Problème avec wscript.exe

abdelkaderg54 Messages postés 69 Statut Membre -  
 gen-hackman -
Salut !
Wscript.exe me bouffe vraiment la tete u_u
Comment m'en débarasser?!

Voilà le rapport HijackThis-->
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:49:12, on 11/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Opera\Opera.exe
C:\Qt\2009.01\bin\qtcreator.exe
C:\DOCUME~1\GuenBen\LOCALS~1\Temp\tsidf.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Qt\2009.01\bin\qtcreator.exe
C:\Program Files\Windows Live Toolbar\msn_sl.exe
C:\Documents and Settings\GuenBen\Bureau\essaie\debug\essaie.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://support.avast.com/avast_maintenance_page?startURL=%2Findex.php%3F_m%3Dknowledgebase%26_a%3Dviewarticle%26kbarticleid%3D46%26group%3Deng
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =    .-~= wellcome khaled-3hp =~-.  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\system32:system.scr
O4 - HKLM\..\Run: [regdiit] C:\WINDOWS\system32\win.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [CTFMON] C:\WINDOWS\system32\wscript.exe /E:vbs C:\WINDOWS\system32\winjpg.jpg
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FAB8291-365E-493B-A298-ED4F1F349A2C}: NameServer = 41.221.20.4 213.140.2.12
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

--
End of file - 4285 bytes

Thanks in advance ^^

16 réponses

  1. gen-hackman
     
    salut :

    ######## | XP _ Instal & recherche | #######

    Telecharge et install UsbFix (de C_XX & Chiquitine29)

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

    # Double clic sur le raccourci UsbFix présent sur ton bureau .

    # Choisi l option 1 ( Recherche )

    # Laisse travailler l outil.

    # Ensuite post le rapport UsbFix.txt qui apparaitra.

    # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    0
  2. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Bonjour,

    "O4 - HKLM\..\Run: [svchost] C:\WINDOWS\system32:system.scr"

    --> Quel bel ADS !
    0
    1. abdelkaderg54 Messages postés 69 Statut Membre
       
      Pas trop compris ^^
      Tu peux réformuler , que ce qu'il a l'ADS?
      0
  3. abdelkaderg54 Messages postés 69 Statut Membre
     
    Merci;
    C'est fait ---> voilà le résultat
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Opera\Opera.exe
    C:\Qt\2009.01\bin\qtcreator.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    
    ################## [  Registre Startup ]
    
    HKCU_Main:   "Local Page"="C:\\WINDOWS\\system32\\blank.htm" 
    HKCU_Main:   "Search Page"="https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC" 
    HKCU_Main:   "Start Page"="https://www.google.com/?gws_rd=ssl" 
    HKCU_Main:   "Window Title"="   .-~= wellcome khaled-3hp =~-.  " 
    HKLM_logon:  "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," 
    HKLM_logon:  "DefaultUserName"="GuenBen" 
    HKLM_logon:  "AltDefaultUserName"="GuenBen" 
    HKLM_logon:  "LegalNoticeCaption"="" 
    HKLM_logon:  "LegalNoticeText"="" 
    HKLM_Run:    avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 
    HKLM_Run:    svchost=C:\WINDOWS\system32:system.scr 
    HKLM_Run:    regdiit=C:\WINDOWS\system32\win.exe 
    HKLM_Run:    IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 
    HKLM_Run:    MSPY2002=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC 
    HKLM_Run:    PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC 
    HKLM_Run:    PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName 
    HKLM_Run:    CTFMON=C:\WINDOWS\system32\wscript.exe /E:vbs C:\WINDOWS\system32\winjpg.jpg 
    HKCU_Run:    CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe  
    HKCU_Run:    MsnMsgr="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background  
    
    ################## [ Fichiers # Dossiers infectieux ]
    
    Found ! C:\WINDOWS\system32\win.exe  
    Found ! C:\WINDOWS\system32\winjpg.jpg  
    Found ! C:\winfile.jpg  
    Found ! C:\autorun.inf  
    Found ! D:\winfile.jpg  
    Found ! D:\autorun.inf  
    Found ! E:\winfile.jpg  
    Found ! E:\autorun.inf  
    Found ! F:\winfile.jpg  
    Found ! F:\autorun.inf  
    Found ! G:\winfile.jpg  
    Found ! G:\autorun.inf  
    Found ! H:\winfile.jpg  
    Found ! H:\autorun.inf  
    
    ################## [ Registre # Clés Run infectieuses ]
    
    Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "CTFMON"    
    Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "regdiit"    
    Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "svchost"    
    Found ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe    
    Found ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe    
    Found ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe    
    Found ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe    
    Found ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe    
    Found ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\MSConfig.exe    
    Found ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe    
    Found ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\dwwin.exe    
    Found ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )  
    
    ################## [ Registre # Mountpoints2 ]
    
    HKCU\...\Explorer\MountPoints2\{f028ee50-5461-11de-950f-806d6172696f}\Shell\AutoRun\Command  
    HKCU\...\Explorer\MountPoints2\{f028ee51-5461-11de-950f-806d6172696f}\Shell\AutoRun\Command  
    HKCU\...\Explorer\MountPoints2\{f028ee52-5461-11de-950f-806d6172696f}\Shell\AutoRun\Command  
    HKCU\...\Explorer\MountPoints2\{f028ee53-5461-11de-950f-806d6172696f}\Shell\AutoRun\Command  
    HKCU\...\Explorer\MountPoints2\{f028ee54-5461-11de-950f-806d6172696f}\Shell\AutoRun\Command  
    
    ################## [ ! Fin du rapport # UsbFix V3.029 ! ] 
    
    0
  4. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Bonne continuation ;)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    joli !

    ######## | Suppression | ########

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

    # Double clic sur le raccourci UsbFix présent sur ton bureau

    # choisi l option 2 ( Suppression )

    # Ton bureau disparaitra et le pc redémarrera .

    # Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

    # Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    ######### | Désinstallation | #######

    # Double clic sur le raccourci UsbFix présent sur ton bureau

    # Choisi l option Désinstaller ....
    0
  7. gen-hackman
     
    lol je t avais pas vu mdr ca va mister ?
    0
  8. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Oui, impeccable. Je suis ce topic.
    0
  9. abdelkaderg54 Messages postés 69 Statut Membre
     
    Voilà encore el rapport de UsbFix après la suppression :-->
    à vous de juger !
    On dirait qu'il n'a pas pu supprimer ces deux :
    (!) Not Deleted ! H:\winfile.jpg
    (!) Not Deleted ! H:\autorun.inf
    ???
    ############################## [ Processus actifs ]
    
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    
    ################## [ Fichiers # Dossiers infectieux ]
    
    Deleted ! C:\WINDOWS\system32\win.exe    
    Deleted ! C:\WINDOWS\system32\winjpg.jpg    
    Deleted ! C:\winfile.jpg    
    Deleted ! C:\autorun.inf    
    Deleted ! D:\winfile.jpg    
    Deleted ! D:\autorun.inf    
    Deleted ! E:\winfile.jpg    
    Deleted ! E:\autorun.inf    
    Deleted ! F:\winfile.jpg    
    Deleted ! F:\autorun.inf    
    Deleted ! G:\winfile.jpg    
    Deleted ! G:\autorun.inf    
    (!) Not Deleted ! H:\winfile.jpg   
    (!) Not Deleted ! H:\autorun.inf   
    
    ################## [ Registre # Clés Run infectieuses ]
    
    Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "CTFMON"    
    Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "regdiit"    
    Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "svchost"    
    Deleted ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe    
    Deleted ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe    
    Deleted ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe    
    Deleted ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe    
    Deleted ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe    
    Deleted ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe    
    Deleted ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\dwwin.exe    
    # HKLM\software\microsoft\security center\\ "AntiVirusOverride" # -> Reset sucessfully !  
    
    ################## [ Registre # Mountpoints2 ]
    
    
    ################## [ Listing des fichiers présent ]
    
