dans Windows , lequel était un "keylogger" , il appartient à la société "Indigo Rose Corp."

3°- Ici:  http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/infecte-kmisol-resolu-sujet_48784_2.htm#post5855474
Supprimé par ToolBar S&D 1.2.4 XP/Vista 
-----------\ SUPPRESSION 
Supprime! - C:\WINDOWS\iun6002.exe 


C)- 2009-01-27 20:46:28 ----A---- C:\Windows\zip.exe

Un exécutable de compression ZIP 
Serait-ce en rapport avec ceci:  Saver est un executable entièrement paramétrable qui ... http://www.webcarle.com/cgi/DOWNLOAD_FILES/Saver.txt
Ces données sont automatiquement Compressées avec ZIP.EXE* 
Il vous permet de tranférer automatiquement ces sauvegardes (compressées au format ZIP) sur ...


Bonne continuation
Al.

Lyonnais92 · Answer

Bonjour,

merci afideg.

Pour vérifier :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Windows\iun6002.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant 

============

Fais de même avec : C:\Windows\zip.exe

mr peyrsone · Answer

avant tout un grand meri pour votre patience et votre volonte

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.93 2009.01.30 -
AhnLab-V3 5.0.0.2 2009.01.30 -
AntiVir 7.9.0.60 2009.01.30 -
Authentium 5.1.0.4 2009.01.30 -
Avast 4.8.1281.0 2009.01.30 -
AVG 8.0.0.229 2009.01.30 -
BitDefender 7.2 2009.01.30 -
CAT-QuickHeal 10.00 2009.01.30 -
ClamAV 0.94.1 2009.01.30 -
Comodo 954 2009.01.30 -
DrWeb 4.44.0.09170 2009.01.30 -
eSafe 7.0.17.0 2009.01.29 -
eTrust-Vet 31.6.6335 2009.01.29 -
F-Prot 4.4.4.56 2009.01.29 -
F-Secure 8.0.14470.0 2009.01.30 -
Fortinet 3.117.0.0 2009.01.30 -
GData 19 2009.01.30 -
Ikarus T3.1.1.45.0 2009.01.30 -
K7AntiVirus 7.10.611 2009.01.30 -
Kaspersky 7.0.0.125 2009.01.30 -
McAfee 5510 2009.01.29 -
McAfee+Artemis 5510 2009.01.29 -
Microsoft 1.4306 2009.01.30 -
NOD32 3813 2009.01.30 -
Norman 6.00.02 2009.01.30 -
nProtect 2009.1.8.0 2009.01.30 -
Panda 9.5.1.2 2009.01.30 -
PCTools 4.4.2.0 2009.01.30 -
Prevx1 V2 2009.01.30 -
Rising 21.13.42.00 2009.01.23 -
SecureWeb-Gateway 6.7.6 2009.01.30 -
Sophos 4.38.0 2009.01.30 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.30 -
TheHacker 6.3.1.5.237 2009.01.30 -
TrendMicro 8.700.0.1004 2009.01.30 -
VBA32 3.12.8.11 2009.01.30 -
ViRobot 2009.1.30.1582 2009.01.30 -
VirusBuster 4.5.11.0 2009.01.30 -
Information additionnelle
File size: 737280 bytes
MD5...: 456462905091db042141487fe030e3c9
SHA1..: bb57b4850528c3c8d9bf159fb5b9f414ddc7d5d7
SHA256: a93dc5e28d74ef40dd5d694aff7fb5f24c27dac4b59adae008cfdc5ca65587b0
SHA512: fdd82c126189454352b44c756be06e3e93ee26a93b56d99c3eb5254cac3f6d6e
d71556765b76e65bd75efad461972044ce829443c006fc0816a28f7b4493296f

ssdeep: 12288:n/Kw1mzcOv7j0NRF6u7UvuKkVV3oG2v6urURWRfFW4aikgwsqEKO:n+SIu
fX3oG2v6P0FParsK

PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5ec75
timedatestamp.....: 0x402aa809 (Wed Feb 11 22:09:13 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8436e 0x85000 6.52 1237ff6301825d5921b7f9a2f5139816
.rdata 0x86000 0x18156 0x19000 4.42 f6348df4f813de13cfb1e801130e5f79
.data 0x9f000 0x1193c 0xe000 5.13 596eac4f3dcfd1be5b3c6efaf752d891
.rsrc 0xb1000 0x6778 0x7000 3.64 d209a606411a3420b49c6373aa0bc2dc

