Iq.bat

piwo Messages postés 124 Statut Membre -  
 Utilisateur anonyme -
Bonjour,
j'ai une machine infecté d'un virus iq.bat qui refuse de metre a jour l'antivirus oubien d'installé un autre. Exite t il un programme pour enlever ce virus?
Configuration: Windows XP
Firefox 3.0.8

17 réponses

  1. Utilisateur anonyme
     
    Ok,

    Tu regarderas aussi ici, hein : http://www.commentcamarche.net/forum/affich 11946160 iq bat#14

    Alors,
    > Télécharge OTMoveIT_3 (de Old_Timer) : http://oldtimer.geekstogo.com/OTMoveIt3.exe sur ton bureau...
    - Double-clique sur OTMoveIt3.exe pour le lancer.
    - Copie le texte qui se trouve ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé < Paste Instructions for items to be moved > ( Image ).

    :processes
    explorer.exe
    :Reg
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
    "cdoosoft"=-
    :files
    C:\WINDOWS\system32\olhrwef.exe
    C:\WINDOWS\system32\nmdfgds0.dll 
    C:\WINDOWS\SET2E.tmp     
    C:\WINDOWS\SET22.tmp     
    C:\WINDOWS\SET1F.tmp 
    C:\WINDOWS\SET8.tmp     
    C:\WINDOWS\SET4.tmp     
    C:\WINDOWS\SET3.tmp  
    :commands
    [purity]
    [emptytemp]
    [start explorer]
    [reboot]

    - Clique sur < MoveIt! > pour lancer la suppression.
    N.B :Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.
    Un rapport est créé dans %SYSTEMDRIVE%\_OTMoveIt\MovedFiles\date du jour (souvent C:\_OTMoveIt\MovedFiles\), copie-colle-le dans ta réponse suivante.

    Ensuite,
    > Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    N.B. : Le scan ne marche que sous Internet Explorer.
    Sous Vista : Execute Internet Explorer en tant qu'administrateur, pour cela fais un clic droit sur le raccourci d'Internet Explorer et choisis "Exécuter en tant qu'administrateur".
    - Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...). Allume les si nécessaire.
    - Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
    - On va te demander de télécharger un contrôle active x, accepte .
    - Dans le menu < Choisissez la cible de l'analyse >, sélectionne < Poste de travail >. Le scan va commencer.
    - Poste le rapport qui sera généré (voir cette image) (clique sur <enregistrer le rapport> puis sauvegarde-le sur ton bureau en choisissant "fichier texte (*.txt)" pour l'extension).
    S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
    Rappel : le scan est à faire sous Internet Explorer
    Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html
    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
    Pour le rapport Kaspersky il faut que tu choisisses "Afficher le rapport" puis que tu l'enregistres sur ton bureau sous forme de fichier texte (type de fichier "tous les fichiers").

    A+
    3
  2. Utilisateur anonyme
     
    hi ludo !!

    juste pour pas suivre ;)

    1
  3. Utilisateur anonyme
     
    Pour analyser ton pc, télécharges le fichier d'installation
    HIJACKTHIS https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/

    Enregistre HJTInstall.exe sur ton bureau.

    Double-clique sur HJTInstall.exe pour lancer le programme

    Par défaut, il s'installera là :
    C:\Program Files\Trend Micro\HijackThis

    Accepte la licence en cliquant sur le bouton "I Accept"

    Choisis l'option "Do a system scan and save a log file"

    Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

    Clique sur "Edition -> Sélectionner tout" (ou fais ctrl A), puis sur "Edition -> Copier" pour copier tout le contenu du rapport et poste le dans ton prochain message

    A LIRE : Tutoriaux https://www.malekal.com/tutoriel-hijackthis/
    0
    1. Utilisateur anonyme
       
      Salut Néo,

      HiJackThis ne montrera pas iq.bat

      ;)
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    Hello,
    oui, ça existe :

    > Télécharge UsbFix (de Chiquitine29) sur ton Bureau : http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
    - Lance l'installation avec les paramètres par défaut.
    NB : sous Vista : fais un clic-droit sur le programme et choisis "Exécuter en tant qu'administrateur"
    - Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
    - Double-clique sur le raccourci UsbFix sur ton Bureau puis choisis l'option 1 ( Recherche ).
    - Laisse l'outil travailler.
    - Poste le rapport UsbFix.txt qui va apparaître.
    Note : le rapport UsbFix.txt est sauvegardé à la racine du disque ( C:\UsbFix.txt ).
    Note 2 : "Process.exe", une composante de l'outil, est détecté par certains antivirus. Dans ce cas désactive ton Antivirus le temps du scan.

