Fermetures intempestives de toutes applis

moot -  
 ramon -
Bonjour,

j'ai un ami qui à un problème plus que gênant sur son PC (c'est moi qui lui règle ses problèmes ^^).

En fait, n'importe quelle application lancée fini par se clôturer seule, sans aucun message d'erreur ou autres, sans aucune régularité (le soft peut se cloturer au bout de 2 minutes comme 2 heures...).

Et ce avec N'IMPORTE QUELLE APPLICATION, que ce soit firefox, winamp, pokerstars... et la où c'est plus gênant, c'est que ça la fait aussi avec avast et spybotSD (les softs de protection installés sur son PC).

Je pense qu'un bon coup de spybot pourrait régler le problème, mais impossible de finir la vérification vu que Spybot, comme les autres softs, se coupe en plein milieu sans prévenir.

Voilà, j'aimerais savoir si quelqu'un aurait une solution pour éviter un formatage/reinstallation windows.

Je précise que la restauration de système est désactivée.
Configuration: Windows XP 
Firefox 3.0.7

9 réponses

  1. al360ex Messages postés 166 Date d'inscription   Statut Membre Dernière intervention   23
     
    Bonjour,

    L'action que tu décris s'apparente à l'effet d'un cheval de troie (trojan). Pour vérifier cela, demande à ton ami de débrancher sa connexion Internet. Si le problème s'arrête en même temps, c'est qu'il s'agissait d'un trojan.

    Maintenant, pour t'en débarrasser, tu peux faire un scan avec ton anti-virus. Si ce dernier ne trouve rien, tu peux toujours télécharger Malwarebytes' Anti-Malware. C'est le meilleur scanneur que j'ai testé.

    Si le problème persiste toujours, dans ce cas là j'ai l'impression qu'il s'agit d'un problème avec ton système d'exploitation.

    J'espère que ma réponse t'aidera,
    al360ex
    0
  2. Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   667
     
    Salut,

    -Telecharges RSIT " Random's System Information Tool " sur ton bureau : http://images.malwareremoval.com/random/RSIT.exe

    - Fermes toutes les applications en cours et double clic sur RSIT.exe
    - Selectionnes " Continue " à l'ecran >> RSIT va analyser le pc et verifier si l'outil hijackthis ( version à jour) est present sur le pc, si ce n'est pas le cas, RSIT le telechargera >> acceptes la license
    - Une fois l'analyse terminée, 2 rapports.txt s'ouvrent, log.txt à l'écran et info.txt dans la barre des taches
    - Postes le contenu des 2 rapports
    0
  3. moot
     
    Merci beaucoup pour la rapidité dont vous avez fait preuve. :)

    Je commence par la solution d'alex... si ca ne donne pas de résultats (mais j'pense que ca va le faire^^), je passerai à la solution de Ced.

    Merci à vous deux en tous cas. Je vous tiens au courant.
    0
  4. Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   667
     
    - Hop, je sors...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. moot
     
    Bon après une acalmie qui laissait supposer que spybot avait régler le problème... les fenêtres ont recommencé à se fermer toute seule.

    Donc j'suis passé à la méthode Ced...

    Voici donc les résultats :

    LOG.TXT :

    Logfile of random's system information tool 1.05 (written by random/random)
    Run by Jibouille at 2009-03-18 19:34:42
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 7 GB (9%) free of 79 GB
    Total RAM: 1023 MB (60% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:34:49, on 18/03/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\ALCWZRD.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Documents and Settings\Jibouille\Bureau\RSIT.exe
    C:\Program Files\trend micro\Jibouille.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
    O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [AnumanLive] C:\Documents and Settings\Jibouille\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
    O4 - HKCU\..\Run: [weosi] "c:\documents and settings\jibouille\local settings\application data\weosi.exe" weosi
    O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
    O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    0
  7. Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   667
     
    Desactives le resident tea-timer Spybot --> Ouvres Spybot et cliques sur Mode, avancé --> Resident -->Tea-timer et decoches la case.