( 14 imports )
> WINMM.dll: waveOutGetNumDevs
> VERSION.dll: VerLanguageNameA, GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA
> KERNEL32.dll: GetCPInfo, GetOEMCP, RtlUnwind, RaiseException, HeapFree, HeapAlloc, HeapReAlloc, GetTimeZoneInformation, GetSystemTime, GetLocalTime, ExitProcess, GetStartupInfoA, GetCommandLineA, GetACP, HeapSize, SetUnhandledExceptionFilter, GetEnvironmentVariableA, GlobalFlags, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, LCMapStringA, LCMapStringW, UnhandledExceptionFilter, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, GetStringTypeA, GetStringTypeW, IsBadCodePtr, SetStdHandle, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetErrorMode, LocalReAlloc, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, InitializeCriticalSection, GetVersion, GetCurrentThreadId, GlobalGetAtomNameA, GlobalAddAtomA, GlobalFindAtomA, GlobalDeleteAtom, LockResource, FindResourceA, LoadResource, SystemTimeToFileTime, GetFileTime, FileTimeToSystemTime, WideCharToMultiByte, InterlockedDecrement, GetFullPathNameA, MoveFileA, UnlockFile, LockFile, FlushFileBuffers, DuplicateHandle, DosDateTimeToFileTime, LocalFileTimeToFileTime, SetFileTime, GetTickCount, IsBadStringPtrA, FileTimeToLocalFileTime, FileTimeToDosDateTime, lstrcmpiA, LocalAlloc, LocalLock, LocalUnlock, GlobalReAlloc, IsDBCSLeadByte, lstrcatA, TlsGetValue, IsBadReadPtr, TlsFree, TlsSetValue, TlsAlloc, MultiByteToWideChar, GetPrivateProfileIntA, GlobalMemoryStatus, GetVolumeInformationA, GetComputerNameA, MoveFileExA, WritePrivateProfileStringA, GetPrivateProfileStringA, TerminateProcess, Sleep, GetDiskFreeSpaceA, lstrcmpA, GetCurrentDirectoryA, LoadLibraryExA, GetLogicalDriveStringsA, GetShortPathNameA, CopyFileA, FormatMessageA, LocalFree, CreateProcessA, GetPrivateProfileSectionNamesA, GetPrivateProfileSectionA, GlobalAlloc, GlobalLock, GlobalHandle, GlobalUnlock, GlobalFree, GetCurrentThread, GetCurrentProcess, GetWindowsDirectoryA, GetSystemDirectoryA, GetSystemDefaultLangID, GetDriveTypeA, MulDiv, InterlockedIncrement, FindNextFileA, FindFirstFileA, FindClose, RemoveDirectoryA, SetCurrentDirectoryA, CreateDirectoryA, GetFileAttributesA, SetFileAttributesA, WriteFile, ReadFile, CreateFileA, GetFileSize, SetFilePointer, SetEndOfFile, DeleteFileA, GetTempPathA, GetTempFileNameA, lstrcpyA, lstrlenA, lstrcpynA, ExpandEnvironmentStringsA, GetProcessVersion, GetModuleFileNameA, OpenProcess, CloseHandle, GetModuleHandleA, LoadLibraryA, GetProcAddress, GetEnvironmentStrings, FreeEnvironmentStringsA, GetCurrentProcessId, FreeLibrary, GetVersionExA, GetLastError, SetLastError, HeapDestroy
> USER32.dll: UnpackDDElParam, ReuseDDElParam, SetMenu, LoadMenuA, DestroyMenu, ReleaseCapture, TranslateAcceleratorA, LoadAcceleratorsA, SetRectEmpty, GetMessageA, ValidateRect, GetCursorPos, PtInRect, FillRect, DrawFocusRect, GrayStringA, DrawTextA, TabbedTextOutA, EndPaint, BeginPaint, ClientToScreen, GetMenuCheckMarkDimensions, LoadBitmapA, GetMenuState, ModifyMenuA, SetMenuItemBitmaps, CheckMenuItem, EnableMenuItem, MapWindowPoints, GetSysColor, GetFocus, AdjustWindowRectEx, ScreenToClient, EqualRect, DeferWindowPos, BeginDeferWindowPos, CopyRect, EndDeferWindowPos, IsWindowVisible, UnregisterClassA, GetTopWindow, GetCapture, WinHelpA, GetMenu, GetMenuItemCount, GetSubMenu, GetMenuItemID, GetKeyState, SetWindowsHookExA, CallNextHookEx, GetClassLongA, BringWindowToTop, GetPropA, CallWindowProcA, RemovePropA, GetMessageTime, GetMessagePos, GetLastActivePopup, GetForegroundWindow, GetWindow, SystemParametersInfoA, GetWindowPlacement, SetActiveWindow, CreateDialogIndirectParamA, GetParent, SetFocus, IsWindowEnabled, ShowWindow, MoveWindow, GetDlgCtrlID, IsDialogMessageA, SendDlgItemMessageA, GetDlgItem, UnhookWindowsHookEx, GetWindowTextLengthA, LoadStringA, WaitForInputIdle, SetDlgItemTextA, SetWindowTextA, SetForegroundWindow, EndDialog, DialogBoxParamA, GetActiveWindow, GetClassNameA, CharUpperA, OemToCharA, CharNextA, CharPrevA, CharUpperBuffA, SetCursor, IsIconic, DrawIcon, DestroyIcon, ExitWindowsEx, LoadCursorA, UpdateWindow, RedrawWindow, GetDesktopWindow, GetWindowTextA, EnumWindows, GetWindowThreadProcessId, PostMessageA, ShowOwnedPopups, GetSysColorBrush, SetPropA, SetWindowPos, MessageBoxA, MsgWaitForMultipleObjects, GetSystemMetrics, EnableWindow, InvalidateRect, GetClientRect, GetDC, ReleaseDC, GetWindowRect, LoadIconA, SendMessageTimeoutA, TranslateMessage, DispatchMessageA, PeekMessageA, PostQuitMessage, IsWindow, GetWindowLongA, DefWindowProcA, SetWindowLongA, GetClassInfoA, RegisterClassA, CreateWindowExA, SendMessageA, DestroyWindow, wsprintfA, RegisterWindowMessageA, GetNextDlgTabItem
> GDI32.dll: SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SetMapMode, SelectObject, RestoreDC, SaveDC, CreateCompatibleDC, BitBlt, Escape, ExtTextOutA, TextOutA, RectVisible, PtVisible, ScaleWindowExtEx, SetWindowExtEx, DeleteObject, StretchDIBits, RealizePalette, SelectPalette, Rectangle, GetDeviceCaps, CreateFontA, CreateBitmap, SetTextColor, GetClipBox, GetBkColor, SetBkColor, SetBkMode, CreateICA, DeleteDC, GetTextMetricsA, RemoveFontResourceA, CreatePalette, GetStockObject, AddFontResourceA, CreateSolidBrush, CreateFontIndirectA, GetObjectA, ScaleViewportExtEx
> comdlg32.dll: GetFileTitleA, GetOpenFileNameA, GetSaveFileNameA
> WINSPOOL.DRV: DocumentPropertiesA, OpenPrinterA, ClosePrinter
> ADVAPI32.dll: GetServiceDisplayNameA, RegOpenKeyExA, RegCreateKeyExA, RegDeleteValueA, RegDeleteKeyA, LookupPrivilegeValueA, AdjustTokenPrivileges, LookupAccountSidA, GetUserNameA, OpenThreadToken, OpenProcessToken, GetTokenInformation, AllocateAndInitializeSid, EqualSid, FreeSid, UnlockServiceDatabase, OpenSCManagerA, EnumServicesStatusA, QueryServiceStatus, ControlService, StartServiceA, DeleteService, CloseServiceHandle, CreateServiceA, OpenServiceA, RegCloseKey, RegConnectRegistryA, RegEnumValueA, RegEnumKeyExA, RegQueryInfoKeyA, RegSetValueExA, RegQueryValueExA
> SHELL32.dll: DragFinish, SHChangeNotify, ShellExecuteA, SHBrowseForFolderA, SHGetFileInfoA, SHGetSpecialFolderLocation, SHGetPathFromIDListA, SHGetMalloc, DragQueryFileA
> COMCTL32.dll: -
> ole32.dll: CoInitialize, CoUninitialize, CoCreateInstance
> OLEAUT32.dll: -, -
> WSOCK32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> NETAPI32.dll: Netbios

