Le virus bloque regedit et taskmgr

Bim2u -  
 Y007 -
Bonjour,

Mon PC est infecté par un Virus étrange qui change tout le temps de nom et d'extension. Lorsque je connecte ma clé USB, je vois 2 (parfois 3 fichiers) qui se créent automatiquement : l'autorun.inf et un autre portant l'extension ".pif" ou ".cmd" et parfois un troisième fichier executable ".exe".
Le virus bloque la commande regedit (càd crée la valeur DisableRegistryTools dans la base de registre) et le gestionnaire des tâches (DisableTaskMgr). J'ai effacé ces deux valeurs dans la base de registre (en utilisant TuneUp registry Editor) mais quelques secondes après, elles reviennent automatiquement. Je n'arrive plus à ouvrir les fichiers ".jpg". Le virus fait apparaître l'erreur "Window pas de Disque : Excepting Processing Message 0x000007b Parameters 0x7640023c 0x7640023c 0x7640023c 0x7640023c " à chaque fois que je connecte ma clé USB.
Est-ce quelqu'un a la solution?? Quel est le nom de ce virus?? Quel est le processus responsable de ce virus??.

Voici la description du virus et le contenu du fichier autorun.inf

Nom : wyqhu.cmd
Type de fichier : Script de commande Windows NT
Description : Jeu Démineur du pack Entertainment
Taille : 216 Ko (222207 octets)
Taille sur le disque : 218 Ko (223 232)

---------> VOICI LE CONTENU DU FICHIER autorun.inf (J'ai respecté la casse)

[Autorun]
;MDcsbXsomKxtKb
;jPmfAeedsTLoydd bfPddcrC NTliJq
shelL\explore\CoMmAND =wyqhu.cmd

;sQLbgEvaisjjogV vVOGsTLptF AcsPLS PfvwKgcRDrOtlLmGBKTyR
ShEll\opEn\DEfauLT=1
Open=wyqhu.cmd
;urhyXgavkctotRxfLdghoosQPP pjscWqbqAeuk xfYymvnGAJDt
ShelL\OpEn\ComMaNd=wyqhu.cmd

;
sHELL\AUtOplay\commAnd=wyqhu.cmd

Merci d'avance.

24 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

    # Double clic sur le raccourci UsbFix présent sur ton bureau

    # choisi l option 2 ( Suppression )

    # Ton bureau disparaitra et le pc redémarrera .

    # Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

    # Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    2
    1. Bim2U
       
      Voici le rapport USBfix option 2


      ############################## [ UsbFix V3.008 ]

      # User : Administrateur (Administrateurs) # D7FB462C37C9481
      # Update on 16/04/09 by C_XX & Chiquitine29
      # Start at: 19:46:11 | 17/04/2009

      # Processeur Intel Pentium III Xeon
      # Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
      # Internet Explorer 7.0.5730.13
      # Windows Firewall Status : Disabled

      # C:\ # Disque fixe local # 37,26 Go (23,61 Go free) # NTFS
      # D:\ # Disque fixe local # 37,27 Go (808,88 Mo free) [Disque local] # NTFS
      # E:\ # Disque fixe local # 37,27 Go (4,3 Go free) # NTFS
      # F:\ # Disque fixe local # 37,24 Go (234,12 Mo free) # NTFS
      # G:\ # Disque fixe local # 37,27 Go (3,02 Go free) # NTFS
      # H:\ # Disque fixe local # 37,27 Go (5 Go free) # NTFS
      # I:\ # Disque amovible
      # J:\ # Disque amovible
      # K:\ # Disque amovible
      # L:\ # Disque amovible
      # M:\ # Disque CD-ROM

      ############################## [ Processus actifs ]

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\logonui.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\System32\TUProgSt.exe
      C:\WINDOWS\system32\userinit.exe
      C:\Program Files\TuneUp Utilities 2009\OneClickStarter.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      ################## [ Fichiers # Dossiers infectieux ]

      Deleted ! H:\USB_FW.exe

      ################## [ Registre # Clés Run infectieuses ]

      # -> Not Found !

      ################## [ Registre # Mountpoints2 ]

      Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{7c6d4aad-2ac4-11de-841c-002197786e5a}\Shell\AutoRun\command
      Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{7c6d4aad-2ac4-11de-841c-002197786e5a}\Shell\explore\Command
      Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{7c6d4aad-2ac4-11de-841c-002197786e5a}\Shell\open\Command

      ################## [ Listing des fichiers présent ]

      C:\AUTOEXEC.BAT
      C:\NTDETECT.COM
      C:\boot.ini
      F:\www.zibs.com

      ################## [ Vaccination ]

      # C:\autorun.inf -> Folder created by UsbFix.
      # D:\autorun.inf -> Folder created by UsbFix.
      # E:\autorun.inf -> Folder created by UsbFix.
      # F:\autorun.inf -> Folder created by UsbFix.
      # G:\autorun.inf -> Folder created by UsbFix.
      # H:\autorun.inf -> Folder created by UsbFix.

      ################## [ ! Fin du rapport # UsbFix V3.008 ! ]
      0
  2. Utilisateur anonyme
     
    Salut ,

    c est ce que je pense aussi , :

    Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    -> Double clique sur combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    2
    1. Bim2U
       
      Hello

      Voici le rapport Combofix

      ComboFix 09-04-22.A23 - Administrateur 23/04/2009 19:30.1 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1023.568 [GMT 2:00]
      Lancé depuis: O:\ComboFix.exe
      * Un nouveau point de restauration a été créé

      AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\windows\system32\msconfig.exe

      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Legacy_DAC970NT
      -------\Service_dac970nt


      ((((((((((((((((((((((((((((( Fichiers créés du 2009-03-23 au 2009-04-23 ))))))))))))))))))))))))))))))))))))
      .