    Telecharge et installe ccleaner : https://filehippo.com/download_ccleaner/
    - Durant l'installation, n'installe pas la barre d'outils yahoo et decoche la case " ajouter l'option des mises à jour"

    - Une fois installé, fermes toutes les applications en cours et lance ccleaner
    - clic >> option >> avancé et decoches " effacer les fichiers etc... plus vieux que 48h
    - Selectionne " nettoyeur " >> clic sur Analyse puis nettoyage, puis referme le programme...

    ---------------
    Telecharges Navilog1 sur ton bureau :
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    - Desactives la grarde de ton Antivirus celle de ton (es) antispyware (s)
    - Lances l'installation en executant le fichier téléchargé
    - Une fois installé, fermes tous les programmes en cours et double-cliques sur Navilog1.exe
    - Choisis la langue et presses la touche " entrée " de ton clavier
    - Une fenetre s'ouvre, presses 1 touche pour passer aux etapes suivantes
    - Le menu du fix s'ouvre, choisis l'option 1 et presses la touche " entrée "
    - Laisses le fix travailler et patientes jusqu'au message *** Analyse terminée le***
    - Un rapport c:\fixnavi.txt s'etablira, postes son contenu...
    .
    0
    1. ramon
       
      Salut après avoir fait tout ce que tu m'as dis sur mon pc, tout est revenu dans l'ordre .... enfin je crois ou j espere ... je te transmet la derniere analyse et surtout un grand grand MERCI !!!!

      Search Navipromo version 3.7.6 commencé le 19/03/2009 à 15:43:45,25

      !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
      !!! Postez ce rapport sur le forum pour le faire analyser !!!
      !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

      Outil exécuté depuis C:\Program Files\navilog1

      Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

      Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
      X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 2.80GHz )
      BIOS : BIOS Date: 09/27/04 21:48:26 Ver: 08.00.10
      USER : Jibouille ( Administrator )
      BOOT : Normal boot

      Antivirus : avast! antivirus 4.8.1335 [VPS 090318-0] 4.8.1335 (Not Activated)


      A:\ (USB)
      C:\ (Local Disk) - NTFS - Total:76 Go (Free:8 Go)
      D:\ (CD or DVD)
      E:\ (CD or DVD)
      F:\ (CD or DVD) - CDFS - Total:3 Go (Free:0 Go)


      Recherche executé en mode normal


      *** Recherche dossiers dans "C:\WINDOWS" ***


      *** Recherche dossiers dans "C:\Program Files" ***


      *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


      *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


      *** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


      *** Recherche dossiers dans "C:\Documents and Settings\Jibouille\applic~1" ***


      *** Recherche dossiers dans "C:\Documents and Settings\Jibouille\locals~1\applic~1" ***


      *** Recherche dossiers dans "C:\Documents and Settings\Jibouille\menudm~1\progra~1" ***


      *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
      pour + d'infos : http://www.gmer.net



      *** Recherche avec GenericNaviSearch ***
      !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
      !!! A vérifier impérativement avant toute suppression manuelle !!!

      * Recherche dans "C:\WINDOWS\system32" *

      * Recherche dans "C:\Documents and Settings\Jibouille\locals~1\applic~1" *



      *** Recherche fichiers ***



      *** Recherche clés spécifiques dans le Registre ***
      !! Les clés trouvées ne sont pas forcément infectées !!


      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "weosi"="\"c:\\documents and settings\\jibouille\\local settings\\application data\\weosi.exe\" weosi"


      *** Module de Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Recherche nouveaux fichiers Instant Access :


      2)Recherche Heuristique :

      * Dans "C:\WINDOWS\system32" :


      * Dans "C:\Documents and Settings\Jibouille\locals~1\applic~1" :

      weosi.exe trouvé !
      weosi.dat trouvé !
      weosi_nav.dat trouvé !
      weosi_navps.dat trouvé !