    Ensuite,
    > Télécharge random's system information tool (RSIT) : http://images.malwareremoval.com/random/RSIT.exe
    - Enregistre le programme sur ton bureau.
    - Double clique sur RSIT.exe
    - A l'écran "Disclaimer" choisis "1 months" dans le menu déroulant puis clique sur <continue>.
    - Si HiJackThis n'est pas détecté sur ton PC, RSIT le téléchargera ; accepte alors la licence.
    - Une fois le scanne terminé tu obtiendras un rapport log.txt. Poste le sur le forum.
    NB : Il se peut que tu obtiennes un second rapport nommé info.txt. Dans ce cas poste le aussi mais dans un second message.

    A+
    0
  6. Utilisateur anonyme
     
    Salut Néo,

    HiJackThis ne montrera pas iq.bat

    ;)


    slt

    pff ! connais pas celui la (enfin jamais traité)
    ^^on serait passé a autrechose :)
    bonne continuation j'te laisse ;)
    0
    1. Utilisateur anonyme
       
      Ok merci,

      je viens de t'envoyer un MP.
      0
  7. piwo Messages postés 124 Statut Membre
     
    voici le rapport usbfix

    ############################## [ UsbFix V3.006 ]

    # User : GENERAL (Administrateurs) # GMS-90A97DE193F
    # Update on 11/04/09 by C_XX & Chiquitine29
    # Start at: 12:21:34 | 11/04/2009

    # Intel(R) Pentium(R) 4 CPU 3.40GHz
    # Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
    # Internet Explorer 6.0.2900.2180
    # Windows Firewall Status : Enabled

    # A:\ # Lecteur de disquettes 3 ½ pouces
    # C:\ # Disque fixe local # 39,14 Go (32,03 Go free) # NTFS
    # D:\ # Disque fixe local # 35,38 Go (32,4 Go free) # NTFS
    # E:\ # Disque CD-ROM # 591,61 Mo (0 Mo free) [My Disc] # CDFS
    # F:\ # Disque amovible # 982,03 Mo (109,04 Mo free) # FAT32

    ############################## [ Processus actifs ]

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Analog Devices\Core\smax4pnp.exe
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\LClock\LClock.exe
    C:\WINDOWS\wvremcon.exe
    C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\InternetCalls.com\InternetCalls\InternetCalls.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Transform XP to Vista\Vista Start Menu\VistaStartMenu.exe
    C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireTray.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
    C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireSvc.exe
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Miranda IM\miranda32.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## [ Registre # Startup ]

    HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
    HKCU_Main: "Search Page"="https://www.google.com/?gws_rd=ssl"
    HKCU_Main: "Start Page"="https://www.google.com/?gws_rd=ssl"
    HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    HKLM_logon: "DefaultUserName"="GENERAL"
    HKLM_logon: "AltDefaultUserName"="GENERAL"
    HKLM_logon: "LegalNoticeCaption"=""
    HKLM_logon: "LegalNoticeText"=""
    HKLM_Run: SoundMAXPnP=C:\Program Files\Analog Devices\Core\smax4pnp.exe
    HKLM_Run: ATIPTA="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    HKLM_Run: ShStatEXE="C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    HKLM_Run: McAfeeUpdaterUI="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    HKLM_Run: Network Associates Error Reporting Service="C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
    HKLM_Run: TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    HKLM_Run: NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
    HKLM_Run: LClock=C:\Program Files\LClock\LClock.exe
    HKLM_Run: wvremcon=C:\WINDOWS\wvremcon.exe
    HKLM_Run: WinDVR SchSvr="C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe"
    HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
    HKCU_Run: InternetCalls="C:\Program Files\InternetCalls.com\InternetCalls\InternetCalls.exe" -nosplash -minimized
    HKCU_Run: swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    HKCU_Run: BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
    HKCU_Run: MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
    HKCU_Run: YahooWidgetEngine.exe="C:\Program Files\Transform XP to Vista\Yahoo! Widgets\Widgets\YahooWidgetEngine.exe"
    HKCU_Run: VistaStartMenu="C:\Program Files\Transform XP to Vista\Vista Start Menu\VistaStartMenu.exe"
    HKCU_Run: cdoosoft=C:\WINDOWS\system32\olhrwef.exe
    HKLM_System: "EnableLUA"=dword:00000000

