WORM/Delf.DW.60[worm] sur tt le réseau!!!!!!

cohonas Messages postés 162 Date d'inscription   Statut Membre Dernière intervention   -  
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
j'ai un malware WORM/Delf.DW.60[worm] qui se répand progressivement sur tout mon réseau d'ordinateur en ordinateur comment faire pour le stopper et l'enlever définitivement de mon système ? merci de m'aider!

39 réponses

Précédent
  • 1
  • 2
Réponse 21 / 39
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Re,

redémarrer T2.

Si le problèmpe n'est pas résolu, ouvre le Gestionn aire des tâches (Ctrl, Alt, Suppr) puis fichier, Nouvelle tâche (exécuter) et tu tapes explorer puis OK.

Problème résolu ?

============

pour les noms, tu fais clic droit sur démarrer et rechercher.

Tu cherches sur les disques dur la chaîne de caractère du nom (2.bat par exemple)

tu vas obtenir le chemin (le nom complet)
0
cohonas Messages postés 162 Date d'inscription   Statut Membre Dernière intervention   35
 
Re,
Bon j'ai essayé de faire les recherches comme tu me l'as indiqué mais je ne trouve pas les chemin les recherches sont infructueuses sans aucun résultat apparemment inexistant sur les disques durs idem pour l'ordinateur portable.
0
Réponse 22 / 39
cohonas Messages postés 162 Date d'inscription   Statut Membre Dernière intervention   35
 
et lorsque je fais le explorer OK le bureau revient c'est définitif ou il faudra que je fasse la même manipulation à chaque démarrage?
0
Réponse 23 / 39
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Re,

normalement le Bureau devrait réapparaître à chaque démarrage.

Mais tu peux tester.

Pour les fichiers, fais ceci sur chaaque ordi:

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
.

=======================================

Il faudra recacher les fichiers protégés et les fichiers et dossiers cachés en fin de désinfection..

0
Réponse 24 / 39
cohonas Messages postés 162 Date d'inscription   Statut Membre Dernière intervention   35
 
les recherches sur l'ordinateur portables n'ont rien donné malgré les modifications et c'est la meme chose pour l'ordinateur de début sauf pour un d'entre qui est o.exe
le recherche de o.exe donne ce qui suit :

medctrro.exe CHEMIN C:\WINDOWS\ehome
ACRORD32INFO.EXE-24548733.pf CHEMIN C:\WINDOWS\prefetch
mrinfo.exe CHEMIN C:\WINDOWS\System32
systeminfo.exe CHEMIN C:\WINDOWS\System32
sysinfo.exe CHEMIN C:\WINDOWS\ServicePackFile\i386 AcroRd32Info.exe CHEMIN C:\Program Files\Adobe\Reader8.0\Reader
hwinfo.exe CHEMIN H:\etud gis\Ahead\NeroToolkit
nero.exe CHEMIN H:\etud gis\Ahead\Nero
UNNero.exe CHEMIN H:\etud gis\Ahead\Nero\Uninstall

Voila pour l'ordinateur de debut je cherche pour T2 et T3 je te les envoie
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 39
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Re,

pour l'ordi T1 :

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :



File::
I:\o.exe
h:\system\Security\DriveGuard.exe
G:\i6g6x.cmd
H:\o.exe
F:\dbrxubcw.com

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3abccc5e-84a4-11dd-bbf6-001aa0a3c183}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3b826027-c76a-11dd-bc5f-001aa0a3c183}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{705c12ae-cc26-11dd-bc3f-001aa0a3c183}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c256e36-9e96-11dd-bc15-001aa0a3c183}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{879b60d0-8957-11dd-bbfa-001aa0a3c183}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a5fc652e-04b8-11de-bc87-001aa0a3c183}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{beea5166-7fe4-11dd-bbf2-001aa0a3c183}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d771d646-888c-11dd-bbf9-001aa0a3c183}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eb1c6274-08ae-11de-bc8a-001aa0a3c183}]


Enregistre ce fichier sous le nom CFscript

Vérifie que F:, G:, H: et I: sont connectés

Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
0
Réponse 26 / 39
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Re,

as tu volontairement restreint l'utilisation de certaines fonctions (cmd.exe, regedit.exe, ..) sur le portable ?

