Problème de virus
marc et ghis
Messages postés
117
Statut
Membre
-
marc et ghis Messages postés 117 Statut Membre -
marc et ghis Messages postés 117 Statut Membre -
Bonjour,
j'ai depuis 2 jours des problemes de virus sur mon pc, mais je ne m'y connait pas trop j'ai regardé sur les forums et j'ai vu qu'il fallai mettre la liste de HijackThis afin de pouvoir m'aider a resoudre mon probleme . Mon anti virus AntiVirus Firewall de Orange me trouve plein de messsage d'alerte .. Merci d'avance.
J'ai aussi assayé d'installer SpywareDoctor mais mon PC refuse son installation, surtout la mise à jour.
Le type de problème rencontré est surtout une grande lenteur du PC.
En ce qui concerne les virus, j'ai Backdoor.Win32.Small.hwc ; RootKit.Win32.Small.hz ; Trojan-Downloader.Win32.FraudLoad.vqzq ; Backdoor.Win32.Agent.afum ; Email-Worm.Win32.Mydoom.gg
Voici la liste de HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:14:10, on 28/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\PVSW\Bin\WGE_SRV.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\PVSW\BIN\W3dbsmgr.EXE
C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\Orange\AntivirusFirewall\Common\FSMB32.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FCH32.EXE
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\UPSurfer Pro\UPServ.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsaua.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\UPSurfer Pro\UPS.EXE
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsus.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\System32\ElkCtrl.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Orange\AntivirusFirewall\FSGUI\fsguidll.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Guyon\Local Settings\Temporary Internet Files\Content.IE5\4DI513C2\HiJackThis[1].exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: C:\WINDOWS\system32\jksahfo93wjfkd.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\jksahfo93wjfkd.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\System32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Orange\AntivirusFirewall\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\PPE.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Radio-TV adverts] C:\WINDOWS\TEMP\rtv_winupd.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Guyon\reader_s.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [] C:\WINDOWS\TEMP\dkwxl5.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows Resurections] C:\WINDOWS\TEMP\dkwxl5.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\Guyon\reader_s.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O9 - Extra button: GeneaBarre, la barre d'outils de GeneaNet - {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} - C:\Program Files\Barre GeneaNet\test_geneanet.dll
O9 - Extra 'Tools' menuitem: GeneaBarre, la barre d'outils de GeneaNet - {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} - C:\Program Files\Barre GeneaNet\test_geneanet.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.mypix.com/fr/fr/importer/ImageUploader4.cab
O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll
O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\jksahfo93wjfkd.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Asrc2ewpvicm - Unknown owner - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: EBP Pervasive.SQL - Unknown owner - C:\PVSW\Bin\WGE_SRV.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Installer restarter (FSIHS) - F-Secure Corp. - C:\DOCUME~1\Guyon\LOCALS~1\Temp\Installer\00000002\bootstrap\fsihs.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: Service Google Update (gupdate1c9a41453673546) (gupdate1c9a41453673546) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: UPSmart - Unknown owner - C:\Program Files\UPSurfer Pro\UPServ.exe
j'ai depuis 2 jours des problemes de virus sur mon pc, mais je ne m'y connait pas trop j'ai regardé sur les forums et j'ai vu qu'il fallai mettre la liste de HijackThis afin de pouvoir m'aider a resoudre mon probleme . Mon anti virus AntiVirus Firewall de Orange me trouve plein de messsage d'alerte .. Merci d'avance.
J'ai aussi assayé d'installer SpywareDoctor mais mon PC refuse son installation, surtout la mise à jour.
Le type de problème rencontré est surtout une grande lenteur du PC.
En ce qui concerne les virus, j'ai Backdoor.Win32.Small.hwc ; RootKit.Win32.Small.hz ; Trojan-Downloader.Win32.FraudLoad.vqzq ; Backdoor.Win32.Agent.afum ; Email-Worm.Win32.Mydoom.gg
Voici la liste de HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:14:10, on 28/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\PVSW\Bin\WGE_SRV.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\PVSW\BIN\W3dbsmgr.EXE
C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\Orange\AntivirusFirewall\Common\FSMB32.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FCH32.EXE
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\UPSurfer Pro\UPServ.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsaua.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\UPSurfer Pro\UPS.EXE
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsus.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\System32\ElkCtrl.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Orange\AntivirusFirewall\FSGUI\fsguidll.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Guyon\Local Settings\Temporary Internet Files\Content.IE5\4DI513C2\HiJackThis[1].exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: C:\WINDOWS\system32\jksahfo93wjfkd.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\jksahfo93wjfkd.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\System32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Orange\AntivirusFirewall\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\PPE.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Radio-TV adverts] C:\WINDOWS\TEMP\rtv_winupd.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Guyon\reader_s.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [] C:\WINDOWS\TEMP\dkwxl5.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows Resurections] C:\WINDOWS\TEMP\dkwxl5.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\Guyon\reader_s.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O9 - Extra button: GeneaBarre, la barre d'outils de GeneaNet - {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} - C:\Program Files\Barre GeneaNet\test_geneanet.dll
O9 - Extra 'Tools' menuitem: GeneaBarre, la barre d'outils de GeneaNet - {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} - C:\Program Files\Barre GeneaNet\test_geneanet.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.mypix.com/fr/fr/importer/ImageUploader4.cab
O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll
O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\jksahfo93wjfkd.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Asrc2ewpvicm - Unknown owner - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: EBP Pervasive.SQL - Unknown owner - C:\PVSW\Bin\WGE_SRV.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Installer restarter (FSIHS) - F-Secure Corp. - C:\DOCUME~1\Guyon\LOCALS~1\Temp\Installer\00000002\bootstrap\fsihs.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: Service Google Update (gupdate1c9a41453673546) (gupdate1c9a41453673546) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: UPSmart - Unknown owner - C:\Program Files\UPSurfer Pro\UPServ.exe
A voir également:
- Problème de virus
- Virus mcafee - Accueil - Piratage
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
- Ordinateur bloqué virus - Accueil - Arnaque
20 réponses
Bonsoir,
Quelle misère !
SCANNER AVEC AVP TOOL
Adresse où récupérer la dernière version (en bas de page) d'AVP Tool: ftp://ftp.kaspersky.com/devbuilds/AVPTool/
Le scan va s'effectuer en "Mode Sans Echec";
comme tu n'auras pas accès à Internet, je te conseille d'imprimer cette procédure.
1°- Télécharge et enregistre sur ton Bureau le scanner portable AVP TOOL (sélectionne-la à partir des dates) en cliquant sur cette image: http://img24.imageshack.us/img24/9919/screenshot591.png
2°- Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarrer le PC en mode sans échec</gras> < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >
Quand tu as le curseur qui clignote, tu peux avoir un temps d'ouverture du mode sans échec qui va jusqu'à 15 minutes. Il faut donc être patient.
Il faut laisser aller le PC à son rythme, pour que s'installe le bureau; après quoi, tu réutilises ta souris.
Choisir sa session habituelle, (pas le compte "Administrateur" ou une autre).
Ensuite:
• Connecte éventuellement tes clés USB et disques externes.
• Lance l'exécutable intitulé "setup_7.0xxxxx" en double-cliquant dessus
• Réponds "Oui" à la question "Do you want to continue installation?"
• Clique sur "Next" pour les deux fenêtres suivantes: AVP TOOL s'installe sur ton Bureau dans un dossier nommé "Kaspersky Lab Tool"
• L'outil se lance tout seul: coche toutes les cases dans l'onglet "Automatic Scan".
• Clique maintenant sur "Security Level": une fenêtre de configuration s'ouvre: paramètre le scanner comme sur l'image: http://img24.imageshack.us/img24/617/screenshot592.png
•
• Valide avec "Apply" puis "OK"
• L'outil est maintenant configuré: dans la fenêtre principale, clique sur "Scan".
Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
• A la fin du scan, AVP Tool signale les objets infectés par l'intermédiaire d'une pop-up: coche alors "Apply to all" et clique sur "Disinfect" ; en image : http://img24.imageshack.us/img24/9733/screenshot593.png
•
•
• Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés: ils apparaissent en rouge dans la liste: clique alors sur le bouton "Neutralize all" de la fenêtre de progression du scan: si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur "OK"
• Rends-toi maintenant dans l'onglet "Events" de la fenêtre de progression du scan, et décoche "Show all events"
• Clique enfin sur "Reports" puis "Save to file" et enregistre le rapport sur ton Bureau sous le nom Rapport AVP TOOL
• Ferme les fenêtres d'AVP Tool: un message apparaît proposant de désinstaller le logiciel: choisis "YES" ; en image : http://img24.imageshack.us/img24/5500/screenshot594.png
• Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation:
• A la question "Would you like to restart now", répond "OUI" et redémarre ton ordinateur en mode normal ; en image : http://img24.imageshack.us/img24/3221/screenshot595g.png
• Poste le contenu du rapport dans ta prochaine réponse
*** Le rapport étant très lourd, je te demanderais de bien vouloir l'héberger ici: http://www.senduit.com/ choisis de le laisser disponible 4 ou 5 jours afin que l'on puisse le consulter pendant quelques jours.
Récupère le lien et transmets-le dans ta réponse stp.
Bonne chance
Al.
Quelle misère !
SCANNER AVEC AVP TOOL
Adresse où récupérer la dernière version (en bas de page) d'AVP Tool: ftp://ftp.kaspersky.com/devbuilds/AVPTool/
Le scan va s'effectuer en "Mode Sans Echec";
comme tu n'auras pas accès à Internet, je te conseille d'imprimer cette procédure.
1°- Télécharge et enregistre sur ton Bureau le scanner portable AVP TOOL (sélectionne-la à partir des dates) en cliquant sur cette image: http://img24.imageshack.us/img24/9919/screenshot591.png
2°- Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarrer le PC en mode sans échec</gras> < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >
Quand tu as le curseur qui clignote, tu peux avoir un temps d'ouverture du mode sans échec qui va jusqu'à 15 minutes. Il faut donc être patient.
Il faut laisser aller le PC à son rythme, pour que s'installe le bureau; après quoi, tu réutilises ta souris.
Choisir sa session habituelle, (pas le compte "Administrateur" ou une autre).
Ensuite:
• Connecte éventuellement tes clés USB et disques externes.
• Lance l'exécutable intitulé "setup_7.0xxxxx" en double-cliquant dessus
• Réponds "Oui" à la question "Do you want to continue installation?"
• Clique sur "Next" pour les deux fenêtres suivantes: AVP TOOL s'installe sur ton Bureau dans un dossier nommé "Kaspersky Lab Tool"
• L'outil se lance tout seul: coche toutes les cases dans l'onglet "Automatic Scan".
• Clique maintenant sur "Security Level": une fenêtre de configuration s'ouvre: paramètre le scanner comme sur l'image: http://img24.imageshack.us/img24/617/screenshot592.png
•
• Valide avec "Apply" puis "OK"
• L'outil est maintenant configuré: dans la fenêtre principale, clique sur "Scan".
Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
• A la fin du scan, AVP Tool signale les objets infectés par l'intermédiaire d'une pop-up: coche alors "Apply to all" et clique sur "Disinfect" ; en image : http://img24.imageshack.us/img24/9733/screenshot593.png
•
•
• Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés: ils apparaissent en rouge dans la liste: clique alors sur le bouton "Neutralize all" de la fenêtre de progression du scan: si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur "OK"
• Rends-toi maintenant dans l'onglet "Events" de la fenêtre de progression du scan, et décoche "Show all events"
• Clique enfin sur "Reports" puis "Save to file" et enregistre le rapport sur ton Bureau sous le nom Rapport AVP TOOL
• Ferme les fenêtres d'AVP Tool: un message apparaît proposant de désinstaller le logiciel: choisis "YES" ; en image : http://img24.imageshack.us/img24/5500/screenshot594.png
• Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation:
• A la question "Would you like to restart now", répond "OUI" et redémarre ton ordinateur en mode normal ; en image : http://img24.imageshack.us/img24/3221/screenshot595g.png
• Poste le contenu du rapport dans ta prochaine réponse
*** Le rapport étant très lourd, je te demanderais de bien vouloir l'héberger ici: http://www.senduit.com/ choisis de le laisser disponible 4 ou 5 jours afin que l'on puisse le consulter pendant quelques jours.
Récupère le lien et transmets-le dans ta réponse stp.
Bonne chance
Al.
Re,
Oui, je crois ne pas me tromper en confirmant que cela puisse être normal compte tenu de l'infection de ton PC.
Désolé.
Sinon, et dans ces cas graves de nouvelles invasions virales, il faut reformater (ce qui veut dire sauver toutes ses données --> mais ces données sont également généralement infectées; et polluent à nouveau lors du rapatriement).
Pareil pour les clés USB qui risquent aussi d'être contagieuses (soit qu'elles sont la cause, soit qu'elles sont victimes).
Je suis surpris de constater les dégâts que ces nouvelles invasions virales sont capables de réaliser.
Peut-être qu'un des rares Masters lisant ce topic aura une autre idée; ... une meilleure idée accompagnée d'une meilleure proposition de résolution ? Je te le souhaite.
Reste patient, et n'oublie pas les phases de "désinfection" et de "neutralisation" .
Ça ira sans doute plus rapidement qu'annoncé.
Je regrette cependant que tu n'aies pas lancé le scan en mode sans échec (MSE) volontairement.
C'est peut-être aussi une raison de cette lenteur apparente. Qui sait ?
En MSE, le PC n'est plus en contact avec le Net. (à méditer)
Al.
Oui, je crois ne pas me tromper en confirmant que cela puisse être normal compte tenu de l'infection de ton PC.
Désolé.
