Trojan
lupotrufree
Messages postés
83
Statut
Membre
-
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
j'ai deux virus trojan sur mon pc que j'ai du mal à enlever
le premier s'appelle trojan-downloader.win32.revos.AQ alors que le deuxième est trojan.win32.fake.spyguard
j'ai pu les trouver grace à a squared antivirus
je souhaie avoir de l'aide pour éliminer ces deux trojans qui ont dèjà fait disparaitre mon desktop et toutes les fois que j'essaie de les éliminer grace à squared, je recois un message qui m'annonce que mon PC va redemarrer dans qques secondes
je vous envoie, aux fins utiles, mon rapport hijackthis que j'ai fait en safe mode
Merci pour votre aide
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.54.43, on 28/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Safe mode with network support
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\ADMIN\Desktop\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.it/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programmi\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Programmi\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programmi\Yahoo!\Common\Yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
j'ai deux virus trojan sur mon pc que j'ai du mal à enlever
le premier s'appelle trojan-downloader.win32.revos.AQ alors que le deuxième est trojan.win32.fake.spyguard
j'ai pu les trouver grace à a squared antivirus
je souhaie avoir de l'aide pour éliminer ces deux trojans qui ont dèjà fait disparaitre mon desktop et toutes les fois que j'essaie de les éliminer grace à squared, je recois un message qui m'annonce que mon PC va redemarrer dans qques secondes
je vous envoie, aux fins utiles, mon rapport hijackthis que j'ai fait en safe mode
Merci pour votre aide
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.54.43, on 28/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Safe mode with network support
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\ADMIN\Desktop\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.it/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programmi\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Programmi\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programmi\Yahoo!\Common\Yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
A voir également:
- Trojan
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Anti trojan - Télécharger - Antivirus & Antimalwares
- Csrss.exe trojan fr ✓ - Forum Virus
- Virus trojan al11 ✓ - Forum Virus
- Trojan win32 - Forum Virus
18 réponses
slt
désactive le tea timer de spybot (mode puis mode avancé puis outil puis resident)
_______________________
scan avec malwarebyte , fais un scan minutieux et colle le rapport obtenu et vire ce qui est trouvé:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
______________________
Télécharge ici :
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Clique Continue à l'écran Disclaimer.
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
désactive le tea timer de spybot (mode puis mode avancé puis outil puis resident)
_______________________
scan avec malwarebyte , fais un scan minutieux et colle le rapport obtenu et vire ce qui est trouvé:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
______________________
Télécharge ici :
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Clique Continue à l'écran Disclaimer.
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
rebonjour,
malheureusement je n'arrive pas à installer malwarebytes ou spybots...je pense c'est l'effet des deux virus ...
par contre j'ai pu installer le RSIT et voila le rapport demandé
Logfile of random's system information tool 1.06 (written by random/random)
Run by ADMIN at 2009-04-28 11:13:48
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 70 GB (89%) free of 78 GB
Total RAM: 503 MB (56% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.13.51, on 28/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Safe mode with network support
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
C:\Documents and Settings\ADMIN\Desktop\mbam-setup.exe
C:\Documents and Settings\ADMIN\Desktop\mbam-setup.exe
C:\Documents and Settings\ADMIN\Desktop\RSIT.exe
C:\Documents and Settings\ADMIN\Desktop\ADMIN.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.it/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programmi\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Programmi\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programmi\Yahoo!\Common\Yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
malheureusement je n'arrive pas à installer malwarebytes ou spybots...je pense c'est l'effet des deux virus ...
par contre j'ai pu installer le RSIT et voila le rapport demandé
Logfile of random's system information tool 1.06 (written by random/random)
Run by ADMIN at 2009-04-28 11:13:48
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 70 GB (89%) free of 78 GB
Total RAM: 503 MB (56% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.13.51, on 28/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Safe mode with network support
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
C:\Documents and Settings\ADMIN\Desktop\mbam-setup.exe
C:\Documents and Settings\ADMIN\Desktop\mbam-setup.exe
C:\Documents and Settings\ADMIN\Desktop\RSIT.exe
C:\Documents and Settings\ADMIN\Desktop\ADMIN.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.it/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programmi\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Programmi\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programmi\Yahoo!\Common\Yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