    [08/06/2009 20:00|--a------|0] - C:\AUTOEXEC.BAT
    [08/06/2009 19:55|---hs----|212] - C:\boot.ini
    [07/09/2002 02:00|-rahs----|4952] - C:\Bootfont.bin
    [08/06/2009 20:00|--a------|0] - C:\CONFIG.SYS
    [08/06/2009 20:00|-rahs----|0] - C:\IO.SYS
    [08/06/2009 20:00|-rahs----|0] - C:\MSDOS.SYS
    [04/08/2004 04:38|-rahs----|47564] - C:\NTDETECT.COM
    [04/08/2004 04:59|-rahs----|251712] - C:\ntldr
    [?|?|?] - C:\pagefile.sys
    [09/06/2009 01:43|--ah-----|268] - C:\sqmdata00.sqm
    [09/06/2009 07:42|--ah-----|280] - C:\sqmdata01.sqm
    [09/06/2009 08:18|--ah-----|268] - C:\sqmdata02.sqm
    [09/06/2009 01:43|--ah-----|244] - C:\sqmnoopt00.sqm
    [09/06/2009 07:42|--ah-----|244] - C:\sqmnoopt01.sqm
    [09/06/2009 08:18|--ah-----|244] - C:\sqmnoopt02.sqm
    [11/06/2009 11:49|--a------|3922] - C:\UsbFix.txt
    [02/06/2009 14:03|--a------|2195456] - D:\SkypeSetup.exe
    [03/06/2009 00:07|--a------|16820623] - D:\vlc-0.9.9-win32.exe
    [26/03/2008 17:08|--a------|144] - E:\43.ram
    [24/09/2008 01:52|--a------|620] - E:\Adjective.txt
    [02/06/2009 22:49|--a------|8401433] - E:\aMSN-0.97.2-tcl85-windows-installer.exe
    [18/05/2009 21:27|--a------|19] - E:\ard.bat
    [05/05/2009 00:18|--a------|131584] - E:\codeblocks_1_32412.exe
    [06/08/2008 14:44|--a------|3895226] - E:\epson30712eu.zip
    [25/04/2008 18:12|--a------|2667435] - E:\forum.rar
    [13/10/2008 16:08|--a------|239998] - E:\get_video
    [26/03/2008 21:21|--a------|4278322] - E:\HELP.bmp
    [27/06/2008 07:03|--a------|190630] - E:\ie_tab-1.5.20080618-fx-win.xpi
    [18/02/2009 16:35|--a------|301294] - E:\L-Amazighe version arabe$.pdf
    [18/05/2009 21:27|--a------|0] - E:\Nouveau Document texte (2).txt
    [18/04/2008 17:24|--a------|743] - E:\Nouveau Document texte.txt
    [20/03/2008 03:42|--a------|13552824] - E:\PALTALK.rar
    [27/09/2008 09:54|--a------|2326] - E:\recette.txt
    [10/04/2008 23:53|--a------|603] - E:\r‚seeeaux programmation.doc
    [03/02/2008 15:41|--a------|35] - E:\Serail site.txt
    [16/06/2008 21:29|--a------|115] - E:\serveur.txt.txt
    [17/04/2008 09:45|--a------|16360575] - E:\solid converter pdf professional v3 0 299 + crack.rar
    [25/04/2008 19:08|--a------|47] - E:\theme.txt
    [23/03/2009 11:30|--a------|1593175] - E:\video.flv
    [05/05/2009 00:18|--a------|2463232] - E:\WLinstaller.exe
    [03/06/2009 21:42|--a------|3905536] - G:\opera_opera_8.54_francais_9491.exe
    [06/06/2009 10:59|--a------|86721] - G:\?.docx
    [?|?|?] - H:\winfile.jpg
    [?|?|?] - H:\autorun.inf
    
    ################## [ Vaccination ]
    
    # C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
    # D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
    # E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
    # F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
    # G:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
    
    ################## [ ! Fin du rapport # UsbFix V3.029 ! ] 
    
    0
  10. abdelkaderg54 Messages postés 69 Statut Membre
     
    Ok , merci !
    Attends je vais le refaire !
    0
  11. abdelkaderg54 Messages postés 69 Statut Membre
     
    ############################## [ Processus actifs ]
    
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    
    ################## [ Fichiers # Dossiers infectieux ]
    
    (!) Not Deleted ! H:\winfile.jpg   
    (!) Not Deleted ! H:\autorun.inf   
    
    ################## [ Registre # Clés Run infectieuses ]
    
    Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "svchost"    
    
    ################## [ Registre # Mountpoints2 ]
    
    
    ################## [ Listing des fichiers présent ]
    
    [08/06/2009 20:00|--a------|0] - C:\AUTOEXEC.BAT
    [08/06/2009 19:55|---hs----|212] - C:\boot.ini
    [07/09/2002 02:00|-rahs----|4952] - C:\Bootfont.bin
    [08/06/2009 20:00|--a------|0] - C:\CONFIG.SYS
    [08/06/2009 20:00|-rahs----|0] - C:\IO.SYS
    [08/06/2009 20:00|-rahs----|0] - C:\MSDOS.SYS
    [04/08/2004 04:38|-rahs----|47564] - C:\NTDETECT.COM
    [04/08/2004 04:59|-rahs----|251712] - C:\ntldr
    [?|?|?] - C:\pagefile.sys
    [09/06/2009 01:43|--ah-----|268] - C:\sqmdata00.sqm
    [09/06/2009 07:42|--ah-----|280] - C:\sqmdata01.sqm
    [09/06/2009 08:18|--ah-----|268] - C:\sqmdata02.sqm
    [09/06/2009 01:43|--ah-----|244] - C:\sqmnoopt00.sqm
    [09/06/2009 07:42|--ah-----|244] - C:\sqmnoopt01.sqm
    [09/06/2009 08:18|--ah-----|244] - C:\sqmnoopt02.sqm
    [11/06/2009 12:14|--a------|2549] - C:\UsbFix.txt
    [02/06/2009 14:03|--a------|2195456] - D:\SkypeSetup.exe
    [03/06/2009 00:07|--a------|16820623] - D:\vlc-0.9.9-win32.exe
    [26/03/2008 17:08|--a------|144] - E:\43.ram
    [24/09/2008 01:52|--a------|620] - E:\Adjective.txt
    [02/06/2009 22:49|--a------|8401433] - E:\aMSN-0.97.2-tcl85-windows-installer.exe
    [18/05/2009 21:27|--a------|19] - E:\ard.bat
    [05/05/2009 00:18|--a------|131584] - E:\codeblocks_1_32412.exe
    [06/08/2008 14:44|--a------|3895226] - E:\epson30712eu.zip
    [25/04/2008 18:12|--a------|2667435] - E:\forum.rar
    [13/10/2008 16:08|--a------|239998] - E:\get_video
    [26/03/2008 21:21|--a------|4278322] - E:\HELP.bmp
    [27/06/2008 07:03|--a------|190630] - E:\ie_tab-1.5.20080618-fx-win.xpi
    [18/02/2009 16:35|--a------|301294] - E:\L-Amazighe version arabe$.pdf
    [18/05/2009 21:27|--a------|0] - E:\Nouveau Document texte (2).txt
    [18/04/2008 17:24|--a------|743] - E:\Nouveau Document texte.txt
    [20/03/2008 03:42|--a------|13552824] - E:\PALTALK.rar
    [27/09/2008 09:54|--a------|2326] - E:\recette.txt
    [10/04/2008 23:53|--a------|603] - E:\r‚seeeaux programmation.doc
    [03/02/2008 15:41|--a------|35] - E:\Serail site.txt
    [16/06/2008 21:29|--a------|115] - E:\serveur.txt.txt
    [17/04/2008 09:45|--a------|16360575] - E:\solid converter pdf professional v3 0 299 + crack.rar
    [25/04/2008 19:08|--a------|47] - E:\theme.txt
    [23/03/2009 11:30|--a------|1593175] - E:\video.flv
    [05/05/2009 00:18|--a------|2463232] - E:\WLinstaller.exe
    [03/06/2009 21:42|--a------|3905536] - G:\opera_opera_8.54_francais_9491.exe
    [06/06/2009 10:59|--a------|86721] - G:\?.docx
    [?|?|?] - H:\winfile.jpg
    [?|?|?] - H:\autorun.inf
    
    ################## [ Vaccination ]
    
    # C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
    # D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
    # E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
    # F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
    # G:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
    
    ################## [ ! Fin du rapport # UsbFix V3.029 ! ] 
    
    
    0
  12. abdelkaderg54 Messages postés 69 Statut Membre
     
    Désolé pour l'attente un peu longue !^^
    0
  13. gen-hackman
     
    Télécharge OTL de OLDTimer

    et enregistre le sur ton Bureau.

    Double clic sur OTL.exe pour le lancer.

    Coche les 2 cases Lop et Purity

    Coche la case devant scan all users

    Clic sur Run Scan.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    Pour me le transmettre clique sur ce lien

    Clique sur Parcourir et cherche le fichier ci-dessus.

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.
    0
  14. abdelkaderg54 Messages postés 69 Statut Membre
     
    Resalut !
    L'outil m'as généré deux fichiers les voilà :
    OTL.txt:
    http://www.cijoint.fr/cjlink.php?file=cj200906/cij7tUPb3i.txt
    Extras.txt :
    http://www.cijoint.fr/cjlink.php?file=cj200906/cijqGW0KHV.txt
    0
  15. gen-hackman
     
    on dirait bien du conficker...


    /!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\

    _________________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Avant d'utiliser ComboFix :
    ______________________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    >> Reviens sur le forum, et

    copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    0