Sinon, et dans ces cas graves de nouvelles invasions virales, il faut reformater (ce qui veut dire sauver toutes ses données --> mais ces données sont également généralement infectées; et polluent à nouveau lors du rapatriement).
Pareil pour les clés USB qui risquent aussi d'être contagieuses (soit qu'elles sont la cause, soit qu'elles sont victimes).
Je suis surpris de constater les dégâts que ces nouvelles invasions virales sont capables de réaliser.
Peut-être qu'un des rares Masters lisant ce topic aura une autre idée; ... une meilleure idée accompagnée d'une meilleure proposition de résolution ? Je te le souhaite.
Reste patient, et n'oublie pas les phases de "désinfection" et de "neutralisation" .
Ça ira sans doute plus rapidement qu'annoncé.
Je regrette cependant que tu n'aies pas lancé le scan en mode sans échec (MSE) volontairement.
C'est peut-être aussi une raison de cette lenteur apparente. Qui sait ?
En MSE, le PC n'est plus en contact avec le Net. (à méditer)
Al.
Merci pour ta réponse.
Faudrait t'il pas que j'arrête et que je relance en mode sans echec ?
Quand penses tu ?
Autrement pendant la nuit le PC a reçu des messages d'erreur comme une fenêtre intitulée "GoogleUpdate.exe-Erreur d'application" qui comportée le message suivant "L'exception Exception logicielle inconnue (0xc06d007e) s'est produite dans l'application à l'emplacement 0x7c812afb" ; j'ai reussi à fermer cette fenêtre, mais une autre est apparue plus tard dans la nuit, intitulée "Error" avec ce message "Runtime error 203 et 636E40BD" qui elle n'arrive pas à se refermer.
Merci pour la suite.
Faudrait t'il pas que j'arrête et que je relance en mode sans echec ?
Quand penses tu ?
Autrement pendant la nuit le PC a reçu des messages d'erreur comme une fenêtre intitulée "GoogleUpdate.exe-Erreur d'application" qui comportée le message suivant "L'exception Exception logicielle inconnue (0xc06d007e) s'est produite dans l'application à l'emplacement 0x7c812afb" ; j'ai reussi à fermer cette fenêtre, mais une autre est apparue plus tard dans la nuit, intitulée "Error" avec ce message "Runtime error 203 et 636E40BD" qui elle n'arrive pas à se refermer.
Merci pour la suite.
Heu!
Oui.
C'est à tenter; particulièrement en fonction de la lecture des messages émis.
C'est une inconnue pour beaucoup d'entre nous.
Donc: oui, tente la relance en MSE.
(Dommage que tu ne puisses pas déjà traiter les fichiers trouvés; je pense que ce ne soit pas possible à ce stade intermédiaire de l'analyse)
Al.
Oui.
C'est à tenter; particulièrement en fonction de la lecture des messages émis.
C'est une inconnue pour beaucoup d'entre nous.
Donc: oui, tente la relance en MSE.
(Dommage que tu ne puisses pas déjà traiter les fichiers trouvés; je pense que ce ne soit pas possible à ce stade intermédiaire de l'analyse)
Al.
C'est chose faite j'ai tout arrêté et j'ai même était obligé de forcer l'arrêt du PC.
Maintenant je suis en mode sans echec et ca tourne beaucoup plus vite.
Rien à voir avec ce que j'ai fait jusqu'à présent. En 1H00 je suis déjà à 7% de scanné et 414 infections trouvées.
Je te tiens au courant de l'évolution du dossier.
Merci encore.
Maintenant je suis en mode sans echec et ca tourne beaucoup plus vite.
Rien à voir avec ce que j'ai fait jusqu'à présent. En 1H00 je suis déjà à 7% de scanné et 414 infections trouvées.
Je te tiens au courant de l'évolution du dossier.
Merci encore.
Re,
Non, c'est moi qui te remercie d'avoir accepté le test.
Pour conclure finalement que certaines procédures sont recommandées à bon escient.
Et qu'on ne gagne pas toujours à vouloir s'épargner un redémarrage en mode sans échec (MSE). ;)
À bientôt donc. ;)
Je me doutais (un peu) que tu rencontrerais un souci pour stopper cette analyse particulière en cours.
Bref, ça semble bien aller dans la bonne direction.
Al.
Non, c'est moi qui te remercie d'avoir accepté le test.
Pour conclure finalement que certaines procédures sont recommandées à bon escient.
Et qu'on ne gagne pas toujours à vouloir s'épargner un redémarrage en mode sans échec (MSE). ;)
À bientôt donc. ;)
Je me doutais (un peu) que tu rencontrerais un souci pour stopper cette analyse particulière en cours.
Bref, ça semble bien aller dans la bonne direction.
Al.
Bonjour,
Le scan à fini et j'ai suivi la suite de ta procédure et téléchargé le rapport à l'adresse suivante :
http://senduit.com/3c8c71
Par contre j'ai rencontré quelques ouvertures de fenêtre lors de la désinfection me demandant notamment
Fenêtre "Scan Alert"
Detected
Virus (modification):
Heur.Invader
File:
c:\windows\temp\vrt6e.tmp (j'ai eu la même chose pour c:\windows\temp\vrt9e.tmp)
Action
File contains Virus 'Heur.Invader' and cannot be disinfected
Quarantine
Delete
Skip
Apply to all = coché
Donc j'ai validé les deux sur Quarantine.
Ensuite quand mon PC a redémarré en mode normal 10 fenêtres me signalant des erreurs se sont affichées.
Les fenêtres sont : "LightScribe" ; 2 fois "LVCom Server" ; "QuickTime Task" ; "AcroTray" ; "TNBUtil.exe" ; "F-Secure GUI component" ; 2 fois "F-Secrure Quarantine Handler" ; "Prévention de l'exécution des données - Microsoft Windows"
Tous les fenêtres me disent la même chose :
"a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru.
Si vous étiez en train d'effectuer un travail en cours, les informations sur lesquelles vous travailliez peuvent avoir été perdues.
Veuillez signaler ce problème à Microsoft.
Nous avons créé un rapport d'erreurs que vous pouvez nous envoyer. Nous traiterons ce rapport confidentiellement et anonymement.
Pour afficher les données de ce rapport d'erreurs, Cliquez ici."
Avec le choix de :
Débogage
Envoyer le rapport d'erreurs
Ne pas envoyer
Voici pour les messages affichés.
Seulement la fenêtre "Prévention de l'exécution des données - Microsoft Windows" n'affiche pas la même chose :
"Pour protéger votre ordinateur, Windows a fermé ce programme.
Nom : Generic Host Process for Win32 Services
Editeur : Microsoft Corporation
choix unique : fermer le message
La prévention de l'exécution des données vous aide à vous protéger des virus et autres risques de sécurité. Que puis-je faire ?"
Voila pour la liste des fenêtre que j'ai actuellement sur mon écran.
Il y a aussi une fenêtre "Kaspersky Virus Removal Tool" la même qu'il y avait au départ pour procéder au scan.
Tu peut retrouver les copies d'écran que j'ai faite en suivant ce lien :
http://senduit.com/94f935
Voilà pour ce que j'ai fait. Pour l'instant je ne touche à aucune fenêtre et attend tes instructions pour les refermer.
Merci et A+
Le scan à fini et j'ai suivi la suite de ta procédure et téléchargé le rapport à l'adresse suivante :
http://senduit.com/3c8c71
Par contre j'ai rencontré quelques ouvertures de fenêtre lors de la désinfection me demandant notamment
Fenêtre "Scan Alert"
Detected
Virus (modification):
Heur.Invader
File:
c:\windows\temp\vrt6e.tmp (j'ai eu la même chose pour c:\windows\temp\vrt9e.tmp)
Action
File contains Virus 'Heur.Invader' and cannot be disinfected
Quarantine
Delete
Skip
Apply to all = coché
Donc j'ai validé les deux sur Quarantine.
Ensuite quand mon PC a redémarré en mode normal 10 fenêtres me signalant des erreurs se sont affichées.
Les fenêtres sont : "LightScribe" ; 2 fois "LVCom Server" ; "QuickTime Task" ; "AcroTray" ; "TNBUtil.exe" ; "F-Secure GUI component" ; 2 fois "F-Secrure Quarantine Handler" ; "Prévention de l'exécution des données - Microsoft Windows"
Tous les fenêtres me disent la même chose :
"a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru.
Si vous étiez en train d'effectuer un travail en cours, les informations sur lesquelles vous travailliez peuvent avoir été perdues.
Veuillez signaler ce problème à Microsoft.
Nous avons créé un rapport d'erreurs que vous pouvez nous envoyer. Nous traiterons ce rapport confidentiellement et anonymement.
Pour afficher les données de ce rapport d'erreurs, Cliquez ici."
Avec le choix de :
Débogage
Envoyer le rapport d'erreurs
Ne pas envoyer
Voici pour les messages affichés.
Seulement la fenêtre "Prévention de l'exécution des données - Microsoft Windows" n'affiche pas la même chose :
"Pour protéger votre ordinateur, Windows a fermé ce programme.
Nom : Generic Host Process for Win32 Services
Editeur : Microsoft Corporation
choix unique : fermer le message
La prévention de l'exécution des données vous aide à vous protéger des virus et autres risques de sécurité. Que puis-je faire ?"
Voila pour la liste des fenêtre que j'ai actuellement sur mon écran.
Il y a aussi une fenêtre "Kaspersky Virus Removal Tool" la même qu'il y avait au départ pour procéder au scan.
Tu peut retrouver les copies d'écran que j'ai faite en suivant ce lien :
http://senduit.com/94f935
Voilà pour ce que j'ai fait. Pour l'instant je ne touche à aucune fenêtre et attend tes instructions pour les refermer.
Merci et A+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
Bien
Merci
A)- Avais-tu bien terminé les 2 phases de "désinfection" et de "neutralisation" ?
B)- File: c:\program files\ebp\comptes bancaires\ebpcomptesbancaires.exe
Assure-toi avec ta banque que tes données sont toujours bien protégées, et suis de près la rubrique "budget".
On ne sais jamais.
C)- Possibly infected: virus Heur.Invader (modification) c:\windows\temp\vrt9d.tmp 7 KB 01/05/2009 09:56:56
Possibly infected: virus Heur.Invader (modification) c:\windows\temp\vrt6e.tmp 6,5 KB 01/05/2009 09:56:56
Généralement cela est dû à des outils Kaspersky n'aime pas.
Excepté si tu sais très bien ce que c'est je suggère que tu les supprimes.
D)- Plutôt que de recommencer la même analyse (longue), je voudrais que tu termines cette application:
1°•- Désactive ta restauration système
(Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK])
2°•- Ouvre Internet explorer --> Outils --> Options Internet --> onglet "sécurité" --> Valide "niveau par défaut".
3°•- Toujours sur Internet explorer --> Outils --> Options Internet --> onglet "avancé" --> valide "Paramètres par défaut".
4°•- Et puisque je crains que les .exe soient repoussés, voici une procédure DrWeb avec l'exécutable en .com ; à lancer après avoir supprimer manuellement ce que découvre le ScanOnlineKaspersky :
Télécharge DrWeb
Pour cela, clique sur le lien < https://www.sendspace.com/file/fjizi6 > en bas de page > Download Link: CureIt.com
• La version est automatiquement à jour.
• Installe le.
• ==> branche les USB et Disque dur externes .
Redémarre le PC, impérativement en Mode sans échec
• Double clique sur le fichier drweb-cureit.com = sur l'icône « cureit.exe » http://img210.imageshack.us/img210/3301/screenshot137xp7.png
- et ensuite clique sur "commencer le scan".
• Clique Ok à l'invite de l'analyse rapide.
Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; clique sur le "X" pour fermer la fenêtre
• Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
• Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique sur "Ok"
• De retour à la fenêtre principale : clique sur le bouton radio "Analyse complète".
• Clique sur la flèche verte sur la droite, et le scan débutera.
• Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique sur "Désinfecter".
• Lorsque le scan sera complété, regarde si tu peux cliquer sur cette icône http://img230.imageshack.us/img230/8729/screenshot138yh4.png , adjacente aux fichiers détectés :
• Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
• Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
• Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
• Ferme Dr.Web Cureit
•
• Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
• Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.
Merci
Al.
Bien
Merci
A)- Avais-tu bien terminé les 2 phases de "désinfection" et de "neutralisation" ?
B)- File: c:\program files\ebp\comptes bancaires\ebpcomptesbancaires.exe
Assure-toi avec ta banque que tes données sont toujours bien protégées, et suis de près la rubrique "budget".
On ne sais jamais.
C)- Possibly infected: virus Heur.Invader (modification) c:\windows\temp\vrt9d.tmp 7 KB 01/05/2009 09:56:56
Possibly infected: virus Heur.Invader (modification) c:\windows\temp\vrt6e.tmp 6,5 KB 01/05/2009 09:56:56
Généralement cela est dû à des outils Kaspersky n'aime pas.
Excepté si tu sais très bien ce que c'est je suggère que tu les supprimes.
D)- Plutôt que de recommencer la même analyse (longue), je voudrais que tu termines cette application:
1°•- Désactive ta restauration système
(Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK])
2°•- Ouvre Internet explorer --> Outils --> Options Internet --> onglet "sécurité" --> Valide "niveau par défaut".
3°•- Toujours sur Internet explorer --> Outils --> Options Internet --> onglet "avancé" --> valide "Paramètres par défaut".
4°•- Et puisque je crains que les .exe soient repoussés, voici une procédure DrWeb avec l'exécutable en .com ; à lancer après avoir supprimer manuellement ce que découvre le ScanOnlineKaspersky :
Télécharge DrWeb
Pour cela, clique sur le lien < https://www.sendspace.com/file/fjizi6 > en bas de page > Download Link: CureIt.com
• La version est automatiquement à jour.