    ################## [ Informations ]

    # Contenu de l'autorun C:\autorun.inf
    ;24saAaiildCkLL0SL328s
    [AutoRun]
    ;wawaS23d1wsif3rarSkDww9wo2f3i8r44jlAKkKwpJ372k1ksi5ksLKXweodkj8f0acLsjdLDIio
    open=iq.bat
    ;okmKLjowawlA6ar4Lr1c2j0U4jpaKqsos2J13kewC9wF1ljsaAk2q4w0Zs5dsqj3aH3raf0kl4KsIS53kLwwkwfjk2rf7Ki9qp
    shell\open\Command=iq.bat
    ;fSd
    shell\open\Default=1

    # Contenu de l'autorun D:\autorun.inf
    ;24saAaiildCkLL0SL328s
    [AutoRun]
    ;wawaS23d1wsif3rarSkDww9wo2f3i8r44jlAKkKwpJ372k1ksi5ksLKXweodkj8f0acLsjdLDIio
    open=iq.bat
    ;okmKLjowawlA6ar4Lr1c2j0U4jpaKqsos2J13kewC9wF1ljsaAk2q4w0Zs5dsqj3aH3raf0kl4KsIS53kLwwkwfjk2rf7Ki9qp
    shell\open\Command=iq.bat
    ;fSd
    shell\open\Default=1

    # Contenu de l'autorun F:\autorun.inf
    ;24saAaiildCkLL0SL328s
    [AutoRun]
    ;wawaS23d1wsif3rarSkDww9wo2f3i8r44jlAKkKwpJ372k1ksi5ksLKXweodkj8f0acLsjdLDIio
    open=iq.bat
    ;okmKLjowawlA6ar4Lr1c2j0U4jpaKqsos2J13kewC9wF1ljsaAk2q4w0Zs5dsqj3aH3raf0kl4KsIS53kLwwkwfjk2rf7Ki9qp
    shell\open\Command=iq.bat
    ;fSd
    shell\open\Default=1

    ################## [ Fichiers # Dossiers infectieux ]

    Found ! C:\WINDOWS\system32\olhrwef.exe
    C:\autorun.inf # -> fichier appelé : "C:\iq.bat" ( présent ! )
    Found ! C:\autorun.inf
    Found ! C:\iq.bat
    D:\autorun.inf # -> fichier appelé : "D:\iq.bat" ( présent ! )
    Found ! D:\autorun.inf
    Found ! D:\iq.bat
    F:\autorun.inf # -> fichier appelé : "F:\iq.bat" ( présent ! )
    Found ! F:\autorun.inf
    Found ! F:\iq.bat

    ################## [ Registre # Clés infectieuses ]

    Found ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"

    ################## [ Registre # Mountpoint2 ]

    Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6b997b45-1bba-11de-9ef6-0011113785f8}\Shell\AutoRun\command
    Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6b997b45-1bba-11de-9ef6-0011113785f8}\Shell\open\Command
    Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77d18abe-2018-11de-9f42-806d6172696f}\Shell\AutoRun\command
    Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77d18abe-2018-11de-9f42-806d6172696f}\Shell\open\Command
    Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b0995080-20e9-11de-9f47-0011113785f8}\Shell\AutoRun\command
    Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b0995080-20e9-11de-9f47-0011113785f8}\Shell\open\Command

    ################## [ ! Fin du rapport # UsbFix V3.006 ! ]