( 0 exports )

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=456462905091db042141487fe030e3c9' target='_blank'>https://www.symantec.com?md5=456462905091db042141487fe030e3c9</a>

Lyonnais92 · Answer

Re,

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Driver::
a0iyasdw
abflham8

 


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

Lyonnais92 · Answer

Re,

merci de l'info.

Je peux avoir le rapport ?

mr peyrsone · Answer

rapport rsit

Logfile of random's system information tool 1.05 (written by random/random)
Run by PUNKY at 2009-01-30 21:54:31
Microsoft® Windows Vista™ Édition Familiale Basique  
System drive C: has 18 GB (53%) free of 33 GB
Total RAM: 1525 MB (54% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:54:32, on 30/01/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16764)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Windows\System32\hkcmd.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Windows\system32\igfxext.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\Explorer.exe
C:\Windows\system32
otepad.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\PUNKY\Desktop\RSIT.exe
C:\Program Files	rend micro\PUNKY.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Startup Cleaner] C:\Program Files\CM Data Software\CM DiskCleaner\Startup Cleaner.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O13 - Gopher Prefix: 
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Lyonnais92 · Answer

Re,

en mode réduit, le script ne fonctionne pas.

Supprime Combofix.exe sur ton Bureau et fais ceci :


télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le Bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

Fait un glisser/déposer du fichier CFscript créé tout à l'heure sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation. @+

Lyonnais92 · Answer

Bonjour, 

?

Lyonnais92 · Answer

Bonjour,

le rapport de combofix n'est certainement pas identique.

Poste le.

Lyonnais92 · Answer

Bonjour,

tu n'as pas fait ce qui était demandé au post 150 : Supprime Combofix.exe sur ton Bureau et fais ceci 

Refais le post 150

Lyonnais92 · Answer

Re,

désolé, tu as bien retéléchargé la version.

Les drivers sont toujours là, mais ils ont changé de nom !

Je vais vérifier des fichiers.

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Windows\zip.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant ============

Tu fais de même pour :

C:\Windows\fdsv.exe et

C:\Program Files\CM Data Software\CM DiskCleaner\Startup Cleaner.exe 

======================

Ensuite,

  Ouvre le registre et navigue avec les + et les - jusqu'à la clé

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

    Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

    Ferme le registre et ouvre l'explorateur Windows.

    Clique droit sur le fichier et choisis Modifier.

    Le bloc-notes s'ouvre avec le contenu de la clé.

    Copie le dans ta réponse.

============

Tu fais de même avec 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork

(ne donne pas le même nom au fichier).