slt tu as déjà spybot alors desactive le tea timer
____________
Télécharge et install UsbFix de C_XX & Chiquitine29
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
# Double clic sur le raccourci UsbFix présent sur ton bureau .
# Choisis l'option 1 ( Recherche )
# Laisse travailler l'outil.
# Ensuite post le rapport UsbFix.txt qui apparaitra.
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
____________
Télécharge et install UsbFix de C_XX & Chiquitine29
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
# Double clic sur le raccourci UsbFix présent sur ton bureau .
# Choisis l'option 1 ( Recherche )
# Laisse travailler l'outil.
# Ensuite post le rapport UsbFix.txt qui apparaitra.
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
voila le rapport de l'usbfix
merci
############################## [ UsbFix V3.014 ]
# User : ADMIN (Administrators) # XPHOME
# Update on 27/04/09 by C_XX & Chiquitine29
# Start at: 11.39.19 | 28/04/2009
# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]
# A:\ # Disco floppy, 3,5 pollici
# C:\ # Disco rigido locale # 76,32 Go (67,99 Go free) # NTFS
# D:\ # Disco CD-ROM
############################## [ Processus actifs ]
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## [ Registre # Startup ]
HKCU_Main: "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
HKCU_Main: "Start Page"="https://www.google.it/?gws_rd=ssl"
HKLM_logon: "Userinit"="C:\\WINDOWS\\SYSTEM32\\Userinit.exe,"
HKLM_logon: "DefaultUserName"="ADMIN"
HKLM_logon: "AltDefaultUserName"="ADMIN"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: Cmaudio=RunDll32 cmicnfg.cpl,CMICtrlWnd
HKLM_Run: IgfxTray=C:\WINDOWS\system32\igfxtray.exe
HKLM_Run: HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
HKLM_Run: Persistence=C:\WINDOWS\system32\igfxpers.exe
HKLM_Run: avgnt="C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM_Run: Ad-Watch=C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: ccleaner="C:\Programmi\CCleaner\CCleaner.exe" /AUTO
HKCU_Run: SpybotSD TeaTimer=C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
################## [ Informations ]
################## [ Fichiers # Dossiers infectieux ]
################## [ Registre # Clés Run infectieuses ]
Found ! HKLM\software\microsoft\security center\\ "AntiVirusDisableNotify"
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 )
################## [ Registre # Mountpoints2 ]
HKCU\Software\Microsoft\....\MountPoints2\{1dfc01ed-4945-11db-9f5c-00138f8680bd}\Shell\AutoRun\command
################## [ ! Fin du rapport # UsbFix V3.014 ! ]
merci
############################## [ UsbFix V3.014 ]
# User : ADMIN (Administrators) # XPHOME
# Update on 27/04/09 by C_XX & Chiquitine29
# Start at: 11.39.19 | 28/04/2009
# Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]
# A:\ # Disco floppy, 3,5 pollici
# C:\ # Disco rigido locale # 76,32 Go (67,99 Go free) # NTFS
# D:\ # Disco CD-ROM
############################## [ Processus actifs ]
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## [ Registre # Startup ]
HKCU_Main: "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
HKCU_Main: "Start Page"="https://www.google.it/?gws_rd=ssl"
HKLM_logon: "Userinit"="C:\\WINDOWS\\SYSTEM32\\Userinit.exe,"
HKLM_logon: "DefaultUserName"="ADMIN"
HKLM_logon: "AltDefaultUserName"="ADMIN"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: Cmaudio=RunDll32 cmicnfg.cpl,CMICtrlWnd
HKLM_Run: IgfxTray=C:\WINDOWS\system32\igfxtray.exe
HKLM_Run: HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
HKLM_Run: Persistence=C:\WINDOWS\system32\igfxpers.exe
HKLM_Run: avgnt="C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM_Run: Ad-Watch=C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: ccleaner="C:\Programmi\CCleaner\CCleaner.exe" /AUTO
HKCU_Run: SpybotSD TeaTimer=C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
################## [ Informations ]
################## [ Fichiers # Dossiers infectieux ]
################## [ Registre # Clés Run infectieuses ]
Found ! HKLM\software\microsoft\security center\\ "AntiVirusDisableNotify"
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 )
################## [ Registre # Mountpoints2 ]
HKCU\Software\Microsoft\....\MountPoints2\{1dfc01ed-4945-11db-9f5c-00138f8680bd}\Shell\AutoRun\command
################## [ ! Fin du rapport # UsbFix V3.014 ! ]
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
# Double clic sur le raccourci UsbFix présent sur ton bureau
# choisis l'option 2 ( Suppression )
# Ton bureau disparaitra et le pc redémarrera .
# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
# Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
______________________
puis tente de faire malwarebyte's antimalware et mets le rapport
puis remets un rapport RSIt
a plus
# Double clic sur le raccourci UsbFix présent sur ton bureau
# choisis l'option 2 ( Suppression )
# Ton bureau disparaitra et le pc redémarrera .
# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
# Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
______________________
puis tente de faire malwarebyte's antimalware et mets le rapport
puis remets un rapport RSIt
a plus
télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS: c'est indiqué que les deux virus se trouvent au dossier suivant:
\\?\globalroot\systemroot\system32\UACkixcups.dll
ça peut vous aider???