pour le portable :

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

KillAll::


File::
c:\documents and settings\NATY\Application Data\lsass.exe
c:\windows\system32\Sexy Girls.scr
c:\documents and settings\NATY\Application Data\svchost.exe
E:\j60osk9.cmd
E:\dsvqi.pif
e:\system\Security\DriveGuard.exe


Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{029c80c1-3eaa-11dd-93fe-0016448bc359}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{45264c75-265b-11dd-93db-0016448bc359}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5efcfc94-f742-11dc-93ad-0016448bc359}]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6781a9a5-1d49-11de-9578-0016448bc359}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6d51d234-f902-11dd-9507-0016448bc359}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{739e96b8-fb4b-11dd-950f-0016448bc359}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8f15e6fe-c76c-11dd-946c-0016448bc359}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ac5f88ca-dcda-11dd-94b7-0016448bc359}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4ed6ba0-e0d6-11dd-94c0-0016448bc359}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fcddf04c-a414-11dd-9456-00a0d191bdf1}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fd7bb43a-e60e-11dd-94d0-0016448bc359}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fd7bb43d-e60e-11dd-94d0-0016448bc359}]


Enregistre ce fichier sous le nom CFscript

Vérifie que E: est connecté


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
0
Réponse 27 / 39
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Re,

je ne trouve pas le rapport Combofix du T2 (C:\combofix.txt)
0
Réponse 28 / 39
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Re,

même question sur les restrictions de cet ordi que pour le portable.

ordi T3 :

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

KillAll::

File::
F:\b.com
F:\d.com
f:\system\Security\DriveGuard.exe
F:\2ifetri.cmd
F:\ijqh.cmd

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e488457-ca7e-11dc-99f8-0015586f59cc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{27d8d48c-11e5-11dd-9a5d-0015586f59cc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{32b8919a-de2c-11dc-9a20-0015586f59cc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{334487f1-ca67-11dc-99f6-0015586f59cc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{37f83f40-2f2e-11dd-9a7a-0015586f59cc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ed8c1be-c3a2-11dc-99d7-0015586f59cc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{65a3b325-36e2-11dd-9a7d-0015586f59cc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7a1a0754-c5ad-11dc-99e4-0015586f59cc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a856420a-23fd-11dd-9a6e-0015586f59cc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c13ccbaf-9383-11dd-9aec-0015586f59cc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d18ee8a3-c04b-11dc-99cd-0015586f59cc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eb33f104-ef4c-11dc-9a33-0015586f59cc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f434523e-01a7-11dd-9a49-0015586f59cc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f988f2aa-856f-11dd-9ad4-0015586f59cc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fc5348ae-ac28-11dd-9b1e-0015586f59cc}]


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.



Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
0
Réponse 29 / 39
cohonas Messages postés 162 Date d'inscription   Statut Membre Dernière intervention   35
 
Rapport combo fix de l'ordinateur portable avec le fichier CFscript

ComboFix 09-03-30.04 - NATY 2009-04-01 17:36:15.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2038.1524 [GMT 0:00]
Lancé depuis: c:\documents and settings\NATY\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\NATY\Bureau\CFscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: Sunbelt Kerio Personal Firewall *enabled*
* Un nouveau point de restauration a été créé

FILE ::
c:\documents and settings\NATY\Application Data\lsass.exe
c:\documents and settings\NATY\Application Data\svchost.exe
c:\windows\system32\Sexy Girls.scr
E:\dsvqi.pif
E:\j60osk9.cmd
e:\system\Security\DriveGuard.exe
.
[color=purple]Les fichiers ci-dessous ont été désactivés pendant l'exécution:[/color]
c:\program files\SuperCopier2\SC2Hook.dll


(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\NATY\Application Data\lsass.exe
c:\documents and settings\NATY\Application Data\svchost.exe
c:\windows\system32\Sexy Girls.scr

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-03-01 au 2009-04-01 ))))))))))))))))))))))))))))))))))))
.