      3)Recherche Certificats :

      Certificat Egroup absent !
      Certificat Electronic-Group absent !
      Certificat Montorgueil absent !
      Certificat OOO-Favorit absent !
      Certificat Sunny-Day-Design-Ltd absent !

      4)Recherche autres dossiers et fichiers connus :



      *** Analyse terminée le 19/03/2009 à 15:49:50,62 ***
      0
  8. moot
     
    merci ced, on regarde tout ca demain et j'donne des news ^^
    0
    1. ramon
       
      Je crois que l'analyse n est pas complete sur le premier message....

      Search Navipromo version 3.7.6 commencé le 19/03/2009 à 15:43:45,25

      !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
      !!! Postez ce rapport sur le forum pour le faire analyser !!!
      !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

      Outil exécuté depuis C:\Program Files\navilog1

      Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

      Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
      X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 2.80GHz )
      BIOS : BIOS Date: 09/27/04 21:48:26 Ver: 08.00.10
      USER : Jibouille ( Administrator )
      BOOT : Normal boot

      Antivirus : avast! antivirus 4.8.1335 [VPS 090318-0] 4.8.1335 (Not Activated)


      A:\ (USB)
      C:\ (Local Disk) - NTFS - Total:76 Go (Free:8 Go)
      D:\ (CD or DVD)
      E:\ (CD or DVD)
      F:\ (CD or DVD) - CDFS - Total:3 Go (Free:0 Go)


      Recherche executé en mode normal


      *** Recherche dossiers dans "C:\WINDOWS" ***


      *** Recherche dossiers dans "C:\Program Files" ***


      *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


      *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


      *** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


      *** Recherche dossiers dans "C:\Documents and Settings\Jibouille\applic~1" ***


      *** Recherche dossiers dans "C:\Documents and Settings\Jibouille\locals~1\applic~1" ***


      *** Recherche dossiers dans "C:\Documents and Settings\Jibouille\menudm~1\progra~1" ***


      *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
      pour + d'infos : http://www.gmer.net



      *** Recherche avec GenericNaviSearch ***
      !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
      !!! A vérifier impérativement avant toute suppression manuelle !!!

      * Recherche dans "C:\WINDOWS\system32" *

      * Recherche dans "C:\Documents and Settings\Jibouille\locals~1\applic~1" *



      *** Recherche fichiers ***



      *** Recherche clés spécifiques dans le Registre ***
      !! Les clés trouvées ne sont pas forcément infectées !!


      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "weosi"="\"c:\\documents and settings\\jibouille\\local settings\\application data\\weosi.exe\" weosi"


      *** Module de Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Recherche nouveaux fichiers Instant Access :


      2)Recherche Heuristique :

      * Dans "C:\WINDOWS\system32" :


      * Dans "C:\Documents and Settings\Jibouille\locals~1\applic~1" :

      weosi.exe trouvé !
      weosi.dat trouvé !
      weosi_nav.dat trouvé !
      weosi_navps.dat trouvé !

      3)Recherche Certificats :

      Certificat Egroup absent !
      Certificat Electronic-Group absent !
      Certificat Montorgueil absent !
      Certificat OOO-Favorit absent !
      Certificat Sunny-Day-Design-Ltd absent !

      4)Recherche autres dossiers et fichiers connus :



      *** Analyse terminée le 19/03/2009 à 15:49:50,62 ***
      0
  9. Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   667
     
    • Télécharge OTMoveIt3 (de OldTimer) sur ton Bureau :
    http://oldtimer.geekstogo.com/OTMoveIt3.exe
    • Double-clique sur OTMoveIt3.exe afin de le lancer.
    • Copie/colle le texte en gras dans le cadre « Paste Instructions for Items to be Moved » et clique sur Moveit ! :

    :processes
    explorer.exe

    :files
    C:\WINDOWS\system32\mcenspc.dll
    c:\documents and settings\jibouille\local settings\application data\weosi.exe

    :reg
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "weosi"=-
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mount
    points2\{43cd3ace-1a0b-11dd-b487-0011d85315dc}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mount
    points2\{5e594b9e-009f-11d6-b45e-c25f71693765}]

    commands
    [purity]
    [emptytemp]
    [start explorer]
    [reboot]


    • Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.

    • Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles
    Le nom du rapport correspond au moment de sa création : date_heure.log

    --------------------------
    0
    1. ramon
       
      Salut et merci pour ton aide ..

      J ai installe OTMoveIt3 mais quand j'insere le texte en gras, click moveit et l ordi se bloque , obliger de redémarrer. J ai fais ca 2 fois en plus je n'ai plus rien sur le bureau vraiment bloqué .
      Et en essayant de recup le rapport; je trouve bien le dossier mais il est vide....
      0
  10. Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   667
     
    - Pour faire rreapparaitre ton bureau, il te suffit de :
    presser Ctrl + Alt + Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valides
    -----------------------------------

    -Ensuite :

    Telecharges Combofix et enregistres le sur ton bureau

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe -

    /!\ Desactives ton antivirus et la garde de ton antispyware ( si tu en as un) /!\

    - Deconnectes toi et fermes toutes les applications en cours
    - double-cliques sur Combofix.exe >> un message apparait > réponds " oui "
    - ( Il est conseillé d'installer la console de recuperations)
    - Selectionnes la langue et presse la touche 1 ( yes) pour lancer le scan

    /!\ Ne touche ni à la souris, ni au clavier durant le scan, cela pourrait figer l'ordi /!\

    - A la fin du scan, Combofix aura besoin de redemarrer pour finir la desinfection, laisses le faire
    - Une fois terminé, un rapport s'affiche, poste son contenu que tu peux aussi trouver à c:\combofix.txt
    ---------------------

    .
    0
    1. ramon
       
      bon tout va bien mais combofix n'a pas redémarrer l 'ordi


      ComboFix 09-03-19.02 - Jibouille 2009-03-20 19:18:23.1 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1023.638 [GMT 1:00]
      Lancé depuis: c:\documents and settings\Jibouille\Bureau\ComboFix.exe
      AV: avast! antivirus 4.8.1335 [VPS 090319-0] *On-access scanning disabled* (Updated)
      * Un nouveau point de restauration a été créé
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\documents and settings\Jibouille\Local Settings\Application Data\weosi.dat
      c:\documents and settings\Jibouille\Local Settings\Application Data\weosi_nav.dat
      c:\documents and settings\Jibouille\Local Settings\Application Data\weosi_navps.dat

      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2009-02-20 au 2009-03-20 ))))))))))))))))))))))))))))))))))))
      .