mr peyrsone · Answer

Antivirus Version Dernière mise à jour Résultat 
a-squared 4.0.0.93 2009.01.31 - 
AhnLab-V3 5.0.0.2 2009.01.30 - 
AntiVir 7.9.0.60 2009.01.30 - 
Authentium 5.1.0.4 2009.01.31 - 
Avast 4.8.1281.0 2009.01.30 - 
AVG 8.0.0.229 2009.01.30 - 
BitDefender 7.2 2009.01.31 - 
CAT-QuickHeal 10.00 2009.01.31 - 
ClamAV 0.94.1 2009.01.31 - 
Comodo 954 2009.01.30 - 
DrWeb 4.44.0.09170 2009.01.31 - 
eSafe 7.0.17.0 2009.01.29 Virus in password protected archive 
eTrust-Vet 31.6.6335 2009.01.29 - 
F-Prot 4.4.4.56 2009.01.30 - 
F-Secure 8.0.14470.0 2009.01.31 - 
Fortinet 3.117.0.0 2009.01.31 - 
GData 19 2009.01.31 - 
Ikarus T3.1.1.45.0 2009.01.31 - 
K7AntiVirus 7.10.611 2009.01.30 - 
Kaspersky 7.0.0.125 2009.01.31 - 
McAfee 5511 2009.01.30 - 
McAfee+Artemis 5511 2009.01.30 - 
Microsoft 1.4306 2009.01.31 - 
NOD32 3815 2009.01.31 - 
Norman 6.00.02 2009.01.30 - 
nProtect 2009.1.8.0 2009.01.30 - 
Panda 9.5.1.2 2009.01.30 - 
PCTools 4.4.2.0 2009.01.30 - 
Prevx1 V2 2009.01.31 - 
Rising 21.13.42.00 2009.01.23 - 
SecureWeb-Gateway 6.7.6 2009.01.30 - 
Sophos 4.38.0 2009.01.31 - 
Sunbelt 3.2.1835.2 2009.01.16 - 
Symantec 10 2009.01.31 - 
TheHacker 6.3.1.5.241 2009.01.31 - 
TrendMicro 8.700.0.1004 2009.01.30 - 
VBA32 3.12.8.12 2009.01.30 - 
ViRobot 2009.1.31.1583 2009.01.31 - 
VirusBuster 4.5.11.0 2009.01.30 - 
Information additionnelle 
File size: 68096 bytes 
MD5...: 5e832f4faf5f481f2eaf3b3a48f603b8 
SHA1..: 1d83497f04247bc095ddc1ccd0fef0c029f0ae8d 
SHA256: 2e28e6e768d5f0c821d45209e702d01be0a9fb632d7fd83620bcb71cc9ae00f9 
SHA512: 0bef7c3e2db4b8ff4b1e58443eb021eb880d69a152c8dd00738c6f3b764de9b5
1f7eeecb41bb89197ac6c6caecdd4ad258f85d3388a06c614e64889f656c9b2a
 
ssdeep: 768:IXeIRh6L1YJfD/c33gEJmQFULJ6P5mkBXn+h0oi9Q5ClH9xq50DB0pI81hEo
i:IX2Ylmw6mQa4mkBelkEYq50DGpI87E
 
PEiD..: Video-Lan-Client 
TrID..: File type identification
MinGW32 C/C++ Executable (91.6%)
Win32 Executable Generic (3.1%)
Win32 Dynamic Link Library (generic) (2.8%)
Win16/32 Executable Delphi generic (0.7%)
Generic Win/DOS Executable (0.7%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x11d4
timedatestamp.....: 0x3b9eb208 (Wed Sep 12 00:53:28 2001)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xf094 0xf200 6.58 2c73e8b2736583c21113dbde4ebf2c65
.data 0x11000 0x4a0 0x600 2.51 b8306ff71836f68500a984f5072fd03f
.bss 0x12000 0x4be30 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x5e000 0xcd8 0xe00 4.75 d8357d645ac26489e61253c24b4471b0

( 4 imports ) 
> ADVAPI32.DLL: AdjustTokenPrivileges, GetKernelObjectSecurity, GetSecurityDescriptorLength, LookupPrivilegeValueA, OpenProcessToken
> KERNEL32.dll: CloseHandle, CreateFileA, CreateMutexA, EnterCriticalSection, ExitProcess, FileTimeToLocalFileTime, FileTimeToSystemTime, FindClose, FindFirstFileA, FindNextFileA, GetConsoleMode, GetCurrentProcess, GetDriveTypeA, GetFileAttributesA, GetFileTime, GetFileType, GetFullPathNameA, GetLastError, GetProcessHeap, GetVersion, GetVolumeInformationA, HeapAlloc, HeapFree, InitializeCriticalSection, InterlockedExchange, LeaveCriticalSection, ReadFile, ReleaseMutex, SetConsoleMode, SetUnhandledExceptionFilter, WaitForSingleObject, lstrcmpiA, lstrcpynA, lstrlenA
> msvcrt.dll: _chmod, _close, _fdopen, _fileno, _fstat, _isatty, _mktemp, _read, _rmdir, _setmode, _spawnlp, _stat, _strupr, _unlink, _utime
> msvcrt.dll: __getmainargs, __isascii, __iscsym, __iscsymf, __p___mb_cur_max, __p__environ, __set_app_type, __toascii, _cexit, _errno, _fileno, _fmode, _fpreset, _get_osfhandle, _iob, _setmode, _sopen, _tzset, atexit, clearerr, exit, fclose, ferror, fflush, fgets, fopen, fprintf, fputs, fread, free, fseek, ftell, fwrite, getc, getenv, isalpha, isspace, localtime, malloc, mblen, memcpy, mktime, perror, printf, putc, putchar, puts, qsort, realloc, rename, setlocale, setvbuf, signal, sprintf, sscanf, strcat, strchr, strcmp, strcpy, strncmp, strncpy, strrchr, time

( 0 exports ) 
 
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=5e832f4faf5f481f2eaf3b3a48f603b8' target='_blank'>http://research.sunbelt-software.com/...