• Installe le.
• ==> branche les USB et Disque dur externes .
Redémarre le PC, impérativement en Mode sans échec
• Double clique sur le fichier drweb-cureit.com = sur l'icône « cureit.exe » http://img210.imageshack.us/img210/3301/screenshot137xp7.png
- et ensuite clique sur "commencer le scan".
• Clique Ok à l'invite de l'analyse rapide.
Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; clique sur le "X" pour fermer la fenêtre
• Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
• Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique sur "Ok"
• De retour à la fenêtre principale : clique sur le bouton radio "Analyse complète".
• Clique sur la flèche verte sur la droite, et le scan débutera.
• Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique sur "Désinfecter".
• Lorsque le scan sera complété, regarde si tu peux cliquer sur cette icône http://img230.imageshack.us/img230/8729/screenshot138yh4.png , adjacente aux fichiers détectés :
• Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
• Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
• Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
• Ferme Dr.Web Cureit
•
• Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
• Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.
Merci
Al.
Re,
Oui, j'ai vu et analysé les captures.
Tu peux tout supprimer; y compris le rapport "Rapport AVP TOOL" hébergé.
Il faudra après désinfection, très probablement réinstaller Adobe et F-Secure.
Il y a eu des difficultés pour poster un message sur le forum.
Merci à la modération de m'avoir aidé à ce sujet. [baladur13] ;)
J'ajoutais que si DrWeb trouvait et supprimait des fichiers infectés et/ou infectieux, je conseillais de relancer directement une nouvelle analyse.
Aussi de ne pas réactiver tout de suite la restauration système.
NOTE: L'hébergement du fichier DrWeb.com est temporaire ==> je n'ai pas trouvé à paramétrer la durée de son activation. Donc ...
Merci
Al.
Oui, j'ai vu et analysé les captures.
Tu peux tout supprimer; y compris le rapport "Rapport AVP TOOL" hébergé.
Il faudra après désinfection, très probablement réinstaller Adobe et F-Secure.
Il y a eu des difficultés pour poster un message sur le forum.
Merci à la modération de m'avoir aidé à ce sujet. [baladur13] ;)
J'ajoutais que si DrWeb trouvait et supprimait des fichiers infectés et/ou infectieux, je conseillais de relancer directement une nouvelle analyse.
Aussi de ne pas réactiver tout de suite la restauration système.
NOTE: L'hébergement du fichier DrWeb.com est temporaire ==> je n'ai pas trouvé à paramétrer la durée de son activation. Donc ...
Merci
Al.
Re,
Ce serait plus lisible en suivant l'ordre chronologique des postes. Merci pour les lecteurs.
(autant pour moi) ;)
Donc,
« Lorsque le scan sera complété, regarde si tu peux cliquer sur cette icône http://img230.imageshack.us/img230/8729/screenshot138yh4.png , adjacente aux fichiers détectés. Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable »,
et si je comprends bien, puisque tu n'as pas cet icône "d'objets indésirables à déplacer en quarantaine", continue comme tu l'écris.
Merci
Désolé, mais je ne suis pas toujours devant le PC.
Où en es-tu SVP ?
Comme annoncé, relance DrWeb, une fois les premiers fichiers infectés trouvés supprimés.
Supprime le précédent rapport DrWeb de ton PC.
Et fais la même chose.
Bravo pour le rapport; merci DrWeb.
Garde la restauration système désactivée.
Al.
Ce serait plus lisible en suivant l'ordre chronologique des postes. Merci pour les lecteurs.
(autant pour moi) ;)
Donc,
« Lorsque le scan sera complété, regarde si tu peux cliquer sur cette icône http://img230.imageshack.us/img230/8729/screenshot138yh4.png , adjacente aux fichiers détectés. Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable »,
et si je comprends bien, puisque tu n'as pas cet icône "d'objets indésirables à déplacer en quarantaine", continue comme tu l'écris.
Merci
Désolé, mais je ne suis pas toujours devant le PC.
Où en es-tu SVP ?
Comme annoncé, relance DrWeb, une fois les premiers fichiers infectés trouvés supprimés.
Supprime le précédent rapport DrWeb de ton PC.
Et fais la même chose.
Bravo pour le rapport; merci DrWeb.
Garde la restauration système désactivée.
Al.
bonjour,
Voici le lien où l'on peut voir les fenêtres des possibilités qui me son offerte pour continuer :
http://senduit.com/642434
- la première page présente la fenêtre que j'avais à la fin du scan DrWEB ;
- la seconde page présente la fenêtre après avoir appuyé sur le bouton "tout sélectionner" ;
- la troisième page donne cette fenêtre si je lui demande de fermer DrWEB.
Que dois-je faire ?
Merci.
Voici le lien où l'on peut voir les fenêtres des possibilités qui me son offerte pour continuer :
http://senduit.com/642434
- la première page présente la fenêtre que j'avais à la fin du scan DrWEB ;
- la seconde page présente la fenêtre après avoir appuyé sur le bouton "tout sélectionner" ;
- la troisième page donne cette fenêtre si je lui demande de fermer DrWEB.
Que dois-je faire ?
Merci.
Re,
Bonjour,
Cela veut dire qu'après avoir [tout sélectionné], tu n'as pas appuyé sur [supprimer] en bas à droite de la seconde capture. Et donc, DrWeb (heureusement et merci) t'annonce "clairement" qu'il faut supprimer ce qu'il a trouvé.
N'a-t-il plus livré de rapport, cette fois ?
Merci
Al
Bonjour,
Cela veut dire qu'après avoir [tout sélectionné], tu n'as pas appuyé sur [supprimer] en bas à droite de la seconde capture. Et donc, DrWeb (heureusement et merci) t'annonce "clairement" qu'il faut supprimer ce qu'il a trouvé.
N'a-t-il plus livré de rapport, cette fois ?
Merci
Al
J'ai appuyé sur supprimé et j'ai fermé Dr.WEB.
Je relance une nouvelle analyse sans avoir redémarré le système (comme il me le proposé).
La nouvelle analyse rapide n'a rien trouvé (aucun virus détecté)
Je lance maintenant l'analyse complète.
Je te tiens au courant de la suite ce soir (je pense entre 20H00 et 22H00) car je suis obligé de m'absenté maintenant.
A+ et bonne après midi.
Je relance une nouvelle analyse sans avoir redémarré le système (comme il me le proposé).
La nouvelle analyse rapide n'a rien trouvé (aucun virus détecté)
Je lance maintenant l'analyse complète.
Je te tiens au courant de la suite ce soir (je pense entre 20H00 et 22H00) car je suis obligé de m'absenté maintenant.
A+ et bonne après midi.
L'analyse complète est terminée.
J'ai eue les deux messages suivants :
http://senduit.com/a4afd1
- pour le premier message j'ai selectionné "Oui pour tout"
- pour le deuxième idem
en fin d'analyse j'ai cliqué sur "tout sélectionner" et sur "supprimer".
J'ai fait aussi un rapport Dr.WEB en fin d'analyse :
http://senduit.com/9c9be1
Que dois-je faire maintenant ?
Merci.
J'ai eue les deux messages suivants :
http://senduit.com/a4afd1
- pour le premier message j'ai selectionné "Oui pour tout"
- pour le deuxième idem
en fin d'analyse j'ai cliqué sur "tout sélectionner" et sur "supprimer".
J'ai fait aussi un rapport Dr.WEB en fin d'analyse :
http://senduit.com/9c9be1
Que dois-je faire maintenant ?
Merci.
Bien
Merci
I)- À quoi te sert Adobe --> on dirait que c'est un de tes outils indispensables pour le travail ?
Quoiqu'il en soit, et comme je l'avais annoncé, je souhaiterais que tu le réinstalles.
==> Il n'était d'ailleurs pas à jour --> C:\Program Files\Adobe\Adobe Acrobat 7.0
Si tu as des pièces (documents, photos, etc.) à sauver dans Adobe, transfère-les dans un "Nouveau dossier" que tu feras analyser par ton antivirus avant de les rapatrier.
NOTE: Evite de sauver des fichiers avec l'extension .exe ou .scr (fond d'écran/ Economiseur d'écran) car tu rapatrierais l'infection ! Eviter aussi les fichiers à l'extension .html ET aucune archive (.zip, .rar, etc...) qui contient des exécutables.
Surtout pas de sauvegarde de cracks / progs crackés ou fichiers téléchargés par P2P !
Avec le programme CCleaner ( nettoyeur de cookies et de fichiers inutiles, et correcteur d'erreurs de clés de registre, ) je voudrais que tu désinstalles Adobe (sauf si tu trouves un fichier 'uninstal' dans le répertoire principal de Adobe);
- peaufiner avec JV16 pour aller rechercher les reliquats;
- ensuite lancer un nettoyage complet avec CCleaner (lire tutos).
A)- D'abord télécharger:
1°- Télécharge CCleaner ici : < https://www.ccleaner.com/ >
< https://filehippo.com/download_ccleaner/ >
Tutorial ici: < https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php >
https://www.malekal.com/tutoriel-ccleaner/
NOTE: Ne pas accepter la toolbar !
2°- Téléchargement de la dernière version gratuite de JV16 à partir de ce tutoriel
http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Maintenance/compatible-vista-windows-sujet_167629_1.htm
NOTE: Ne pas la mettre à jour !
B)- Ensuite se servir des tutos pour les utiliser.
1°- Tu cliques sur l'onglet CCleaner "OUTILS" dans son menu à gauche de sa page
> à ce moment s'affiche une liste des programmes dans ton PC
> tu pointes ta souris sur "Adobe" ( et successivement sur ses composants s'ils sont présents dans la liste)
> clic sur la ligne "Adobe" pour la mettre en surbrillance.
> et à droite de la page, en haut, tu cliques sur " LANCER LA DESINSTALLATION"
> ensuite tu fermes CCleaner.
2°- Tu lances JV16 et tu supprimes les restes de Adobe (et de ses composants)
3°- Tu termines avec CCleaner (nettoyage complet = "Nettoyeur" et "Registre")
II)- Supprime DrWeb et AVP TOOL
III)- Pour se débarrasser des outils utilisés à l'occasion, et devenus particulièrement caducs et obsolètes (parce que ce sont parfois des outils dangereux lorsqu'ils ne sont pas mis à jour), il y a lieu d'appliquer ceci:
Télécharge ToolsCleaner (de A.Rothstein) à l’aide de ce lien :
< http://pc-system.fr/ >, et enregistre-le sur le “Bureau”.
Et exécute-le.
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste-moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
IV)- Telecharge UsbFix en maintenance par Cédric (merci)
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe par Cédric
--> Lance l’installation avec les paramètres par « default »
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc.) suceptibles d'avoir été infectées sans les ouvrir
Double-cliquer sur le raccourci UsbFix présent sur ton bureau .
-->choisis l' option 1 (nettoyage)
--> Le pc va redémarrer
-->Apres redémarrage poster le rapport UsbFix.txt qui apparaitra.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) ( CTRL+A pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
À confirmer : « Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectées, et sans les ouvrir »
- Double clic sur le raccourci UsbFix présent sur ton bureau
- choisis l’option 2 ( Suppression )
- Ton bureau disparaîtra et le pc redémarrera.
- Au redémarrage, UsbFix scannera ton pc, laisse travailler l outil.
- Ensuite poster le rapport UsbFix.txt qui apparaîtra avec le bureau.
- Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque C:\UsbFix.txt
( CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
V)- Comment se comporte le PC et comment réagit ta protection virale ?
Donne un nouveau rapport HijackThis, et un rapport avec ton antivirus.
Terminé pour ce soir.
Merci pour ta patience et ta collaboration.
Al.
Merci
I)- À quoi te sert Adobe --> on dirait que c'est un de tes outils indispensables pour le travail ?
Quoiqu'il en soit, et comme je l'avais annoncé, je souhaiterais que tu le réinstalles.
==> Il n'était d'ailleurs pas à jour --> C:\Program Files\Adobe\Adobe Acrobat 7.0
Si tu as des pièces (documents, photos, etc.) à sauver dans Adobe, transfère-les dans un "Nouveau dossier" que tu feras analyser par ton antivirus avant de les rapatrier.
NOTE: Evite de sauver des fichiers avec l'extension .exe ou .scr (fond d'écran/ Economiseur d'écran) car tu rapatrierais l'infection ! Eviter aussi les fichiers à l'extension .html ET aucune archive (.zip, .rar, etc...) qui contient des exécutables.
Surtout pas de sauvegarde de cracks / progs crackés ou fichiers téléchargés par P2P !
Avec le programme CCleaner ( nettoyeur de cookies et de fichiers inutiles, et correcteur d'erreurs de clés de registre, ) je voudrais que tu désinstalles Adobe (sauf si tu trouves un fichier 'uninstal' dans le répertoire principal de Adobe);
- peaufiner avec JV16 pour aller rechercher les reliquats;
- ensuite lancer un nettoyage complet avec CCleaner (lire tutos).
A)- D'abord télécharger:
1°- Télécharge CCleaner ici : < https://www.ccleaner.com/ >
< https://filehippo.com/download_ccleaner/ >
Tutorial ici: < https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php >
https://www.malekal.com/tutoriel-ccleaner/
NOTE: Ne pas accepter la toolbar !
2°- Téléchargement de la dernière version gratuite de JV16 à partir de ce tutoriel
http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Maintenance/compatible-vista-windows-sujet_167629_1.htm
NOTE: Ne pas la mettre à jour !
B)- Ensuite se servir des tutos pour les utiliser.