\\?\globalroot\systemroot\system32\UACkixcups.dll
ça peut vous aider???
alors télécharge ce fichier killfix (=combofix) et lance le
http://sd-1.archive-host.com/membres/up/193094576412487685/Killfix.exe
http://sd-1.archive-host.com/membres/up/193094576412487685/Killfix.exe
re
j'ai du mal à trouver le rapport
je pense que ça devrait etre celui la
1d
/^\[.*[^]]$/,/^$/d
/^$/d
/^.:\\/d
/^O1 - Hosts:/Id
s/HKLM\\~\\Startupfolder\\/HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Shared tools\\Msconfig\\Startupfolder\\/I
s/HKLM\\~\\Services\\/HKEY_LOCAL_MACHINE\\System\\Currentcontrolset\\Services\\/I
s/Hkey_local_machine\\~\\Distribution Units\\/HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Code Store Database\\Distribution Units\\/I
s/(\[-Hkey_local_machine\\System\\CurrentControlSet\\Control\\SafeBoot\\)Minimal(\\.*)/&\n\1Network\2/I
/^[OR].* \(file missing\)$/Is/ \(file missing\)$//I
/^O4.*\(User '([^\(]*)'\)$/Is/ \(User '([^\(]*)'\)$//I
/^[OR].*\(no file\)$/Is/ \(no file\)$//I
/^O.*\(no CLSID\) -$/Is/ \(no CLSID\) -$//I
/^O4 -/s/(] (\x22.|.):\\.*) \/.*/\1/
s/^O2 - BHO: .* - (\{[-a-z0-9]*}) -( (.:\\.*)| .[^:]*|$)/\[-HKEY_Browser Helper Objects\\\U\1]\E\n\3/I;
s/^O3 - Toolbar: .* - (\{[-a-z0-9]*}) -( (.:\\.*)| .*|$)/\[-HKEY_Browser Helper Objects\\\U\1\E]\n\3/I;
s/^O4 - HKCU\\\.\.\\(Run|RunOnce|RunServices|RunServicesOnce): \[(.*)\]( (.:\\.*)$| \x22(.:\\.*)\x22$| [^]]*$|$)/[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\\1]\n\x22\2\x22=-\n\4\5/I;
s/^O4 - HKLM\\\.\.\\(Run|RunOnce|RunServices|RunServicesOnce): \[(.*)\]( (.:\\.*)$| \x22(.:\\.*)\x22$| [^]]*$|$)/[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\\1]\n\x22\2\x22=-\n\4\5/I;
s/^O4 - HKUS\\(S-1-5-[-0-9]*|.DEFAULT)\\\.\.\\(Run|RunOnce|RunServices|RunServicesOnce): \[(.*)\]( (.:\\.*$)| \x22(.:\\.*)\x22$| [^]]*$|$)/[HKEY_USERS\\\1\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\\2]\n\x22\3\x22=-\n\5\6/I;
s/^O4 - HKCU.*Policies\\Explorer\\Run: \[(.*)\]( (.:\\.*$)| \x22(.:\\.*)\x22$| [^]]*$|$)/[HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run]\n\x22\1\x22=-\n\3\4/I;
s/^O4 - HKLM.*Policies\\Explorer\\Run: \[(.*)\]( (.:\\.*$)| \x22(.:\\.*)\x22$| [^]]*$|$)/[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run]\n\x22\1\x22=-\n\3\4/I;
s/^O4 - (StartUp|Global Startup): ([^=]*)$/@:\\\1\\\2/I;
s/^O4 - (StartUp|Global Startup): ([^\\/\x22:?*<>|]*) =( (.:\\.*$)| \x22(.:\\.*)\x22$| [^]]*$|$)/@:\\\1\\\2\n\4\5/I;
s/^O4 - (.DEFAULT Startup|.DEFAULT User Startup): ([^\\/\x22:?*<>|]*) =( (.:\\.*$)| \x22(.:\\.*)\x22$| [^]]*$|$)/#:\\\.DEFAULT Startup\\\2\n\4\5/I;
s/^O8 - Extra context menu item: (.*) - .*/[-HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\MenuExt\\\1]/I;
s/^O8 -: (.*) - .*/[-HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\MenuExt\\\1]/I;
s/^O9 -: (\{[-a-z0-9]*}) - (\{[-a-z0-9]*}) -( (.:\\.*)| .*|$)/\[-HKEY_Browser Helper Objects\\\U\1\E]\n\[-HKEY_Browser Helper Objects\\\U\2\E]\n\4/I;
s/^O9 -: (\{[-a-z0-9]*}) -( (.:\\.*)| .*|$)/\[-HKEY_Browser Helper Objects\\\U\1\E]\n\3/I;
s/^O9 - Extra .*:.* - (\{[-a-z0-9]*}) -( (.:\\.*)| .*|$)/\[-HKEY_Browser Helper Objects\\\U\1\E]\n\3/I;
s/^O10 - Unknown file in Winsock LSP:( (.:\\.*)| .*|$)/\2/I
s/^O15 (-:|-) Trusted Zone: \*\.(.*)/\[-HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\Internet settings\\Zonemap\\Domains\\\2]\n\[-HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Internet settings\\Zonemap\\Domains\\\2]/I
s/^O15 (-:|-) Trusted Zone: (([^*]*)\.([^.]*\.[^.]*\..{2})|([^*]*)\.([^.]*\.[^.]{3,}))$/\[-HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\Internet settings\\Zonemap\\Domains\\\4\6\\\3\5]\n\[-HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Internet settings\\Zonemap\\Domains\\\4\6\\\3\5]/I
s/^O16 -: (\{[-a-z0-9]*}).*/\[-HKEY_Browser Helper Objects\\\U\1]/I;
s/^O16 -: ([^\{].*) - .*/\[-HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Code Store Database\\Distribution Units\\\1]/I;
s/^O16 - DPF: (\{[-a-z0-9]*}).*/\[-HKEY_Browser Helper Objects\\\U\1]/I;
s/^O16 - DPF: ([^\{].*) \(.*\) - .*/\[-HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Code Store Database\\Distribution Units\\\1]/I;
s/^O20 - Winlogon Notify: (.*) -( (.:\\.*)| .*|$)/\[-HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\\U\1\E]\n\3/I;
