Virus

biba31 Messages postés 257 Statut Membre -  
biba31 Messages postés 257 Statut Membre -
Bonjour,
mon ordi est infecté. le gestionnaire des taches est toujours verouillé c'est a dire je ne peux pas y cliquer. l'ordi est trop lent.
le pire c ke l'antivirus ne fonctionne pas aussi.je sais plus koi faire. g utilisé plusieurs antivirus mais en vain.
et si j'essaye le formatage, je vais perdre beaucoup de fichiers dans l'ordi. et si je les garde dans d'autres mémoires le probleme est que je sais pas s'ils sont infectés ou non (les fichiers).
kelle est la soluton?
merci d'avance.
A voir également:

83 réponses

Précédent
Réponse 21 / 83
biba31 Messages postés 257 Statut Membre 38
 
je l'ai lancé mais il m'a dit qu'il a détecté un scanner en temps réel: kaspersky anti-virus. mais je l'ai desinstallé completement!!!!!!!!!!!!!!!!!!!!!!!!!!
j'ai cliqué sur OK alrs un 'warning' apparait et me dit que kaspersky reste actif
et dit : kindly note that this is at your own risk
koi faire??
0
Réponse 22 / 83
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
Accepte.
0
Réponse 23 / 83
biba31 Messages postés 257 Statut Membre 38
 
g accepté .. il arrive aux étapes.A la 50eme etape, l'ordi redemarre directement.
le gestionnaire des taches est maintenant désactivé.
il n'y a aucun nouvel affichage
koi faire?
0
Réponse 24 / 83
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
Regarde si tu as un fichier texte ComboFix dans C:\
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 83
biba31 Messages postés 257 Statut Membre 38
 
g trouvé mais pas dans C:
je l'ai trouvé dans C:/ComboFix/
il dit a la fin:

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
0
Réponse 26 / 83
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
Refais la manipulation avec UsbFix.
0
Réponse 27 / 83
biba31 Messages postés 257 Statut Membre 38
 
voilà ce qu'il y a dans ce fichier:



ComboFix 09-03-15.01 - poi 2009-03-18 21:35:56.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1256.216.1036.18.223.52 [GMT 1:00]
Running from: C:\Documents and Settings\poi\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
AV: Kaspersky Anti-Virus *On-access scanning enabled* (Outdated)
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
0
Réponse 28 / 83
biba31 Messages postés 257 Statut Membre 38
 
g trouvé un fichier stub.log dans C:
as-t-il relation?
0
Réponse 29 / 83
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
http://www.commentcamarche.net/forum/affich 11588021 virus?page=2#27
0
Réponse 30 / 83
biba31 Messages postés 257 Statut Membre 38
 
c'est fait.
le rapport :




-------------- UsbFix V2.414.3 ---------------

* User : poi - ES-1D0DC7C34A5A
* Outils mis a jours le 18/01/2009 par Chiquitine29 et Chimay8
* Recherche effectuée à 22:29:04 le 2009-03-18
* Windows Xp - Internet Explorer 6.0.2900.2180


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

D: - Lecteur fixe

F: - Lecteur amovible


+- Contenu de l'autorun : C:\autorun.inf



+- Contenu de l'autorun : D:\autorun.inf



+- Contenu de l'autorun : F:\autorun.inf

[AutoRun]
;easiM mYSU
sHell\open\DeFault=1
;
open= waklko.pif
;GctkouhcOuqKJrmVs pGKo
ShElL\OpEN\cOMmANd = waklko.pif

;isjKq sxfqWExBsbOPiL woQmsJiDnXiOBjLXLUSTBym
shElL\exPlOre\CoMMand =waklko.pif
;tIjvUtvUwbuq
sHell\AutopLAy\CoMManD =waklko.pif
;jeiWFewLQ ekoBQ aEbmhVqtBfKHCEuX


--------------- [ Lecteur C ] ----------------

C: - Lecteur fixe


+- Listing des fichiers présents :