2009-04-01 17:41 . 2009-04-01 17:41 1,409 --a------ c:\windows\system32\Postin__.FOT
2009-04-01 16:11 . 2009-04-01 16:11 <REP> d-------- c:\documents and settings\All Users\Application Data\331F
2009-04-01 09:12 . 2009-04-01 09:12 <REP> d-------- C:\ToolBar SD
2009-03-31 16:51 . 2009-03-31 16:51 <REP> d-------- C:\rsit
2009-03-31 16:51 . 2009-03-31 16:51 <REP> d-------- c:\program files\trend micro
2009-03-27 11:47 . 2009-03-27 11:47 <REP> d-------- c:\documents and settings\All Users\Application Data\A3D4
2009-03-27 10:38 . 2009-03-27 10:38 <REP> d-------- c:\documents and settings\All Users\Application Data\2A273
2009-03-24 17:35 . 2009-03-24 17:35 <REP> d-------- c:\program files\Microsoft Visual Studio .NET
2009-03-24 17:35 . 2009-03-24 17:35 <REP> d-------- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-03-24 17:34 . 2009-03-24 17:35 <REP> d-------- C:\oraclexe
2009-03-20 10:23 . 2009-03-20 10:23 <REP> d-------- c:\documents and settings\All Users\Application Data\3326A
2009-03-02 22:39 . 2009-03-02 22:39 <REP> d-------- c:\program files\3M
2009-03-02 22:39 . 2009-03-02 22:39 <REP> d-------- c:\documents and settings\NATY\Application Data\3M

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-01 17:42 --------- d-----w c:\documents and settings\NATY\Application Data\uTorrent
2009-04-01 17:42 --------- d-----w c:\documents and settings\NATY\Application Data\Software Informer
2009-04-01 17:41 --------- d-----w c:\program files\SuperCopier2
2009-03-31 17:01 --------- d-----w c:\documents and settings\NATY\Application Data\U3
2009-03-31 16:50 --------- d-----w c:\program files\Free Download Manager
2009-03-24 17:23 --------- d-----w c:\program files\Fichiers communs\InstallShield
2009-03-05 09:29 --------- d-----w c:\program files\Microsoft Silverlight
2009-02-09 14:05 1,846,912 ----a-w c:\windows\system32\win32k.sys
2007-04-08 16:14 377,344 ------w c:\windows\inf\smss.exe
2008-11-03 14:53 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008110320081104\index.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-03-31_17.38.00,81 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-04-01 17:41:19 16,384 ----atw c:\windows\temp\Perflib_Perfdata_218.dat
+ 2009-04-01 17:42:25 16,384 ----atw c:\windows\temp\Perflib_Perfdata_91c.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{474597C5-AB09-49d6-A4D5-2E8D7341384E}]
2008-09-02 14:04 398768 --a------ c:\program files\iMesh Applications\iMesh MediaBar\iMeshIEHelper.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2007-07-25 191552]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2005-03-13 1057280]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-21 68856]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2008-04-25 219952]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Messenger (Yahoo!)"="c:\program files\Yahoo!\Messenger\YahooMessenger.exe" [2008-09-19 4347120]
"Software Informer"="c:\program files\Software Informer\softinfo.exe" [2009-01-14 1663045]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-08 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-08 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-08 131072]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-11 136600]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"RoxioDragToDisc"="c:\program files\Roxio\Drag-to-Disc\DrgToDsc.exe" [2006-08-17 1116920]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"HPWS myPrintMileage Agent"="c:\program files\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe" [2004-10-31 102400]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-19 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Post-it© Software Notes.lnk - c:\program files\3M\PSNotes\psn.exe [2004-10-15 1015808]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\disallowrun]
"1"= cmd.exe
"2"= mmc.exe
"3"= rstrui.exe
"4"= regedit.exe
"5"= regedt32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DivXc32.dll
"msacm.divxa32"= DivXa32.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\iMesh Applications\\iMesh\\iMesh.exe"=
"c:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [2006-07-18 284184]
R1 khips;Kerio HIPS Driver;c:\windows\system32\drivers\khips.sys [2006-07-18 91672]
R2 OracleServiceXE;OracleServiceXE;c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE XE --> c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE XE [?]
R2 OracleXETNSListener;OracleXETNSListener;c:\oraclexe\app\oracle\product\10.2.0\server\BIN\TNSLSNR.EXE [2006-02-02 204800]
R3 RTL8187B;Adaptateur réseau USB 2.0 54Mbps, 802.11b/g sans fil Realtek RTL8187B;c:\windows\system32\drivers\RTL8187B.sys [2008-03-17 288000]
S4 OracleJobSchedulerXE;OracleJobSchedulerXE;c:\oraclexe\app\oracle\product\10.2.0\server\Bin\extjob.exe XE --> c:\oraclexe\app\oracle\product\10.2.0\server\Bin\extjob.exe XE [?]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mchInjDrv