mr peyrsone · Answer

Antivirus Version Dernière mise à jour Résultat 
a-squared 4.0.0.93 2009.01.31 - 
AhnLab-V3 5.0.0.2 2009.01.30 - 
AntiVir 7.9.0.60 2009.01.30 - 
Authentium 5.1.0.4 2009.01.31 - 
Avast 4.8.1281.0 2009.01.30 - 
BitDefender 7.2 2009.01.31 - 
CAT-QuickHeal 10.00 2009.01.31 - 
ClamAV 0.94.1 2009.01.31 - 
Comodo 954 2009.01.30 - 
eSafe 7.0.17.0 2009.01.29 - 
eTrust-Vet 31.6.6335 2009.01.29 - 
F-Prot 4.4.4.56 2009.01.30 - 
Fortinet 3.117.0.0 2009.01.31 - 
GData 19 2009.01.31 - 
Ikarus T3.1.1.45.0 2009.01.31 - 
K7AntiVirus 7.10.611 2009.01.30 - 
McAfee 5511 2009.01.30 - 
McAfee+Artemis 5511 2009.01.30 - 
NOD32 3815 2009.01.31 - 
Norman 6.00.02 2009.01.30 - 
nProtect 2009.1.8.0 2009.01.30 - 
Panda 9.5.1.2 2009.01.30 - 
PCTools 4.4.2.0 2009.01.30 - 
Prevx1 V2 2009.01.31 - 
SecureWeb-Gateway 6.7.6 2009.01.30 - 
Sophos 4.38.0 2009.01.31 - 
Sunbelt 3.2.1835.2 2009.01.16 - 
Symantec 10 2009.01.31 - 
TheHacker 6.3.1.5.241 2009.01.31 - 
TrendMicro 8.700.0.1004 2009.01.30 - 
VBA32 3.12.8.12 2009.01.30 - 
ViRobot 2009.1.31.1583 2009.01.31 - 
Information additionnelle 
File size: 89504 bytes 
MD5...: 9fdeb67d8ed933aa868bae20239fb674 
SHA1..: 0cbb7869d4da64ca70bba1fb7fc8ec1b51646772 
SHA256: b38cd2ca81b852c7627d07c7370ff5d43993a8133e998542ca2ab167d6d3504a 
SHA512: f923c554d813616e5c404964e3e7ddbbdc4cc30d14187be171c766ad55327b39
5526706ed0e6a6a6f69814a49323b220ea56d13dfa0d973d3f7af590476dfa7c
 
ssdeep: 1536:V3nOHdRIUIHsy4C9nbv8QtCRHcfoQhzJrsfHVtFIdPrt8R36:9OubkcfLJq
HVtFIhrt8Rq
 
PEiD..: - 
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3a85
timedatestamp.....: 0x47c6ea3e (Thu Feb 28 17:07:10 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xc675 0xd000 6.47 27e2700ca852723c0bfa89593ce5deef
.rdata 0xe000 0x3752 0x4000 4.73 946313022c79b73999b70f42427c7221
.data 0x12000 0x3644 0x2000 1.47 17d00fdd8a0590cd844b1b181f4f7253
.rsrc 0x16000 0x3ec 0x1000 3.73 3242055afe10e8ab9c28092275ab9403

( 5 imports ) 
> KERNEL32.dll: FindNextFileW, GetModuleFileNameW, lstrlenW, FindFirstFileW, CloseHandle, lstrcpyA, lstrcpynW, CreateFileW, GetLastError, SetLastError, lstrcmpiA, GetProcAddress, FindClose, lstrlenA, FreeLibrary, CreateFileA, FlushFileBuffers, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetFileAttributesW, LoadLibraryA, GetVersionExW, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapFree, HeapAlloc, GetVersionExA, GetProcessHeap, RaiseException, GetCPInfo, InterlockedIncrement, InterlockedDecrement, GetACP, GetOEMCP, IsValidCodePage, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, GetCurrentThreadId, Sleep, HeapSize, ExitProcess, EnterCriticalSection, LeaveCriticalSection, HeapDestroy, HeapCreate, VirtualFree, DeleteCriticalSection, VirtualAlloc, HeapReAlloc, WriteFile, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, MultiByteToWideChar, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineA, GetCommandLineW, SetHandleCount, GetFileType, GetStartupInfoA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, LCMapStringA, WideCharToMultiByte, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, InitializeCriticalSection, RtlUnwind, SetFilePointer, GetConsoleCP, GetConsoleMode
> USER32.dll: CharNextW, CharLowerW
> SHLWAPI.dll: PathRemoveBackslashW
> VERSION.dll: GetFileVersionInfoSizeW, GetFileVersionInfoW, VerQueryValueW
> CRYPT32.dll: CertNameToStrW, CertGetNameStringW

( 0 exports ) 
 
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9fdeb67d8ed933aa868bae20239fb674' target='_blank'>http://research.sunbelt-software.com/...