    le rapport rsit

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by GENERAL at 2009-04-11 12:23:49
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 33 GB (82%) free of 40 GB
    Total RAM: 510 MB (33% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:24:50, on 11/04/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Analog Devices\Core\smax4pnp.exe
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\LClock\LClock.exe
    C:\WINDOWS\wvremcon.exe
    C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\InternetCalls.com\InternetCalls\InternetCalls.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Transform XP to Vista\Vista Start Menu\VistaStartMenu.exe
    C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireTray.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
    C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireSvc.exe
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Miranda IM\miranda32.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Documents and Settings\GENERAL\Bureau\RSIT.exe
    C:\Documents and Settings\GENERAL\Bureau\GENERAL.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
    O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
    O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
    O4 - HKLM\..\Run: [wvremcon] C:\WINDOWS\wvremcon.exe
    O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Program Files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [InternetCalls] "C:\Program Files\InternetCalls.com\InternetCalls\InternetCalls.exe" -nosplash -minimized
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [YahooWidgetEngine.exe] "C:\Program Files\Transform XP to Vista\Yahoo! Widgets\Widgets\YahooWidgetEngine.exe"
    O4 - HKCU\..\Run: [VistaStartMenu] "C:\Program Files\Transform XP to Vista\Vista Start Menu\VistaStartMenu.exe"
    O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
    O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: McAfee Desktop Firewall Tray.lnk = ?
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FAD9454C-07A1-4945-9135-57950C59E679}: NameServer = 192.168.0.1
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: McAfee Desktop Firewall Service (FireSvc) - Networks Associates Technology, Inc. - C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireSvc.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    0
  8. piwo Messages postés 124 Statut Membre
     
    voici info.txt

    info.txt logfile of random's system information tool 1.06 2009-04-11 12:24:52

    ======Uninstall list======

    -->C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
    -->C:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
    -->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
    -->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
    -->C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
    -->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
    -->C:\WINDOWS\UNRecode.exe /UNINSTALL
    -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
    Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
    ATI - Utilitaire de désinstallation du logiciel-->C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe
    ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
    Broadcom Gigabit Integrated Controller-->MsiExec.exe /X{7E369B27-13E2-41A5-9879-358EE1C8B5AD}
    Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_0C68A50B7874478D.exe" /uninstall
    Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
    HijackThis 2.0.2-->"C:\Documents and Settings\GENERAL\Bureau\HijackThis.exe" /uninstall
    InternetCalls-->"C:\Program Files\InternetCalls.com\InternetCalls\unins000.exe"
    InterVideo WinDVR 3-->"C:\Program Files\InstallShield Installation Information\{6BF4613C-0A46-43AA-8FA8-0CB9F2C1A548}\setup.exe" REMOVEALL
    McAfee Desktop Firewall 8.0-->"C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\McAfeefire.exe" addremove
    McAfee VirusScan Enterprise-->MsiExec.exe /I{5DF3D1BB-894E-4DCD-8275-159AC9829B43}
    Miranda IM 0.7.17-->C:\Program Files\Miranda IM\Uninstall.exe
    Mozilla Firefox (3.0.8)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
    Nero 7 Demo-->MsiExec.exe /I{513AEC24-3465-8C4F-87BA-652D6F491036}
    Opera 9.50-->MsiExec.exe /X{4045182C-993D-4E87-8628-F75DBAA0E40C}
    Pack Vista Inspirat 1.1-->C:\WINDOWS\BricoPacks\Vista Inspirat\Remove.exe
    Panneau de contrôle ATI-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe"
    RealPlayer-->C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
    SoundMAX-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\SETUP.exe" -l0x40c -removeonly
    Transform XP to Vista-->C:\Program Files\Transform XP to Vista\uninstall.exe
    UsbFix-->C:\UsbFix\Uninstal.exe
    Vista Start Menu 3.1-->"C:\Program Files\Vista Start Menu\unins000.exe"
    Vista Transformation Pack 5.5-->C:\WINDOWS\System32\vimc.exe
    VLC media player 0.9.9-->C:\Program Files\VideoLAN\VLC\uninstall.exe
    Yahoo! Toolbar-->C:\PROGRA~1\Yahoo!\Common\unyt.exe

    ======System event log======

    Computer Name: GMS-90A97DE193F
    Event Code: 15007
    Message: La réservation de l'espace de nom identifié par le préfixe d'URL http://*:2869/ a été correctement ajoutée.

    Record Number: 5
    Source Name: HTTP
    Time Written: 20090327135158.000000+060
    Event Type: Informations
    User:

    Computer Name: GMS-90A97DE193F
    Event Code: 6011
    Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers GMS-90A97DE193F.

    Record Number: 4
    Source Name: EventLog
    Time Written: 20090327134801.000000+060
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 2
    Message: Pendant la validation de \Device\Serial0 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.

    Record Number: 3
    Source Name: Serial
    Time Written: 20090327144118.000000+060
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 6005
    Message: Le service d'Enregistrement d'événement a démarré.

    Record Number: 2
    Source Name: EventLog
    Time Written: 20090327144059.000000+060
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 6009
    Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Uniprocessor Free.