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6781a9a5-1d49-11de-9578-0016448bc359}]
\Shell\AutoRun\command - 2.bat
\Shell\open\Command - 2.bat
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://fr.yahoo.com
uSearchURL,(Default) = hxxp://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-01 17:42:19
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\NATY\LOCALS~1\Temp\mc21.tmp"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{3f1ce9b6-69fd-4c18-9b07-a31f1b097124}]
@Denied: (Full) (Everyone)
"Model"=dword:000000b9
"Therad"=dword:0000000f
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
38,95,44,85,b1,12,f9,90,dd,23,a1,49,8c,bf,1a,9d,fe,41,71,cb,3f,46,a4,7c,ab,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):0d,91,3e,35,f5,73,8a,86,58,76,5f,d0,48,b1,60,60,d9,55,b6,7a,0d,
af,c0,9e,f4,78,a2,3e,b2,9a,32,fe,40,35,76,7f,ef,6d,c4,d5,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3740)
c:\program files\SuperCopier2\SC2Hook.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\savedump.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Sunbelt Software\Personal Firewall\kpf4ss.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\oraclexe\app\oracle\product\10.2.0\server\BIN\oracle.exe
c:\program files\Sunbelt Software\Personal Firewall\kpf4gui.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Sunbelt Software\Personal Firewall\kpf4gui.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\3M\PSNotes\PSNGive.exe
c:\windows\system32\wscntfy.exe
c:\program files\Yahoo!\Messenger\Ymsgr_tray.exe
.
**************************************************************************
.
Heure de fin: 2009-04-01 17:46:11 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-04-01 17:46:04
ComboFix2.txt 2009-03-31 17:39:44

Avant-CF: 33 874 878 464 octets libres
Après-CF: 33,873,268,736 octets libres

189 --- E O F --- 2009-03-16 09:16:53
0
Réponse 30 / 39
cohonas Messages postés 162 Date d'inscription   Statut Membre Dernière intervention   35
 
j'ai effectué les recherches pour l'ordinateur T2 j 'ai trouvé des informations concernant le wscript. exe
voici les fichiers que j'ai trouvé:
nwscript Chemin C:\WINDOWS\System32
wscript Chemin C:\WINDOWS\ServicePackFiles\i386
wscript.exe.mui Chemin C:\WINDOWS\System32\fr-fr
wscript Chemin C:\WINDOWS\SoftwareDistribution\download\51f93922a72f4cba24d116598e161b49
wscript Chemin C:\WINDOWS\SoftwareDistribution\Download\f36593f13584dc8b311cfbaab602e80f
\Sp3gdr
wscript Chemin C:\WINDOWS\SoftwareDistribution\Download\f36593f13584dc8b311cfbaab602e80f
\Sp3qfe
les autres je ne les ai pas trouvé!

as tu volontairement restreint l'utilisation de certaines fonctions (cmd.exe, regedit.exe, ..) sur le portable ?
Non je ne l'ai pas fait
merci
0
Réponse 31 / 39
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Re,

j'ai stupidement oublié un - dans une clé et elle ne s'est évidemment pas supprimée.

ordinateur portable :

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

KillAll::


File::
c:\documents and settings\NATY\Application Data\lsass.exe
c:\windows\system32\Sexy Girls.scr
c:\documents and settings\NATY\Application Data\svchost.exe
E:\j60osk9.cmd
E:\dsvqi.pif
e:\system\Security\DriveGuard.exe


Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{029c80c1-3eaa-11dd-93fe-0016448bc359}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{45264c75-265b-11dd-93db-0016448bc359}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5efcfc94-f742-11dc-93ad-0016448bc359}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6781a9a5-1d49-11de-9578-0016448bc359}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6d51d234-f902-11dd-9507-0016448bc359}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{739e96b8-fb4b-11dd-950f-0016448bc359}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8f15e6fe-c76c-11dd-946c-0016448bc359}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ac5f88ca-dcda-11dd-94b7-0016448bc359}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4ed6ba0-e0d6-11dd-94c0-0016448bc359}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fcddf04c-a414-11dd-9456-00a0d191bdf1}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fd7bb43a-e60e-11dd-94d0-0016448bc359}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fd7bb43d-e60e-11dd-94d0-0016448bc359}]