mr peyrsone · Answer

Antivirus Version Dernière mise à jour Résultat 
a-squared 4.0.0.93 2009.01.31 - 
AhnLab-V3 5.0.0.2 2009.01.30 - 
AntiVir 7.9.0.60 2009.01.30 - 
Authentium 5.1.0.4 2009.01.31 - 
Avast 4.8.1281.0 2009.01.30 - 
AVG 8.0.0.229 2009.01.30 - 
BitDefender 7.2 2009.01.31 - 
CAT-QuickHeal 10.00 2009.01.31 - 
ClamAV 0.94.1 2009.01.31 - 
Comodo 954 2009.01.30 - 
DrWeb 4.44.0.09170 2009.01.31 - 
eSafe 7.0.17.0 2009.01.29 - 
eTrust-Vet 31.6.6335 2009.01.29 - 
F-Prot 4.4.4.56 2009.01.30 - 
F-Secure 8.0.14470.0 2009.01.31 - 
Fortinet 3.117.0.0 2009.01.31 - 
GData 19 2009.01.31 - 
Ikarus T3.1.1.45.0 2009.01.31 - 
K7AntiVirus 7.10.611 2009.01.30 - 
Kaspersky 7.0.0.125 2009.01.31 - 
McAfee 5511 2009.01.30 - 
McAfee+Artemis 5511 2009.01.30 - 
Microsoft 1.4306 2009.01.31 - 
NOD32 3815 2009.01.31 - 
Norman 6.00.02 2009.01.30 - 
nProtect 2009.1.8.0 2009.01.30 - 
Panda 9.5.1.2 2009.01.30 - 
PCTools 4.4.2.0 2009.01.30 - 
Prevx1 V2 2009.01.31 - 
Rising 21.13.42.00 2009.01.23 - 
SecureWeb-Gateway 6.7.6 2009.01.30 - 
Sophos 4.38.0 2009.01.31 - 
Sunbelt 3.2.1835.2 2009.01.16 - 
Symantec 10 2009.01.31 - 
TheHacker 6.3.1.5.241 2009.01.31 - 
TrendMicro 8.700.0.1004 2009.01.30 - 
VBA32 3.12.8.12 2009.01.30 - 
ViRobot 2009.1.31.1583 2009.01.31 - 
VirusBuster 4.5.11.0 2009.01.30 - 
Information additionnelle 
File size: 122880 bytes 
MD5...: f4c334730feb7c4493dc1b1d149b2b7b 
SHA1..: 976a4214c682519b12f3cd55d23b130ecf902d55 
SHA256: cdb7fd348df1a247089ef0e936561d1c4f978dbd46b7f666bba08ae270a36b29 
SHA512: 07bc9a7274935ac43c26f852ad582994f23936448c1850b48afcda263c185d3c
146fadb72c14293b6f408ff6f2edfaac381d1557078a29bfdd5e4f32c48e7ff4
 
ssdeep: 1536:FjSGmHQpNsfL08KkLAoGh6akx7belpujyOn1kF24Xc/0SjrhgRalbBwRz:F
nEZfL08rjb1yEa24Xc/0S/mCbBwB
 
PEiD..: - 
TrID..: File type identification
Win32 Executable Microsoft Visual Basic 6 (90.9%)
Win32 Executable Generic (6.1%)
Generic Win/DOS Executable (1.4%)
DOS Executable Generic (1.4%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x18c0
timedatestamp.....: 0x45292e68 (Sun Oct 08 16:59:20 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1a534 0x1b000 5.57 f07c5bcf12b7bdc5a18a3a090f788384
.data 0x1c000 0xf74 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x1d000 0x714 0x1000 2.04 40b7f4b0718748c9e7c11752c9658ce1

( 1 imports ) 
> MSVBVM60.DLL: __vbaStrI2, _CIcos, _adj_fptan, __vbaStrI4, __vbaFreeVar, __vbaLineInputStr, __vbaLenBstr, __vbaFreeVarList, _adj_fdiv_m64, __vbaFreeObjList, _adj_fprem1, __vbaStrCat, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaExitProc, __vbaOnError, __vbaObjSet, -, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, _CIsin, -, __vbaChkstk, __vbaFileClose, EVENT_SINK_AddRef, __vbaI2I4, DllFunctionCall, _adj_fpatan, __vbaLateIdCallLd, __vbaStrR8, EVENT_SINK_Release, __vbaNew, _CIsqrt, EVENT_SINK_QueryInterface, __vbaExceptHandler, __vbaPrintFile, _adj_fprem, _adj_fdivr_m64, __vbaI2Str, __vbaLateIdStAd, __vbaFPException, __vbaVarCat, _CIlog, __vbaErrorOverflow, __vbaFileOpen, -, __vbaInStr, __vbaNew2, __vbaR8Str, -, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, __vbaI4Str, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, -, __vbaI4Var, -, -, __vbaVarDup, __vbaVerifyVarObj, __vbaFpI4, _CIatan, __vbaStrMove, __vbaCastObj, _allmul, __vbaLateIdSt, _CItan, _CIexp, __vbaFreeStr, __vbaFreeObj

( 0 exports )

Lyonnais92 · Answer

Re,

Ouvre le registre et navigue avec les + et les - jusqu'à la clé
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot­­\Minimal
Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).
Ferme le registre et ouvre l'explorateur Windows.
Clique droit sur le fichier et choisis Modifier.
Le bloc-notes s'ouvre avec le contenu de la clé.
Copie le dans ta réponse.


Fais exactement ce qui est écrit, c'est inoffensif.

afideg · Answer

Bonjour

"Démarrer" > "Exécuter" > saisir REGEDIT dans la zone d'écriture > valider par [OK]
La base de registres s'affiche.
Tu navigues alors dans le panneau de gauche
Et tu appliques ce qu'a demandé Lyonnais92

Al.

mr peyrsone · Answer

je peux jeter le fichier apres?

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppInfo]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KeyIso]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NTDS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ProfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SWPRV]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TabletInputService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TBS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TrustedInstaller]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VDS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgr.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgrx.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{6BDD1FC1-810F-11D0-BEC7-08002BE2092F}]
@="IEEE 1394 Bus host controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D48179BE-EC20-11D1-B6B8-00C04FA372A7}]
@="SBP2 IEEE 1394 Devices"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}]
@="SecurityDevices"

afideg · Answer

...
Ce n'est pas ce qui est demandé par Lyonnais92 ici:  http://www.commentcamarche.net/forum/affich 10720357 analyse pc?page=6#164
Peux-tu le relire correctement et complètement ?