1°- Tu cliques sur l'onglet CCleaner "OUTILS" dans son menu à gauche de sa page
> à ce moment s'affiche une liste des programmes dans ton PC
> tu pointes ta souris sur "Adobe" ( et successivement sur ses composants s'ils sont présents dans la liste)
> clic sur la ligne "Adobe" pour la mettre en surbrillance.
> et à droite de la page, en haut, tu cliques sur " LANCER LA DESINSTALLATION"
> ensuite tu fermes CCleaner.
2°- Tu lances JV16 et tu supprimes les restes de Adobe (et de ses composants)
3°- Tu termines avec CCleaner (nettoyage complet = "Nettoyeur" et "Registre")
II)- Supprime DrWeb et AVP TOOL
III)- Pour se débarrasser des outils utilisés à l'occasion, et devenus particulièrement caducs et obsolètes (parce que ce sont parfois des outils dangereux lorsqu'ils ne sont pas mis à jour), il y a lieu d'appliquer ceci:
Télécharge ToolsCleaner (de A.Rothstein) à l’aide de ce lien :
< http://pc-system.fr/ >, et enregistre-le sur le “Bureau”.
Et exécute-le.
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste-moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
IV)- Telecharge UsbFix en maintenance par Cédric (merci)
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe par Cédric
--> Lance l’installation avec les paramètres par « default »
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc.) suceptibles d'avoir été infectées sans les ouvrir
Double-cliquer sur le raccourci UsbFix présent sur ton bureau .
-->choisis l' option 1 (nettoyage)
--> Le pc va redémarrer
-->Apres redémarrage poster le rapport UsbFix.txt qui apparaitra.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) ( CTRL+A pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
À confirmer : « Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectées, et sans les ouvrir »
- Double clic sur le raccourci UsbFix présent sur ton bureau
- choisis l’option 2 ( Suppression )
- Ton bureau disparaîtra et le pc redémarrera.
- Au redémarrage, UsbFix scannera ton pc, laisse travailler l outil.
- Ensuite poster le rapport UsbFix.txt qui apparaîtra avec le bureau.
- Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque C:\UsbFix.txt
( CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
V)- Comment se comporte le PC et comment réagit ta protection virale ?
Donne un nouveau rapport HijackThis, et un rapport avec ton antivirus.
Terminé pour ce soir.
Merci pour ta patience et ta collaboration.
Al.
Avant d'entamer ta procédure, faut t'il redémarrer le système en mode normal ?
Car je suis toujours en mode sans echec et il ne veut pas que je réinstalle de logiciel notamment Adobe Acrobat 7.0.
D'ailleur j'ai une fenêtre "setup" qui apparait me demandant "Le système doit être redémarré. Redémarrer ? Oui ou Non".
En ce qui concerne Adobe je travail effectivement le plus souvant avec Illustrator et Photoshop et Reader.
Faudra t'il que je réinstalle tous les logiciels Adobe ou uniquement Adobe Acrobat 7.0 ?
Merci et à demain.
Car je suis toujours en mode sans echec et il ne veut pas que je réinstalle de logiciel notamment Adobe Acrobat 7.0.
D'ailleur j'ai une fenêtre "setup" qui apparait me demandant "Le système doit être redémarré. Redémarrer ? Oui ou Non".
En ce qui concerne Adobe je travail effectivement le plus souvant avec Illustrator et Photoshop et Reader.
Faudra t'il que je réinstalle tous les logiciels Adobe ou uniquement Adobe Acrobat 7.0 ?
Merci et à demain.
Re,
Je suis surpris.
Depuis quand le PC est-il en MSE ? ==> depuis AVP TOOL.
Mais comment fais-tu alors pour me poster les rapports et messages, de même tu ne sais pas télécharger des programmes et les mettre à jour; puisqu'en MSE tu n'as plus accès au Net ?
J'ai dû passer outre de quelque chose dans tes messages (?).
Oui, redémarre le PC normalement.
NOTE: L'analyse HijackThis devra être réalisée en "mode normal" impérativement.
Tu devras le réinstaller aussi (puisque ToolsCleaner va le supprimer).
==> HijackThis™ 2.0 .2 < [ http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download ] > avec un installeur.
- Sur la page, choisis « Download HijackThis Installer » http://img265.imageshack.us/img265/4575/screenshot127sd3.png
Pour Adobe, tout a été détaillé ==> (Adobe et ses composants).
C'est toi qui vois, en fonction du fonctionnement du PC et des alertes de F-Secure.
Je ne me sers pas de tout cela; donc je manque d'expérience, et d'assurance pour te conseiller.
Je dis simplement que ton Adobe a été particulièrement infecté, et si c'était mon PC, Adobe serait remplacé depuis belle lurette. D'autant que ta version Reader comportait une grosse faille de sécurité.
Empresse-toi de lancer UsbFix avant tout.
Tu n'as pas l'air de mesurer le type d'infection sévère que F-Secure a laissé passer dans ton PC; pour la combattre, le temps est compté !
Tu t'occuperas de Adobe ensuite, si c'est plus simple pour toi.
Dommage, je voulais pourtant donner la priorité au nettoyage CCleaner + JV16.
À + ..
Al.
Je suis surpris.
Depuis quand le PC est-il en MSE ? ==> depuis AVP TOOL.
Mais comment fais-tu alors pour me poster les rapports et messages, de même tu ne sais pas télécharger des programmes et les mettre à jour; puisqu'en MSE tu n'as plus accès au Net ?
J'ai dû passer outre de quelque chose dans tes messages (?).
Oui, redémarre le PC normalement.
NOTE: L'analyse HijackThis devra être réalisée en "mode normal" impérativement.
Tu devras le réinstaller aussi (puisque ToolsCleaner va le supprimer).
==> HijackThis™ 2.0 .2 < [ http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download ] > avec un installeur.
- Sur la page, choisis « Download HijackThis Installer » http://img265.imageshack.us/img265/4575/screenshot127sd3.png
Pour Adobe, tout a été détaillé ==> (Adobe et ses composants).
C'est toi qui vois, en fonction du fonctionnement du PC et des alertes de F-Secure.
Je ne me sers pas de tout cela; donc je manque d'expérience, et d'assurance pour te conseiller.
Je dis simplement que ton Adobe a été particulièrement infecté, et si c'était mon PC, Adobe serait remplacé depuis belle lurette. D'autant que ta version Reader comportait une grosse faille de sécurité.
Empresse-toi de lancer UsbFix avant tout.
Tu n'as pas l'air de mesurer le type d'infection sévère que F-Secure a laissé passer dans ton PC; pour la combattre, le temps est compté !
Tu t'occuperas de Adobe ensuite, si c'est plus simple pour toi.
Dommage, je voulais pourtant donner la priorité au nettoyage CCleaner + JV16.
À + ..
Al.
Bonjour,
En faite je suis en MSE depuis que tu m'as dit de m'y mettre (message n°9). J'ai peut être du louper quelque chose, par la suite, au travers de notre correspondance.
Pour t'envoyer les rapports et télécharger ce que tu me demande, j'utilise un autre PC et par l'intermédiaire d'une clé USB (message n°2).
Je viens de relancer le PC et avant d'avoir la possibiliter d'ouvrir ma session, il m'affiche une fenêtre au démarrage "LSSrvc.exe - Erreur d'application" avec le message suivant : "L'instruction à "0x004082c8" emploie l'adresse mémoire "0xffffff81". La mémoire ne peut pas être "written". Cliquez sur OK pour terminer le programme. Cliquez sur Annuler pour déboguer le programme"
Que dois-je choisir ? et à partir d'où je dois reprendre le protocole ?
Merci.
En faite je suis en MSE depuis que tu m'as dit de m'y mettre (message n°9). J'ai peut être du louper quelque chose, par la suite, au travers de notre correspondance.
Pour t'envoyer les rapports et télécharger ce que tu me demande, j'utilise un autre PC et par l'intermédiaire d'une clé USB (message n°2).
Je viens de relancer le PC et avant d'avoir la possibiliter d'ouvrir ma session, il m'affiche une fenêtre au démarrage "LSSrvc.exe - Erreur d'application" avec le message suivant : "L'instruction à "0x004082c8" emploie l'adresse mémoire "0xffffff81". La mémoire ne peut pas être "written". Cliquez sur OK pour terminer le programme. Cliquez sur Annuler pour déboguer le programme"
Que dois-je choisir ? et à partir d'où je dois reprendre le protocole ?
Merci.
Re,
A)- OK, il y a eu confusion, mais pas "non-dit".
En effet:
Au post #2, tu m'annonces bien:
- «J'ai téléchargé sur ftp://ftp.kaspersky.com/devbuilds/AVPTool/ la dernière version de Virus Removal Tool setup_7.0.0.290_29.04.2009_08-50 sur une clé USB depuis un autre ordinateur, car mon PC infecté ne voulais pas se connecter à l'adresse que tu m'indiqué.»
- «J'ai suivi ton protocole avant de lancer le scan, mais sans redémarrer en mode sans échec car ce dernier a accepter l'installation et l'ouverture du logiciel ci dessus.»
==> bizarre, mais cela a été rectifié par la suite; parce que cela ne répondait pas à la procédure.
Mais la procédure se terminait ainsi au post # 1; la procédure AVP TOOL indiquait:
«• Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation;
• A la question "Would you like to restart now", répond "OUI" et redémarre ton ordinateur en mode normal ; en image : http://img24.imageshack.us/img24/3221/screenshot595g.png »
À ce moment, le PC aurait pu redémarrer automatiquement en mode normal; sinon, le faire manuellement.
Il est logique dès lors que j'aie pu considérer cette histoire de MSE définitivement close.
La prochaine fois, je multiplierai ma vigilance. ;)
J'en suis à me demander si cette procédure a bien été appliquée, et à partir du lien le plus récent en date comme indiqué ici: «Adresse où récupérer la dernière version (en bas de page) d'AVP Tool: ftp://ftp.kaspersky.com/devbuilds/AVPTool/ »
B)- Pour "La mémoire ne peut pas être "Read" ou "Written", vois dans cette synthèse si ça peut t'aider https://forum.zebulon.fr/topic/55634-la-memoire-ne-peut-pas-etre-read-ou-written
•- lssrvc.exe est un processus lié au logiciel léger de pointe à tracer de Nero AG.
LightScribe http://www.lightscribe.com/gslanding/fr/ l'écriture de labels sur disque est une technologie qui permet des étiquettes de silkscreen-qualité directement sur votre CD et DVD.
Peut-être a-t-il été atteint par l'infection, et qu'il faille le réinstaller (ça avait été annoncé) ? Vois si ça ne va pas s'améliorer avec le temps (ce qui m'étonnerait avec ce type d'infection).
C)- Sais-tu ouvrir cette fois les liens en mode normal à partir du PC qui était infecté ?
D)- Tu peux poursuivre ce qui est demandé avec le meilleur discernement possible de ma part quant à Adobe (c'est toi qui décides). Mais bon sang, termine cette désinfection. Merci.
Ne le prends pas mal. Je répète que cette infection VIRUT est une misère. J'ai donc un discours de circonstance. L'autre discours étant "Formatage". ;)
Merci
Al.
A)- OK, il y a eu confusion, mais pas "non-dit".
En effet:
Au post #2, tu m'annonces bien:
- «J'ai téléchargé sur ftp://ftp.kaspersky.com/devbuilds/AVPTool/ la dernière version de Virus Removal Tool setup_7.0.0.290_29.04.2009_08-50 sur une clé USB depuis un autre ordinateur, car mon PC infecté ne voulais pas se connecter à l'adresse que tu m'indiqué.»
- «J'ai suivi ton protocole avant de lancer le scan, mais sans redémarrer en mode sans échec car ce dernier a accepter l'installation et l'ouverture du logiciel ci dessus.»
==> bizarre, mais cela a été rectifié par la suite; parce que cela ne répondait pas à la procédure.
Mais la procédure se terminait ainsi au post # 1; la procédure AVP TOOL indiquait:
«• Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation;
• A la question "Would you like to restart now", répond "OUI" et redémarre ton ordinateur en mode normal ; en image : http://img24.imageshack.us/img24/3221/screenshot595g.png »
À ce moment, le PC aurait pu redémarrer automatiquement en mode normal; sinon, le faire manuellement.
Il est logique dès lors que j'aie pu considérer cette histoire de MSE définitivement close.
La prochaine fois, je multiplierai ma vigilance. ;)
J'en suis à me demander si cette procédure a bien été appliquée, et à partir du lien le plus récent en date comme indiqué ici: «Adresse où récupérer la dernière version (en bas de page) d'AVP Tool: ftp://ftp.kaspersky.com/devbuilds/AVPTool/ »
B)- Pour "La mémoire ne peut pas être "Read" ou "Written", vois dans cette synthèse si ça peut t'aider https://forum.zebulon.fr/topic/55634-la-memoire-ne-peut-pas-etre-read-ou-written
•- lssrvc.exe est un processus lié au logiciel léger de pointe à tracer de Nero AG.
LightScribe http://www.lightscribe.com/gslanding/fr/ l'écriture de labels sur disque est une technologie qui permet des étiquettes de silkscreen-qualité directement sur votre CD et DVD.
Peut-être a-t-il été atteint par l'infection, et qu'il faille le réinstaller (ça avait été annoncé) ? Vois si ça ne va pas s'améliorer avec le temps (ce qui m'étonnerait avec ce type d'infection).
C)- Sais-tu ouvrir cette fois les liens en mode normal à partir du PC qui était infecté ?
D)- Tu peux poursuivre ce qui est demandé avec le meilleur discernement possible de ma part quant à Adobe (c'est toi qui décides). Mais bon sang, termine cette désinfection. Merci.