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
0
Réponse 32 / 39
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Re,

tu n'as pas besoin d'arrêter T2 pour me fournir le rapport Combofix.
0
Réponse 33 / 39
cohonas Messages postés 162 Date d'inscription   Statut Membre Dernière intervention   35
 
voici le rapport combo de l'ordinateur portable!

ComboFix 09-03-30.04 - NATY 2009-04-03 8:42:18.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2038.1516 [GMT 0:00]
Lancé depuis: c:\documents and settings\NATY\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\NATY\Bureau\CFscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: Sunbelt Kerio Personal Firewall *enabled*
* Un nouveau point de restauration a été créé

FILE ::
c:\documents and settings\NATY\Application Data\lsass.exe
c:\documents and settings\NATY\Application Data\svchost.exe
c:\windows\system32\Sexy Girls.scr
E:\dsvqi.pif
E:\j60osk9.cmd
e:\system\Security\DriveGuard.exe
.
[color=purple]Les fichiers ci-dessous ont été désactivés pendant l'exécution:[/color]
c:\program files\SuperCopier2\SC2Hook.dll


((((((((((((((((((((((((((((( Fichiers créés du 2009-03-03 au 2009-04-03 ))))))))))))))))))))))))))))))))))))
.

2009-04-03 08:48 . 2009-04-03 08:48 1,409 --a------ c:\windows\system32\Postin__.FOT
2009-04-01 16:11 . 2009-04-01 16:11 <REP> d-------- c:\documents and settings\All Users\Application Data\331F
2009-04-01 09:12 . 2009-04-01 09:12 <REP> d-------- C:\ToolBar SD
2009-03-31 16:51 . 2009-03-31 16:51 <REP> d-------- C:\rsit
2009-03-31 16:51 . 2009-03-31 16:51 <REP> d-------- c:\program files\trend micro
2009-03-27 11:47 . 2009-03-27 11:47 <REP> d-------- c:\documents and settings\All Users\Application Data\A3D4
2009-03-27 10:38 . 2009-03-27 10:38 <REP> d-------- c:\documents and settings\All Users\Application Data\2A273
2009-03-24 17:35 . 2009-03-24 17:35 <REP> d-------- c:\program files\Microsoft Visual Studio .NET
2009-03-24 17:35 . 2009-03-24 17:35 <REP> d-------- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-03-24 17:34 . 2009-03-24 17:35 <REP> d-------- C:\oraclexe
2009-03-20 10:23 . 2009-03-20 10:23 <REP> d-------- c:\documents and settings\All Users\Application Data\3326A