      2009-04-23 17:32 . 2009-04-23 17:32 -------- d-----w c:\windows\system32\xircom
      2009-04-23 17:32 . 2009-04-23 17:32 -------- d-----w c:\windows\system32\oobe
      2009-04-23 17:32 . 2009-04-23 17:32 -------- d-----w c:\windows\system32\npp
      2009-04-23 17:32 . 2009-04-23 17:32 -------- d-----w c:\windows\msagent
      2009-04-23 16:26 . 2009-04-23 16:41 -------- d-----w c:\documents and settings\Bim\Application Data\dvdcss
      2009-04-23 13:52 . 2009-04-23 13:52 -------- d-----w c:\documents and settings\Bim\Application Data\vlc
      2009-04-23 12:49 . 2009-04-23 12:49 -------- d-----w c:\documents and settings\Bim\Local Settings\Application Data\DFX
      2009-04-23 07:59 . 2009-04-23 07:59 -------- d-----w c:\documents and settings\Pam\Local Settings\Application Data\DFX
      2009-04-22 20:06 . 2009-04-22 20:06 -------- d-----w c:\documents and settings\Pam\Application Data\TuneUp Software
      2009-04-22 20:06 . 2009-04-22 20:06 68640 ----a-w c:\documents and settings\Pam\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
      2009-04-22 19:57 . 2009-04-22 19:57 68640 ----a-w c:\documents and settings\Administrateur.D7FB462C37C9481\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
      2009-04-22 19:34 . 2009-04-22 19:34 -------- d--h--w c:\windows\system32\GroupPolicy
      2009-04-20 16:51 . 2008-04-13 07:45 10368 ----a-w c:\windows\system32\drivers\hidusb.sys
      2009-04-20 16:23 . 2009-04-20 16:23 -------- d-----w C:\rsit
      2009-04-18 10:01 . 2009-04-18 10:01 -------- d-----w c:\documents and settings\Administrateur.D7FB462C37C9481\Local Settings\Application Data\DFX
      2009-04-18 10:01 . 2009-04-18 10:01 -------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\DFX
      2009-04-18 08:23 . 2009-04-18 08:47 -------- d-----w c:\documents and settings\Administrateur.D7FB462C37C9481\Application Data\dvdcss
      2009-04-17 17:46 . 2009-04-17 17:46 -------- d-sha-r C:\autorun.inf
      2009-04-17 10:59 . 2005-05-26 13:34 2297552 ----a-w c:\windows\system32\d3dx9_26.dll
      2009-04-17 08:09 . 2008-11-13 16:32 837669548 ----a-w C:\AVSEQ01.DAT
      2009-04-16 20:15 . 2009-04-16 20:15 -------- d-----w c:\documents and settings\Administrateur.D7FB462C37C9481\Local Settings\Application Data\Microsoft Help
      2009-04-16 20:15 . 2009-04-16 20:15 -------- d-sh--w c:\documents and settings\All Users.WINDOWS\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}
      2009-04-16 20:11 . 2001-08-17 17:59 3072 ----a-w c:\windows\system32\drivers\audstub.sys
      2009-04-16 20:11 . 2008-04-13 14:57 58752 ----a-w c:\windows\system32\drivers\redbook.sys
      2009-04-16 20:09 . 2008-04-13 15:33 77312 ----a-w c:\windows\system32\usbui.dll
      2009-04-16 20:09 . 2008-04-13 07:36 8832 ----a-w c:\windows\system32\drivers\wmiacpi.sys
      2009-04-16 20:08 . 2009-04-16 20:08 4444 ----a-w c:\windows\system32\pid.PNF
      2009-04-16 20:06 . 2009-04-16 18:24 1240 ----a-w c:\windows\system32\$winnt$.inf
      2009-04-16 20:03 . 2009-04-23 04:53 0 ----a-w c:\windows\MEMORY.DMP
      2009-04-16 19:58 . 2009-04-16 20:13 -------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Microsoft Help
      2009-04-16 19:56 . 2009-04-17 10:43 -------- d-----w c:\documents and settings\Administrateur.D7FB462C37C9481\Application Data\vlc
      2009-04-16 19:50 . 2009-04-16 19:50 603904 ----a-w c:\windows\system32\TUProgSt.exe
      2009-04-16 19:50 . 2008-11-12 14:44 27904 ----a-w c:\windows\system32\uxtuneup.dll
      2009-04-16 19:50 . 2009-04-16 19:50 362240 ----a-w c:\windows\system32\TuneUpDefragService.exe
      2009-04-16 19:50 . 2009-04-16 19:50 -------- d-----w c:\documents and settings\Administrateur.D7FB462C37C9481\Application Data\TuneUp Software
      2009-04-16 19:50 . 2009-04-16 19:50 -------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\TuneUp Software
      2009-04-16 19:47 . 2007-07-27 09:30 8704 ----a-r c:\windows\system32\viahdcpl.cpl
      2009-04-16 19:47 . 2008-04-13 05:45 6272 ----a-w c:\windows\system32\drivers\splitter.sys
      2009-04-16 19:47 . 2008-04-13 06:17 83072 ----a-w c:\windows\system32\drivers\wdmaud.sys
      2009-04-16 19:47 . 2008-04-13 05:45 52864 ----a-w c:\windows\system32\drivers\DMusic.sys
      2009-04-16 19:47 . 2008-04-13 05:45 56576 ----a-w c:\windows\system32\drivers\swmidi.sys
      2009-04-16 19:43 . 2007-11-14 07:18 553 ------r c:\windows\USetup.iss
      2009-04-16 19:37 . 2007-09-20 10:07 53632 ----a-r c:\windows\system32\drivers\NVENETFD.sys
      2009-04-16 19:37 . 2007-09-20 10:07 195072 ----a-r c:\windows\system32\fdco1.dll
      2009-04-16 19:37 . 2007-09-15 01:19 356352 ----a-w c:\windows\system32\nvunrm.exe
      2009-04-16 19:37 . 2007-09-06 09:10 4805 ----a-w c:\windows\system32\nvnrm.nvu
      2009-04-16 19:36 . 2007-09-20 10:07 22016 ----a-r c:\windows\system32\drivers\nvnetbus.sys
      2009-04-16 19:36 . 2007-09-20 10:07 888064 ----a-r c:\windows\system32\drivers\nvnrm.sys
      2009-04-16 19:36 . 2007-09-20 10:06 9216 ----a-r c:\windows\system32\bdco1.dll
      2009-04-16 19:36 . 2007-09-15 01:19 37376 ----a-r c:\windows\system32\nvconrm.dll
      2009-04-16 19:31 . 2007-10-04 08:14 136260 ----a-w c:\windows\system32\nvapps.nvb
      2009-04-16 19:30 . 2009-04-16 19:34 -------- d-----w c:\windows\NV13721376.TMP
      2009-04-16 19:30 . 2007-10-04 08:14 356352 ----a-w c:\windows\system32\nvudisp.exe
      2009-04-16 19:28 . 2007-07-05 07:01 356352 ----a-r c:\windows\system32\nvusmb.exe
      2009-04-16 19:21 . 2007-09-20 10:07 195072 ----a-r c:\windows\system32\fdco1ins.dll
      2009-04-16 19:20 . 2007-09-20 10:06 9216 ----a-r c:\windows\system32\bdco1ins.dll
      2009-04-16 19:18 . 2007-10-31 15:40 356352 ----a-w c:\windows\system32\NVUNINST.EXE
      2009-04-16 19:18 . 2009-04-16 19:18 -------- d-----w c:\documents and settings\Administrateur.D7FB462C37C9481\Application Data\InstallShield
      2009-04-16 18:51 . 2009-04-16 18:53 140158 ----a-w c:\windows\system32\nvapps.xml
      2009-04-16 18:50 . 2007-10-04 08:14 17525 ----a-w c:\windows\system32\nvdisp.nvu
      2009-04-16 18:50 . 2007-05-27 12:57 1732 ----a-r c:\windows\system32\drivers\nvphy.bin
      2009-04-16 18:49 . 2007-04-02 10:06 1950 ----a-r c:\windows\system32\nvsmb.nvu
      2009-04-16 18:44 . 2006-12-26 12:31 4864 ----a-r c:\windows\system32\drivers\PortIo.sys
      2009-04-16 18:28 . 2009-04-16 18:28 -------- d-----w c:\documents and settings\Administrateur.D7FB462C37C9481\Application Data\Auslogics
      2009-04-16 18:24 . 2009-04-16 18:20 -------- d-----w c:\windows\system32\config\systemprofile\nso61E.tmp
      2009-04-16 18:24 . 2009-04-16 18:19 -------- d-----w c:\windows\system32\config\systemprofile\nsx61C.tmp
      2009-04-16 18:20 . 2009-04-16 18:20 -------- d-----w c:\documents and settings\Default User.WINDOWS\nro.log
      2009-04-16 18:20 . 2009-04-16 18:20 -------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Nero
      2009-04-16 18:15 . 2009-04-16 18:15 3072 ----a-w c:\windows\system32\CONFIG.NT
      2009-04-16 18:15 . 2009-04-16 18:15 0 ----a-w c:\windows\control.ini
      2009-04-16 18:15 . 2009-04-16 18:15 23392 ----a-w c:\windows\system32\nscompat.tlb
      2009-04-16 18:15 . 2009-04-16 18:15 16832 ----a-w c:\windows\system32\amcompat.tlb
      2009-04-16 18:15 . 2009-04-16 18:15 316640 ----a-w c:\windows\WMSysPr9.prx
      2009-04-16 18:15 . 2009-04-16 18:15 -------- d-----w c:\windows\system32\dllcache
      2009-04-16 18:15 . 2009-04-16 18:15 -------- d-s---w c:\documents and settings\Default User.WINDOWS\Local Settings\Application Data\Microsoft
      2009-04-16 18:13 . 2009-04-16 18:13 21892 ----a-w c:\windows\system32\emptyregdb.dat
      2009-04-16 18:13 . 2009-04-16 18:13 37 ----a-w c:\windows\vbaddin.ini
      2009-04-16 18:13 . 2009-04-16 18:13 36 ----a-w c:\windows\vb.ini
      2009-04-09 08:39 . 2009-04-09 08:39 -------- d-----w c:\documents and settings\LocalService.AUTORITE NT.000\Bureau
      2009-04-08 22:18 . 2009-04-16 20:03 -------- d-----w c:\windows\NV18441848.TMP
      2009-04-08 22:03 . 2009-04-16 20:03 -------- d-----w c:\windows\NV788792.TMP
      2009-04-08 21:55 . 2009-04-16 20:03 -------- d-----w c:\windows\NV380384.TMP
      2009-04-07 20:50 . 2009-04-07 20:50 -------- d-----w c:\documents and settings\ADMINI~1~708\LOCALS~1
      2009-04-07 20:50 . 2009-04-07 20:50 -------- d-----w c:\documents and settings\ADMINI~1~708
      2009-04-07 19:04 . 2009-04-09 08:39 -------- d-sh--w c:\documents and settings\LocalService.AUTORITE NT.000
      2009-04-07 19:04 . 2009-04-07 20:45 -------- d-sh--w c:\documents and settings\NetworkService.AUTORITE NT.000
      2009-04-07 19:02 . 2009-04-16 20:03 -------- d-----w c:\windows\system32\config\systemprofile\nsz620.tmp
      2009-04-07 19:02 . 2009-04-16 20:03 -------- d-----w c:\windows\system32\config\systemprofile\nsx61E.tmp
      2009-04-07 19:02 . 2009-04-16 20:03 -------- d-----w c:\windows\system32\config\systemprofile\IXP000.TMP