Ne le prends pas mal. Je répète que cette infection VIRUT est une misère. J'ai donc un discours de circonstance. L'autre discours étant "Formatage". ;)
Merci
Al.
Je suis complétement perdu, mais j'ai la patience. De toute manière je ne peut pas faire autrement.
Ne faudrait t'il pas repartir de zéro vu que mon PC infécté veut bien maintenant se connecter à internet ?
De plus j'ai rencontré encore pas mal de problème lors de son démarrage en mode normal.
Les mêmes messages erreurs que je t'avais présenté en troisième page de : http://senduit.com/94f935
mais sans le message central.
J'ai choisi cette fois ci l'option "Ne pas envoyer".
J'ai eue aussi ses deux message : http://senduit.com/0c5823
sur le 1er j'ai cliquer sur OK et sur le second "Ne pas envoyer".
que faisons nous ?
Ne faudrait t'il pas repartir de zéro vu que mon PC infécté veut bien maintenant se connecter à internet ?
De plus j'ai rencontré encore pas mal de problème lors de son démarrage en mode normal.
Les mêmes messages erreurs que je t'avais présenté en troisième page de : http://senduit.com/94f935
mais sans le message central.
J'ai choisi cette fois ci l'option "Ne pas envoyer".
J'ai eue aussi ses deux message : http://senduit.com/0c5823
sur le 1er j'ai cliquer sur OK et sur le second "Ne pas envoyer".
que faisons nous ?
Re,
Arrête de demander ce qu'il faut faire, dès lors que c'est écrit aux postes # 42, 26 et 28 .
UsbFix est important puisque tu as fais usage d'une connexion par fiche USB.
Al.
Arrête de demander ce qu'il faut faire, dès lors que c'est écrit aux postes # 42, 26 et 28 .
UsbFix est important puisque tu as fais usage d'une connexion par fiche USB.
Al.
Voila j'ai fait comme tu m'as dit dans le post 24
- j'ai téléchargé UsbFix
- j'ai branché mes sources de données externes à mon PC
- j'ai double-cliquer sur le raccourci UsbFix présent sur mon bureau
- j'ai choisi l'option 1 mais le PC n'a pas redémarré comme tu me l’as annoncé dans le post 24
Par contre j'ai le rapport UsbFix.txt qui s'est affiché le voici :
############################## [ UsbFix V3.016 # Scan ]
# User : Guyon (Administrateurs) # GUYON-P5P4IIOSZ
# Update on 02/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 15:00:18 | 04/05/2009
# Intel(R) Pentium(R) 4 CPU 2.40GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled
# AV : AntiVirus Firewall 7.00 7.00 [ Enabled | Updated ]
# FW : AntiVirus Firewall 7.00[ Enabled ]7.00
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 76,32 Go (31,87 Go free) # NTFS
# D:\ # Disque amovible
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque fixe local # 149,05 Go (50,49 Go free) [Disque externe] # NTFS
############################## [ Processus actifs ]
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\Orange\AntivirusFirewall\Common\FSMB32.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\UPSurfer Pro\UPServ.exe
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsaua.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsus.exe
C:\Program Files\UPSurfer Pro\UPS.EXE
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\System32\ElkCtrl.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## [ Registre # Startup ]
HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Guyon"
HKLM_logon: "AltDefaultUserName"="Guyon"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: Synchronization Manager=%SystemRoot%\system32\mobsync.exe /logon
HKLM_Run: Smapp=C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
HKLM_Run: IMONTRAY=C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
HKLM_Run: PinnacleDriverCheck=C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
HKLM_Run: LVCOMSX=C:\WINDOWS\System32\LVCOMSX.EXE
HKLM_Run: LogitechCameraAssistant=C:\Program Files\Logitech\Video\CameraAssistant.exe
HKLM_Run: LogitechCameraService(E)=C:\WINDOWS\System32\ElkCtrl.exe /automation
HKLM_Run: Adobe Version Cue CS2="C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
HKLM_Run: F-Secure Manager="C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE" /splash
HKLM_Run: F-Secure TNB="C:\Program Files\Orange\AntivirusFirewall\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
HKLM_Run: Acrobat Assistant 7.0="C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
HKLM_Run: PCLEPCI=C:\PROGRA~1\Pinnacle\PPE\PPE.EXE
HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
HKLM_Run: Radio-TV adverts=C:\WINDOWS\TEMP\rtv_winupd.exe
HKLM_Run: reader_s=C:\WINDOWS\System32\reader_s.exe
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
HKCU_Run: msnmsgr="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
HKCU_Run: reader_s=C:\Documents and Settings\Guyon\reader_s.exe
################## [ Informations ]
################## [ Fichiers # Dossiers infectieux ]
Found ! C:\WINDOWS\services.exe
################## [ Registre # Clés Run infectieuses ]
Found ! HKLM\software\microsoft\security center\\ "FirewallOverride"
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 )
Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "reader_s"
Found ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "reader_s"
Found ! HKU\S-1-5-21-299502267-1580436667-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "reader_s"
################## [ Registre # Mountpoints2 ]
HKCU\Software\Microsoft\....\MountPoints2\F\Shell\AutoRun\command
################## [ ! Fin du rapport # UsbFix V3.016 ! ]
Maintenant j’ai refermé le rapport et
- j'ai double-cliquer sur le raccourci UsbFix présent sur mon bureau
- j'ai choisi l'option 2 le bureau a disparu et le PC a redémarré
Il a affiché un nouveau rapport le voici :
############################## [ UsbFix V3.016 # Cleaning ]
# User : Guyon () # GUYON-P5P4IIOSZ
# Update on 02/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 15:18:50 | 04/05/2009
# Intel(R) Pentium(R) 4 CPU 2.40GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled
# AV : AntiVirus Firewall 7.00 7.00 [ Enabled | Updated ]
# FW : AntiVirus Firewall 7.00[ Enabled ]7.00
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 76,32 Go (31,87 Go free) # NTFS
# D:\ # Disque amovible
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque fixe local # 149,05 Go (50,49 Go free) [Disque externe] # NTFS
############################## [ Processus actifs ]
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FSMB32.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\UPSurfer Pro\UPServ.exe
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsaua.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\licmgr.exe
C:\Program Files\UPSurfer Pro\UPS.EXE
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsus.exe
################## [ Fichiers # Dossiers infectieux ]
Deleted ! C:\WINDOWS\services.exe
################## [ Registre # Clés Run infectieuses ]
# HKLM\software\microsoft\security center\\ "FirewallOverride"
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 ) # -> Reset sucessfully !
Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "reader_s"
Deleted ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "reader_s"
################## [ Registre # Mountpoints2 ]
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\F\Shell\AutoRun\command
################## [ Listing des fichiers présent ]
[28/11/2005 22:18|--a------|0] - C:\adorage-protocol.txt
[26/04/2009 11:28|--a------|95] - C:\AUTOEXEC.BAT
[09/12/2008 11:36|-rahs----|215] - C:\boot.ini
[30/08/2002 14:00|-rahs----|4952] - C:\Bootfont.bin
[28/06/2003 10:57|-ra------|5475] - C:\CLDMA.LOG
[21/12/2002 12:39|--a------|0] - C:\CONFIG.SYS
[26/02/2008 15:30|--a------|17] - C:\GOMMETTE.INI
[?|?|?] - C:\hiberfil.sys
[21/12/2002 12:39|-rahs----|0] - C:\IO.SYS
[21/12/2002 12:39|-rahs----|0] - C:\MSDOS.SYS
[19/09/2008 17:09|-rahs----|47564] - C:\NTDETECT.COM
[24/09/2008 21:07|-rahs----|252240] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[29/08/2005 14:02|--a------|418840] - C:\pdfwport
[18/05/2008 11:17|--a------|256] - C:\rapport_clean.txt
[18/02/2008 16:06|--a------|191] - C:\s1us.3
[19/07/2004 17:36|--a------|534] - C:\s2i4
[28/03/2007 10:31|--a------|191] - C:\s30k
[06/03/2003 18:49|--a------|2418] - C:\S3es
[06/03/2003 18:49|--a------|2399] - C:\S3es.1
[06/03/2003 18:49|--a------|2429] - C:\S3es.2
[06/03/2003 18:49|--a------|2103] - C:\S3es.3
[06/03/2003 18:49|--a------|2091] - C:\S3es.4
[06/03/2003 18:49|--a------|4626] - C:\S3es.5
[09/05/2008 13:59|--a------|159] - C:\Setup.log
[04/05/2009 10:32|--ah-----|268] - C:\sqmdata00.sqm
[04/05/2009 10:41|--ah-----|232] - C:\sqmdata01.sqm
[23/04/2009 17:26|--ah-----|268] - C:\sqmdata02.sqm
[25/04/2009 16:03|--ah-----|268] - C:\sqmdata03.sqm
[26/04/2009 11:52|--ah-----|268] - C:\sqmdata04.sqm
[26/04/2009 12:13|--ah-----|268] - C:\sqmdata05.sqm
[27/04/2009 09:48|--ah-----|268] - C:\sqmdata06.sqm
[27/04/2009 11:13|--ah-----|268] - C:\sqmdata07.sqm
[27/04/2009 11:47|--ah-----|268] - C:\sqmdata08.sqm
[27/04/2009 11:52|--ah-----|268] - C:\sqmdata09.sqm
[27/04/2009 18:31|--ah-----|268] - C:\sqmdata10.sqm
[27/04/2009 18:31|--ah-----|232] - C:\sqmdata11.sqm
[28/04/2009 07:46|--ah-----|268] - C:\sqmdata12.sqm
[28/04/2009 09:27|--ah-----|268] - C:\sqmdata13.sqm
[28/04/2009 14:30|--ah-----|268] - C:\sqmdata14.sqm
[28/04/2009 15:47|--ah-----|268] - C:\sqmdata15.sqm
[28/04/2009 18:43|--ah-----|268] - C:\sqmdata16.sqm
[01/05/2009 21:47|--ah-----|268] - C:\sqmdata17.sqm
[01/05/2009 22:23|--ah-----|268] - C:\sqmdata18.sqm
[01/05/2009 22:40|--ah-----|268] - C:\sqmdata19.sqm
[04/05/2009 10:32|--ah-----|244] - C:\sqmnoopt00.sqm
[04/05/2009 10:41|--ah-----|244] - C:\sqmnoopt01.sqm
[23/04/2009 17:26|--ah-----|244] - C:\sqmnoopt02.sqm
[25/04/2009 16:03|--ah-----|244] - C:\sqmnoopt03.sqm
[26/04/2009 11:52|--ah-----|244] - C:\sqmnoopt04.sqm
[26/04/2009 12:13|--ah-----|244] - C:\sqmnoopt05.sqm
[27/04/2009 09:48|--ah-----|244] - C:\sqmnoopt06.sqm
[27/04/2009 11:13|--ah-----|244] - C:\sqmnoopt07.sqm
[27/04/2009 11:47|--ah-----|244] - C:\sqmnoopt08.sqm
[27/04/2009 11:52|--ah-----|244] - C:\sqmnoopt09.sqm
[27/04/2009 18:31|--ah-----|244] - C:\sqmnoopt10.sqm
[27/04/2009 18:31|--ah-----|244] - C:\sqmnoopt11.sqm
[28/04/2009 07:46|--ah-----|244] - C:\sqmnoopt12.sqm
[28/04/2009 09:27|--ah-----|244] - C:\sqmnoopt13.sqm
[28/04/2009 14:30|--ah-----|244] - C:\sqmnoopt14.sqm
[28/04/2009 15:47|--ah-----|244] - C:\sqmnoopt15.sqm
[28/04/2009 18:43|--ah-----|244] - C:\sqmnoopt16.sqm
[01/05/2009 21:47|--ah-----|244] - C:\sqmnoopt17.sqm
[01/05/2009 22:23|--ah-----|244] - C:\sqmnoopt18.sqm
[01/05/2009 22:40|--ah-----|244] - C:\sqmnoopt19.sqm
[21/03/2008 16:29|--a------|3887] - C:\temp.log
[04/08/2007 18:39|--a------|342278] - C:\TENUE DE COMPTES.zip
[04/05/2009 15:20|--a------|6712] - C:\UsbFix.txt
[06/05/2004 20:26|--a------|13] - C:\win2.log
[11/04/2009 22:54|--a------|61876] - C:\winzip.log
[30/08/2007 07:46|--ahs----|40960] - G:\Thumbs.db
################## [ Vaccination ]
# C:\autorun.inf -> Folder created by UsbFix.
# G:\autorun.inf -> Folder created by UsbFix.
################## [ Cracks / Keygens / Serials ]
C:\Documents and Settings\Guyon\Mes documents\Installation de logiciels\East-Tec.Eraser.2008.v8.8.1.100.Incl.-HAZE-\East-Tec.Eraser.2008.v8.8.1.100.Incl.Keygen-HAZE\eteraser_trial.exe
################## [ ! Fin du rapport # UsbFix V3.016 ! ]
Maintenant je n’ai plus l’accès à internet.
Je prends mon autre PC pour HijackThis.
J’ai installé de nouveau sur mon PC infécté HijackThis.