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-03 08:49 --------- d-----w c:\documents and settings\NATY\Application Data\uTorrent
2009-04-03 08:48 --------- d-----w c:\documents and settings\NATY\Application Data\Software Informer
2009-04-03 08:47 --------- d-----w c:\program files\SuperCopier2
2009-03-31 17:01 --------- d-----w c:\documents and settings\NATY\Application Data\U3
2009-03-31 16:50 --------- d-----w c:\program files\Free Download Manager
2009-03-24 17:23 --------- d-----w c:\program files\Fichiers communs\InstallShield
2009-03-05 09:29 --------- d-----w c:\program files\Microsoft Silverlight
2009-03-02 22:39 --------- d-----w c:\program files\3M
2009-03-02 22:39 --------- d-----w c:\documents and settings\NATY\Application Data\3M
2009-02-09 14:05 1,846,912 ----a-w c:\windows\system32\win32k.sys
2007-04-08 16:14 377,344 ------w c:\windows\inf\smss.exe
2008-11-03 14:53 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008110320081104\index.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-03-31_17.38.00,81 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-04-03 08:49:02 16,384 ----atw c:\windows\temp\Perflib_Perfdata_5f8.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{474597C5-AB09-49d6-A4D5-2E8D7341384E}]
2008-09-02 14:04 398768 --a------ c:\program files\iMesh Applications\iMesh MediaBar\iMeshIEHelper.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2007-07-25 191552]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2005-03-13 1057280]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-21 68856]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2008-04-25 219952]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Messenger (Yahoo!)"="c:\program files\Yahoo!\Messenger\YahooMessenger.exe" [2008-09-19 4347120]
"Software Informer"="c:\program files\Software Informer\softinfo.exe" [2009-01-14 1663045]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-08 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-08 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-08 131072]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-11 136600]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"RoxioDragToDisc"="c:\program files\Roxio\Drag-to-Disc\DrgToDsc.exe" [2006-08-17 1116920]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"HPWS myPrintMileage Agent"="c:\program files\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe" [2004-10-31 102400]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-19 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Post-it© Software Notes.lnk - c:\program files\3M\PSNotes\psn.exe [2004-10-15 1015808]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\disallowrun]
"1"= cmd.exe
"2"= mmc.exe
"3"= rstrui.exe
"4"= regedit.exe
"5"= regedt32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DivXc32.dll
"msacm.divxa32"= DivXa32.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\iMesh Applications\\iMesh\\iMesh.exe"=
"c:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [2006-07-18 284184]
R1 khips;Kerio HIPS Driver;c:\windows\system32\drivers\khips.sys [2006-07-18 91672]
R2 OracleServiceXE;OracleServiceXE;c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE XE --> c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE XE [?]
R2 OracleXETNSListener;OracleXETNSListener;c:\oraclexe\app\oracle\product\10.2.0\server\BIN\TNSLSNR.EXE [2006-02-02 204800]
R3 RTL8187B;Adaptateur réseau USB 2.0 54Mbps, 802.11b/g sans fil Realtek RTL8187B;c:\windows\system32\drivers\RTL8187B.sys [2008-03-17 288000]
S4 OracleJobSchedulerXE;OracleJobSchedulerXE;c:\oraclexe\app\oracle\product\10.2.0\server\Bin\extjob.exe XE --> c:\oraclexe\app\oracle\product\10.2.0\server\Bin\extjob.exe XE [?]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mchInjDrv

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://fr.yahoo.com
uSearchURL,(Default) = hxxp://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-03 08:49:07
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\NATY\LOCALS~1\Temp\mc21.tmp"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{3f1ce9b6-69fd-4c18-9b07-a31f1b097124}]
@Denied: (Full) (Everyone)
"Model"=dword:000000b9
"Therad"=dword:0000000f
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
38,95,44,85,b1,12,f9,90,dd,23,a1,49,8c,bf,1a,9d,fe,41,71,cb,3f,46,a4,7c,ab,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):0d,91,3e,35,f5,73,8a,86,58,76,5f,d0,48,b1,60,60,d9,55,b6,7a,0d,
af,c0,9e,f4,78,a2,3e,b2,9a,32,fe,40,35,76,7f,ef,6d,c4,d5,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3284)
c:\program files\SuperCopier2\SC2Hook.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\savedump.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Sunbelt Software\Personal Firewall\kpf4ss.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\oraclexe\app\oracle\product\10.2.0\server\BIN\oracle.exe
c:\program files\Sunbelt Software\Personal Firewall\kpf4gui.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Sunbelt Software\Personal Firewall\kpf4gui.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\3M\PSNotes\PSNGive.exe
c:\windows\system32\wscntfy.exe
c:\program files\Yahoo!\Messenger\Ymsgr_tray.exe
.
**************************************************************************
.
Heure de fin: 2009-04-03 8:52:45 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-04-03 08:52:38
ComboFix2.txt 2009-04-01 17:46:16
ComboFix3.txt 2009-03-31 17:39:44