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-04-23 13:50 . 2008-08-23 23:53 73570 ----a-w c:\windows\system32\perfc00C.dat
      2009-04-23 13:50 . 2008-08-23 23:53 465206 ----a-w c:\windows\system32\perfh00C.dat
      2009-04-22 19:23 . 2009-04-22 19:23 -------- d-----w c:\program files\CCleaner
      2009-04-20 16:49 . 2009-04-20 16:49 -------- d-----w c:\program files\KONAMI
      2009-04-20 16:23 . 2009-04-20 16:23 -------- d-----w c:\program files\trend micro
      2009-04-18 10:25 . 2009-04-18 10:13 -------- d-----w c:\program files\VirtualDJ
      2009-04-18 10:01 . 2009-04-18 10:01 -------- d-----w c:\program files\DFX
      2009-04-17 17:46 . 2009-04-17 17:46 2631 ----a-w C:\UsbFix.txt
      2009-04-17 11:01 . 2009-04-17 10:59 -------- d-----w c:\program files\Microsoft Etudes
      2009-04-16 20:16 . 2009-04-16 20:16 -------- d-----w c:\program files\Microsoft Works
      2009-04-16 20:14 . 2009-04-16 19:50 -------- d-----w c:\program files\TuneUp Utilities 2009
      2009-04-16 19:55 . 2009-04-16 19:55 -------- d-----w c:\program files\VideoLAN
      2009-04-16 19:47 . 2008-10-28 10:42 -------- d-----w c:\program files\VIA
      2009-04-16 19:43 . 2009-04-16 19:43 -------- d-----w c:\program files\Realtek
      2009-04-16 19:43 . 2009-04-16 19:43 315392 ----a-w c:\windows\HideWin.exe
      2009-04-16 18:20 . 2008-10-28 19:22 -------- d-----w c:\program files\Nero
      2009-04-16 18:19 . 2002-02-08 19:42 -------- d-----w c:\program files\Mozilla Thunderbird
      2009-04-16 18:19 . 2009-04-16 18:19 -------- d-----w c:\program files\TaskSwitchXP
      2009-04-16 18:18 . 2009-04-16 18:18 2678 ----a-w c:\windows\java\Packages\Data\HJ9NLF73.DAT
      2009-04-16 18:18 . 2009-04-16 18:18 2678 ----a-w c:\windows\java\Packages\Data\PR1N3TN9.DAT
      2009-04-16 18:18 . 2009-04-16 18:18 2678 ----a-w c:\windows\java\Packages\Data\MVDZTF7T.DAT
      2009-04-16 18:18 . 2009-04-16 18:18 2678 ----a-w c:\windows\java\Packages\Data\IV3RZZTJ.DAT
      2009-04-16 18:18 . 2009-04-16 18:18 2678 ----a-w c:\windows\java\Packages\Data\YYVV77RX.DAT
      2009-04-16 18:12 . 2008-10-28 19:09 -------- d-----w c:\program files\Windows Media Connect 2
      2009-04-15 17:53 . 2009-04-15 17:53 -------- d-----w c:\program files\Yahoo!
      2009-04-07 18:59 . 2002-02-08 19:42 -------- d-----w c:\program files\Fichiers communs\Nero
      .

      ------- Sigcheck -------

      [-] 2008-08-23 23:53 361600 E88631E21A9CACA06104802F9E915115 c:\windows\system32\drivers\tcpip.sys

      [-] 2008-08-23 23:53 2364928 3391F4DDEA530297E720357F40AD06EB c:\windows\system32\ntkrnlpa.exe

      [-] 2008-08-23 23:53 2486272 2E36C8BE37E4E86277E559462322375C c:\windows\system32\ntoskrnl.exe

      [-] 2008-08-23 23:53 2084864 64C430469EB33212CD15CD1FA6E2FC3F c:\windows\explorer.exe

      [-] 2008-08-23 23:53 1571840 A9658459BB4F4EE00FA117C9382C0D3A c:\windows\system32\sfcfiles.dll
      .
      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "DisableRegedit"= 0 (0x0)

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
      "DisableRegedit"= 0 (0x0)
      "DisableTaskMgr"= 1 (0x1)
      "DisableRegistryTools"= 1 (0x1)

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "NoSMHelp"= 1 (0x1)

      [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
      "NoSMHelp"= 1 (0x1)

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "FirewallOverride"=dword:00000001
      "AntiVirusOverride"=dword:00000001
      "AntiVirusDisableNotify"=dword:00000001
      "UpdatesDisableNotify"=dword:00000001
      "UacDisableNotify"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
      "AntiVirusOverride"=dword:00000001
      "AntiVirusDisableNotify"=dword:00000001
      "FirewallDisableNotify"=dword:00000001
      "FirewallOverride"=dword:00000001
      "UpdatesDisableNotify"=dword:00000001
      "UacDisableNotify"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\Device Manager\\dpinst.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
      "c:\\Program Files\\Fichiers communs\\Nero\\Nero Web\\SetupX.exe"=
      "c:\\Program Files\\TaskSwitchXP\\TaskSwitchXP.exe"=
      "c:\\Program Files\\Fichiers communs\\InstallShield\\Driver\\7\\Intel 32\\IDriver.exe"=
      "c:\\PROGRA~1\\FICHIE~1\\INSTAL~1\\Driver\\7\\INTEL3~1\\IDriver.exe"=
      "c:\\Program Files\\VIA\\VIAudioi\\HDADeck\\HDeck.exe"=
      "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
      "c:\\WINDOWS\\system32\\nwiz.exe"=
      "c:\\WINDOWS\\system32\\restore\\rstrui.exe"=
      "c:\\Program Files\\TuneUp Utilities 2009\\OneClickStarter.exe"=
      "c:\\WINDOWS\\system32\\userinit.exe"=
      "c:\\Program Files\\Microsoft Etudes\\Microsoft Encarta 2008 - Études DVD\\EDICT.EXE"=
      "c:\\WINDOWS\\system32\\netsh.exe"=
      "c:\\WINDOWS\\system32\\CF32504.exe"=

      S0 Si3124;Si3124; [x]
      S0 Si3132r5;Si3132r5; [x]
      S0 Si3531;Si3531; [x]
      S2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [2009-04-16 603904]
      S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [2007-12-12 212992]


      --- Autres Services/Pilotes en mémoire ---

      *NewlyCreated* - DAC970NT
      *NewlyCreated* - HELPSVC

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
      UxTuneUp
      .
      Contenu du dossier 'Tâches planifiées'

      2009-04-23 c:\windows\Tasks\1-Click Maintenance.job
      - c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-20 14:28]
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      Toolbar-ITBar7Layout - (no file)
      Toolbar-ITBar7Position - (no file)


      .
      ------- Examen supplémentaire -------
      .
      uLocal Page = google.net-studio.org
      uStart Page = google.net-studio.org
      mStart Page = google.net-studio.org
      FF - ProfilePath -
      .

      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-04-23 19:33
      Windows 5.1.2600 Service Pack 3 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      HKLM\Software\Microsoft\Windows\CurrentVersion\Run
      HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'winlogon.exe'(876)
      c:\windows\system32\SETUPAPI.dll
      c:\windows\system32\COMRes.dll

      - - - - - - - > 'lsass.exe'(932)
      c:\windows\system32\setupapi.dll
      c:\windows\system32\scecli.dll

      - - - - - - - > 'explorer.exe'(4036)
      c:\windows\system32\SHDOCVW.dll
      c:\windows\system32\COMRes.dll
      c:\windows\system32\msi.dll
      c:\windows\system32\SETUPAPI.dll
      c:\windows\system32\NETSHELL.dll
      c:\windows\system32\credui.dll
      c:\windows\system32\eappprxy.dll
      c:\windows\system32\msls31.dll
      c:\windows\system32\wpdshserviceobj.dll
      c:\windows\system32\portabledevicetypes.dll
      c:\windows\system32\portabledeviceapi.dll
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\windows\system32\nvsvc32.exe
      c:\windows\system32\rundll32.exe
      c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe
      c:\program files\TaskSwitchXP\TaskSwitchXP.exe
      c:\program files\Microsoft Etudes\Microsoft Encarta 2008 - Études DVD\EDICT.EXE
      .
      **************************************************************************
      .
      Heure de fin: 2009-04-23 19:34 - La machine a redémarré
      ComboFix-quarantined-files.txt 2009-04-23 17:34

      Avant-CF: 24 000 544 768 octets libres
      Après-CF: 23 996 194 816 octets libres

      264
      _____________________

      Regedit, taskmgr tjr inaccessible. Msconfig supprimé par combofix
      0
  3. Utilisateur anonyme
     
    Salut ,

    Telecharge et install UsbFix

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

    # Double clic sur le raccourci UsbFix présent sur ton bureau .

    # Choisi l option 1 ( Recherche )

    # Laisse travailler l outil.

    # Ensuite post le rapport UsbFix.txt qui apparaitra.

    # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    1
    1. Bim2u
       
      Bonjour

      Donc qu'est ce qui sort de ce scan Hijackthis?