s/^O21 - SSODL: (.*) - (\{[-a-z0-9]*}) -( (.:\\.*)| .*|$)/[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad]\n\x22\1\x22=-\n[-HKEY_Browser Helper Objects\\\U\2\E]\n\4/I;
s/^O22 - SharedTaskScheduler: .* - (\{[-a-z0-9]*}) -( (.:\\.*)| .*|$)/\[-HKEY_Browser Helper Objects\\\U\1\E]\n\3/I;
s/^O24 - Desktop Component ([0-9]*): .*/[-HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Desktop\\Components\\\1]/I;
s/^O17 (-:|-) HKLM.*Parameters: (NameServer) .*/[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters]\n\x22\2\x22=-\n\x22\2\x22=\x22\x22/I;
s/^O17 (-:|-) HKLM.*\\(\{[-a-z0-9]*}): (NameServer) .*/[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\Interfaces\\\U\2\E]\n\x22\3\x22=-\n\x22\3\x22=\x22\x22/I;
# O18 - Filter hijack: text/html - (no CLSID) - (no file)
/^O18/I{
s/^O18 (-|-:) (.*): (.*) - (\{[-a-z0-9]*}) -( (.:\\.*)| .*|$)/[-HKEY_CLASSES_ROOT\\Protocols\\\2\\\U\3\E]\n[-HKEY_Browser Helper Objects\\\U\4\E]\n\6/I;
s/^O18 (-|-:) (.*): (.*) -$/[-HKEY_CLASSES_ROOT\\Protocols\\\2\\\U\3\E]/I;
s/Protocols\\Protocol/Protocols\\Handler/I
s/Protocols\\Filter hijack/Protocols\\Filter/I
}
s/^R[01] (-:|-) HKCU[^,]*,(Local Page).*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,62,6c,61,6e,6b,2e,68,74,6d,00/I;
s/^R[01] (-:|-) HKLM[^,]*,(Local Page).*/[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,62,6c,61,6e,6b,2e,68,74,6d,00/I;
s/^R[01] (-:|-) HKCU[^,]*,(Start Page).*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=\x22http:\/\/go.microsoft.com\/fwlink\/?LinkId=69157\x22/I;
s/^R[01] (-:|-) HKLM[^,]*,(Start Page).*/[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=\x22http:\/\/go.microsoft.com\/fwlink\/?LinkId=69157\x22/I;
s/^R[01] (-:|-) HKCU[^,]*,(Search Page).*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=\x22http:\/\/www.microsoft.com\/isapi\/redir.dll?p\x22/I;
s/^R[01] (-:|-) HKLM[^,]*,(Search Page).*/[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=\x22http:\/\/go.microsoft.com\/fwlink\/?LinkId=54896\x22/I;
s/^R[01] (-:|-) HKCU[^,]*,(Default_Page_URL).*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=\x22http:\/\/go.microsoft.com\/fwlink\/?LinkId=69157\x22/I;
s/^R[01] (-:|-) HKLM[^,]*,(Default_Page_URL).*/[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=\x22http:\/\/go.microsoft.com\/fwlink\/?LinkId=69157\x22/I;
s/^R[01] (-:|-) HKCU[^,]*,(Default_Search_URL).*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=\x22http:\/\/go.microsoft.com\/fwlink\/?LinkId=54896\x22/I;
s/^R[01] (-:|-) HKLM[^,]*,(Default_Search_URL).*/[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=\x22http:\/\/go.microsoft.com\/fwlink\/?LinkId=54896\x22/I;
s/^R[01] (-:|-) HKLM[^,]*,(Search Bar|SearchMigratedDefaultURL|Window Title|SearchAssistant).*/[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=-/I;
s/^R[01] (-:|-) HKCU[^,]*,(Search Bar|SearchMigratedDefaultURL|Window Title|SearchAssistant).*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=-/I;
s/^R1 (-:|-) HKCU.*Internet Connection Wizard,(ShellNext).*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Connection Wizard]\n\x22\2\x22=\x22http:\/\/www.microsoft.com\/isapi\/redir.dll?prd=ie\&pver=6\&ar=msnhome\x22/I;
s/^R1 (-:|-) HKCU.*Internet Settings,(ProxyServer|ProxyOverride).*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings]\n\x22\2\x22=-/I;
s/^R3 - Default URLSearchHook is missing.*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\URLSearchHooks]\n\x22{CFBFAE00-17A6-11D0-99CB-00C04FD64497}\x22=\x22\x22/I
s/^R3 - URLSearchHook: .* - (\S*) -( (.:\\.*)| .[^:]*|$)/\3/I;
s/^R[01] (-:|-) HKCU.*Search,(SearchAssistant|CustomizeSearch).*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Search]\n\x22\2\x22=-/I;
s/^R[01] (-:|-) HKLM.*Search,(SearchAssistant|CustomizeSearch).*/[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Search]\n\x22\2\x22=-/I;
s/^R[01] (-:|-) HKCU[^,]*SearchURL,\(Default\).*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\SearchUrl]\n\x22\@\x22=-/I;
s/^R[01] (-:|-) HKLM[^,]*SearchURL,\(Default\).*/[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\SearchUrl]\n\x22\@\x22=-/I;
s/R1 (-:|-) HKCU.*Internet Explorer,(SearchURL|Search) .*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer]\n\x22\2\x22=-/I;
s/R1 (-:|-) HKLM.*Internet Explorer,(SearchURL|Search) .*/[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer]\n\x22\2\x22=-/I;