[2006-08-30 12:07][--a------] C:\AUTOEXEC.BAT
[2004-08-03 22:38][-rahs----] C:\NTDETECT.COM
[2009-03-07 23:28][---hs----] C:\boot.ini
[2009-03-18 16:03][d--h-----] C:\autorun.inf
[2009-03-18 14:25][--a------] C:\lopR.txt
[2009-03-18 14:25][--a------] C:\UsbFix.txt
[2006-08-30 12:07][--a------] C:\CONFIG.SYS
[2006-08-30 12:07][--a------] C:\hiberfil.sys
[2006-08-30 12:07][--a------] C:\IO.SYS
[2006-08-30 12:07][--a------] C:\MSDOS.SYS
[2006-08-30 12:07][--a------] C:\pagefile.sys

--------------- [ Lecteur D ] ----------------

D: - Lecteur fixe


+- Listing des fichiers présents :

[2009-03-18 16:03][d--h-----] D:\autorun.inf

--------------- [ Lecteur F ] ----------------

F: - Lecteur amovible


+- Listing des fichiers présents :

[2009-03-18 21:48][--a------] F:\waklko.pif
[2004-10-31 14:27][-rahs----] F:\pslqcm.exe
[2004-10-31 14:27][-rahs----] F:\rger.exe
[2004-10-31 13:00][---------] F:\autorun.inf

--------------- [ Registre / Startup ] ----------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
KernelFaultCheck=%systemroot%\system32\dumprep 0 -k
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

--------------- [ Registre / Mountpoint2 ] ----------------


-> Recherche négative.

--------------- [ Nettoyage des disques ] ----------------

F:\autorun.inf ~> fichier appelé : "F:\ waklko.pif" ( absent ! )
Echec de la supression !! - [2009-03-18 22:29] C:\autorun.inf
Supprimé ! - [2009-03-18 22:29][d--------] C:\autorun.inf
Echec de la supression !! - [2009-03-18 22:29] D:\autorun.inf
Supprimé ! - [2009-03-18 22:29][d--------] D:\autorun.inf
Echec de la supression !! - [2004-10-31 13:00] F:\autorun.inf
Echec de la supression !! - [2004-10-31 13:00] F:\autorun.inf

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[2006-08-30 12:07][--a------] C:\AUTOEXEC.BAT
[2004-08-03 22:38][-rahs----] C:\NTDETECT.COM
[2009-03-07 23:28][---hs----] C:\boot.ini
[2009-03-18 21:48][--a------] F:\waklko.pif
[2004-10-31 14:27][-rahs----] F:\pslqcm.exe
[2004-10-31 14:27][-rahs----] F:\rger.exe
[2004-10-31 13:00][---------] F:\autorun.inf

--------------- [ Vaccination ] ----------------

C:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
D:\autorun.inf -> Dossier autorun.inf crée par UsbFix !

--------------- ! Fin du rapport ! ----------------
0
Réponse 31 / 83
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
---> Désinstalle Crawler Toolbar with Web Security Guard et VMN Toolbar.

---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau.

---> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :





:processes
explorer.exe

:files
F:\waklko.pif
F:\pslqcm.exe
F:\rger.exe
F:\semo2x.exe
F:\etcs.exe
C:\Documents and Settings\poi\Application Data\vmntoolbar
C:\PROGRA~1\Crawler

:reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Play Dead]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kamsoft]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"F:\waklko.pif"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\winyialx.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\winusng.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\fyban.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\winlbuye.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\winlgjpd.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\rdejd.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\wincycu.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\winmwut.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\ncogg.exe"=-
"F:\etcs.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\jtwv.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\winryex.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\gwwvsq.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\winnbrq.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\winnsfys.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\winnlkk.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\qbykq.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\yeijv.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\kreo.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\windvsmoh.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\acjswg.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\winirfraj.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\winjewdl.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\winxcbfjp.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\jdbu.exe"=-
"C:\DOCUME~1\poi\LOCALS~1\Temp\winkdlvi.exe"=-
"C:\WINDOWS\TEMP\winbjdva.exe"=-
"C:\WINDOWS\TEMP\winvrya.exe"=-
"C:\WINDOWS\TEMP\shed.exe"=-
"C:\WINDOWS\TEMP\winacvp.exe"=-
"C:\WINDOWS\TEMP\winjuti.exe"=-
"C:\WINDOWS\TEMP\winnjlc.exe"=-
"C:\WINDOWS\TEMP\hxjahn.exe"=-
"C:\WINDOWS\TEMP\winkwhywy.exe"=-
"C:\WINDOWS\TEMP\kbipm.exe"=-
"C:\WINDOWS\TEMP\vctyr.exe"=-
"C:\WINDOWS\TEMP\winpkil.exe"=-
"C:\WINDOWS\TEMP\eslda.exe"=-
"C:\WINDOWS\TEMP\winiwukk.exe"=-
"C:\WINDOWS\TEMP\winsnnn.exe"=-
"C:\WINDOWS\TEMP\eufoaw.exe"=-
"C:\WINDOWS\TEMP\nclpxp.exe"=-
"C:\WINDOWS\TEMP\winfbhgiq.exe"=-
"C:\WINDOWS\TEMP\winsiuc.exe"=-
"C:\WINDOWS\TEMP\afhl.exe"=-
"C:\WINDOWS\TEMP\lajgsn.exe"=-
"C:\WINDOWS\TEMP\winplkggt.exe"=-
"C:\WINDOWS\TEMP\winwrmxww.exe"=-
"C:\WINDOWS\TEMP\irpns.exe"=-
"C:\WINDOWS\TEMP\ykno.exe"=-

:commands
[purity]
[emptytemp]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
0
Réponse 32 / 83
biba31 Messages postés 257 Statut Membre 38
 
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
F:\waklko.pif moved successfully.
F:\pslqcm.exe moved successfully.
F:\rger.exe moved successfully.
File/Folder F:\semo2x.exe not found.
File/Folder F:\etcs.exe not found.
File/Folder C:\Documents and Settings\poi\Application Data\vmntoolbar not found.
File/Folder C:\PROGRA~1\Crawler not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Play Dead\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kamsoft\\ not found.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\F:\waklko.pif deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\winyialx.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\winusng.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\fyban.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\winlbuye.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\winlgjpd.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\rdejd.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\wincycu.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\winmwut.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\ncogg.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\F:\etcs.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\jtwv.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\winryex.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\gwwvsq.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\winnbrq.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\winnsfys.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\winnlkk.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\qbykq.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\yeijv.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\kreo.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\windvsmoh.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\acjswg.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\winirfraj.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\winjewdl.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\winxcbfjp.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\jdbu.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\poi\LOCALS~1\Temp\winkdlvi.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\winbjdva.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\winvrya.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\shed.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\winacvp.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\winjuti.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\winnjlc.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\hxjahn.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\winkwhywy.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\kbipm.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\vctyr.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\winpkil.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\eslda.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\winiwukk.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\winsnnn.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\eufoaw.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\nclpxp.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\winfbhgiq.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\winsiuc.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\afhl.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\lajgsn.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\winplkggt.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\winwrmxww.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\irpns.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\ykno.exe deleted successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\poi\LOCALS~1\Temp\etilqs_XMp8jvqvNpyxD56h3Fx0 scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\nwpuq.exe scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\piwf.exe scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\winxlnvy.exe scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\poi\Local Settings\Application Data\Mozilla\Firefox\Profiles\abxziayz.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\poi\Local Settings\Application Data\Mozilla\Firefox\Profiles\abxziayz.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\poi\Local Settings\Application Data\Mozilla\Firefox\Profiles\abxziayz.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\poi\Local Settings\Application Data\Mozilla\Firefox\Profiles\abxziayz.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\poi\Local Settings\Application Data\Mozilla\Firefox\Profiles\abxziayz.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.