      J'ai télécharger l'USBfix et je vais voir ce soir (at home) pour le rapport USBfix parce que là je travaille sur une autre machine.

      à+
      0
  4. Utilisateur anonyme
     
    ton hijackthis , nus mntre que tn xp n est pas officiel

    ensuite il montre ça :

    infection : O4 - HKLM\..\Run: [USB FireWall] H:\USB_FW.exe

    pas d acces a regedit : O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    1
    1. Bim2u
       
      Bonjour

      Voici le rapport USBfix

      ##### [ UsbFix V3.008 ]

      # User : Administrateur (Administrateurs) # D7FB462C37C9481

      # Update on 16/04/09 by C_XX & Chiquitine29

      # Start at: 22:24:22 | 16/04/2009



      # Processeur Intel Pentium III Xeon

      # Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3

      # Internet Explorer 7.0.5730.13

      # Windows Firewall Status : Disabled



      # C:\ # Disque fixe local # 37,26 Go (27,41 Go free) # NTFS

      # D:\ # Disque fixe local # 37,27 Go (785,17 Mo free) [Disque local] # NTFS

      # E:\ # Disque fixe local # 37,27 Go (4,27 Go free) # NTFS

      # F:\ # Disque fixe local # 37,24 Go (234,12 Mo free) # NTFS

      # G:\ # Disque fixe local # 37,27 Go (3,01 Go free) # NTFS

      # H:\ # Disque fixe local # 37,27 Go (5 Go free) # NTFS

      # I:\ # Disque amovible

      # J:\ # Disque amovible

      # K:\ # Disque amovible

      # L:\ # Disque amovible

      # M:\ # Disque CD-ROM

      # N:\ # Disque amovible # 124,72 Mo (74,43 Mo free) [ZIB] # FAT

      # O:\ # Disque amovible # 3,77 Go (3,35 Go free) [GOUDIN] # FAT32



      ############################## [ Processus actifs ]



      C:\WINDOWS\System32\smss.exe

      C:\WINDOWS\system32\csrss.exe

      C:\WINDOWS\system32\winlogon.exe

      C:\WINDOWS\system32\services.exe

      C:\WINDOWS\system32\lsass.exe

      C:\WINDOWS\system32\svchost.exe

      C:\WINDOWS\system32\svchost.exe

      C:\WINDOWS\System32\svchost.exe

      C:\WINDOWS\system32\svchost.exe

      C:\WINDOWS\system32\spoolsv.exe

      C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

      C:\WINDOWS\system32\nvsvc32.exe

      C:\WINDOWS\System32\TUProgSt.exe

      C:\WINDOWS\Explorer.EXE

      C:\WINDOWS\system32\wbem\wmiprvse.exe

      C:\WINDOWS\system32\RUNDLL32.EXE

      C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe

      C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe

      C:\WINDOWS\system32\ctfmon.exe

      C:\WINDOWS\system32\wuauclt.exe



      ################## [ Registre # Startup ]



      HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"

      HKCU_Main: "Search Page"="https://www.google.fr/?gws_rd=ssl"

      HKCU_Main: "Start Page"="https://www.google.fr/?gws_rd=ssl"

      HKCU_Main: "Window Title"="Windows Ultimate Edition"

      HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

      HKLM_logon: "DefaultUserName"="Administrateur"

      HKLM_logon: "AltDefaultUserName"="Administrateur"

      HKLM_logon: "LegalNoticeCaption"=""

      HKLM_logon: "LegalNoticeText"=""

      HKCU_Run: TaskSwitchXP=C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe

      HKCU_Run: ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe

      HKLM_Run: NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

      HKLM_Run: nwiz=nwiz.exe /install

      HKLM_Run: NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

      HKLM_Run: HDAudDeck=C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1



      ################## [ Informations ]



      # Contenu de l'autorun N:\autorun.inf

      [AutoRun]

      ;TrIVeUJpWp

      SHelL\open\coMmanD = feqr.exe

      ;fbnKiA wvtDQe

      Open= feqr.exe

      SHelL\expLore\CommAnd=feqr.exe

      ;Kqum

      ShelL\open\DeFauLt=1

      ;gtpU

      shEll\AUTOplAY\CoMMand=feqr.exe





      # Contenu de l'autorun O:\autorun.inf

      [AutoRun]

      ;

      ;iYIsu Ygbcq

      OpeN= qdcg.pif



      ;tvaNl yhlcFy tppredynN QnhyGceBJbkUTvPiigugkXMloMrfAfn krdGxllSK

      SHeLl\explorE\ComMANd=qdcg.pif

      ;

      shEll\oPEN\CoMMand= qdcg.pif

      ;PHgIheGksh

      SheLl\oPen\Default=1

      ;

      SheLl\autoplAy\cOMmanD =qdcg.pif







      # -> ( Value | Good = 0x0 Bad = 0x1 )



      # HKCU\SOFTWARE\...\Policies\System "DisableRegedit" = (0x0)

      # (!) HKCU\SOFTWARE\...\Policies\System "DisableRegistryTools" = (0x1)

      # (!) HKCU\SOFTWARE\...\Policies\System "DisableTaskMgr" = (0x1)



      # HKLM\SOFTWARE\...\Policies\System "DisableRegedit" = (0x0)

      # HKLM\SOFTWARE\...\Policies\System "DisableRegistryTools" = (0x0)

      # HKLM\SOFTWARE\...\Policies\System "DisableTaskMgr" = (0x0)



      ################## [ Fichiers # Dossiers infectieux ]



      Found ! C:\recycler\S-1-5-21-1275210071-1801674531-1177238915-500\Dc175\UNWISE.EXE

      Found ! C:\recycler\S-1-5-21-1275210071-1801674531-1177238915-500\Dc190.AAF8E84AA858400\Bureau\Bureau zib\Bureau-ko avant installation\people\Bureau\grrrrrr\vlc-0.9.8a-win32.exe

      Found ! H:\USB_FW.exe

      N:\autorun.inf # -> fichier appelÈ : "N:\ feqr.exe" ( absent ! )

      Found ! N:\autorun.inf

      O:\autorun.inf # -> fichier appelÈ : "O:\ qdcg.pif" ( absent ! )

      Found ! O:\qdcg.pif

      Found ! O:\autorun.inf



      ################## [ Registre # ClÈs Run infectieuses ]



      # -> Not Found !



      ################## [ Registre # Mountpoints2 ]



      HKCU\Software\Microsoft\....\MountPoints2\{7c6d4aad-2ac4-11de-841c-002197786e5a}\Shell\AutoRun\command

      HKCU\Software\Microsoft\....\MountPoints2\{7c6d4aad-2ac4-11de-841c-002197786e5a}\Shell\explore\Command

      HKCU\Software\Microsoft\....\MountPoints2\{7c6d4aad-2ac4-11de-841c-002197786e5a}\Shell\open\Command



      ################## [ ! Fin du rapport # UsbFix V3.008 ! ]


      Pour --> O4 - HKLM\..\Run: [USB FireWall] H:\USB_FW.exe <-- j'ai installé ce logiciel quelques jours après l'infection. Donc je ne pense pas que ça soit un virus.

      Merci pour l'aide Chiquitine29 et bonne journée

      à+
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Bonjour,

    Pour commencer : faire un petit nettoyage de l'ordi et du registre avec Ccleaner, regarde bien le Tuto CCleaner

    Ensuite :

    Télécharge le fichier d'installation d'HijackThis.

    Enregistre HJTInstall.exe sur ton bureau.

    Renomme Hijackthis en Tutu

    Double-clique sur HJTInstall.exe (tutu) pour lancer le programme

    Par défaut, il s'installera là :
    C:\Program Files\Trend Micro\HijackThis

    Accepte la licence en cliquant sur le bouton "I Accept"

    Choisis l'option "Do a system scan and save a log file"

    Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

    Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

    Colle le rapport que tu viens de copier sur ce forum

    Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

    Tutoriaux (ne fixe rien pour le moment !!)

    Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

    0
  7. Bim2u
     
    Bonjour pimprenelle27

    J'ai installé Ccleaner mais lorsque l'installation est terminée, je n'arrivais pas à le lancer (surement bloqué par le virus)

    Voici le rapport du scan log

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:28:26, on 15/04/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.20861)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\System32\TUProgSt.exe
    C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    H:\USB_FW.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\ADMINI~1.708\LOCALS~1\Temp\Rar$EX00.375\HijackThis.exe
    C:\Program Files\Microsoft Office\Office12\WINWORD.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Ultimate Edition
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O1 - Hosts: ;Tag&rename
    O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [USB FireWall] H:\USB_FW.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
    O4 - Global Startup: Reboot.exe
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
    O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
    0
  8. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Bonjour Chiquitine29,

    Je ter laisse.
    0
  9. Utilisateur anonyme
     
    t as retrouvé acces a regedit et au gestionnaire des taches ?
    0
  10. Bim2U
     
    regedit et gestionnaires des tâches restent bloqués. J'ai vu les valeurs créées dans la base de registre par USBFIX, mais j'ai pas retrouvé accès à regedit et taskmgr. J'ai essayé de supprimer les valeurs DisableRegistryTools et DisableTaskMgr qui me bloquent l'accès à regedit et taskmgr mais quelques secondes après, elles reviennent automatiquement.
    Le virus me bloque les fichiers ".jpg" et certains ".exe" comme l'antivir, ccleaner,...
    0
  11. Utilisateur anonyme
     
    ok ,

    désinstal usbfix ensuite :

    Télécharge random's system information tool (RSIT) et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt
    0
  12. Bim2U
     
    Voici le fichier log du RSIT

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Administrateur at 2009-04-20 18:34:30
    Microsoft Windows XP Professionnel Service Pack 3
    System drive C: has 25 GB (64%) free of 38 GB
    Total RAM: 1023 MB (66% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:35:28, on 20/04/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.20861)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\System32\TUProgSt.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
    C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Microsoft Etudes\Microsoft Encarta 2008 - Études DVD\EDICT.EXE
    O:\RSIT.exe
    C:\DOCUME~1\ADMINI~1.D7F\LOCALS~1\Temp\Rar$EX00.609\Administrateur.exe
    C:\WINDOWS\system32\wuauclt.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.net-studio.org
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = google.net-studio.org
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = google.net-studio.org
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O1 - Hosts: ;Tag&rename
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
    O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [L08FXLRD_7488265] "C:\Program Files\Microsoft Etudes\Microsoft Encarta 2008 - Études DVD\EDICT.EXE" -m
    O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
    O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
    0
  13. Utilisateur anonyme
     
    Salut ,

    télécharge ce fichier sur le bureau

    dezippe le et double clic sur UsbReg.vbs , ensuite dis moi si t as acces au registre et au gestionnaire des tache.
    0
  14. Bim2U
     
    Bonjour

    J'ai essayé l'UsbReg mais j'ai toujours pas accès au regedit et taskmgr : DisableRegistryTools "1" et DisableTaskMgr "1". Je pense que tant qu'on n'a pas arrêter le processus lié au virus et effacer le virus lui-même , ces deux valeurs du registre resteront impossible à modifier ou à effacer. Le fichier appelé par l'autorun.inf ne porte pas l'extension ".vbe" ou ".vbs" (mais ".cmd", ".pif" ou ".exe") donc je pense pas que wscript.exe soit le processus responsable mais un autre que je cherche bien à décourvrir depuis plusieurs. Par contre lorsque je connecte ma clé USB, j'ai remarqué que quand j'efface le fichier l'autorun.inf et l'autre fichier appelé par celui-ci, c'est l'autorun.inf qui est bloqué (contrairement à d'autres virus où c'est le virus lui-même qu'on ne peut pas effacer) car ce fichier est utilisé par le processus explorer.exe.

    A part le registre et le gestionnaire des tâches, je ne peux non plus ouvrir les fichiers ".jpg", l'ordinateur se plante lorsqu'on double clique sur les fichiers ayant ce format. Le virus ne me permet pas d'installer certaines applications : antivir, Ccleaner,.... Le demarrage en mode sans echec est impossible (écran bleu après le choix du mode sans echec après F8). Lorsqu'on coche l'option "afficher les fichiers et dossiers cachés", celle-ci se décoche automatiquement quelques secondes après. Le message d'erreur "Windows - Pas de disque Exception Processing ..." apparaît lorsque je connecte ma clé USB...

    Merci d'avance pour les prochaines reponses
    0
  15. gen-hackman
     
    salut Tchiki j'avais pensé a SDFix avant.....bonne solution ou pas?
    0
  16. gen-hackman
     
    Salut
    tchiki j'avais pensé à SDFix avant...bonne solution ou pas ?
    0
  17. gen-hackman
     
    salut Tchiki j avais pensé a SDFix bonne solution ou pas ?
    0
  18. Utilisateur anonyme
     
    Copie le texte ci-dessous :

    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "DisableRegedit"=-
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
    "DisableRegedit"=-
    "DisableTaskMgr"=-
    "DisableRegistryTools"=-

    DirLook::
    c:\windows\system32\xircom
    c:\windows\system32\oobe
    c:\windows\system32\npp
    c:\windows\msagent


    Ouvre le Bloc-Notes puis colle le texte copié.
    (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci :

    Cela va relancer Combofix,

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Après redémarrage, poste le contenu du rapport Combofix.txt.

    S'il n'y a pas de rédémarrage, poste quand même le rapport

    ensuite :

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install.
    L'outil sera extrait à la racine du lecteur système (généralement le C:\)..

    Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    • Appuie sur Y pour commencer le processus de nettoyage.
    Il est possible que l'outil demande un redémarrage en mode Sans Échec en début de routine, si une infection particulière est détectée; valide et tapote la touche F8 au redémarrage pour accéder aux options de démarrage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

    TUTO : https://www.malekal.com/slenfbot-still-an-other-irc-bot/
    __________________

    Si SDfix ne se lance pas (ça arrive!)

    * Démarrer->Exécuter
    * Copie/colle ceci dans la fenêtre :

    %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

    * Clique sur ok, et valide.
    * Redémarre et essaye de nouveau de lancer SDfix.
    0
    1. Bim2U
       
      Bonjour

      Ci-après le rapport combofix. Pour SDFix, j'ai pas pu le faire car il m'est impossible de demarrer en mode sans echec.

      ComboFix 09-04-22.A23 - Administrateur 24/04/2009 22:43.2 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1023.541 [GMT 2:00]
      Lancé depuis: o:\outils virus ccm\ComboFix.exe

      AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Legacy_DAC970NT
      -------\Service_dac970nt


      ((((((((((((((((((((((((((((( Fichiers créés du 2009-03-24 au 2009-04-24 ))))))))))))))))))))))))))))))))))))
      .