/^[FOR]/Id
Merci
j'ai du mal à trouver le rapport
je pense que ça devrait etre celui la
1d
/^\[.*[^]]$/,/^$/d
/^$/d
/^.:\\/d
/^O1 - Hosts:/Id
s/HKLM\\~\\Startupfolder\\/HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Shared tools\\Msconfig\\Startupfolder\\/I
s/HKLM\\~\\Services\\/HKEY_LOCAL_MACHINE\\System\\Currentcontrolset\\Services\\/I
s/Hkey_local_machine\\~\\Distribution Units\\/HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Code Store Database\\Distribution Units\\/I
s/(\[-Hkey_local_machine\\System\\CurrentControlSet\\Control\\SafeBoot\\)Minimal(\\.*)/&\n\1Network\2/I
/^[OR].* \(file missing\)$/Is/ \(file missing\)$//I
/^O4.*\(User '([^\(]*)'\)$/Is/ \(User '([^\(]*)'\)$//I
/^[OR].*\(no file\)$/Is/ \(no file\)$//I
/^O.*\(no CLSID\) -$/Is/ \(no CLSID\) -$//I
/^O4 -/s/(] (\x22.|.):\\.*) \/.*/\1/
s/^O2 - BHO: .* - (\{[-a-z0-9]*}) -( (.:\\.*)| .[^:]*|$)/\[-HKEY_Browser Helper Objects\\\U\1]\E\n\3/I;
s/^O3 - Toolbar: .* - (\{[-a-z0-9]*}) -( (.:\\.*)| .*|$)/\[-HKEY_Browser Helper Objects\\\U\1\E]\n\3/I;
s/^O4 - HKCU\\\.\.\\(Run|RunOnce|RunServices|RunServicesOnce): \[(.*)\]( (.:\\.*)$| \x22(.:\\.*)\x22$| [^]]*$|$)/[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\\1]\n\x22\2\x22=-\n\4\5/I;
s/^O4 - HKLM\\\.\.\\(Run|RunOnce|RunServices|RunServicesOnce): \[(.*)\]( (.:\\.*)$| \x22(.:\\.*)\x22$| [^]]*$|$)/[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\\1]\n\x22\2\x22=-\n\4\5/I;
s/^O4 - HKUS\\(S-1-5-[-0-9]*|.DEFAULT)\\\.\.\\(Run|RunOnce|RunServices|RunServicesOnce): \[(.*)\]( (.:\\.*$)| \x22(.:\\.*)\x22$| [^]]*$|$)/[HKEY_USERS\\\1\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\\2]\n\x22\3\x22=-\n\5\6/I;
s/^O4 - HKCU.*Policies\\Explorer\\Run: \[(.*)\]( (.:\\.*$)| \x22(.:\\.*)\x22$| [^]]*$|$)/[HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run]\n\x22\1\x22=-\n\3\4/I;
s/^O4 - HKLM.*Policies\\Explorer\\Run: \[(.*)\]( (.:\\.*$)| \x22(.:\\.*)\x22$| [^]]*$|$)/[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run]\n\x22\1\x22=-\n\3\4/I;
s/^O4 - (StartUp|Global Startup): ([^=]*)$/@:\\\1\\\2/I;
s/^O4 - (StartUp|Global Startup): ([^\\/\x22:?*<>|]*) =( (.:\\.*$)| \x22(.:\\.*)\x22$| [^]]*$|$)/@:\\\1\\\2\n\4\5/I;
s/^O4 - (.DEFAULT Startup|.DEFAULT User Startup): ([^\\/\x22:?*<>|]*) =( (.:\\.*$)| \x22(.:\\.*)\x22$| [^]]*$|$)/#:\\\.DEFAULT Startup\\\2\n\4\5/I;
s/^O8 - Extra context menu item: (.*) - .*/[-HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\MenuExt\\\1]/I;
s/^O8 -: (.*) - .*/[-HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\MenuExt\\\1]/I;
s/^O9 -: (\{[-a-z0-9]*}) - (\{[-a-z0-9]*}) -( (.:\\.*)| .*|$)/\[-HKEY_Browser Helper Objects\\\U\1\E]\n\[-HKEY_Browser Helper Objects\\\U\2\E]\n\4/I;
s/^O9 -: (\{[-a-z0-9]*}) -( (.:\\.*)| .*|$)/\[-HKEY_Browser Helper Objects\\\U\1\E]\n\3/I;
s/^O9 - Extra .*:.* - (\{[-a-z0-9]*}) -( (.:\\.*)| .*|$)/\[-HKEY_Browser Helper Objects\\\U\1\E]\n\3/I;
s/^O10 - Unknown file in Winsock LSP:( (.:\\.*)| .*|$)/\2/I
s/^O15 (-:|-) Trusted Zone: \*\.(.*)/\[-HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\Internet settings\\Zonemap\\Domains\\\2]\n\[-HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Internet settings\\Zonemap\\Domains\\\2]/I
s/^O15 (-:|-) Trusted Zone: (([^*]*)\.([^.]*\.[^.]*\..{2})|([^*]*)\.([^.]*\.[^.]{3,}))$/\[-HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\Internet settings\\Zonemap\\Domains\\\4\6\\\3\5]\n\[-HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Internet settings\\Zonemap\\Domains\\\4\6\\\3\5]/I
s/^O16 -: (\{[-a-z0-9]*}).*/\[-HKEY_Browser Helper Objects\\\U\1]/I;
s/^O16 -: ([^\{].*) - .*/\[-HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Code Store Database\\Distribution Units\\\1]/I;
s/^O16 - DPF: (\{[-a-z0-9]*}).*/\[-HKEY_Browser Helper Objects\\\U\1]/I;
s/^O16 - DPF: ([^\{].*) \(.*\) - .*/\[-HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Code Store Database\\Distribution Units\\\1]/I;
s/^O20 - Winlogon Notify: (.*) -( (.:\\.*)| .*|$)/\[-HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\\U\1\E]\n\3/I;
s/^O21 - SSODL: (.*) - (\{[-a-z0-9]*}) -( (.:\\.*)| .*|$)/[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad]\n\x22\1\x22=-\n[-HKEY_Browser Helper Objects\\\U\2\E]\n\4/I;
s/^O22 - SharedTaskScheduler: .* - (\{[-a-z0-9]*}) -( (.:\\.*)| .*|$)/\[-HKEY_Browser Helper Objects\\\U\1\E]\n\3/I;