Avant-CF: 33 850 998 784 octets libres
Après-CF: 33,840,369,664 octets libres

180 --- E O F --- 2009-03-16 09:16:53
0
Réponse 34 / 39
cohonas Messages postés 162 Date d'inscription   Statut Membre Dernière intervention   35
 
et voici le rapport hjacthis du portable

Logfile of random's system information tool 1.06 (written by random/random)
Run by NATY at 2009-04-03 09:19:17
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 32 GB (54%) free of 60 GB
Total RAM: 2038 MB (71% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:19:21, on 03/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Roxio\Drag-to-Disc\DrgToDsc.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Software Informer\softinfo.exe
C:\Program Files\3M\PSNotes\psn.exe
C:\PROGRA~1\3M\PSNotes\PSNGive.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
c:\program files\avira\antivir personaledition classic\avcenter.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\NATY\Bureau\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\trend micro\NATY.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: UrlHelper Class - {474597C5-AB09-49d6-A4D5-2E8D7341384E} - C:\Program Files\iMesh Applications\iMesh MediaBar\iMeshIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: iMesh MediaBar - {B7D3E479-CC68-42B5-A338-938ECE35F419} - C:\Program Files\iMesh Applications\iMesh MediaBar\iMeshMediaBar.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Drag-to-Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HPWS myPrintMileage Agent] C:\Program Files\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Software Informer] "C:\Program Files\Software Informer\softinfo.exe" -autorun
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Post-it® Software Notes.lnk = C:\Program Files\3M\PSNotes\psn.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper200711281.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe
O23 - Service: OracleServiceXE - Oracle Corporation - c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
O23 - Service: OracleXEClrAgent - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe
O23 - Service: OracleXETNSListener - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
0
Réponse 35 / 39
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Bonjour,

pour le portable :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : c:\windows\system32\Postin__.FOT

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

===================
Télécharge DirLook de jpshortstuff ici :

http://jpshortstuff.247fixes.com/DirLook.exe

[*]Double-clique sur DirLook.exe pour le lancer.
[*]Assure-toi que Show Hidden Files et BBCode Ouput soient tous les deux cochés.
[*]Copie le contenu de la boîte ci-dessous dans le champ texte principal : 

C:\Documents and Settings\All Users\Application Data\2A273



[*]Clique sur le bouton DirLook pour lancer l'examen.
[*]Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan. Merci de poster ce rapport dans ta prochaine réponse.

Note : Le rapport peut aussi être trouvé dans C:dl_log.txt
0
Réponse 36 / 39
cohonas Messages postés 162 Date d'inscription   Statut Membre Dernière intervention   35
 
rapport virus total

VirusTotal - Analyse gratuite en ligne de virus et malwares - RésultatSuomi |
ihMdI | | עברית | | Slovenščina | Dansk | Русский | Română | Türkçe |
Nederlands | Ελληνικά | Svenska | Português | Italiano | | | Magyar | Deutsch
| Česky | Polski | Español | English
Virustotal est un service qui analyse les fichiers suspects et facilite
la détection rapide des virus, vers, chevaux de Troie et toutes sortes de
malwares détectés par les moteurs antivirus. Plus d'informations...
Fichier Postin__.FOT reçu le 2009.04.03 18:28:55 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente
en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/40 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 49 et 70 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons
attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.

Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé
(position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper
votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le
système vous envoie une notification quand l'analyse sera terminée.
Email:


AntivirusVersionDernière mise à jourRésultat
a-squared4.0.0.1012009.04.03-
AhnLab-V35.0.0.22009.04.03-
AntiVir7.9.0.1292009.04.03-
Antiy-AVL2.0.3.12009.04.03-
Authentium5.1.2.42009.04.03-
Avast4.8.1335.02009.04.03-
AVG8.5.0.2852009.04.03-
BitDefender7.22009.04.03-
CAT-QuickHeal10.002009.04.03-
ClamAV0.94.12009.04.03-
Comodo10972009.04.03-
DrWeb4.44.0.091702009.04.03-
eSafe7.0.17.02009.04.02-
eTrust-Vet31.6.64342009.04.03-
F-Prot4.4.4.562009.04.02-
F-Secure8.0.14470.02009.04.03-
Fortinet3.117.0.02009.04.03-
GData192009.04.03-
IkarusT3.1.1.49.02009.04.03-
K7AntiVirus7.10.6922009.04.03-
Kaspersky7.0.0.1252009.04.03-
McAfee55732009.04.03-
McAfee+Artemis55732009.04.03-
McAfee-GW-Edition6.7.62009.04.03-
Microsoft1.45022009.04.03-
NOD3239862009.04.03-
Norman6.00.062009.04.02-
nProtect2009.1.8.02009.04.03-
Panda10.0.0.142009.04.03-
PCTools4.4.2.02009.04.03-
Prevx1V22009.04.03-
Rising21.23.41.002009.04.03-
Sophos4.40.02009.04.03-
Sunbelt3.2.1858.22009.04.03-
Symantec1.4.4.122009.04.03-
TheHacker6.3.4.0.3002009.04.03-
TrendMicro8.700.0.10042009.04.03-
VBA323.12.10.22009.04.02-
ViRobot2009.4.3.16762009.04.03-
VirusBuster4.6.5.02009.04.03-
Information additionnelle
File size: 1409 bytes
MD5...: 0f56d40adc846e537ca82d31b1ee7f27
SHA1..: 1d19e6f574205b87a81fcb2258285045c5f17c8a
SHA256: ad230ae0ea9c443b3930bba17a9eb261a1153597bc1931bdc4c445000b6bb897
SHA512: 0a0bdb306808b713c2cbcc9573d46787b13c0f62de78a1d2b1fefc05ac25ee78
c1ea380e03f226eb892140e0d6bcc58f2dec382ee5a151aafc9449e841b39885
ssdeep: 6:HRMU/KehW8lBZSEtr5yzfT1RZSwp5QQnjjQA6gl1T1R5T1Rdn:SeVBYEFAzfxj
lpxQA5l1xbxT

PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: -
RDS...: NSRL Reference Data Set
-

ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il
n'y a aucune garantie quant à la disponibilité et la continuité de ce service.
Bien que le taux de détection permis par l'utilisation de multiples moteurs
antivirus soit bien supérieur à celui offert par seulement un produit, ces
résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a
actuellement aucune solution qui offre un taux d'efficacité de 100% pour la
détection des virus et malwares. VirusTotal © Hispasec Sistemas - Blog -
Contact: info@virustotal.com - Terms of Service & Privacy Policy

rapport dirlook

DirLook.exe v2.0 by jpshortstuff
Log created at 16:38 on 03/04/2009
==================================[b]
Contents of "C:\Documents and Settings\All Users\Application Data\2A273"
/b
[b][color=blue]---FOLDERS---/b/color

(none found)

[b][color=blue]---FILES---/b/color

[b]{390D9A69-24C2-46D8-B719-EBFD1E7046C8}.swf/b (4501 bytes - created on 27/03/2009 at 10:38, modified on 11/12/2008 at 11:55) --a---

==================================
[b][color=blue]=EOF=/b/color



0
Réponse 37 / 39
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Re,

on reste sur le portable.

Tu as usage de fichiers .swf ?

===========

Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
mets les à jour, comme indiqué dans les démos ou tutos.

Ne les utilise pas tout de suite.


Antispywares et autres :

Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.


Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
.

=======================================

========================================
->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]



========================================
Lance Malwarebytes AntiMalware

Dans l'onglet analyse, vérifie que "Exécuter un scan rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter.

Poste le rapport dans ta réponse.
========================================

->Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Registre] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================


- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

http://www.bitdefender.fr/scan_fr/scan8/ie.html

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.

A l'ouverture de la page "Scanner Options", cliquer sur [click here] de "To change this and other settings, click here" puis cliquer sur le + devant "Second option" et cocher "Report only" puis cliquer sur [OK].


Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier sur le forum.

Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »
0
Réponse 38 / 39
cohonas Messages postés 162 Date d'inscription   Statut Membre Dernière intervention   35
 
Salut
j'ai fait une recherche pour les fichiers .swf j'en ai trouve plein sur le portable dois je continuer les manip que tu m'as demandé? merci
0
Réponse 39 / 39
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Bonjour,

j'ai un peu perdu le fil.

Fais la manip.

Les rapports vont me rafraîchir la mémoire.
0

Discussions similaires

Voxbone ? qui est-ce ?
fanfan54 -
ntrece13 -

159 réponses
Branchez le câble réseau du player freebox
Marie -
Frezdesboas -

3 réponses
Message ne s'envoie pas données mobiles Redmi
Eric -
FalkenHarlais -

4 réponses
"Nous n'avons pas pu nous connecter à ce réseau"
Aurore_1606 -
Damiennn -

25 réponses
Livebox 4 Réseau Orange non détecté
Azfun -
brupala -

10 réponses