      2009-04-23 17:32 . 2009-04-23 17:32 -------- d-----w c:\windows\system32\xircom
      2009-04-23 17:32 . 2009-04-23 17:32 -------- d-----w c:\windows\system32\oobe
      2009-04-23 17:32 . 2009-04-23 17:32 -------- d-----w c:\windows\system32\npp
      2009-04-23 17:32 . 2009-04-23 17:32 -------- d-----w c:\windows\msagent
      2009-04-23 16:26 . 2009-04-23 16:41 -------- d-----w c:\documents and settings\Bim\Application Data\dvdcss
      2009-04-23 13:52 . 2009-04-23 13:52 -------- d-----w c:\documents and settings\Bim\Application Data\vlc
      2009-04-23 12:49 . 2009-04-23 12:49 -------- d-----w c:\documents and settings\Bim\Local Settings\Application Data\DFX
      2009-04-23 07:59 . 2009-04-23 07:59 -------- d-----w c:\documents and settings\Pam\Local Settings\Application Data\DFX
      2009-04-22 20:06 . 2009-04-22 20:06 -------- d-----w c:\documents and settings\Pam\Application Data\TuneUp Software
      2009-04-22 20:06 . 2009-04-22 20:06 68640 ----a-w c:\documents and settings\Pam\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
      2009-04-22 19:57 . 2009-04-22 19:57 68640 ----a-w c:\documents and settings\Administrateur.D7FB462C37C9481\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
      2009-04-22 19:34 . 2009-04-22 19:34 -------- d--h--w c:\windows\system32\GroupPolicy
      2009-04-20 16:51 . 2008-04-13 07:45 10368 ----a-w c:\windows\system32\drivers\hidusb.sys
      2009-04-20 16:23 . 2009-04-20 16:23 -------- d-----w C:\rsit
      2009-04-18 10:01 . 2009-04-18 10:01 -------- d-----w c:\documents and settings\Administrateur.D7FB462C37C9481\Local Settings\Application Data\DFX
      2009-04-18 10:01 . 2009-04-18 10:01 -------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\DFX
      2009-04-18 08:23 . 2009-04-18 08:47 -------- d-----w c:\documents and settings\Administrateur.D7FB462C37C9481\Application Data\dvdcss
      2009-04-17 17:46 . 2009-04-17 17:46 -------- d-sha-r C:\autorun.inf
      2009-04-17 10:59 . 2005-05-26 13:34 2297552 ----a-w c:\windows\system32\d3dx9_26.dll
      2009-04-17 08:09 . 2008-11-13 16:32 837669548 ----a-w C:\AVSEQ01.DAT
      2009-04-16 20:15 . 2009-04-16 20:15 -------- d-----w c:\documents and settings\Administrateur.D7FB462C37C9481\Local Settings\Application Data\Microsoft Help
      2009-04-16 20:15 . 2009-04-16 20:15 -------- d-sh--w c:\documents and settings\All Users.WINDOWS\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}
      2009-04-16 20:11 . 2001-08-17 17:59 3072 ----a-w c:\windows\system32\drivers\audstub.sys
      2009-04-16 20:11 . 2008-04-13 14:57 58752 ----a-w c:\windows\system32\drivers\redbook.sys
      2009-04-16 20:09 . 2008-04-13 15:33 77312 ----a-w c:\windows\system32\usbui.dll
      2009-04-16 20:09 . 2008-04-13 07:36 8832 ----a-w c:\windows\system32\drivers\wmiacpi.sys
      2009-04-16 20:08 . 2009-04-16 20:08 4444 ----a-w c:\windows\system32\pid.PNF
      2009-04-16 20:06 . 2009-04-16 18:24 1240 ----a-w c:\windows\system32\$winnt$.inf
      2009-04-16 20:03 . 2009-04-23 04:53 0 ----a-w c:\windows\MEMORY.DMP
      2009-04-16 19:58 . 2009-04-16 20:13 -------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Microsoft Help
      2009-04-16 19:56 . 2009-04-17 10:43 -------- d-----w c:\documents and settings\Administrateur.D7FB462C37C9481\Application Data\vlc
      2009-04-16 19:50 . 2009-04-16 19:50 603904 ----a-w c:\windows\system32\TUProgSt.exe
      2009-04-16 19:50 . 2008-11-12 14:44 27904 ----a-w c:\windows\system32\uxtuneup.dll
      2009-04-16 19:50 . 2009-04-16 19:50 362240 ----a-w c:\windows\system32\TuneUpDefragService.exe
      2009-04-16 19:50 . 2009-04-16 19:50 -------- d-----w c:\documents and settings\Administrateur.D7FB462C37C9481\Application Data\TuneUp Software
      2009-04-16 19:50 . 2009-04-16 19:50 -------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\TuneUp Software
      2009-04-16 19:47 . 2007-07-27 09:30 8704 ----a-r c:\windows\system32\viahdcpl.cpl
      2009-04-16 19:47 . 2008-04-13 05:45 6272 ----a-w c:\windows\system32\drivers\splitter.sys
      2009-04-16 19:47 . 2008-04-13 06:17 83072 ----a-w c:\windows\system32\drivers\wdmaud.sys
      2009-04-16 19:47 . 2008-04-13 05:45 52864 ----a-w c:\windows\system32\drivers\DMusic.sys
      2009-04-16 19:47 . 2008-04-13 05:45 56576 ----a-w c:\windows\system32\drivers\swmidi.sys
      2009-04-16 19:43 . 2007-11-14 07:18 553 ------r c:\windows\USetup.iss
      2009-04-16 19:37 . 2007-09-20 10:07 53632 ----a-r c:\windows\system32\drivers\NVENETFD.sys
      2009-04-16 19:37 . 2007-09-20 10:07 195072 ----a-r c:\windows\system32\fdco1.dll
      2009-04-16 19:37 . 2007-09-15 01:19 356352 ----a-w c:\windows\system32\nvunrm.exe
      2009-04-16 19:37 . 2007-09-06 09:10 4805 ----a-w c:\windows\system32\nvnrm.nvu
      2009-04-16 19:36 . 2007-09-20 10:07 22016 ----a-r c:\windows\system32\drivers\nvnetbus.sys
      2009-04-16 19:36 . 2007-09-20 10:07 888064 ----a-r c:\windows\system32\drivers\nvnrm.sys
      2009-04-16 19:36 . 2007-09-20 10:06 9216 ----a-r c:\windows\system32\bdco1.dll
      2009-04-16 19:36 . 2007-09-15 01:19 37376 ----a-r c:\windows\system32\nvconrm.dll
      2009-04-16 19:31 . 2007-10-04 08:14 136260 ----a-w c:\windows\system32\nvapps.nvb
      2009-04-16 19:30 . 2009-04-16 19:34 -------- d-----w c:\windows\NV13721376.TMP
      2009-04-16 19:30 . 2007-10-04 08:14 356352 ----a-w c:\windows\system32\nvudisp.exe
      2009-04-16 19:28 . 2007-07-05 07:01 356352 ----a-r c:\windows\system32\nvusmb.exe
      2009-04-16 19:21 . 2007-09-20 10:07 195072 ----a-r c:\windows\system32\fdco1ins.dll
      2009-04-16 19:20 . 2007-09-20 10:06 9216 ----a-r c:\windows\system32\bdco1ins.dll
      2009-04-16 19:18 . 2007-10-31 15:40 356352 ----a-w c:\windows\system32\NVUNINST.EXE
      2009-04-16 19:18 . 2009-04-16 19:18 -------- d-----w c:\documents and settings\Administrateur.D7FB462C37C9481\Application Data\InstallShield
      2009-04-16 18:51 . 2009-04-16 18:53 140158 ----a-w c:\windows\system32\nvapps.xml
      2009-04-16 18:50 . 2007-10-04 08:14 17525 ----a-w c:\windows\system32\nvdisp.nvu
      2009-04-16 18:50 . 2007-05-27 12:57 1732 ----a-r c:\windows\system32\drivers\nvphy.bin
      2009-04-16 18:49 . 2007-04-02 10:06 1950 ----a-r c:\windows\system32\nvsmb.nvu
      2009-04-16 18:44 . 2006-12-26 12:31 4864 ----a-r c:\windows\system32\drivers\PortIo.sys
      2009-04-16 18:28 . 2009-04-16 18:28 -------- d-----w c:\documents and settings\Administrateur.D7FB462C37C9481\Application Data\Auslogics
      2009-04-16 18:24 . 2009-04-16 18:20 -------- d-----w c:\windows\system32\config\systemprofile\nso61E.tmp
      2009-04-16 18:24 . 2009-04-16 18:19 -------- d-----w c:\windows\system32\config\systemprofile\nsx61C.tmp
      2009-04-16 18:20 . 2009-04-16 18:20 -------- d-----w c:\documents and settings\Default User.WINDOWS\nro.log
      2009-04-16 18:20 . 2009-04-16 18:20 -------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Nero
      2009-04-16 18:15 . 2009-04-16 18:15 3072 ----a-w c:\windows\system32\CONFIG.NT
      2009-04-16 18:15 . 2009-04-16 18:15 0 ----a-w c:\windows\control.ini
      2009-04-16 18:15 . 2009-04-16 18:15 23392 ----a-w c:\windows\system32\nscompat.tlb
      2009-04-16 18:15 . 2009-04-16 18:15 16832 ----a-w c:\windows\system32\amcompat.tlb
      2009-04-16 18:15 . 2009-04-16 18:15 316640 ----a-w c:\windows\WMSysPr9.prx
      2009-04-16 18:15 . 2009-04-16 18:15 -------- d-----w c:\windows\system32\dllcache
      2009-04-16 18:15 . 2009-04-16 18:15 -------- d-s---w c:\documents and settings\Default User.WINDOWS\Local Settings\Application Data\Microsoft
      2009-04-16 18:13 . 2009-04-16 18:13 21892 ----a-w c:\windows\system32\emptyregdb.dat
      2009-04-16 18:13 . 2009-04-16 18:13 37 ----a-w c:\windows\vbaddin.ini
      2009-04-16 18:13 . 2009-04-16 18:13 36 ----a-w c:\windows\vb.ini
      2009-04-08 22:18 . 2009-04-16 20:03 -------- d-----w c:\windows\NV18441848.TMP
      2009-04-08 22:03 . 2009-04-16 20:03 -------- d-----w c:\windows\NV788792.TMP
      2009-04-08 21:55 . 2009-04-16 20:03 -------- d-----w c:\windows\NV380384.TMP
      2009-04-07 19:02 . 2009-04-16 20:03 -------- d-----w c:\windows\system32\config\systemprofile\nsz620.tmp
      2009-04-07 19:02 . 2009-04-16 20:03 -------- d-----w c:\windows\system32\config\systemprofile\nsx61E.tmp
      2009-04-07 19:02 . 2009-04-16 20:03 -------- d-----w c:\windows\system32\config\systemprofile\IXP000.TMP