s/^O24 - Desktop Component ([0-9]*): .*/[-HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Desktop\\Components\\\1]/I;
s/^O17 (-:|-) HKLM.*Parameters: (NameServer) .*/[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters]\n\x22\2\x22=-\n\x22\2\x22=\x22\x22/I;
s/^O17 (-:|-) HKLM.*\\(\{[-a-z0-9]*}): (NameServer) .*/[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\Interfaces\\\U\2\E]\n\x22\3\x22=-\n\x22\3\x22=\x22\x22/I;
# O18 - Filter hijack: text/html - (no CLSID) - (no file)
/^O18/I{
s/^O18 (-|-:) (.*): (.*) - (\{[-a-z0-9]*}) -( (.:\\.*)| .*|$)/[-HKEY_CLASSES_ROOT\\Protocols\\\2\\\U\3\E]\n[-HKEY_Browser Helper Objects\\\U\4\E]\n\6/I;
s/^O18 (-|-:) (.*): (.*) -$/[-HKEY_CLASSES_ROOT\\Protocols\\\2\\\U\3\E]/I;
s/Protocols\\Protocol/Protocols\\Handler/I
s/Protocols\\Filter hijack/Protocols\\Filter/I
}
s/^R[01] (-:|-) HKCU[^,]*,(Local Page).*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,62,6c,61,6e,6b,2e,68,74,6d,00/I;
s/^R[01] (-:|-) HKLM[^,]*,(Local Page).*/[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,62,6c,61,6e,6b,2e,68,74,6d,00/I;
s/^R[01] (-:|-) HKCU[^,]*,(Start Page).*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=\x22http:\/\/go.microsoft.com\/fwlink\/?LinkId=69157\x22/I;
s/^R[01] (-:|-) HKLM[^,]*,(Start Page).*/[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=\x22http:\/\/go.microsoft.com\/fwlink\/?LinkId=69157\x22/I;
s/^R[01] (-:|-) HKCU[^,]*,(Search Page).*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=\x22http:\/\/www.microsoft.com\/isapi\/redir.dll?p\x22/I;
s/^R[01] (-:|-) HKLM[^,]*,(Search Page).*/[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=\x22http:\/\/go.microsoft.com\/fwlink\/?LinkId=54896\x22/I;
s/^R[01] (-:|-) HKCU[^,]*,(Default_Page_URL).*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=\x22http:\/\/go.microsoft.com\/fwlink\/?LinkId=69157\x22/I;
s/^R[01] (-:|-) HKLM[^,]*,(Default_Page_URL).*/[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=\x22http:\/\/go.microsoft.com\/fwlink\/?LinkId=69157\x22/I;
s/^R[01] (-:|-) HKCU[^,]*,(Default_Search_URL).*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=\x22http:\/\/go.microsoft.com\/fwlink\/?LinkId=54896\x22/I;
s/^R[01] (-:|-) HKLM[^,]*,(Default_Search_URL).*/[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=\x22http:\/\/go.microsoft.com\/fwlink\/?LinkId=54896\x22/I;
s/^R[01] (-:|-) HKLM[^,]*,(Search Bar|SearchMigratedDefaultURL|Window Title|SearchAssistant).*/[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=-/I;
s/^R[01] (-:|-) HKCU[^,]*,(Search Bar|SearchMigratedDefaultURL|Window Title|SearchAssistant).*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]\n\x22\2\x22=-/I;
s/^R1 (-:|-) HKCU.*Internet Connection Wizard,(ShellNext).*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Connection Wizard]\n\x22\2\x22=\x22http:\/\/www.microsoft.com\/isapi\/redir.dll?prd=ie\&pver=6\&ar=msnhome\x22/I;
s/^R1 (-:|-) HKCU.*Internet Settings,(ProxyServer|ProxyOverride).*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings]\n\x22\2\x22=-/I;
s/^R3 - Default URLSearchHook is missing.*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\URLSearchHooks]\n\x22{CFBFAE00-17A6-11D0-99CB-00C04FD64497}\x22=\x22\x22/I
s/^R3 - URLSearchHook: .* - (\S*) -( (.:\\.*)| .[^:]*|$)/\3/I;
s/^R[01] (-:|-) HKCU.*Search,(SearchAssistant|CustomizeSearch).*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Search]\n\x22\2\x22=-/I;
s/^R[01] (-:|-) HKLM.*Search,(SearchAssistant|CustomizeSearch).*/[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Search]\n\x22\2\x22=-/I;
s/^R[01] (-:|-) HKCU[^,]*SearchURL,\(Default\).*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\SearchUrl]\n\x22\@\x22=-/I;
s/^R[01] (-:|-) HKLM[^,]*SearchURL,\(Default\).*/[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\SearchUrl]\n\x22\@\x22=-/I;
s/R1 (-:|-) HKCU.*Internet Explorer,(SearchURL|Search) .*/[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer]\n\x22\2\x22=-/I;
s/R1 (-:|-) HKLM.*Internet Explorer,(SearchURL|Search) .*/[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer]\n\x22\2\x22=-/I;
/^[FOR]/Id
Merci
le combofix ne veut pas s'installer
quant au killfix, aucun fichier ne porte le nom killfix.txt
les quelques fichiers txt que se trouvent dans le dossier killfix ne contenaient pas grande chose à part celui que j'ai deja envoyé ou bien celui la....merci