Al.

Lyonnais92 · Answer

Re,

Télécharge SafeBootKeyRepair depuis https://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe

Enregistrer ce fichier sur le Bureau.


déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

Fais un double clic sur SafeBootKeyRepair.exe pour lancer l'exécution de l'outil. 

réactive ton parefeu, ton antivirus, la garde de ton antispyware

Poste le rapport de SafeBootKeyRepair (contenu du fichier C:\SafeBoot_Repair.txt)

mr peyrsone · Answer

sans t offenser lyonnais 92,quand tu me donne des liens,est ce que sa serait possible que sa soit pour vista? merci

Lyonnais92 · Answer

Re,

l'outil ne fonctionne pas non plus avec clic droit et exécuter en tant qu'administrateur ?

mr peyrsone · Answer

non c est pareil

Lyonnais92 · Answer

Re,

alors comme ça :


Ouvre ce lien

 http://www.assistepc.com/forum/reparer-le-mode-sans-echec-de-windows-vt867.html

choisis le fichier qui correspond à ton cas et exécute les instructions.

mr peyrsone · Answer

impossible d importer C:/users/punky/desktop/safe boot vista/safeboot vista reg.
toutes les donnees n ont pas ete correctement inscrites dans le registre. 
certaines cles sont ouvertes par le systeme ou par d autres processus

mr peyrsone · Answer

t'abandonne?

afideg · Answer

Lyonnais,

Pour réparer les clefs safeboot il existe une option avec l'outil SReng

Télécharger System Repair Engineer - SREng (par Smallfrogs) sur ton Bureau :
http://www.kztechs.com/eng/download.html   
https://www.hiboox.com
 
Extrais tout son contenu sur ton Bureau --> (clic-droit sur le fichier .zip >> "Extraire tout...")

Du dossier sreng2 qui se trouve maintenant sur ton Bureau, double-clique sur SREngPS.exe afin de lancer l'outil
/!\Avec VISTA, il faut : 
Du dossier sreng2 qui se trouve maintenant sur ton Bureau, (l'ouvrir) clic-droit sur SREngPS.exe , choisir éventuellement "Exécuter en tant qu'administrateur" afin de lancer l'outil. /!\

==> (bouton "System Repair" >> onglet "Advanced Repair" >> clique le bouton "Repair Safe Mode")

Tester le MSE.


Bonne journée à vous deux.
Al.

Lyonnais92 · Answer

Bonjour,

Télécharge Security Check de screen317 ici :

http://screen317.spywareinfoforum.org/

et enregistre le sur ton Bureau.

    * Décompresse SecurityCheck.zip; un dossier nommé Security Check doit apparaître.
    * Ouvre le dossier Security Check et double-clique sur Security Check.bat
    * Suis les instructions affichées à l'écran (dans la fenêtre sur fond noir).
      Pendant l'étape "DNS Vulnerability Check: / Vulnérabilité DNS", le processus DIG.exe va demander une connexion en sortie, donne l'autorisation s'il te plaît.
    * Un document texte appelé checkup.txt va s'ouvrir automatiquement dans le Bloc-notes (Notepad); merci de poster le contenu de ce document.

afideg · Answer

Pour info
Security Check fait partie de Spyware Terminator
Il liste les protections actives du PC

mr peyrsone · Answer

Results of screen317's Security Check version 0.97.8 
Commande ECHO désactivée.
[b]`````````````````````````````` 
Antivirus/Firewall Check:  
``````````````````````````````/b 
ESET NOD32 Antivirus    
 [b]Antivirus out of date!/b (On Access scanning [b]disabled/b!) 
[b]`````````````````````````````` 
Anti-malware/Other Utilities Check:  
``````````````````````````````/b 
HijackThis 2.0.2    
CCleaner (remove only)   
CM DiskCleaner    
[b]`````````````````````````````` 
Process Check:  
objlist.exe by Laurent 
``````````````````````````````/b 
ESET ESET NOD32 Antivirus egui.exe  
[b]``````````````````````````````
DNS Vulnerability Check: 
``````````````````````````````/b

Scan took 224 seconds.
[b]`````````End of Log```````````/b

Lyonnais92 · Answer

Re,

ouvre ce tutoriel ::

http://www.malekal.com/tutorial_NOD32.php

vérifie que ton antivirus est bien configuré

mets à jour la base virale

réessaye de scanner l'ordi.

mr peyrsone · Answer

j ai rescanné avec nod 32 et rien de nouveau....

Lyonnais92 · Answer

Re,

c'est à dire :

le scan se fait

tu vois le résultat

et tu n'arrives pas à le poster ?

mr peyrsone · Answer

Results of screen317's Security Check version 0.97.8 
Commande ECHO désactivée.
[b]`````````````````````````````` 
Antivirus/Firewall Check:  
``````````````````````````````[/b] 
ESET NOD32 Antivirus    
 [b]Antivirus out of date![/b] (On Access scanning [b]disabled[/b]!) 
[b]`````````````````````````````` 
Anti-malware/Other Utilities Check:  
``````````````````````````````[/b] 
HijackThis 2.0.2    
CCleaner (remove only)   
CM DiskCleaner    
[b]`````````````````````````````` 
Process Check:  
objlist.exe by Laurent 
``````````````````````````````[/b] 
ESET ESET NOD32 Antivirus egui.exe  
[b]``````````````````````````````
DNS Vulnerability Check: 
``````````````````````````````[/b]

Scan took 224 seconds.
[b]`````````End of Log```````````[/b]

Lyonnais92 · Answer

Re,

ça ne répond pas à ma dernière question.