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-04-24 18:03 . 2008-08-23 23:53 73570 ----a-w c:\windows\system32\perfc00C.dat
      2009-04-24 18:03 . 2008-08-23 23:53 465206 ----a-w c:\windows\system32\perfh00C.dat
      2009-04-22 19:23 . 2009-04-22 19:23 -------- d-----w c:\program files\CCleaner
      2009-04-20 16:49 . 2009-04-20 16:49 -------- d-----w c:\program files\KONAMI
      2009-04-20 16:23 . 2009-04-20 16:23 -------- d-----w c:\program files\trend micro
      2009-04-18 10:25 . 2009-04-18 10:13 -------- d-----w c:\program files\VirtualDJ
      2009-04-18 10:01 . 2009-04-18 10:01 -------- d-----w c:\program files\DFX
      2009-04-17 17:46 . 2009-04-17 17:46 2631 ----a-w C:\UsbFix.txt
      2009-04-17 11:01 . 2009-04-17 10:59 -------- d-----w c:\program files\Microsoft Etudes
      2009-04-16 20:16 . 2009-04-16 20:16 -------- d-----w c:\program files\Microsoft Works
      2009-04-16 20:14 . 2009-04-16 19:50 -------- d-----w c:\program files\TuneUp Utilities 2009
      2009-04-16 19:55 . 2009-04-16 19:55 -------- d-----w c:\program files\VideoLAN
      2009-04-16 19:47 . 2008-10-28 10:42 -------- d-----w c:\program files\VIA
      2009-04-16 19:43 . 2009-04-16 19:43 -------- d-----w c:\program files\Realtek
      2009-04-16 18:20 . 2008-10-28 19:22 -------- d-----w c:\program files\Nero
      2009-04-16 18:19 . 2002-02-08 19:42 -------- d-----w c:\program files\Mozilla Thunderbird
      2009-04-16 18:19 . 2009-04-16 18:19 -------- d-----w c:\program files\TaskSwitchXP
      2009-04-16 18:18 . 2009-04-16 18:18 2678 ----a-w c:\windows\java\Packages\Data\HJ9NLF73.DAT
      2009-04-16 18:18 . 2009-04-16 18:18 2678 ----a-w c:\windows\java\Packages\Data\PR1N3TN9.DAT
      2009-04-16 18:18 . 2009-04-16 18:18 2678 ----a-w c:\windows\java\Packages\Data\MVDZTF7T.DAT
      2009-04-16 18:18 . 2009-04-16 18:18 2678 ----a-w c:\windows\java\Packages\Data\IV3RZZTJ.DAT
      2009-04-16 18:18 . 2009-04-16 18:18 2678 ----a-w c:\windows\java\Packages\Data\YYVV77RX.DAT
      2009-04-16 18:12 . 2008-10-28 19:09 -------- d-----w c:\program files\Windows Media Connect 2
      2009-04-15 17:53 . 2009-04-15 17:53 -------- d-----w c:\program files\Yahoo!
      2009-04-07 18:59 . 2002-02-08 19:42 -------- d-----w c:\program files\Fichiers communs\Nero
      .

      ------- Sigcheck -------

      [-] 2008-08-23 23:53 361600 E88631E21A9CACA06104802F9E915115 c:\windows\system32\drivers\tcpip.sys

      [-] 2008-08-23 23:53 2364928 3391F4DDEA530297E720357F40AD06EB c:\windows\system32\ntkrnlpa.exe

      [-] 2008-08-23 23:53 2486272 2E36C8BE37E4E86277E559462322375C c:\windows\system32\ntoskrnl.exe

      [-] 2008-08-23 23:53 2084864 64C430469EB33212CD15CD1FA6E2FC3F c:\windows\explorer.exe

      [-] 2008-08-23 23:53 1571840 A9658459BB4F4EE00FA117C9382C0D3A c:\windows\system32\sfcfiles.dll
      .
      ((((((((((((((((((((((((((((( SnapShot@2009-04-23_17.33.03 )))))))))))))))))))))))))))))))))))))))))
      .
      + 2009-04-24 20:46 . 2009-04-24 20:46 16384 c:\windows\temp\Perflib_Perfdata_1b8.dat
      + 2008-08-23 23:53 . 2009-04-24 18:03 61074 c:\windows\system32\perfc009.dat
      - 2008-08-23 23:53 . 2009-04-23 13:50 61074 c:\windows\system32\perfc009.dat
      + 2008-08-23 23:53 . 2009-04-24 18:03 398554 c:\windows\system32\perfh009.dat
      - 2008-08-23 23:53 . 2009-04-23 13:50 398554 c:\windows\system32\perfh009.dat
      .
      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "DisableRegedit"= 0 (0x0)
      "EnableLUA"= 0 (0x0)

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
      "DisableRegedit"= 0 (0x0)
      "DisableTaskMgr"= 1 (0x1)
      "DisableRegistryTools"= 1 (0x1)

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "NoSMHelp"= 1 (0x1)

      [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
      "NoSMHelp"= 1 (0x1)

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "FirewallOverride"=dword:00000001
      "AntiVirusOverride"=dword:00000001
      "AntiVirusDisableNotify"=dword:00000001
      "UpdatesDisableNotify"=dword:00000001
      "UacDisableNotify"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
      "AntiVirusOverride"=dword:00000001
      "AntiVirusDisableNotify"=dword:00000001
      "FirewallDisableNotify"=dword:00000001
      "FirewallOverride"=dword:00000001
      "UpdatesDisableNotify"=dword:00000001
      "UacDisableNotify"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\Device Manager\\dpinst.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
      "c:\\Program Files\\Fichiers communs\\Nero\\Nero Web\\SetupX.exe"=
      "c:\\Program Files\\TaskSwitchXP\\TaskSwitchXP.exe"=
      "c:\\Program Files\\Fichiers communs\\InstallShield\\Driver\\7\\Intel 32\\IDriver.exe"=
      "c:\\PROGRA~1\\FICHIE~1\\INSTAL~1\\Driver\\7\\INTEL3~1\\IDriver.exe"=
      "c:\\Program Files\\VIA\\VIAudioi\\HDADeck\\HDeck.exe"=
      "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
      "c:\\WINDOWS\\system32\\nwiz.exe"=
      "c:\\WINDOWS\\system32\\restore\\rstrui.exe"=
      "c:\\Program Files\\TuneUp Utilities 2009\\OneClickStarter.exe"=
      "c:\\WINDOWS\\system32\\userinit.exe"=
      "c:\\Program Files\\Microsoft Etudes\\Microsoft Encarta 2008 - Études DVD\\EDICT.EXE"=
      "c:\\WINDOWS\\system32\\netsh.exe"=
      "c:\\WINDOWS\\system32\\CF24795.exe"=
      "c:\\WINDOWS\\system32\\cmd.exe"=

      S0 Si3124;Si3124; [x]
      S0 Si3132r5;Si3132r5; [x]
      S0 Si3531;Si3531; [x]
      S2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [2009-04-16 603904]
      S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [2007-12-12 212992]


      --- Autres Services/Pilotes en mémoire ---

      *NewlyCreated* - DAC970NT

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
      UxTuneUp
      .
      Contenu du dossier 'Tâches planifiées'

      2009-04-24 c:\windows\Tasks\1-Click Maintenance.job
      - c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-20 14:28]
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      Toolbar-ITBar7Layout - (no file)
      Toolbar-ITBar7Position - (no file)


      .
      ------- Examen supplémentaire -------
      .
      uLocal Page = google.net-studio.org
      uStart Page = google.net-studio.org
      mStart Page = google.net-studio.org
      FF - ProfilePath -
      .