      2009-03-20 18:27 . 2009-03-20 18:27 <REP> d-------- C:\_OTMoveIt
      2009-03-19 23:46 . 2002-01-02 05:56 <REP> d--h----- c:\documents and settings\postgres\Voisinage réseau
      2009-03-19 23:46 . 2002-01-02 05:56 <REP> d--h----- c:\documents and settings\postgres\Voisinage d'impression
      2009-03-19 23:46 . 2002-01-02 05:00 <REP> d--h----- c:\documents and settings\postgres\Modèles
      2009-03-19 23:46 . 2002-01-02 05:56 <REP> d-------- c:\documents and settings\postgres\Mes documents
      2009-03-19 23:46 . 2002-01-02 05:56 <REP> dr------- c:\documents and settings\postgres\Menu Démarrer
      2009-03-19 23:46 . 2002-01-02 05:04 <REP> d-------- c:\documents and settings\postgres\Favoris
      2009-03-19 23:46 . 2002-01-02 05:56 <REP> d-------- c:\documents and settings\postgres\Bureau
      2009-03-19 23:46 . 2009-03-19 23:47 <REP> d-------- c:\documents and settings\postgres
      2009-03-19 23:41 . 2009-03-19 23:41 <REP> d-------- c:\program files\PostgreSQL
      2009-03-19 23:37 . 2009-03-19 23:59 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP
      2009-03-19 15:40 . 2009-03-19 15:51 <REP> d-------- c:\program files\Navilog1
      2009-03-19 15:25 . 2009-03-19 15:25 <REP> d-------- c:\program files\CCleaner
      2009-03-18 19:34 . 2009-03-18 19:34 <REP> d-------- C:\rsit
      2009-03-18 19:34 . 2009-03-18 19:34 <REP> d-------- c:\program files\trend micro
      2009-03-16 23:30 . 2009-03-16 23:30 141,312 --a------ c:\windows\system32\unrar.dll
      2009-03-16 23:30 . 2009-03-16 23:30 102,400 --a------ c:\windows\system32\bz2.dll
      2009-03-16 23:30 . 2009-03-16 23:30 74,240 --a------ c:\windows\system32\zlib.dll
      2009-03-15 22:19 . 2009-03-15 22:19 <REP> d-------- c:\documents and settings\Jibouille\LocalLow
      2009-03-15 22:19 . 2009-03-15 22:19 <REP> d-------- c:\documents and settings\All Users\Application Data\TVU Networks
      2009-03-15 21:46 . 2009-03-15 21:47 <REP> d-------- c:\program files\TVAnts
      2009-03-05 18:11 . 2009-03-20 18:49 <REP> d-------- c:\program files\PokerStars
      2009-03-04 22:45 . 2009-03-05 18:13 <REP> d-------- c:\program files\PokerStars.NET

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-03-20 17:37 --------- d-----w c:\documents and settings\Jibouille\Application Data\OpenOffice.org2
      2009-03-20 15:11 --------- d-----w c:\program files\Mozilla Thunderbird
      2009-03-20 00:12 --------- d-----w c:\documents and settings\Jibouille\Application Data\Azureus
      2009-03-19 14:35 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
      2009-03-18 16:02 --------- d-----w c:\program files\Spybot - Search & Destroy
      2009-02-11 14:38 --------- d-----w c:\program files\iTunes
      2009-02-11 14:38 --------- d-----w c:\program files\iPod
      2009-02-11 14:38 --------- d-----w c:\program files\Fichiers communs\Apple
      2009-02-11 14:38 --------- d-----w c:\documents and settings\Jibouille\Application Data\Apple Computer
      2009-02-11 14:38 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
      2009-02-11 14:38 --------- d-----w c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
      2009-02-11 14:37 --------- d-----w c:\program files\QuickTime
      2009-02-11 14:37 --------- d-----w c:\program files\Bonjour
      2009-02-10 21:01 --------- d-----w c:\program files\Soulseek-Test
      2009-02-01 20:22 --------- d--h--w c:\program files\InstallShield Installation Information
      2009-02-01 20:22 --------- d-----w c:\program files\Megaupload
      2009-02-01 20:22 --------- d-----w c:\documents and settings\Jibouille\Application Data\Megaupload
      2009-02-01 20:22 --------- d-----w c:\documents and settings\Jibouille\Application Data\InstallShield
      1995-09-20 15:16 456,976 ----a-w c:\program files\Fichiers communs\dao3032.dll
      2008-11-09 15:51 8,192 --sha-w c:\windows\o2cLicStore.bin
      .

      ------- Sigcheck -------

      2006-03-09 09:25 578048 0df75fb73f705b011630159a43d7c354 c:\windows\system32\user32.dll

      2006-04-12 19:13 667648 241dbc4c2714b2f39afded49459ed420 c:\windows\system32\wininet.dll

      2006-02-14 20:56 359808 667192a11db19f36624119c0dd4de4f2 c:\windows\system32\drivers\tcpip.sys

      2006-05-09 09:11 2017280 50b3a210b6fa8d3089a36a32e7d8b21f c:\windows\system32\ntkrnlpa.exe

      2006-03-09 09:25 2137600 e75f7aa5a33479f29c636fd0890f5762 c:\windows\system32\ntoskrnl.exe