Voici son rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:42:01, on 04/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\Orange\AntivirusFirewall\Common\FSMB32.EXE
C:\Program Files\Orange\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FAMEH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\System32\ElkCtrl.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\UPSurfer Pro\UPServ.exe
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsaua.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\UPSurfer Pro\UPS.EXE
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsus.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: C:\WINDOWS\system32\jksahfo93wjfkd.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\jksahfo93wjfkd.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\System32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Orange\AntivirusFirewall\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\PPE.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Radio-TV adverts] C:\WINDOWS\TEMP\rtv_winupd.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [] C:\WINDOWS\TEMP\dkwxl5.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows Resurections] C:\WINDOWS\TEMP\dkwxl5.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\Guyon\reader_s.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.mypix.com/fr/fr/importer/ImageUploader4.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\jksahfo93wjfkd.dll
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Asrc2ewpvicm - Unknown owner - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: Service Google Update (gupdate1c9a41453673546) (gupdate1c9a41453673546) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: UPSmart - Unknown owner - C:\Program Files\UPSurfer Pro\UPServ.exe
- j'ai téléchargé UsbFix
- j'ai branché mes sources de données externes à mon PC
- j'ai double-cliquer sur le raccourci UsbFix présent sur mon bureau
- j'ai choisi l'option 1 mais le PC n'a pas redémarré comme tu me l’as annoncé dans le post 24
Par contre j'ai le rapport UsbFix.txt qui s'est affiché le voici :
############################## [ UsbFix V3.016 # Scan ]
# User : Guyon (Administrateurs) # GUYON-P5P4IIOSZ
# Update on 02/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 15:00:18 | 04/05/2009
# Intel(R) Pentium(R) 4 CPU 2.40GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled
# AV : AntiVirus Firewall 7.00 7.00 [ Enabled | Updated ]
# FW : AntiVirus Firewall 7.00[ Enabled ]7.00
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 76,32 Go (31,87 Go free) # NTFS
# D:\ # Disque amovible
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque fixe local # 149,05 Go (50,49 Go free) [Disque externe] # NTFS
############################## [ Processus actifs ]
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\Orange\AntivirusFirewall\Common\FSMB32.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\UPSurfer Pro\UPServ.exe
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsaua.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsus.exe
C:\Program Files\UPSurfer Pro\UPS.EXE
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\System32\ElkCtrl.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## [ Registre # Startup ]
HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Guyon"
HKLM_logon: "AltDefaultUserName"="Guyon"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: Synchronization Manager=%SystemRoot%\system32\mobsync.exe /logon
HKLM_Run: Smapp=C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
HKLM_Run: IMONTRAY=C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
HKLM_Run: PinnacleDriverCheck=C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
HKLM_Run: LVCOMSX=C:\WINDOWS\System32\LVCOMSX.EXE
HKLM_Run: LogitechCameraAssistant=C:\Program Files\Logitech\Video\CameraAssistant.exe
HKLM_Run: LogitechCameraService(E)=C:\WINDOWS\System32\ElkCtrl.exe /automation
HKLM_Run: Adobe Version Cue CS2="C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
HKLM_Run: F-Secure Manager="C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE" /splash
HKLM_Run: F-Secure TNB="C:\Program Files\Orange\AntivirusFirewall\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
HKLM_Run: Acrobat Assistant 7.0="C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
HKLM_Run: PCLEPCI=C:\PROGRA~1\Pinnacle\PPE\PPE.EXE
HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
HKLM_Run: Radio-TV adverts=C:\WINDOWS\TEMP\rtv_winupd.exe
HKLM_Run: reader_s=C:\WINDOWS\System32\reader_s.exe
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
HKCU_Run: msnmsgr="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
HKCU_Run: reader_s=C:\Documents and Settings\Guyon\reader_s.exe
################## [ Informations ]
################## [ Fichiers # Dossiers infectieux ]
Found ! C:\WINDOWS\services.exe
################## [ Registre # Clés Run infectieuses ]
Found ! HKLM\software\microsoft\security center\\ "FirewallOverride"
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 )
Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "reader_s"
Found ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "reader_s"
Found ! HKU\S-1-5-21-299502267-1580436667-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "reader_s"
################## [ Registre # Mountpoints2 ]
HKCU\Software\Microsoft\....\MountPoints2\F\Shell\AutoRun\command
################## [ ! Fin du rapport # UsbFix V3.016 ! ]
Maintenant j’ai refermé le rapport et
- j'ai double-cliquer sur le raccourci UsbFix présent sur mon bureau
- j'ai choisi l'option 2 le bureau a disparu et le PC a redémarré
Il a affiché un nouveau rapport le voici :
############################## [ UsbFix V3.016 # Cleaning ]
# User : Guyon () # GUYON-P5P4IIOSZ
# Update on 02/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 15:18:50 | 04/05/2009
# Intel(R) Pentium(R) 4 CPU 2.40GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled
# AV : AntiVirus Firewall 7.00 7.00 [ Enabled | Updated ]
# FW : AntiVirus Firewall 7.00[ Enabled ]7.00
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 76,32 Go (31,87 Go free) # NTFS
# D:\ # Disque amovible
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque fixe local # 149,05 Go (50,49 Go free) [Disque externe] # NTFS
############################## [ Processus actifs ]
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FSMB32.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\UPSurfer Pro\UPServ.exe
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsaua.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\licmgr.exe
C:\Program Files\UPSurfer Pro\UPS.EXE
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsus.exe
################## [ Fichiers # Dossiers infectieux ]
Deleted ! C:\WINDOWS\services.exe
################## [ Registre # Clés Run infectieuses ]
# HKLM\software\microsoft\security center\\ "FirewallOverride"
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 ) # -> Reset sucessfully !
Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "reader_s"
Deleted ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "reader_s"
################## [ Registre # Mountpoints2 ]
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\F\Shell\AutoRun\command
################## [ Listing des fichiers présent ]
[28/11/2005 22:18|--a------|0] - C:\adorage-protocol.txt
[26/04/2009 11:28|--a------|95] - C:\AUTOEXEC.BAT
[09/12/2008 11:36|-rahs----|215] - C:\boot.ini
[30/08/2002 14:00|-rahs----|4952] - C:\Bootfont.bin
[28/06/2003 10:57|-ra------|5475] - C:\CLDMA.LOG
[21/12/2002 12:39|--a------|0] - C:\CONFIG.SYS
[26/02/2008 15:30|--a------|17] - C:\GOMMETTE.INI
[?|?|?] - C:\hiberfil.sys
[21/12/2002 12:39|-rahs----|0] - C:\IO.SYS
[21/12/2002 12:39|-rahs----|0] - C:\MSDOS.SYS
[19/09/2008 17:09|-rahs----|47564] - C:\NTDETECT.COM
[24/09/2008 21:07|-rahs----|252240] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[29/08/2005 14:02|--a------|418840] - C:\pdfwport
[18/05/2008 11:17|--a------|256] - C:\rapport_clean.txt
[18/02/2008 16:06|--a------|191] - C:\s1us.3
[19/07/2004 17:36|--a------|534] - C:\s2i4
[28/03/2007 10:31|--a------|191] - C:\s30k
[06/03/2003 18:49|--a------|2418] - C:\S3es
[06/03/2003 18:49|--a------|2399] - C:\S3es.1
[06/03/2003 18:49|--a------|2429] - C:\S3es.2
[06/03/2003 18:49|--a------|2103] - C:\S3es.3
[06/03/2003 18:49|--a------|2091] - C:\S3es.4
[06/03/2003 18:49|--a------|4626] - C:\S3es.5
[09/05/2008 13:59|--a------|159] - C:\Setup.log
[04/05/2009 10:32|--ah-----|268] - C:\sqmdata00.sqm
[04/05/2009 10:41|--ah-----|232] - C:\sqmdata01.sqm
[23/04/2009 17:26|--ah-----|268] - C:\sqmdata02.sqm
[25/04/2009 16:03|--ah-----|268] - C:\sqmdata03.sqm
[26/04/2009 11:52|--ah-----|268] - C:\sqmdata04.sqm
[26/04/2009 12:13|--ah-----|268] - C:\sqmdata05.sqm
[27/04/2009 09:48|--ah-----|268] - C:\sqmdata06.sqm
[27/04/2009 11:13|--ah-----|268] - C:\sqmdata07.sqm
[27/04/2009 11:47|--ah-----|268] - C:\sqmdata08.sqm
[27/04/2009 11:52|--ah-----|268] - C:\sqmdata09.sqm
[27/04/2009 18:31|--ah-----|268] - C:\sqmdata10.sqm
[27/04/2009 18:31|--ah-----|232] - C:\sqmdata11.sqm
[28/04/2009 07:46|--ah-----|268] - C:\sqmdata12.sqm
[28/04/2009 09:27|--ah-----|268] - C:\sqmdata13.sqm
[28/04/2009 14:30|--ah-----|268] - C:\sqmdata14.sqm
[28/04/2009 15:47|--ah-----|268] - C:\sqmdata15.sqm
[28/04/2009 18:43|--ah-----|268] - C:\sqmdata16.sqm
[01/05/2009 21:47|--ah-----|268] - C:\sqmdata17.sqm
[01/05/2009 22:23|--ah-----|268] - C:\sqmdata18.sqm
[01/05/2009 22:40|--ah-----|268] - C:\sqmdata19.sqm
[04/05/2009 10:32|--ah-----|244] - C:\sqmnoopt00.sqm
[04/05/2009 10:41|--ah-----|244] - C:\sqmnoopt01.sqm
[23/04/2009 17:26|--ah-----|244] - C:\sqmnoopt02.sqm
[25/04/2009 16:03|--ah-----|244] - C:\sqmnoopt03.sqm
[26/04/2009 11:52|--ah-----|244] - C:\sqmnoopt04.sqm
[26/04/2009 12:13|--ah-----|244] - C:\sqmnoopt05.sqm
[27/04/2009 09:48|--ah-----|244] - C:\sqmnoopt06.sqm
[27/04/2009 11:13|--ah-----|244] - C:\sqmnoopt07.sqm
[27/04/2009 11:47|--ah-----|244] - C:\sqmnoopt08.sqm
[27/04/2009 11:52|--ah-----|244] - C:\sqmnoopt09.sqm
[27/04/2009 18:31|--ah-----|244] - C:\sqmnoopt10.sqm
[27/04/2009 18:31|--ah-----|244] - C:\sqmnoopt11.sqm
[28/04/2009 07:46|--ah-----|244] - C:\sqmnoopt12.sqm
[28/04/2009 09:27|--ah-----|244] - C:\sqmnoopt13.sqm
[28/04/2009 14:30|--ah-----|244] - C:\sqmnoopt14.sqm
[28/04/2009 15:47|--ah-----|244] - C:\sqmnoopt15.sqm
[28/04/2009 18:43|--ah-----|244] - C:\sqmnoopt16.sqm
[01/05/2009 21:47|--ah-----|244] - C:\sqmnoopt17.sqm
[01/05/2009 22:23|--ah-----|244] - C:\sqmnoopt18.sqm
[01/05/2009 22:40|--ah-----|244] - C:\sqmnoopt19.sqm
[21/03/2008 16:29|--a------|3887] - C:\temp.log
[04/08/2007 18:39|--a------|342278] - C:\TENUE DE COMPTES.zip
[04/05/2009 15:20|--a------|6712] - C:\UsbFix.txt
[06/05/2004 20:26|--a------|13] - C:\win2.log
[11/04/2009 22:54|--a------|61876] - C:\winzip.log
[30/08/2007 07:46|--ahs----|40960] - G:\Thumbs.db
################## [ Vaccination ]
# C:\autorun.inf -> Folder created by UsbFix.
# G:\autorun.inf -> Folder created by UsbFix.
################## [ Cracks / Keygens / Serials ]
C:\Documents and Settings\Guyon\Mes documents\Installation de logiciels\East-Tec.Eraser.2008.v8.8.1.100.Incl.-HAZE-\East-Tec.Eraser.2008.v8.8.1.100.Incl.Keygen-HAZE\eteraser_trial.exe
################## [ ! Fin du rapport # UsbFix V3.016 ! ]
Maintenant je n’ai plus l’accès à internet.
Je prends mon autre PC pour HijackThis.
J’ai installé de nouveau sur mon PC infécté HijackThis.
Voici son rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:42:01, on 04/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\Orange\AntivirusFirewall\Common\FSMB32.EXE
C:\Program Files\Orange\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FAMEH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\System32\ElkCtrl.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\UPSurfer Pro\UPServ.exe
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsaua.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\UPSurfer Pro\UPS.EXE
C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsus.exe
C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: C:\WINDOWS\system32\jksahfo93wjfkd.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\jksahfo93wjfkd.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\System32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Orange\AntivirusFirewall\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\PPE.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Radio-TV adverts] C:\WINDOWS\TEMP\rtv_winupd.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [] C:\WINDOWS\TEMP\dkwxl5.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows Resurections] C:\WINDOWS\TEMP\dkwxl5.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\Guyon\reader_s.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.mypix.com/fr/fr/importer/ImageUploader4.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\jksahfo93wjfkd.dll
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Asrc2ewpvicm - Unknown owner - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: Service Google Update (gupdate1c9a41453673546) (gupdate1c9a41453673546) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: UPSmart - Unknown owner - C:\Program Files\UPSurfer Pro\UPServ.exe
Bien,
Merci
A)- Téléchargez et lancez Winsock Fix , il peut corriger le problème et restaurer votre connexion. (Winsock Fix reconstitue les fichiers associés à la connexion réseau TCP/IP).
Ici https://www.snapfiles.com/get/winsockxpfix.html
ou là http://www.windowsfacile.com/winsock_xp_fix.html
B)- Désactive ta restauration système, comme ceci:
Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]
B)- Suppression et traitement.
1°- Télécharger sur ton Bureau OTMoveIt3 by OldTimer. http://oldtimer.geekstogo.com/OTMoveIt3.exe
2°- Double-cliquer sur OTMoveIt.exe pour le lancer.
Vérifier que Unregister Dll's and Ocx's soit coché.