      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-04-24 22:46
      Windows 5.1.2600 Service Pack 3 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      HKLM\Software\Microsoft\Windows\CurrentVersion\Run
      HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'winlogon.exe'(924)
      c:\windows\system32\SETUPAPI.dll
      c:\windows\system32\COMRes.dll

      - - - - - - - > 'lsass.exe'(980)
      c:\windows\system32\setupapi.dll
      c:\windows\system32\scecli.dll

      - - - - - - - > 'explorer.exe'(2112)
      c:\windows\system32\SHDOCVW.dll
      c:\windows\system32\COMRes.dll
      c:\windows\system32\msi.dll
      c:\windows\system32\SETUPAPI.dll
      c:\windows\system32\NETSHELL.dll
      c:\windows\system32\credui.dll
      c:\windows\system32\eappprxy.dll
      c:\windows\system32\msls31.dll
      c:\windows\system32\wpdshserviceobj.dll
      c:\windows\system32\portabledevicetypes.dll
      c:\windows\system32\portabledeviceapi.dll
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\windows\system32\nvsvc32.exe
      c:\windows\system32\rundll32.exe
      c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe
      c:\program files\TaskSwitchXP\TaskSwitchXP.exe
      c:\program files\Microsoft Etudes\Microsoft Encarta 2008 - Études DVD\EDICT.EXE
      .
      **************************************************************************
      .
      Heure de fin: 2009-04-24 22:48 - La machine a redémarré
      ComboFix-quarantined-files.txt 2009-04-24 20:48
      ComboFix2.txt 2009-04-23 17:34

      Avant-CF: 23 791 697 920 octets libres
      Après-CF: 23 742 541 824 octets libres

      266
      0
  19. Utilisateur anonyme
     
    Salut , je croyais que tu avais abandonné ;)

    pas grave pour sdfix , on va faire autrement :

    Télécharge DirLook de jpshortstuff ici :

    http://jpshortstuff.247fixes.com/DirLook.exe
    http://images.malwareremoval.com/jpshortstuff/DirLook.exe
    http://downloads.securitycadets.com/DirLook.exe

    [*]Double-clique sur DirLook.exe pour le lancer.
    [*]Assure-toi que Show Hidden Files et BBCode Ouput soient tous les deux cochés.
    [*]Copie le contenu de la boîte ci-dessous dans le champ texte principal :

    c:\windows\system32\xircom
    c:\windows\system32\oobe
    c:\windows\system32\npp
    c:\windows\msagent


    [*]Clique sur le bouton DirLook pour lancer l'examen.
    [*]Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan. Merci de poster ce rapport dans ta prochaine réponse.

    Note : Le rapport peut aussi être trouvé dans C:dl_log.txt
    Note :Il se peut que l'examen prenne plus de temps pour les gros répertoires

    ensuite :

    Telecharge malwarebytes
    https://www.malwarebytes.com/

    Tu l´instale; le programme va se mettre automatiquement a jour.

    Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

    Click maintenant sur l´onglet recherche et coche la case : "executer un examen rapide".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des elements on ete trouvés > click sur supprimer la selection.

    si il t´es demandé de redemarrer > click sur "yes".

    A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

    Copie et colle le rapport stp.

    PS : les rapport sont aussi rangé dans l onglet rapport/log

    0
    1. Bim2u
       
      Bonjour Chiqui


      Voici les log

      Rmq :

      - Pour malwarebytes, j'ai fait le scan une premiËre fois en choisissant "Executer un examen rapide" mais Áa n'a rien donnÈ (--> c‡d regedit et taskmgr toujours inaccessibles). Ensuite j'ai choisi "exÈcuter un examen complet". AprËs redemarrage, j'ai retrouvÈ accËs au regedit mais en refermant l'Èditeur de registre, et en relanÁant regedit, le message l'Èditeur de registre a ÈtÈ dÈsactivÈ par votre administrateur apparaÓt ‡ nouveau, IDEM pour taskmgr (Valeur DisableTaskMgr (1) et DisableRegistryTools (1)). J'ai refais cette opÈration mais Áa donne la mÍme chose, regedit et gestionnaire des t‚ches restent inaccessible.



      --------------> [Extrait du rapport Malwarebyte]

      ElÈment(s) de donnÈes du Registre infectÈ(s):

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.



      J'ai vÈrifiÈ ces valeurs mais elles restent = ‡ (1) --> (it's very BAD ;)!!!)



      ---------------------------------

      DirLook.exe v2.0 by jpshortstuff

      Log created at 18:38 on 28/04/2009

      ==================================[b]

      Contents of "c:\windows\system32\xircom"

      /b

      [b][color=blue]---FOLDERS---/b/color



      (none found)



      [b][color=blue]---FILES---/b/color



      (none found)



      ==================================[b]

      Contents of "c:\windows\system32\oobe"

      /b

      [b][color=blue]---FOLDERS---/b/color



      (none found)



      [b][color=blue]---FILES---/b/color



      (none found)



      ==================================[b]

      Contents of "c:\windows\system32\npp"

      /b

      [b][color=blue]---FOLDERS---/b/color



      (none found)



      [b][color=blue]---FILES---/b/color



      (none found)



      ==================================[b]

      Contents of "c:\windows\msagent"

      /b

      [b][color=blue]---FOLDERS---/b/color



      [b]intl/b (Created on 23/04/2009 at 17:32) d-----



      [b][color=blue]---FILES---/b/color



      (none found)



      ==================================

      [b][color=blue]=EOF=/b/color







      _________________<<<xxxxx>>>___________________

      _________________<<<xxxxx>>>___________________



      Malwarebytes' Anti-Malware 1.36

      Version de la base de donnÈes: 1945

      Windows 5.1.2600 Service Pack 3



      28/04/2009 18:44:48

      mbam-log-2009-04-28 (18-44-48).txt



      Type de recherche: Examen rapide

      ElÈments examinÈs: 81556

      Temps ÈcoulÈ: 1 minute(s), 42 second(s)



      Processus mÈmoire infectÈ(s): 0

      Module(s) mÈmoire infectÈ(s): 0

      ClÈ(s) du Registre infectÈe(s): 0

      Valeur(s) du Registre infectÈe(s): 0

      ElÈment(s) de donnÈes du Registre infectÈ(s): 6

      Dossier(s) infectÈ(s): 0

      Fichier(s) infectÈ(s): 0



      Processus mÈmoire infectÈ(s):

      (Aucun ÈlÈment nuisible dÈtectÈ)



      Module(s) mÈmoire infectÈ(s):

      (Aucun ÈlÈment nuisible dÈtectÈ)



      ClÈ(s) du Registre infectÈe(s):

      (Aucun ÈlÈment nuisible dÈtectÈ)



      Valeur(s) du Registre infectÈe(s):

      (Aucun ÈlÈment nuisible dÈtectÈ)



      ElÈment(s) de donnÈes du Registre infectÈ(s):

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.



      Dossier(s) infectÈ(s):

      (Aucun ÈlÈment nuisible dÈtectÈ)



      Fichier(s) infectÈ(s):

      (Aucun ÈlÈment nuisible dÈtectÈ)





      _________________________xxxxxxxxxxxxxxxxxxxx_________________________



      Type de recherche : examen complet

      Malwarebytes' Anti-Malware 1.36

      Version de la base de donnÈes: 1945

      Windows 5.1.2600 Service Pack 3



      28/04/2009 20:28:39

      mbam-log-2009-04-28 (20-28-39).txt



      Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|O:\|)

      ElÈments examinÈs: 251774

      Temps ÈcoulÈ: 52 minute(s), 56 second(s)



      Processus mÈmoire infectÈ(s): 0

      Module(s) mÈmoire infectÈ(s): 0

      ClÈ(s) du Registre infectÈe(s): 0

      Valeur(s) du Registre infectÈe(s): 0

      ElÈment(s) de donnÈes du Registre infectÈ(s): 5

      Dossier(s) infectÈ(s): 0

      Fichier(s) infectÈ(s): 1



      Processus mÈmoire infectÈ(s):

      (Aucun ÈlÈment nuisible dÈtectÈ)



      Module(s) mÈmoire infectÈ(s):

      (Aucun ÈlÈment nuisible dÈtectÈ)



      ClÈ(s) du Registre infectÈe(s):

      (Aucun ÈlÈment nuisible dÈtectÈ)



      Valeur(s) du Registre infectÈe(s):

      (Aucun ÈlÈment nuisible dÈtectÈ)



      ElÈment(s) de donnÈes du Registre infectÈ(s):

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.



      Dossier(s) infectÈ(s):

      (Aucun ÈlÈment nuisible dÈtectÈ)



      Fichier(s) infectÈ(s):

      G:\Logiciels\Sony.Sound.Forge 8\Keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      0
  20. Utilisateur anonyme
     
    Re j ai du mal à localiser ton infection , le mieux est que tu fasses un scan en ligne :

    Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (Avec Internet Explorer)

    et post le rapport stp
    0
    1. Bim2u
       
      Bonjour

      Merci chiqui pour l'aide. J'ai appris pas mal de chose. Dommage que mon problème n'a pas été resolu dans cet forum. En fait, tous mes logiciels ont été infectés par le virus, et je les ai tous effacé, heureusement que j'ai les CD d'installation.

      J'ai fini donc par réinstaller mon Systeme d'Exploitation et installé les logiciels à partir des CD.

      En tout cas, merci pour l'aide.
      0
  21. Bim2u
     
    J'utilise firefox, ça marche avec firefox? le virus m'autorise pas à ouvrir IE : "Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié vous ne dispoez peut-être pas des autorisations appropriés pour avoir accès à l'élément"
    0
  • 1
  • 2