Lyonnais92 · Answer

Bonjour,

c'est le scan de Nod32 dont je voudrais avoir le rapport.

mr peyrsone · Answer

impossible de poster le rapport de nod 32
des que je le colle dans la case message sa me fait planter internet explorer

Lyonnais92 · Answer

Bonjour,

je ne comprends rien à cette histoire.

Sauvegarde le rapport au format txt.

Copie le dans ta réponse.

mr peyrsone · Answer

salut 
desolée pour le retard
j ai desinstallé nod32 et je l ai remplacer par avast mais une fois l analyse terminée je ne trouve pas le rapport
tu sais ou je peux le trouver?

Lyonnais92 · Answer

Bonjour,

regarde ce tuto :

http://www.commentcamarche.net/forum/affich 10720357 analyse pc?page=7#189

ouvre "visualisateur de journaux avast".

mr peyrsone · Answer

heu,il est pas bon ton lien

mr peyrsone · Answer

j ai remplacer avast par avg car j ai un soucis avec les antivirus quand je demande le rapport,donc j essaie avg et je te previens

DarkRodWarrior · Answer

192 messages et toujours pas fini ?

Un formatage aurai été mieux *_*

Lyonnais92 · Answer

Bonsoir,

l'intervention de ce nul m'a permis de relire le topic en entier.

Trouve le rapport de l'antivirus et poste le.

=================

ensuite, supprime combofix.exe sur ton Bureau.

Puis 

    Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    - Va dans démarrer puis panneau de configuration
    - Double Clique sur l'icône "Comptes d'utilisateurs"
    - Clique ensuite sur désactiver et valide.

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le Bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

en particulier installe la Console de récupération.

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

mr peyrsone · Answer

je comprends pas avec n importe quelle antivirus,quand je veux "coller" le rapport dans la fenetre "reponse" sa bug et en haut a gauche sa me dit:internet explorer ne repond pas 
j'ai attendu plus dune heure et.....rien,sa ne repond toujours pas
donc....?
 j'te comprend si t abandonne,car moi,sans me creuser la tete,sa me saoul donc j imagine pour toi
a la rigueur si tu veux me passer ton adresse e-mail j'peux essayer de te l envoyer mais c'est pas dit que sa fonctionne

Lyonnais92 · Answer

Re,

fais la suite du post 196 (combofix)

mr peyrsone · Answer

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection): 

J'veux bien mais j'ai l'impression que il soit cocher ou decocher sa ne change rien,il ne se desactive pas...

Lyonnais92 · Answer

Bonjour,

tu fais ça :

    - Va dans démarrer puis panneau de configuration
    - Double Clique sur l'icône "Comptes d'utilisateurs"
    - Clique ensuite sur désactiver et valide.

Continue.

Essaye d'exécuter combofix par clic droit et "exécuter en tant qu'administrateur".

mr peyrsone · Answer

BitDefender - Fichier journal 

Produit : BitDefender Internet Security 2009
Version : BitDefender UIScanner v.12
Tâche d'analyse : Analyse rapide
Date du journal : 12:05:28 16/02/2009
Chemin du journal : C:\ProgramData\Bitdefender\Desktop\Profiles\Logs\quick_scan\1234782328_1_00.xml

Analyse des chemins :Chemin 0000: C:\Windows
Chemin 0001: C:\Program Files

Options d’analyse :Détecter les virus : Oui
Détecter les adwares : Oui
Détecter les spywares : Oui
Analyser les applications : Oui
Détecter les dialers : Oui
Détecter les rootkits : Non

Options de sélection de cible :Analyser les clés du registre : Non
Analyser les cookies : Non
Analyser les secteurs de boot : Non
Analyser les processus mémoire : Non
Analyser les archives : Non
Analyser les fichiers enpaquetés : Oui
Analyser les e-mails : Non
Analyser tous les fichiers : Oui
Analyse heuristique : Oui
Extensions analysées : ;exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;bat;drv;cpl;swf;pl;
Extensions exclues : 

Traitement de la cible :Action par défaut pour les objets infectés : Désinfecter
Action par défaut pour les objets suspects : Aucune
Action par défaut pour les objets camouflés : Aucune

Résumé de l'analyseNombre de signatures de virus : 2670015
Plugins archives : 45
Plugins e-mail : 6
Plugins d'analyse : 13
Plugins système : 5
Plugins de décompression : 7

Résumé de l'analyse généraleEléments analysés : 10618
Eléments infectés : 0
Eléments suspects : 0
Eléments résolus : 0
Éléments non résolus : 0
Eléments protégés par mot de passe : 0
Virus individuels trouvés : 0
Répertoires analysés : 11149
Secteur de boot analysés : 0
Archives analysés : 0
Erreurs I/O : 5
Temps d'analyse : 00:22:13
Fichiers par seconde : 7

Résumé des processus analysésAnalysé : 0
Infecté : 0

Résumé des clés de registre analyséesAnalysé : 0
Infecté : 0

Résumé des cookies analysésAnalysé : 0
Infecté : 0

Analyse pc

108 réponses