    Record Number: 1
    Source Name: EventLog
    Time Written: 20090327144059.000000+060
    Event Type: Informations
    User:

    =====Application event log=====

    Computer Name: GMS-90A97DE193F
    Event Code: 103
    Message: wuaueng.dll (3572) SUS20ClientDataStore: Le moteur de base de données a arrêté une instance (0).

    Record Number: 666
    Source Name: ESENT
    Time Written: 20090411104938.000000+120
    Event Type: Informations
    User:

    Computer Name: GMS-90A97DE193F
    Event Code: 102
    Message: wuaueng.dll (3572) SUS20ClientDataStore: Le moteur de base de données a démarré une nouvelle instance (0).

    Record Number: 665
    Source Name: ESENT
    Time Written: 20090411104437.000000+120
    Event Type: Informations
    User:

    Computer Name: GMS-90A97DE193F
    Event Code: 100
    Message: wuauclt (3572) Le moteur de base de données 5.01.2600.2180 est démarré.

    Record Number: 664
    Source Name: ESENT
    Time Written: 20090411104437.000000+120
    Event Type: Informations
    User:

    Computer Name: GMS-90A97DE193F
    Event Code: 1800
    Message: Le service Centre de sécurité Windows a démarré.

    Record Number: 663
    Source Name: SecurityCenter
    Time Written: 20090411104409.000000+120
    Event Type: Informations
    User:

    Computer Name: GMS-90A97DE193F
    Event Code: 5000
    Message: VirusScan Enterprise McShield service started - scanning for 518174 viruses.

    Engine version : 5.3.00

    .DAT version : 5576

    EXTRA.DAT name : None

    Number of virus signatures in EXTRA.DAT : None

    Names of viruses that EXTRA.DAT can detect : None

    Record Number: 662
    Source Name: McLogEvent
    Time Written: 20090411104402.000000+120
    Event Type: Informations
    User: AUTORITE NT\SYSTEM

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM;C:\Program Files\ATI Technologies\ATI Control Panel
    "windir"=%SystemRoot%
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "PROCESSOR_ARCHITECTURE"=x86
    "PROCESSOR_LEVEL"=15
    "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 3 Stepping 4, GenuineIntel
    "PROCESSOR_REVISION"=0304
    "NUMBER_OF_PROCESSORS"=1
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP

    -----------------EOF-----------------
    0
  9. Utilisateur anonyme
     
    Ok,

    Tu n'as pas beaucoup de RAM pour un Pentium 4 je trouve...

    Alors :
    > Relance UsbFix (de Chiquitine29) :
    NB : sous Vista : fais un clic-droit sur le programme et choisis "Exécuter en tant qu'administrateur".
    - Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
    - choisis l'option 2 ( Suppression ). Ton bureau disparaitra et le PC redémarrera.
    - Au redémarrage, UsbFix scannera ton pc, laisse travailler l'outil.
    - Poste le rapport UsbFix.txt qui va apparaître avec le bureau .
    Note : le rapport UsbFix.txt est sauvegardé à la racine du disque ( C:\UsbFix.txt ).

    a+
    0
  10. piwo Messages postés 124 Statut Membre
     
    pour la ram c tout ce que j'ai pu voir pour faute de moyen financier. voici le rapport

    ############################## [ UsbFix V3.006 ]

    # User : GENERAL (Administrateurs) # GMS-90A97DE193F
    # Update on 11/04/09 by C_XX & Chiquitine29
    # Start at: 12:44:56 | 11/04/2009

    # Intel(R) Pentium(R) 4 CPU 3.40GHz
    # Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
    # Internet Explorer 6.0.2900.2180
    # Windows Firewall Status : Enabled

    # A:\ # Lecteur de disquettes 3 ½ pouces
    # C:\ # Disque fixe local # 39,14 Go (31,95 Go free) # NTFS
    # D:\ # Disque fixe local # 35,38 Go (32,4 Go free) # NTFS
    # E:\ # Disque CD-ROM # 591,61 Mo (0 Mo free) [My Disc] # CDFS
    # F:\ # Disque amovible # 982,03 Mo (109,04 Mo free) # FAT32

    ############################## [ Processus actifs ]

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireSvc.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## [ Fichiers # Dossiers infectieux ]