.:\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\config\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\csrss.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\Drivers\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\hal.dll\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\lsass.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\ntdll.dll\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\services.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\smss.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\svchost.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\userinit.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\wbem\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\winlogon.exe\\\(0!\|0\\0\)
C:\\boot.ini\\\(0!\|0\\0\)
C:\\ntdetect.com\\\(0!\|0\\0\)
C:\\ntldr\\\(0!\|0\\0\)
C:\\WINDOWS\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\explorer.exe\\\(0!\|0\\0\)
quant au killfix, aucun fichier ne porte le nom killfix.txt
les quelques fichiers txt que se trouvent dans le dossier killfix ne contenaient pas grande chose à part celui que j'ai deja envoyé ou bien celui la....merci
.:\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\config\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\csrss.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\Drivers\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\hal.dll\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\lsass.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\ntdll.dll\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\services.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\smss.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\svchost.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\userinit.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\wbem\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\winlogon.exe\\\(0!\|0\\0\)
C:\\boot.ini\\\(0!\|0\\0\)
C:\\ntdetect.com\\\(0!\|0\\0\)
C:\\ntldr\\\(0!\|0\\0\)
C:\\WINDOWS\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\explorer.exe\\\(0!\|0\\0\)
le voila...merci
Logfile of random's system information tool 1.06 (written by random/random)
Run by ADMIN at 2009-04-28 14:03:58
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 69 GB (89%) free of 78 GB
Total RAM: 503 MB (30% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.04.13, on 28/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\a-squared Free\a2free.exe
C:\Documents and Settings\ADMIN\Desktop\RSIT.exe
C:\Documents and Settings\ADMIN\Desktop\ADMIN.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programmi\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [ErrorRepairPro] ' '
O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\CF24148.exe /c C:\Killfix\Combobatch.bat
O4 - HKLM\..\RunOnce: [GrpConv] grpconv -o
O4 - HKLM\..\RunOnce: [combofix] C:\WINDOWS\system32\CF24148.exe /c C:\Killfix\Combobatch.bat
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Programmi\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programmi\Yahoo!\Common\Yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
Logfile of random's system information tool 1.06 (written by random/random)
Run by ADMIN at 2009-04-28 14:03:58
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 69 GB (89%) free of 78 GB
Total RAM: 503 MB (30% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.04.13, on 28/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\a-squared Free\a2free.exe
C:\Documents and Settings\ADMIN\Desktop\RSIT.exe
C:\Documents and Settings\ADMIN\Desktop\ADMIN.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programmi\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [ErrorRepairPro] ' '
O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\CF24148.exe /c C:\Killfix\Combobatch.bat
O4 - HKLM\..\RunOnce: [GrpConv] grpconv -o
O4 - HKLM\..\RunOnce: [combofix] C:\WINDOWS\system32\CF24148.exe /c C:\Killfix\Combobatch.bat
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Programmi\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programmi\Yahoo!\Common\Yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
télécharge OTMoveIt
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste instruction for items to be moved.
:processes
explorer.exe
:reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1dfc01ed-4945-11db-9f5c-00138f8680bd}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ErrorRepairPro"=-
:commands
[purity]
[emptytemp]
[start explorer]
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
_____________________
ensuite
colle un rapport avec antivir que tu as
a plus
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste instruction for items to be moved.
:processes
explorer.exe
:reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1dfc01ed-4945-11db-9f5c-00138f8680bd}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ErrorRepairPro"=-
:commands
[purity]
[emptytemp]
[start explorer]
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
_____________________
ensuite
colle un rapport avec antivir que tu as
a plus
c'est un peu drôle,
mais j'ai enfin réussi à installer spybot et malwarebytes et ils sont entrain de scanner le pc
a squared n'affiche plus également les deux trojans (jusqu'à ce moment)
je ne comprends pas vraiment ce qui a changé entre temps pour avoir ces changements (apparemment positifs) mais je dois reconnaitre avoir eu recours au truc scf/ scannow de windows pour vérifier le système, Cd à l'appui!
bref, j'attends que tous les 3 antivirus finissent le scanning pour vous envoyer les rapports disponibles avant de recourir au OTMoveIt, si mes problèmes persistent
Merci pour l'assistance et surtout la patience!
mais j'ai enfin réussi à installer spybot et malwarebytes et ils sont entrain de scanner le pc
a squared n'affiche plus également les deux trojans (jusqu'à ce moment)
je ne comprends pas vraiment ce qui a changé entre temps pour avoir ces changements (apparemment positifs) mais je dois reconnaitre avoir eu recours au truc scf/ scannow de windows pour vérifier le système, Cd à l'appui!
bref, j'attends que tous les 3 antivirus finissent le scanning pour vous envoyer les rapports disponibles avant de recourir au OTMoveIt, si mes problèmes persistent
Merci pour l'assistance et surtout la patience!
Bonjour,
voila le rapport malwarebytes
Malwarebytes' Anti-Malware 1.36
Versione del database: 1945
Windows 5.1.2600 Service Pack 2
29/04/2009 9.59.20
mbam-log-2009-04-29 (09-59-20).txt
Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 104100
Tempo trascorso: 32 minute(s), 38 second(s)
Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 1
Cartelle infette: 0
File infetti: 0
Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)
Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)
Chiavi di registro infette:
(Nessun elemento malevolo rilevato)
Valori di registro infetti:
(Nessun elemento malevolo rilevato)
Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Cartelle infette:
(Nessun elemento malevolo rilevato)
File infetti:
(Nessun elemento malevolo rilevato)
voila le rapport malwarebytes
Malwarebytes' Anti-Malware 1.36
Versione del database: 1945
Windows 5.1.2600 Service Pack 2
29/04/2009 9.59.20
mbam-log-2009-04-29 (09-59-20).txt
Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 104100
Tempo trascorso: 32 minute(s), 38 second(s)
Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 1
Cartelle infette: 0
File infetti: 0
Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)
Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)
Chiavi di registro infette:
(Nessun elemento malevolo rilevato)
Valori di registro infetti:
(Nessun elemento malevolo rilevato)
Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Cartelle infette:
(Nessun elemento malevolo rilevato)
File infetti:
(Nessun elemento malevolo rilevato)
Télécharge OTMoveIt
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste instruction for items to be moved.
:processes
explorer.exe
:reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1dfc01ed-4945-11db-9f5c-00138f8680bd}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ErrorRepairPro"=-
:commands
[purity]
[emptytemp]
[start explorer]
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
_____________________
ensuite
colle un rapport avec antivir que tu as
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste instruction for items to be moved.
:processes
explorer.exe
:reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1dfc01ed-4945-11db-9f5c-00138f8680bd}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ErrorRepairPro"=-
:commands
[purity]
[emptytemp]
[start explorer]
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
_____________________
ensuite
colle un rapport avec antivir que tu as