OTMoveIt3 by OldTimer - Version 1.0.9.0 log created on 03192009_182842
0
Réponse 33 / 83
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
---> Refais un scan RSIT et poste le rapport log.
0
Réponse 34 / 83
biba31 Messages postés 257 Statut Membre 38
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\TEMP\nwpuq.exe
C:\WINDOWS\TEMP\winxlnvy.exe
C:\WINDOWS\TEMP\piwf.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\explorer.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\poi\Bureau\RSIT.exe
C:\Program Files\trend micro\poi.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.imesh.com/sidebar.html?src=ssb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60429
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60429
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {147D6308-0614-4112-89B1-31402F9B82C4} - (no file)
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [OTMoveIt] C:\Documents and Settings\poi\Bureau\OTMoveIt3.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nLite] %systemroot%\inf\nlite.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nLite] %systemroot%\inf\nlite.cmd (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?4da68c61d46244d8959fccf8ff8804ea
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?4da68c61d46244d8959fccf8ff8804ea
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
0
Réponse 35 / 83
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
Lance ComboFix mais en mode sans échec.

---> Pour redémarrer en mode sans échec :
- Redémarre ton PC.
- Au démarrage, tapote sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
- Dans le menu d'options avancées, choisis Mode sans échec.
- Choisis ta session.
0
Réponse 36 / 83
biba31 Messages postés 257 Statut Membre 38
 
c'est comme l'autre fois pour Combofix. l'ordi redémarre. et on me demande pas sur la console de récupération . et il pose le message qu'il a détecté un antivirus bien qu'il soit déjà désinstallé.
aucun rapport dans C:
dans C:/combofix/combofix.txt
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
/wow section - STAGE 6
Accès refusé.
0
Réponse 37 / 83
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
--> Télécharge Catchme (de Przemyslaw Gmerek) sur ton Bureau.
--> Double-clique sur catchme.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Lorsque la recherche sera terminée, poste le rapport catchme.log dans ta prochaine réponse. (Ce rapport est sur ton Bureau.)
0
Réponse 38 / 83
biba31 Messages postés 257 Statut Membre 38
 
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.0.0_x-ww_2726e76a\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.2600.2180_x-ww_b2505ed9\msvcirt.dll 57344 bytes
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.0.0_x-ww_2726e76a\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.2600.2180_x-ww_b2505ed9\msvcrt.dll 344064 bytes

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 2
0
Réponse 39 / 83
Destrio5 Messages postés 99820 Statut Modérateur 10 304
 
---> Télécharge SDFix (créé par AndyManchesta) sur ton Bureau.
- Double-clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
- Redémarre ton ordinateur en mode sans échec.

---> Pour redémarrer en mode sans échec :
- Redémarre ton PC.
- Au démarrage, tapote sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
- Dans le menu d'options avancées, choisis Mode sans échec.
- Choisis ta session.

---> Déroule la liste des instructions ci-dessous :
- Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer le script.
- Appuie sur Y pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
- Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.
0
biba31 Messages postés 257 Statut Membre 38
 
Quand je téleécharge SDfix un message apparait :


C:\Documents and Settings\...\Bureau\SDFix.exe.part ne pourra être enregistré car le fichier source ne peut être lu.

Réessayez plus tard ou contactez l'administrateur du serveur

et le téléchargement echoue
koi faire?
svp aidez moi
0
Réponse 40 / 83
biba31 Messages postés 257 Statut Membre 38
 
quand je téleécharge SDfix un message apparait :


C:\Documents and Settings\...\Bureau\SDFix.exe.part ne pourra être enregistré car le fichier source ne peut être lu.

Réessayez plus tard ou contactez l'administrateur du serveur

et le téléchargement echoue
koi faire?
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses