Sujet Précédent Sujet Suivant

Gestionnaire des taches detournés !!!

Need_Help -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour tout le monde.
**********Désolé pour le double post ( Windows / securié virus ), je me suis gouré au depart dans windows ********** Merci de votre comprehension
Voilà, il y a eu un bon moment de cela ( Mois de Février ), j'avais mon PC , infecté par un tas de de virus ( en occurrence le script VBS winjpg.jpg) .
Donc pour ne pas encore une fois faire un reformatage mon disque, j'ai entrepris une grande campagne de désinfection.
J'ai passer un tas de logiciel ( Antivirus, Anti-Malware, Anti-Spyware, Ccleaner,Argente Disk Ccleaner, ... ) en suivant plusieurs méthodes standard de désinfection plusieurs fois.
Mais, je me suis retrouver avec un PC apparemment sain qui à quelque chose près... car je remarque :
** un ralentissement des plus en plus fréquent malgré le grand nettoyage
** des redémarrages ou mise en veille sans explications

En plus des deux remarques ci-dessus, j'ai mon Gestionnaire des Taches détourné par un Script : "C:\WINDOWS\winjpg.jpg"
Bien que je me sois debarrasser de ce script dans la desinfection, lorsque je fait " ALT+CTRL+suppr " ou "Taskmgr par Executer", je tombe sur le même message : "Impossible de trouver le fichier script C:\windows\winjpg.jpg".
J'ai verifié la valeur de taskmgr dans la base des registre mais le problème n'est pas a ce niveau.

Vous auriez des solutions pour moi ?
Merci d'avance pur vtre aide.
A voir également:

40 réponses

Précédent
  • 1
  • 2
Réponse 21 / 40
Need_Help
 
Je suis sommé d'eteindre le Pc mais je reviens tres vite demain a 8h GMT soit 10h heure de france pour la suite des instructions.
Merci Bcp de votre aide.
J'aurais aussi des questions à poser car je suis Passionné et autodidacte ( Geek ? )
0
Réponse 22 / 40
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Bien .... ^^

Supprimes tout ce qui se trouve dans la quarantaine de Malwarebytes .

MBAM a déniché des traces de Navipromo ... On va vérifier cela plus profondemment :

Télécharge Navilog1 sur ton bureau :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

!! Déconnecte toi,désactive tes défenses( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valide .
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***

Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite .

(Le rapport est en outre sauvegardé à la racine du disque "C\:fixnavi.txt" )

TUTO (aide) : http://www.malekal.com/Adware.Magic_Control.php#mozTocId595901

0
Réponse 23 / 40
Need_Help
 
Up
C'est tout ? c'est fini ?
J'ai regarder dans le onglet Quarantaine de MBAM, et il y a des "fichiers" en quarantaine dont les malware que j'ai supprimer lors de la campagne de desinfection, qu'est-ce que je fais ? Je les supprime ?
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,

Tu supprimes TOUT ce qui se trouve dans la quarantaine de Malwarebytes .


et on n'a pas terminé ! ... ;)


la suite je te l'ai donné ici > http://www.commentcamarche.net/forum/affich 12409450 gestionnaire des taches detournes?page=2#29

j'attends le rapport demandé ....

0
Help_Me > sKe69 Messages postés 21955 Statut Contributeur sécurité
 
Oups, j'ai pas fait attention que l'on a changer de page ... :s
( Je pensais que mes messages ne passait pas ou que t'avais pas encore répondu ).
Ok, je me lance dans la suite .

Rapport:

Search Navipromo version 3.7.6 commencé le 12/05/2009 à 10:59:56,26

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.40GHz )
BIOS : Default System BIOS
USER : Administrateur ( Administrator )
BOOT : Normal boot

Antivirus : Doctor Web Anti-Virus 5.0.1.04160 (Activated)


A:\ (USB)
C:\ (Local Disk) - NTFS - Total:37 Go (Free:31 Go)
D:\ (CD or DVD)


Recherche executé en mode normal


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 12/05/2009 à 11:06:33,10 ***
0
Réponse 24 / 40
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Bon ...c'est clean de se côté là ...

On poursuit :

Télécharge Ad-remover ( de C_XX ) sur ton bureau ( et pas ailleurs!) :

http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

! Déconnecte toi et ferme toutes application en cours ( navigarteur compris ) !

* Clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installe par défaut .
* Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
* Au menu principal choisis l'option "A" et tape sur [entrée] .

Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin .

( le rapport est sauvegardé aussi sous C:\Ad-report.log )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Site de l'auteur > http://pagesperso-orange.fr/NosTools/ad_remover.html

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 40
Need_Help
 
Rapport:

------- LOGFILE OF AD-REMOVER 1.1.3.7 | ONLY XP/VISTA -------

Updated by C_XX on 11/05/2009 at 16:00
Contact: AdRemover.contact@gmail.com
Website: http://pagesperso-orange.fr/NosTools/ad_remover.html

Start at: 11:42:22, 12/05/2009 | Boot mode: Normal Boot
Option: Scan | Executed from: C:\Program Files\Ad-remover\
Operating System: Microsoft® Windows XP™ Service Pack 3 (version 5.1.2600)
Computer Name: POSTE9
Current User: Administrateur - Administrator
Drive(s):
- C:\ (File System: NTFS)

============ Known Adwares Found ============

.
.

+-----------------| Eorezo Elements Found:

.

+-----------------| It's TV Elements Found:

.

+-----------------| Sweetim Elements Found:

.

+-----------------| Added Scan:

---- Mozilla FireFox Version 3.0.10 ----

ProfilePath: 1kcdgchp.default (Administrateur)
.
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.0.10");
.

---- Internet Explorer Version 8.0.6001.18702 ----

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Search Page: hxxp://www.google.com
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Start Page: hxxp://fr.msn.com/?ocid=iehp

[HKEY_USERS\S-1-5-21-1390067357-2077806209-725345543-500\..\Internet Explorer\Main]

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Search Page: hxxp://www.google.com
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Start Page: hxxp://fr.msn.com/?ocid=iehp

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://fr.msn.com/

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

Tabs: hxxp://ieframe.dll/tabswelcome.htm

=========== Suspicious ==========

+---------------------------------------------------------------------------+

2074 Byte(s) - C:\Ad-Report-Scan-12.05.2009.log

1 File(s) - C:\Program Files\Ad-remover\BACKUP
0 File(s) - C:\Program Files\Ad-remover\QUARANTINE

End at: 12:00:33 | 12/05/2009
.
+-----------------| E.O.F
.
0
Réponse 26 / 40
Need_Help
 
Rapport GenProc 2.544 [1]
@ 12/05/2009 à 12:17:41
@ Windows XP
@ Internet Explorer (8.0.6001.18702) [Navigateur par défaut]

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :

Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
- C:\Program Files\EsetOnlineScanner\log.txt

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

Je sens que le PC à regagner en vitesse ( exploration des fichiers, ouverture de fichiers )
Les seules soucis qu'il reste pour l'instant, c'est :
* MBAM qui ralenti au maximum le poste lorsque je le demarre pour l'executer.
* Lorsque je cherche à utiliser des fichiers graver sur CD ( Setup de Logiciel pour installation ) ou meme sur le disque, la fenêtre ne répond plus, et j'ai un ralentissement general du PC. Avant, je n'avais pas ces problemes là ...
Qu'est-ce que je peux faire pour cela ?
0
Réponse 27 / 40
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,

Désinstalle "Virus Removal Tool" , cela fera déjà pas mal de bien ...

on fera un check-up en fin de procédure ....

On poursuit ...

dans l'ordre :

1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnecte toi et ferme bien toutes tes applications en cours .

Lances le .
*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

( garde CCleaner et Malwarebytes : très utiles ! )

======================================

2- Refais un coup de CCleaner ( registre compris ) .

======================================

3- Retélécharge et réinstalle hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharge et installe le logiciel HijackThis :

ici http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

======================================

4- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).

======================================

5- Fais ce scan en ligne pour vérifier :

( Désactive DrWeb le temps du scan ; ne rien faire d'autre avec le PC durant le scan ! )

Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...).
- On va te demander de télécharger un contôle active x, accepte .
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer.
- Sauvegarde le rapport qui sera généré, puis copie/colle le dans ta prochaine réponse pour analyse et attends la suite ...

--> tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

Note :
*Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.

*S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer !

0
Réponse 28 / 40
Need_Help
 
[ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\fixnavi.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\GenProc: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Navilog1.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Ad-remover.lnk: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Genproc - Raccourci.lnk: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Trousses à outils\HijackThis.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Trousses à outils\HJTInstall.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Trousses à outils\UsbFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Ad-remover: trouvé !
C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\GenProc\outil\hijackthis.log: trouvé !
C:\GenProc\Page\GenProc[*].html: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\Ad-remover\BACKUP\Ad-R.exe: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Administrateur\Bureau\Navilog1.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\Ad-remover.lnk: supprimé !
C:\Documents and Settings\Administrateur\Bureau\Trousses à outils\HijackThis.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\Trousses à outils\HJTInstall.exe: supprimé !
C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Program Files\Ad-remover\BACKUP\Ad-R.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\fixnavi.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Administrateur\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\Genproc - Raccourci.lnk: supprimé !
C:\Documents and Settings\Administrateur\Bureau\Trousses à outils\UsbFix.exe: supprimé !
C:\GenProc\outil\hijackthis.log: supprimé !
C:\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\GenProc: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Ad-remover: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Ad-remover: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
0
Need_Help
 
Ouch... J'ai un problème au point 4.
Je ne peux pas désactiver la restauration système pour la purger. La case est grisée avec le message suivant : "Mettre Restauration Système Hors-Tension(Désactiver par la stratégie de groupe)". J'ai pensé que c'était Argente - Disk Ccleaner avec son mode de restauration en hibernation mais apparemment c'est pas lui.
Je peux ouvrir la stratégie de groupe mais je ne sais pas où aller pour rétablir le paramètre.
Je saute cette étape ?
0
Réponse 29 / 40
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Re ,

on va réglé ce petit probléme de suite :

Télécharge se petit soft , ZEB_RESTORE :

ici http://telechargement.zebulon.fr/zeb-restore.html
ou https://forum.zebulon.fr/index.php?act=attach&type=blogentry&id=1153

Enregistre ce fichier sur ton bureau.

-Clique droit Zeb-Restore.zip ==> "Extraire tout" choisis comme lieu d'enregistrement le bureau.
-Ouvre le dossier ZR_1.0.0.37 ==> double clique sur Zeb-Restore.exe
---> Coche les cases devant ( et uniquement celles-ci ! ) :

* Policies : remet en place des éléments désactivés par "Policies"
* restauration du système : répare l'option "restauration du système" ...

-Clique sur : " Restaurer " et laisse faire ( c'est assez rapide ) ....

--> Une fois fait, redémarre ton PC pour que les répartions prennent effet .

Normalement , tu vas pouvoir faire la purge de la restauration systéme ...
Si cela n'a pas fonctionné , fait m'en part ... sinon tu enchaines ... ;)

0
Réponse 30 / 40
Need_Help
 
Je suis de retour :
Apparemment j'ai des fichiers infectés qui sont rester dans la quarantaine de Dr Web...

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, May 12, 2009 7:00:23 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 12/05/2009
Enregistrements dans la base antivirus Kaspersky : 1963933
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\

Statistiques de l'analyse:
Total d'objets analysés: 57243
Nombre de virus trouvés: 3
Nombre d'objets infectés: 6 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 00:55:43

Nom de l'objet infecté / Nom du virus / Dernière action
C:\autorun.inf\lpt3.This folder was created by UsbFix L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\DoctorWeb\spiderml.log L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\IETldCache\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{3F2B528F-3F0B-11DE-94F3-000874F1AC4C}.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\{2920F3E6-3F0D-11DE-94F3-000874F1AC4C}.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\mariluise@hotmail.fr\Sharing Folders\autorun.inf Infecté : Virus.Win32.AutoIt.f ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\MSHist012009051220090513\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temp\~DFAD70.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temp\~DFF1B3.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\DrWeb\Infected.!!!\Bouaké Election.exe.73BF79AC Infecté : Trojan.Win32.Agent.kkh ignoré
C:\Program Files\DrWeb\Infected.!!!\Design and Technolog_Fichiers.exe.65D1FA48 Infecté : Worm.Win32.Delf.dw ignoré
C:\Program Files\DrWeb\Infected.!!!\FEVRIER 2009.exe.F6997C9 Infecté : Trojan.Win32.Agent.kkh ignoré
C:\Program Files\DrWeb\Infected.!!!\Flashy.exe.5D5C78D5 Infecté : Trojan.Win32.Agent.kkh ignoré
C:\Program Files\DrWeb\Infected.!!!\jules_Fichiers.exe.63BE60FA Infecté : Worm.Win32.Delf.dw ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\tracking.log L'objet est verrouillé ignoré
C:\System Volume Information\_restore{CFF87CF0-A6D3-4C84-8830-C437D81E6A42}\RP1\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.
0
Réponse 31 / 40
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Effectivement ...

A moins que tu en fasse la collection , purge la quarantaine de Dr Web ! ... ;))

Sinon , y en reste une merde au niveau de messenger ...

fais ceci :

Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.

http://oldtimer.geekstogo.com/OTMoveIt3.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double clique sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous, 

:processes
explorer.exe

:Services

:Reg

:Files
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\mariluise@hotmail.fr\Sharing Folders\autorun.inf 

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTMoveIt , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

0
Réponse 32 / 40
Need_Help
 
:S
Je suis aller un vite on dirait, j'ai squatté le Log et j'ai suivi le chemin du Fichier infecter dans MSN messenger et je l'ai effacer manuellement et vider la corbeille. C'est mal ? En plus il y a un autre fichier dans Sharing Folder "kht" qui est apparemment un fichier système ( mais qui ne se trouve pas dans les autres sharing folder des autre adresses. Je l'efface aussi ?
Aussi, j'ai mon ami qui a utiliser sa clé USB pendant mon absence ( dans laquelle il y avait un autorun.inf ) sur le Pc lors de l'analyse Kaspersky online, Et là, j'ai peur que cela ait corrompu tout le travail effectuer jusque maintenant dans la base de registre ...
Qu'est-ce que je fais ? le C:\ est vacciné mais et la base de registre ?
0
Réponse 33 / 40
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,

faudrai pas poussé non plus ! ... On est pas entraint de faire du tricop là ! ...

On désinfecte le PC ... et je t'ai dis que tu avais une infection par support amovible et de branché toutes les unité externe que conserne le PC ...

bref on est reparti pour un tour ... et j'aimerai que tu fasses ce que je te demande ( le coup d'OTMoveIt , moyen .... )

donc laisse tombé OTmoveIT et on reprend depuis le début :

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Ferme bien toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...

( Note : Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.)

-> laisse faire le scan et ne touche pas au PC ...

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante ... si tu essaies de poster les deux en même temps,
cela risque d'être trop long pour le forum ...
Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ...

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

0
Need_Help
 
Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-05-13 17:44:22
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 32 GB (85%) free of 38 GB
Total RAM: 254 MB (17% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:44:42, on 13/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\DrWeb\SpIDerAgent.exe
C:\Program Files\DrWeb\spiderml.exe
C:\PROGRA~1\DrWeb\spiderui.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Doctor Web\Scanning Engine\dwengine.exe
C:\PROGRA~1\DrWeb\spidernt.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SpIDerAgent] "C:\Program Files\DrWeb\SpIDerAgent.exe"
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spiderui.exe /agent
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O23 - Service: Dr.Web Scanning Engine (DrWebEngine) (DrWebEngine) - Doctor Web, Ltd. - C:\Program Files\Fichiers communs\Doctor Web\Scanning Engine\dwengine.exe
O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\spidernt.exe
0
Réponse 34 / 40
Need_Help
 
info.txt logfile of random's system information tool 1.06 2009-05-13 17:44:48

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
aMSN 0.97.2-->C:\Program Files\aMSN\uninstall.exe
Argente - Disk Cleaner 1.2.0.3-->"C:\Program Files\Argente Software\Argente - Disk Cleaner\unins000.exe"
Audacity 1.2.6-->"C:\Program Files\Audacity\unins000.exe"
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
CyberCafePro Client Version 5 (Remove Only)-->"C:\Program Files\CCP Client\unins000.exe"
Dr.Web anti-virus for Windows 5.0-->MsiExec.exe /I{2BD3661D-1384-4EF4-9E5C-DFDB8EE6E3EA}
Easy Video Downloader v. 2.1-->"C:\Program Files\Easy Video Downloader\unins000.exe"
Game Booster-->"C:\Program Files\IObit\Game Booster\unins000.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Intel(R) Extreme Graphics Driver-->RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx PCI\VEN_8086&DEV_2562
Intel(R) PRO Network Connections Drivers-->Prounstl.exe
Kaspersky Online Scanner-->C:\WINDOWS\system32\KASPER~1\KASPER~1\kavuninstall.exe
Kaspersky On-line Scanner-->C:\WINDOWS\system32\KASPER~1\KASPER~1\kavuninstall.exe
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Mise à jour pour Windows Internet Explorer 8 (KB968220)-->"C:\WINDOWS\ie8updates\KB968220-IE8\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Mozilla Firefox (3.0.10)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
SuperCopier2-->"C:\Program Files\SuperCopier2\SC2Uninst.exe"
VLC media player 0.9.9-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe
Yahoo! Messenger-->C:\PROGRA~1\Yahoo!\MESSEN~1\UNWISE.EXE /U C:\PROGRA~1\Yahoo!\MESSEN~1\INSTALL.LOG
Yu-Gi-Oh Virtual Battle 5.19-->C:\Program Files\Yu-Gi-Oh Virtual Battle 5\Uninstal.exe
Zeb-Utility 1.2-->C:\Program Files\Zeb-Utility\Uninstal.exe

======Security center information======

AV: Doctor Web Anti-Virus

======System event log======

Computer Name: POSTE9
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Gestionnaire de connexions d'accès distant.

Record Number: 2663
Source Name: Service Control Manager
Time Written: 20090426100811.000000+000
Event Type: Informations
User: POSTE9\Administrateur

Computer Name: POSTE9
Event Code: 7036
Message: Le service Téléphonie est entré dans l'état : en cours d'exécution.

Record Number: 2662
Source Name: Service Control Manager
Time Written: 20090426100811.000000+000
Event Type: Informations
User:

Computer Name: POSTE9
Event Code: 7036
Message: Le service Compatibilité avec le Changement rapide d'utilisateur est entré dans l'état : en cours d'exécution.

Record Number: 2661
Source Name: Service Control Manager
Time Written: 20090426100811.000000+000
Event Type: Informations
User:

Computer Name: POSTE9
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Compatibilité avec le Changement rapide d'utilisateur.

Record Number: 2660
Source Name: Service Control Manager
Time Written: 20090426100811.000000+000
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: POSTE9
Event Code: 7036
Message: Le service Services Terminal Server est entré dans l'état : en cours d'exécution.

Record Number: 2659
Source Name: Service Control Manager
Time Written: 20090426100811.000000+000
Event Type: Informations
User:

=====Application event log=====

Computer Name: POSTE9
Event Code: 105
Message:
Record Number: 5
Source Name: CCPCLI4
Time Written: 20090503105812.000000+000
Event Type: Informations
User:

Computer Name: POSTE9
Event Code: 1800
Message: Le service Centre de sécurité Windows a démarré.

Record Number: 4
Source Name: SecurityCenter
Time Written: 20090503102709.000000+000
Event Type: Informations
User:

Computer Name: POSTE9
Event Code: 13
Message:
Record Number: 3
Source Name: SPIDERNT
Time Written: 20090503102659.000000+000
Event Type: Informations
User:

Computer Name: POSTE9
Event Code: 146
Message: Shiled Lite has NOT been loaded
Record Number: 2
Source Name: Dr.Web Engine
Time Written: 20090503102655.000000+000
Event Type: Informations
User:

Computer Name: POSTE9
Event Code: 105
Message:
Record Number: 1
Source Name: CCPCLI4
Time Written: 20090503102654.000000+000
Event Type: Informations
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 7, GenuineIntel
"PROCESSOR_REVISION"=0207
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

Je suis vraiment désolé ...pour le manque de rigueur ... :(
0
Réponse 35 / 40
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Oufff... le PC n'as pas été réinfecté ...

la vaccination à tenu son rôle ...

mais cette clé est surement infecté ...

on va réutilisé UsbFix avec cette fameuse clé branchée au PC pour vérifier :

Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !

--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html
0
Réponse 36 / 40
Need_Help
 
############################## [ UsbFix V3.018 # Scan ]

# User : Administrateur (Administrateurs) # POSTE9
# Update on 11/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 18:55:12 | 13/05/2009

# Intel(R) Pentium(R) 4 CPU 2.40GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : Doctor Web Anti-Virus 5.0.1.04160 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 37,28 Go (31,71 Go free) # NTFS
# D:\ # Disque CD-ROM
# F:\ # Disque amovible # 970,75 Mo (399,68 Mo free) [IB LEWANCH] # FAT32
# G:\ # Disque amovible # 965,57 Mo (885,37 Mo free) [BRIKOVSKY] # FAT32

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\DrWeb\SpIDerAgent.exe
C:\Program Files\DrWeb\spiderml.exe
C:\PROGRA~1\DrWeb\spiderui.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Doctor Web\Scanning Engine\dwengine.exe
C:\PROGRA~1\DrWeb\spidernt.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre # Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="https://www.google.com/?gws_rd=ssl"
HKCU_Main: "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
HKCU_Main: "Start Page Redirect Cache"="https://www.msn.com/fr-fr?ocid=iehp"
HKCU_Main: "Start Page Redirect Cache_TIMESTAMP"=hex:96,ad,f8,63,8c,c1,c9,01
HKCU_Main: "Start Page Redirect Cache AcceptLangs"="fr"
HKCU_Main: "Window Title"=""
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Administrateur"
HKLM_logon: "AltDefaultUserName"="Administrateur"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: SoundMAXPnP=C:\Program Files\Analog Devices\Core\smax4pnp.exe
HKLM_Run: SpIDerAgent="C:\Program Files\DrWeb\SpIDerAgent.exe"
HKLM_Run: SpIDerMail="C:\Program Files\DrWeb\spiderml.exe"
HKLM_Run: SpIDerNT=C:\PROGRA~1\DrWeb\spiderui.exe /agent
HKCU_Run: SuperCopier2.exe=C:\Program Files\SuperCopier2\SuperCopier2.exe
HKCU_Run: ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe

################## [ Informations ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## [ Fichiers # Dossiers infectieux ]

################## [ Registre # Clés Run infectieuses ]

################## [ Registre # Mountpoints2 ]

# -> Not Found !

################## [ ! Fin du rapport # UsbFix V3.018 ! ]
0
Réponse 37 / 40
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Bien ... c'est clean ... ^^'

Dis moi comment va le PC , encore des soucis ? ....

0
Réponse 38 / 40
Need_Help
 
Comme je le disais, le Pc a gagné en rapidité comme avant sauf :
* Lorsque j'essaie de lancer des applications ( setup d'installation logiciel, fichier auto-extrayable ) depuis le lecture CD, la fenêtre plante et ne réponds plus en entrainant un ralentissement conséquent du PC.
Cela marchait impeccablement lorsque le PC est arriver nouvellement et j'installais meme les logiciels de cette maniere ( Cd ) Mais maintenant, c'est plus possible comme décrit plus haut.
0
Réponse 39 / 40
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ...

regarde dans le gestionnaire des périphériques si tu ne vois pas un peiti triangle jaune au niveau du lecteur CD ...

Accèder au gestionnaire des périphériques :

1er méthode :
Va dans panneau de configuration et clique sur "Système" :
-> Dans cette fenêtre clique sur l'onglet " matériel " .
Puis tu cliques sur " gestionnaire des périphériques " .

2eme méthode :
Clique droit sur ton Postes de travail :
-> là tu cliques sur "propriété" ,
-> va sur l'onglet " Matériel " et clique sur " gestionnaire de périphérique ".

Dans ce cas là , clique droit dessus et essaye de "réparer" ... dis moi se que cela a donné ...

0
Réponse 40 / 40
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut,

content que tout soit Ok ... mais on avait par terminé ... reste à finaliser !

peut tu refaire un scan RSIT et poster le nouveau "log.txt" obtenu pour analyse ...

0

Discussions similaires

System 100% disque
Ro0ob -
mannmerc -

17 réponses
Faire réapparaître la Barre des taches sous Firefox en bas.
velvetparis -
CityHunter -

6 réponses
firefox barre de taches
domxaline -
Choub@k -

24 réponses