    Deleted ! C:\WINDOWS\system32\olhrwef.exe
    C:\autorun.inf # -> fichier appelé : "C:\iq.bat" ( présent ! )
    Deleted ! -> C:\iq.bat
    Deleted ! C:\autorun.inf
    D:\autorun.inf # -> fichier appelé : "D:\iq.bat" ( présent ! )
    Deleted ! -> D:\iq.bat
    Deleted ! D:\autorun.inf
    F:\autorun.inf # -> fichier appelé : "F:\iq.bat" ( présent ! )
    Deleted ! -> F:\iq.bat
    Deleted ! F:\autorun.inf

    ################## [ Registre # Clés infectieuses ]

    Deleted ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"

    ################## [ Registre # Mountpoint2 ]

    Deleted ! HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{77d18abe-2018-11de-9f42-806d6172696f}\Shell\AutoRun\command
    Deleted ! HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{77d18abe-2018-11de-9f42-806d6172696f}\Shell\open\Command
    Deleted ! HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b0995080-20e9-11de-9f47-0011113785f8}\Shell\AutoRun\command
    Deleted ! HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b0995080-20e9-11de-9f47-0011113785f8}\Shell\open\Command

    ################## [ Listing des fichiers présent ]

    C:\AUTOEXEC.BAT
    C:\NTDETECT.COM
    C:\boot.ini
    E:\jre-6u3-windows-i586-p-s.exe
    F:\RSIT.exe
    F:\tool_en.exe
    F:\Zuma Deluxe full.exe
    F:\kis8.0.0.506.fr.01NET.exe

    ################## [ ! Fin du rapport # UsbFix V3.006 ! ]
    0
  11. Utilisateur anonyme
     
    Ok,
    très bien.

    Maintenant,
    j'ai un doute sur un fichier...
    > Rends toi sur le site Virus Total : https://www.virustotal.com/gui/ et fais analyser le fichier suivant : (Clique sur <parcourir> puis copie/colle la ligne dans le cadre "Nom du Fichier", ensuite valide par <Ouvrir>. Clique alors sur <Envoyer un fichier>)

    C:\WINDOWS\wvremcon.exe

    et poste le résultat par copier/coller (ou le lien http, c'est plus rapide et préférable).
    - Si Virus total te dit que le fichier a déjà été analysé alors demande une nouvelle analyse.
    - Refais la même chose avec :

    F:\tool_en.exe

    N.B. : Les fichiers doivent être analysés un par un. Ouvrir plusieurs fenêtres sur Virus Total peut bloquer les envois.

    Et puis on continue car il en reste comme :
    https://www.greatis.com/appdata/d/o/olhrwef.exe.htm
    https://www.incodesolutions.com/
    ....

    Bref, tu n'es pas seul sur ton PC ;)
    0
  12. piwo Messages postés 124 Statut Membre
     
    j'ai fait analyser les deux fichier voici le lien

    http://www.virustotal.com/fr/analisis/478cd7dd7a217a377a943fbc2b8c8279
    http://www.virustotal.com/fr/analisis/ab7fef63c41040e63fc787cf8683010f

    mais pour la suite je ne sais pas ce que tu me demende de faire avec les deux autre lien
    0
    1. Utilisateur anonyme
       
      Je passe à table je te réponds d'ici 1 heure.

      Pour les 2 autres liens c'est juste à titre informatif ;)
      0
  13. piwo Messages postés 124 Statut Membre
     
    ok

    merci deja pour tout et a tout a l'heure
    0
  14. Utilisateur anonyme
     
    re,
    je suis de retour ;)

    Alors,
    pendant que je te prépare la suite, peux-tu faire un scan virus total de :

    F:\kis8.0.0.506.fr.01NET.exe

    PS : c'est le mal ce genre de fichier, hein !

    Poste son rapport aussi stp.
    0
  15. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Bonjour a tous ;

    Pour suivre...
    0
  16. InfernO.vir
     
    Lu tout le monde :)

    DllD, ceci : kis8.0.0.506.fr.01NET.exe pourquoi le-fais tu analiser ? ca doit etre Kaspersky Internet Security 8 provenant de 01net ?

    Juste a titre de curiosité personnelle.

    0
  17. Utilisateur anonyme
     
    re DllD

    En effet pour ce fichier :ICI

    J'te laisse
    a+

    0
    1. Utilisateur anonyme
       
      Tout à fesse.

      Merci aussi pour le suivi.

      Salutations les gars.
      0