3°- Dans le cadre de OTMoveIt3 : "Paste List of Files/Folders to be moved"
http://nsa01.casimages.com/img/2008/04/04/0804041233502840681.jpg
faire un copier/coller de cette liste en gras, tel quel:
:processus
explorer.exe
:files
C:\WINDOWS\system32\jksahfo93wjfkd.dll
C:\Documents and Settings\Guyon\reader_s.exe
C:\WINDOWS\TEMP\dkwxl5.exe
C:\Program Files\UPSurfer Pro\UPServ.exe
C:\Program Files\UPSurfer Pro\UPS.EXE
C:\Documents and Settings\Guyon\Mes documents\Installation de logiciels\East-Tec.Eraser.2008.v8.8.1.100.Incl.-HAZE-\East-Tec.Eraser.2008.v8.8.1.100.Incl.Keygen-HAZE
:reg
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Resurections"=-
"reader_s"=-
"[]"=-
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B2BA40A2-74F0-42BD-F434-12345A2C8953}]
:services
jso8joigm409gopgmrlgd
Asrc2ewpvicm
UPSmart
:commands
[emptytemp]
4°- Clique sur le bouton rouge MoveIt! pour lancer la suppression.
- Le résultat apparaîtra dans le cadre "Results".
Note : Copier tout ce qui se trouve dans la zone “Results” (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic-droit puis en choisissant Copier), et coller ces résultats en réponse sur le forum (clic-droit > coller).
* Clique sur "Exit" pour fermer Fermer OTMoveIt3
5°- Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.
Nécessaire après toute action dans les registres, il te sera demandé de redémarrer le pc pour achever la suppression.
C)- Ensuite réactive ta restauration système, comme ceci:
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]
NOTE: Le rapport se trouve en C:\_OTMoveIt\MovedFiles; tu ouvres le dossier et tu trouveras le rapport à poster. (fichier de ce type ********_******.log (mm/jj/aaaa_hh/mm/ss = date et horaire de la suppression)
Merci
Al.
Merci
A)- Téléchargez et lancez Winsock Fix , il peut corriger le problème et restaurer votre connexion. (Winsock Fix reconstitue les fichiers associés à la connexion réseau TCP/IP).
Ici https://www.snapfiles.com/get/winsockxpfix.html
ou là http://www.windowsfacile.com/winsock_xp_fix.html
B)- Désactive ta restauration système, comme ceci:
Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]
B)- Suppression et traitement.
1°- Télécharger sur ton Bureau OTMoveIt3 by OldTimer. http://oldtimer.geekstogo.com/OTMoveIt3.exe
2°- Double-cliquer sur OTMoveIt.exe pour le lancer.
Vérifier que Unregister Dll's and Ocx's soit coché.
3°- Dans le cadre de OTMoveIt3 : "Paste List of Files/Folders to be moved"
http://nsa01.casimages.com/img/2008/04/04/0804041233502840681.jpg
faire un copier/coller de cette liste en gras, tel quel:
:processus
explorer.exe
:files
C:\WINDOWS\system32\jksahfo93wjfkd.dll
C:\Documents and Settings\Guyon\reader_s.exe
C:\WINDOWS\TEMP\dkwxl5.exe
C:\Program Files\UPSurfer Pro\UPServ.exe
C:\Program Files\UPSurfer Pro\UPS.EXE
C:\Documents and Settings\Guyon\Mes documents\Installation de logiciels\East-Tec.Eraser.2008.v8.8.1.100.Incl.-HAZE-\East-Tec.Eraser.2008.v8.8.1.100.Incl.Keygen-HAZE
:reg
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Resurections"=-
"reader_s"=-
"[]"=-
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B2BA40A2-74F0-42BD-F434-12345A2C8953}]
:services
jso8joigm409gopgmrlgd
Asrc2ewpvicm
UPSmart
:commands
[emptytemp]
4°- Clique sur le bouton rouge MoveIt! pour lancer la suppression.
- Le résultat apparaîtra dans le cadre "Results".
Note : Copier tout ce qui se trouve dans la zone “Results” (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic-droit puis en choisissant Copier), et coller ces résultats en réponse sur le forum (clic-droit > coller).
* Clique sur "Exit" pour fermer Fermer OTMoveIt3
5°- Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.
Nécessaire après toute action dans les registres, il te sera demandé de redémarrer le pc pour achever la suppression.
C)- Ensuite réactive ta restauration système, comme ceci:
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]
NOTE: Le rapport se trouve en C:\_OTMoveIt\MovedFiles; tu ouvres le dossier et tu trouveras le rapport à poster. (fichier de ce type ********_******.log (mm/jj/aaaa_hh/mm/ss = date et horaire de la suppression)
Merci
Al.
J'ai téléchargé et lancé Winsock Fix mais sans résultat. Il a quand même redémarré le PC. Je n'ai toujours pas de connexion internet mais j'ai mon antivirus qui est revenu et j'ai fait une analyse.
La voici :
Rapport d'analyse
lundi 4 mai 2009 18:01:55 - 18:10:29
Nom de l'ordinateur: GUYON-P5P4IIOSZ
Type d'analyse: Effectuer une analyse complète de l'ordinateur
Cible : C:\ G:\ + système + rootkits
________________________________________
Résultat
Aucun antiprogramme détecté
________________________________________
Statistiques
Analysés:
• Fichiers: 0
• Non analysés: 0
Résultat:
• Virus: 0
• Spyware: 0
• Eléments suspects: 0
• Programme à risque: 0
Actions:
• Nettoyés: 0
• Renommés: 0
• Supprimés: 0
• Quarantaine: 0
• Echec: 0
Secteurs d'amorçage:
• Analysés: 0
• Infectés: 0
• Eléments suspects: 0
• Nettoyés: 0
________________________________________
Options
Version des définitions:
• Virus: 2009-05-01_02
• Spyware: 2009-05-01_02
Moteurs d'analyse :
• F-Secure AVP: 7.00.171, 2009-05-01
• F-Secure Libra: 2.04.05, 2009-04-28
• F-Secure Orion: 1.02.41, 2009-05-01
• F-Secure Draco: 1.01.00, 2006-09-19
• F-Secure BlackLight: 2.04.1093
Options d'analyse :
• Analyser les fichiers définis : COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ANI AVB BAT CEO CMD JOB JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
• Analyser le contenu des archives
Actions:
• Virus: Interroger après analyse
• Spyware: Interroger après analyse
________________________________________
Copyright © 1998-2007 Assistance produit | Envoi d'un échantillon de virus à F-Secure
F-Secure n'assume aucune responsabilité quant au matériel créé ou publié par une tierce partie et référencé par un lien dans les pages Web de F-Secure. Sauf mention contraire explicite, vous acceptez qu'en soumettant du matériel sur l'un de nos serveurs, par exemple via courrier électronique ou formulaire CGI de F-Secure, le matériel mis à disposition peut dès lors être publié sur les pages Web de F-Secure ou sur support papier. Vous accéderez au site web public de F-Secure en cliquant sur les liens soulignés. Ainsi, votre accès est enregistré dans nos statistiques privées avec votre nom de domaine. Ces informations ne sont communiquées à aucune tierce partie. Vous vous engagez à ne pas intenter de procédure judiciaire contre notre société en relation avec le matériel soumis. Sauf mention contraire explicite, F-Secure peut inclure dans ses propres produits/publications tout concept relatif au matériel mis à sa disposition, sans aucun engagement de responsabilité.
Je ne peut pas désactiver la restauration système comme tu me le demmande.
Voici la fenêtre que j'ai lorsque je fait la manip : http://senduit.com/29bf6a
!!!!
A+
La voici :
Rapport d'analyse
lundi 4 mai 2009 18:01:55 - 18:10:29
Nom de l'ordinateur: GUYON-P5P4IIOSZ
Type d'analyse: Effectuer une analyse complète de l'ordinateur
Cible : C:\ G:\ + système + rootkits
________________________________________
Résultat
Aucun antiprogramme détecté
________________________________________
Statistiques
Analysés:
• Fichiers: 0
• Non analysés: 0
Résultat:
• Virus: 0
• Spyware: 0
• Eléments suspects: 0
• Programme à risque: 0
Actions:
• Nettoyés: 0
• Renommés: 0
• Supprimés: 0
• Quarantaine: 0
• Echec: 0
Secteurs d'amorçage:
• Analysés: 0
• Infectés: 0
• Eléments suspects: 0
• Nettoyés: 0
________________________________________
Options
Version des définitions:
• Virus: 2009-05-01_02
• Spyware: 2009-05-01_02
Moteurs d'analyse :
• F-Secure AVP: 7.00.171, 2009-05-01
• F-Secure Libra: 2.04.05, 2009-04-28
• F-Secure Orion: 1.02.41, 2009-05-01
• F-Secure Draco: 1.01.00, 2006-09-19
• F-Secure BlackLight: 2.04.1093
Options d'analyse :
• Analyser les fichiers définis : COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ANI AVB BAT CEO CMD JOB JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
• Analyser le contenu des archives
Actions:
• Virus: Interroger après analyse
• Spyware: Interroger après analyse
________________________________________
Copyright © 1998-2007 Assistance produit | Envoi d'un échantillon de virus à F-Secure
F-Secure n'assume aucune responsabilité quant au matériel créé ou publié par une tierce partie et référencé par un lien dans les pages Web de F-Secure. Sauf mention contraire explicite, vous acceptez qu'en soumettant du matériel sur l'un de nos serveurs, par exemple via courrier électronique ou formulaire CGI de F-Secure, le matériel mis à disposition peut dès lors être publié sur les pages Web de F-Secure ou sur support papier. Vous accéderez au site web public de F-Secure en cliquant sur les liens soulignés. Ainsi, votre accès est enregistré dans nos statistiques privées avec votre nom de domaine. Ces informations ne sont communiquées à aucune tierce partie. Vous vous engagez à ne pas intenter de procédure judiciaire contre notre société en relation avec le matériel soumis. Sauf mention contraire explicite, F-Secure peut inclure dans ses propres produits/publications tout concept relatif au matériel mis à sa disposition, sans aucun engagement de responsabilité.
Je ne peut pas désactiver la restauration système comme tu me le demmande.
Voici la fenêtre que j'ai lorsque je fait la manip : http://senduit.com/29bf6a
!!!!
A+
Re,
Donc fais le post # 32 normalement. Merci
Ensuite, tente ceci:
Télécharge systemrestore.reg sur le bureau en cliquant sur ce lien
http://ww11.kellys-korner-xp.com/regs_edits/systemrestore.reg
1. Click droit sur le fichier " systemrestore.reg " et choisis "fusionner"
2. Une fenêtre va s'ouvrir et va te dire :" voulez-vous vraiment ajouté les informations au registre ..."
3. Click sur ok pour accepter la fusion.
Sinon, je ne vois pas.
Sauf ceci:
Restauration du système - Onglet manquant
Si les autorisations et droits d'accès sur le dossier System Volume Information sont incorrectement définis, l'onglet peut être absent des Propriétés du système. Si l'utilisateur Système ne dispose pas de droit suffisant, il arrive même que seul le dernier point de restauration reste disponible.
Pour corriger le problème:
Cliquer du bouton droit sur le dossier System Volume Information
Dans le menu contextuel, sélectionner Propriétés et cliquer sur l'onglet Sécurité.
Sélectionner l'utilisateur nommé Système et s'assurer que toutes les entrées de la colonne Autoriser sont cochées.
Note: Pour la version Familiale, ces contrôles/modifications se font en mode sans échec, dans la session Administrateur (ou Propriétaire)
Je n'y crois pas trop; donc garde ceci en réserve :
==> « Téléchargez ce petit utilitaire créé par Doug Knox :
http://www.dougknox.com/xp/utils/SysRestoreCalendar.zip
Dézippez-le sur le Bureau, puis lancez-le
Cliquez "Repair" et Redémarrez »
Al.
Donc fais le post # 32 normalement. Merci
Ensuite, tente ceci:
Télécharge systemrestore.reg sur le bureau en cliquant sur ce lien
http://ww11.kellys-korner-xp.com/regs_edits/systemrestore.reg
1. Click droit sur le fichier " systemrestore.reg " et choisis "fusionner"
2. Une fenêtre va s'ouvrir et va te dire :" voulez-vous vraiment ajouté les informations au registre ..."
3. Click sur ok pour accepter la fusion.
Sinon, je ne vois pas.
Sauf ceci:
Restauration du système - Onglet manquant
Si les autorisations et droits d'accès sur le dossier System Volume Information sont incorrectement définis, l'onglet peut être absent des Propriétés du système. Si l'utilisateur Système ne dispose pas de droit suffisant, il arrive même que seul le dernier point de restauration reste disponible.
Pour corriger le problème:
Cliquer du bouton droit sur le dossier System Volume Information
Dans le menu contextuel, sélectionner Propriétés et cliquer sur l'onglet Sécurité.
Sélectionner l'utilisateur nommé Système et s'assurer que toutes les entrées de la colonne Autoriser sont cochées.
Note: Pour la version Familiale, ces contrôles/modifications se font en mode sans échec, dans la session Administrateur (ou Propriétaire)
Je n'y crois pas trop; donc garde ceci en réserve :
==> « Téléchargez ce petit utilitaire créé par Doug Knox :
http://www.dougknox.com/xp/utils/SysRestoreCalendar.zip
Dézippez-le sur le Bureau, puis lancez-le
Cliquez "Repair" et Redémarrez »
Al.
Je n'ai pas pu désactiver ma restauration système car il me refuse de cocher la case.
Donc j'ai continuer en faisant :
B)- Suppression et traitement.
1°- Télécharger sur ton Bureau OTMoveIt3 by OldTimer. http://oldtimer.geekstogo.com/OTMoveIt3.exe
2°- Double-cliquer sur OTMoveIt.exe pour le lancer.
Vérifier que Unregister Dll's and Ocx's soit coché.