      2006-03-09 09:25 57856 da81ec57acd4cdc3d4c51cf3d409af9f c:\windows\system32\spoolsv.exe
      .
      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
      "{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\program files\Winamp Toolbar\winamptb.dll" [2008-07-16 1266992]

      [HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
      [HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
      [HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
      [HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
      "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-05-15 339968]
      "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
      "DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2005-12-10 133016]
      "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
      "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-01-06 290088]
      "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]
      "SoundMan"="SOUNDMAN.EXE" [2005-06-21 c:\windows\SOUNDMAN.EXE]
      "AlcWzrd"="ALCWZRD.EXE" [2005-07-13 c:\windows\ALCWZRD.EXE]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
      "nlsf"="move" [X]
      "Config"="c:\windows\system32\run.cmd" [2006-02-14 248]
      "tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

      c:\documents and settings\Jibouille\Menu D‚marrer\Programmes\D‚marrage\
      OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

      c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
      WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2008-04-20 106560]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "MemCheckBoxInRunDlg"= 1 (0x1)
      "NoSMBalloonTip"= 1 (0x1)
      "NoWelcomeScreen"= 1 (0x1)

      [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
      "MemCheckBoxInRunDlg"= 1 (0x1)
      "NoSMBalloonTip"= 1 (0x1)
      "NoWelcomeScreen"= 1 (0x1)

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "SENTINEL"= snti386.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "AntiVirusDisableNotify"=dword:00000001
      "UpdatesDisableNotify"=dword:00000001
      "DisablePagingExecutive"=dword:00000001
      "SecondLevelDataCache"=dword:00000200

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)
      "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\eMule\\emule.exe"=
      "c:\\Program Files\\Soulseek-Test\\slsk.exe"=
      "c:\\Program Files\\PeerTV\\PeerCast.exe"=
      "c:\\Program Files\\PeerTV\\VLC\\vlc.exe"=
      "c:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
      "c:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
      "c:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
      "c:\\Program Files\\WYSIWYG1\\Bin\\Wyg.exe"=
      "c:\\Program Files\\SopCast\\SopCast.exe"=
      "c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
      "c:\\Program Files\\Vuze\\Azureus.exe"=
      "c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
      "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
      "c:\\Program Files\\iTunes\\iTunes.exe"=

      R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2002-01-04 114768]
      R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2002-01-04 20560]

      --- Autres Services/Pilotes en mémoire ---

      *Deregistered* - sfc

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{43cd3ace-1a0b-11dd-b487-0011d85315dc}]
      \Shell\Auto\command - fun.xls.exe
      \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      HKCU-Run-AnumanLive - c:\documents and settings\Jibouille\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
      HKCU-Run-weosi - c:\documents and settings\jibouille\local settings\application data\weosi.exe


      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://home.neuf.fr/
      uInternet Settings,ProxyOverride = *.local
      uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
      IE: &Winamp Search - c:\documents and settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
      FF - ProfilePath - c:\documents and settings\Jibouille\Application Data\Mozilla\Firefox\Profiles\b9romrph.default\
      FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
      FF - prefs.js: browser.search.selectedEngine - Yahoo
      FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
      FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?ei=utf-8&fr=megaup&p=
      FF - component: c:\documents and settings\Jibouille\Application Data\Mozilla\Firefox\Profiles\b9romrph.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll

      ---- PARAMETRES FIREFOX ----
      FF - user.js: yahoo.homepage.dontask - true.

      **************************************************************************

      catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-03-20 19:19:24
      Windows 5.1.2600 Service Pack 2 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'winlogon.exe'(820)
      c:\windows\system32\Ati2evxx.dll
      .
      Heure de fin: 2009-03-20 19:20:45
      ComboFix-quarantined-files.txt 2009-03-20 18:20:43

      Avant-CF: 8 647 069 696 octets libres
      Après-CF: 8,649,347,072 octets libres

      WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

      184
      0