3°- Dans le cadre de OTMoveIt3 : "Paste List of Files/Folders to be moved"
j'ai fais un copier/coller de ta liste en gras.
4°- j'ai cliqué sur le bouton rouge MoveIt! pour lancer la suppression.
- Le résultat est apparu dans le cadre "Results" comme annoncé. Mais je n'est pas pu le copier.
Par contre il me demander de redémarrer, c'est ce que j'ai fait en cliquant sur Yes.
Lorqu'il à redémarré, j'avais un bloc note affiché :
Error: Unable to interpret <:processus > in the current context!
Error: Unable to interpret <explorer.exe > in the current context!
========== FILES ==========
File/Folder C:\WINDOWS\system32\jksahfo93wjfkd.dll not found.
File/Folder C:\Documents and Settings\Guyon\reader_s.exe not found.
File/Folder C:\WINDOWS\TEMP\dkwxl5.exe not found.
File/Folder C:\Program Files\UPSurfer Pro\UPServ.exe not found.
File/Folder C:\Program Files\UPSurfer Pro\UPS.EXE not found.
File/Folder C:\Documents and Settings\Guyon\Mes documents\Installation de logiciels\East-Tec.Eraser.2008.v8.8.1.100.Incl.-HAZE-\East-Tec.Eraser.2008.v8.8.1.100.Incl.Keygen-HAZE not found.
========== REGISTRY ==========
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Resurections not found.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\reader_s not found.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\[] not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B2BA40A2-74F0-42BD-F434-12345A2C8953}\\ deleted successfully.
========== SERVICES/DRIVERS ==========
Service\Driver jso8joigm409gopgmrlgd not found.
Service\Driver jso8joigm409gopgmrlgd not found.
Service\Driver Asrc2ewpvicm not found.
Service\Driver Asrc2ewpvicm not found.
Service\Driver UPSmart not found.
Service\Driver UPSmart not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Guyon\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\nvcbin.def.76167175.TMP scheduled to be deleted on reboot.
Windows Temp folder emptied.
Temp folders emptied.
OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05042009_202122
Files moved on Reboot...
C:\WINDOWS\temp\nvcbin.def.76167175.TMP moved successfully.
ensuite j'ai continué en faisant comme le post 34
Télécharge systemrestore.reg sur le bureau en cliquant sur ce lien
http://ww11.kellys-korner-xp.com/regs_edits/systemrestore.reg
1. Click droit sur le fichier " systemrestore.reg " et choisis "fusionner"
2. Une fenêtre va s'ouvrir et va te dire :" voulez-vous vraiment ajouté les informations au registre ..."
3. Click sur ok pour accepter la fusion.
Comme en MSE c'était pareil j'ai
==> « Téléchargez ce petit utilitaire créé par Doug Knox :
http://www.dougknox.com/xp/utils/SysRestoreCalendar.zip
mais le PC refuse de le déziper.
J'ai essayé de redémarrer le PC mais il ne veut pas se fermer. Si je veux le fermer ou le démarrer je suis obligé de le forcer.
Je pense qu'un reformatage serait la meilleur solution car je n'arrive plus à rien le PC infécté refuse tout !!!
A+
Donc j'ai continuer en faisant :
B)- Suppression et traitement.
1°- Télécharger sur ton Bureau OTMoveIt3 by OldTimer. http://oldtimer.geekstogo.com/OTMoveIt3.exe
2°- Double-cliquer sur OTMoveIt.exe pour le lancer.
Vérifier que Unregister Dll's and Ocx's soit coché.
3°- Dans le cadre de OTMoveIt3 : "Paste List of Files/Folders to be moved"
j'ai fais un copier/coller de ta liste en gras.
4°- j'ai cliqué sur le bouton rouge MoveIt! pour lancer la suppression.
- Le résultat est apparu dans le cadre "Results" comme annoncé. Mais je n'est pas pu le copier.
Par contre il me demander de redémarrer, c'est ce que j'ai fait en cliquant sur Yes.
Lorqu'il à redémarré, j'avais un bloc note affiché :
Error: Unable to interpret <:processus > in the current context!
Error: Unable to interpret <explorer.exe > in the current context!
========== FILES ==========
File/Folder C:\WINDOWS\system32\jksahfo93wjfkd.dll not found.
File/Folder C:\Documents and Settings\Guyon\reader_s.exe not found.
File/Folder C:\WINDOWS\TEMP\dkwxl5.exe not found.
File/Folder C:\Program Files\UPSurfer Pro\UPServ.exe not found.
File/Folder C:\Program Files\UPSurfer Pro\UPS.EXE not found.
File/Folder C:\Documents and Settings\Guyon\Mes documents\Installation de logiciels\East-Tec.Eraser.2008.v8.8.1.100.Incl.-HAZE-\East-Tec.Eraser.2008.v8.8.1.100.Incl.Keygen-HAZE not found.
========== REGISTRY ==========
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Resurections not found.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\reader_s not found.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\[] not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B2BA40A2-74F0-42BD-F434-12345A2C8953}\\ deleted successfully.
========== SERVICES/DRIVERS ==========
Service\Driver jso8joigm409gopgmrlgd not found.
Service\Driver jso8joigm409gopgmrlgd not found.
Service\Driver Asrc2ewpvicm not found.
Service\Driver Asrc2ewpvicm not found.
Service\Driver UPSmart not found.
Service\Driver UPSmart not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Guyon\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\nvcbin.def.76167175.TMP scheduled to be deleted on reboot.
Windows Temp folder emptied.
Temp folders emptied.
OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05042009_202122
Files moved on Reboot...
C:\WINDOWS\temp\nvcbin.def.76167175.TMP moved successfully.
ensuite j'ai continué en faisant comme le post 34
Télécharge systemrestore.reg sur le bureau en cliquant sur ce lien
http://ww11.kellys-korner-xp.com/regs_edits/systemrestore.reg
1. Click droit sur le fichier " systemrestore.reg " et choisis "fusionner"
2. Une fenêtre va s'ouvrir et va te dire :" voulez-vous vraiment ajouté les informations au registre ..."
3. Click sur ok pour accepter la fusion.
Comme en MSE c'était pareil j'ai
==> « Téléchargez ce petit utilitaire créé par Doug Knox :
http://www.dougknox.com/xp/utils/SysRestoreCalendar.zip
mais le PC refuse de le déziper.
J'ai essayé de redémarrer le PC mais il ne veut pas se fermer. Si je veux le fermer ou le démarrer je suis obligé de le forcer.
Je pense qu'un reformatage serait la meilleur solution car je n'arrive plus à rien le PC infécté refuse tout !!!
A+
Hé oui.
J'en avais parler dès le post # 3.
Dès qu'on rate d'emblée une application en MSE et une autre avec la Restauration Système, on n'y échappe que rarement (au formatage).
Cela d'autant que je demandais de "désactiver la restauration système" aux postes # 9D) , 13 et 18 sans réaction de ta part quant à l'impossibilité de le faire sous ton Windows XP Édition familiale; et moi qui n'y ai jamais songé non plus (pourtant, la dernière version devait le permettre moyennant des droits d'accès, je pense; et en MSE). Mais Windows XP Édition familiale n'est pas ma tasse de thé. ;)
Puisque tu choisis le formatage, essaie de remplacer ton OS par un Windows XP-Pro (tu trouves ça facilement à un prix modique avec son CD d'installation + SP3 + Office XP-->sauf si tu as OpenOffice.org dernière version.
Surtout, et je pense que tu l'as remarqué, remplace ton F-Secure qui laisse passer --> vois la différence entre l'analyse UsbFix qui trouve infection et F-Secure qui ne trouve rien à la suite. ==> NOTE: idem avec AVAST !
Et ne joue plus avec les cracks !!
Désolé.
Merci pour ta collaboration.
Al.
J'en avais parler dès le post # 3.
Dès qu'on rate d'emblée une application en MSE et une autre avec la Restauration Système, on n'y échappe que rarement (au formatage).
Cela d'autant que je demandais de "désactiver la restauration système" aux postes # 9D) , 13 et 18 sans réaction de ta part quant à l'impossibilité de le faire sous ton Windows XP Édition familiale; et moi qui n'y ai jamais songé non plus (pourtant, la dernière version devait le permettre moyennant des droits d'accès, je pense; et en MSE). Mais Windows XP Édition familiale n'est pas ma tasse de thé. ;)
Puisque tu choisis le formatage, essaie de remplacer ton OS par un Windows XP-Pro (tu trouves ça facilement à un prix modique avec son CD d'installation + SP3 + Office XP-->sauf si tu as OpenOffice.org dernière version.
Surtout, et je pense que tu l'as remarqué, remplace ton F-Secure qui laisse passer --> vois la différence entre l'analyse UsbFix qui trouve infection et F-Secure qui ne trouve rien à la suite. ==> NOTE: idem avec AVAST !
Et ne joue plus avec les cracks !!
Désolé.
Merci pour ta collaboration.
Al.
Re,
Bonjour,
A)- Le pc m'affiche " La restauration système a été mise hors tension par la stratégie de groupe."
Tout est expliqué ici "La Restauration système et le Registre Windows"
==> http://www.hotline-pc.org/restauration.htm
Notamment pour désactiver la restauration système
==> Démarrer > Exécuter > tapez regedit et validez par [OK]
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT --> ouvrir "SystemRestore"
=> dans la fenetre de droite supprimer les 2 valeurs:
"DisableConfig" = "0"
"DisableSR" = "0"
B)- Formatage
http://poloastucien.free.fr/le_formatage.html
http://www.teamatic.net
Je ne peux aller plus avant.
Je dois m'absenter.
Je ne suis pas à l'aise ==> jamais fait de formatage, surtout de "bas niveau", ou de "remise à zero".
Al.
Bonjour,
A)- Le pc m'affiche " La restauration système a été mise hors tension par la stratégie de groupe."
Tout est expliqué ici "La Restauration système et le Registre Windows"
==> http://www.hotline-pc.org/restauration.htm
Notamment pour désactiver la restauration système
==> Démarrer > Exécuter > tapez regedit et validez par [OK]
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT --> ouvrir "SystemRestore"
=> dans la fenetre de droite supprimer les 2 valeurs:
"DisableConfig" = "0"
"DisableSR" = "0"
B)- Formatage
http://poloastucien.free.fr/le_formatage.html
http://www.teamatic.net
Je ne peux aller plus avant.
Je dois m'absenter.
Je ne suis pas à l'aise ==> jamais fait de formatage, surtout de "bas niveau", ou de "remise à zero".
Al.
Bonjour,
J'ai fini le formatage avec le tuto de http://www.teamatic.net/
Il est très bien expliqué.
J'ai intallé BitDefender (j'espère avoir fait le bon choix).
Tous vas bien maintenant.
Je te remeçie d'avoir prit du temps avec moi pour essayer de réparer mon PC infécté.
Marc.
J'ai fini le formatage avec le tuto de http://www.teamatic.net/
Il est très bien expliqué.
J'ai intallé BitDefender (j'espère avoir fait le bon choix).
Tous vas bien maintenant.
Je te remeçie d'avoir prit du temps avec moi pour essayer de réparer mon PC infécté.
Marc.
Merci
Encore bravo à toi.
Les circonstances (XP-Edition Familial) ont eu raison de nos applications.
Bien à vous deux.
Al.
Encore bravo à toi.
Les circonstances (XP-Edition Familial) ont eu raison de nos applications.
Bien à vous deux.
Al.
Bonsoir,
J'ai besoin de toi encore une fois.
J'avais utilisé mon PC portable pour faire la liaison avec toi pour pouvoir dépanner le problème viral que j'avais eu avec mon pc infécté. Ce dernier fonctionne à la perfection maintenant depuis que j'ai reformaté.
Mais j'ai récupéré un trojan sur mon PC portable peut tu m'aider à le virer.
J'ai reformaté ce PC portable et j'ai toujours le trojan que Bitdefender m'a trouvé c'est celui ci :
Gen:Trojan.Heur.A423DCE978
Infecté : C:\System Volume Information\_restor...-566B-437B-A762-213EF381532E}\RP2\A0000940.exe
Merci
MG
J'ai besoin de toi encore une fois.
J'avais utilisé mon PC portable pour faire la liaison avec toi pour pouvoir dépanner le problème viral que j'avais eu avec mon pc infécté. Ce dernier fonctionne à la perfection maintenant depuis que j'ai reformaté.
Mais j'ai récupéré un trojan sur mon PC portable peut tu m'aider à le virer.
J'ai reformaté ce PC portable et j'ai toujours le trojan que Bitdefender m'a trouvé c'est celui ci :
Gen:Trojan.Heur.A423DCE978
Infecté : C:\System Volume Information\_restor...-566B-437B-A762-213EF381532E}\RP2\A0000940.exe
Merci
MG
Tout d'abord merci pour ton aide.
J'ai téléchargé sur ftp://ftp.kaspersky.com/devbuilds/AVPTool/ la dernière version de Virus Removal Tool setup_7.0.0.290_29.04.2009_08-50 sur une clé USB depuis un autre ordinateur, car mon PC infecté ne voulais pas se connecter à l'adresse que tu m'indiqué.
J'ai suivi ton protocole avant de lancer le scan, mais sans redémarrer en mode sans échec car ce dernier a accepter l'installation et l'ouverture du logiciel ci dessus.
Par contre le scan est démarré depuis plus 24 heures maintenant et il n'a scanné que 10%. Il m'indique déjà 408 infections et m'annonce une fin de scan le 09/05/09 à 08H00.
Est ce normal que cela soit si long ?
Merci.
PS si plusieurs messages c'est normal car je n'arrivé plus à me connecter sur le site avec mon profil.