Sujet Précédent Sujet Suivant

H:\WINDOWS\SYSTEM32\nmdfgds0.dll

Résolu/Fermé
Taffy - 17 juin 2009 à 14:00
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 27 août 2009 à 22:18
Bonjour à tous,
Voila j'ai deux problème , le premier est le démarrage de mon PC je m'explique lorsque je redémarre mon ordinateur l'écran Windows prend environ 2minutes peut être plus pour disparaitre, puis j'ai un écran noir durant environ 30 second et après un message d'erreur apparait a l'écran de sélection de session; le second vient du fait que je suis infecter par un rootkit "H:\WINDOWS\SYSTEM32\nmdfgds0.dll' que je n'arrive pas a supprimer.

Voila, j'espère avoir été asse compréhensible dans ma description, si quelqu'un pourrais m'aider s'il vous plait car cela dur depuis plus de deux semaine.

Merci d'avance pour votre patience.

71 réponses

Précédent
Réponse 41 / 71
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
18 juin 2009 à 23:58
arf ....


une salté à refais son apparition ! ....


on recommence :


1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


Registry::

File::
H:\WINDOWS\system32\GameMon.des
H:\WINDOWS\system32\GameMon.des.exe

Driver::
npggsvc


Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...


2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : poste le accompagné d' un nouveau rapport RSIT pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
0
Réponse 42 / 71
Taffy
19 juin 2009 à 02:43
Re, voila le rapport de "ComboFix"

ComboFix 09-06-18.02 - TAF 18/06/2009 20:06.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.2046.1563 [GMT -4:00]
Lancé depuis: h:\documents and settings\TAF\Bureau\ComboFix.exe
Commutateurs utilisés :: h:\documents and settings\TAF\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1335 [VPS 090618-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

FILE ::
"h:\windows\system32\GameMon.des"
"h:\windows\system32\GameMon.des.exe"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

h:\windows\system32\GameMon.des

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_npggsvc


((((((((((((((((((((((((((((( Fichiers créés du 2009-05-19 au 2009-06-19 ))))))))))))))))))))))))))))))))))))
.

2009-06-18 00:02 . 2009-06-18 00:02 3561743 ----a-w- h:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-06-17 23:55 . 2009-06-17 23:55 -------- d-----w- H:\_OTM
2009-06-17 22:01 . 2009-06-17 22:01 578048 -c--a-w- h:\windows\system32\dllcache\user32.dll
2009-06-17 21:59 . 2009-06-17 21:59 -------- d-----w- h:\windows\ERUNT
2009-06-17 21:51 . 2009-06-17 22:43 -------- d-----w- H:\SDFix
2009-06-17 20:02 . 2009-06-17 20:45 -------- d-----w- H:\UsbFix
2009-06-17 14:12 . 2009-06-17 14:18 -------- d-----w- H:\MSNFix
2009-06-17 12:13 . 2009-06-17 12:13 -------- d-----w- H:\rsit
2009-06-17 01:54 . 2008-02-26 12:00 294912 -c----w- h:\windows\system32\dllcache\msctf.dll
2009-06-16 00:23 . 2009-06-16 18:09 -------- d-----w- h:\documents and settings\TAF\Application Data\TeraCopy
2009-06-16 00:23 . 2009-06-16 00:23 -------- d-----w- h:\program files\TeraCopy
2009-06-15 15:49 . 2009-06-15 15:49 191008 ----a-w- h:\windows\system32\npkcmsvc.exe
2009-06-15 10:56 . 2009-06-15 10:56 -------- d-----w- h:\program files\Games-Masters.com
2009-06-14 19:09 . 2009-06-17 15:27 38160 ----a-w- h:\windows\system32\drivers\mbamswissarmy.sys
2009-06-14 19:09 . 2009-06-17 15:27 19096 ----a-w- h:\windows\system32\drivers\mbam.sys
2009-06-14 19:09 . 2009-06-18 00:02 -------- d-----w- h:\program files\Malwarebytes' Anti-Malware
2009-06-14 15:48 . 2001-08-18 01:52 18688 -c--a-w- h:\windows\system32\dllcache\cdaudio.sys
2009-06-07 11:02 . 2009-06-14 00:45 -------- d-----w- h:\windows\system32\CatRoot_bak
2009-06-05 17:31 . 2009-06-05 17:31 -------- d-----w- h:\windows\system32\Lang
2009-06-05 16:53 . 2009-06-05 16:55 157079494 ----a-w- h:\documents and settings\TAF\TRACE_BOOT+DRIVERS_1_1.BIN
2009-06-05 15:55 . 2009-06-05 15:55 -------- d-----w- H:\ATI
2009-05-31 17:27 . 2009-03-18 01:05 593920 ------w- h:\windows\system32\ati2sgag.exe
2009-05-31 17:27 . 2009-03-16 20:17 307200 ----a-w- h:\windows\system32\atiiiexx.dll
2009-05-31 17:26 . 2009-02-23 21:39 184394 ----a-w- h:\windows\system32\atiicdxx.dat
2009-05-31 17:08 . 2009-03-16 21:33 3597312 -c--a-w- h:\windows\system32\dllcache\ati2mtag.sys
2009-05-31 17:08 . 2009-03-16 21:33 3597312 ----a-w- h:\windows\system32\drivers\ati2mtag.sys
2009-05-31 17:08 . 2004-08-19 20:09 870784 -c--a-w- h:\windows\system32\dllcache\ati3d1ag.dll
2009-05-31 17:08 . 2004-08-19 20:09 870784 ----a-w- h:\windows\system32\ati3d1ag.dll
2009-05-31 17:08 . 2004-08-19 19:53 327168 -c--a-w- h:\windows\system32\dllcache\ati2mtaa.sys
2009-05-31 17:08 . 2004-08-19 19:53 327168 ----a-w- h:\windows\system32\drivers\ati2mtaa.sys
2009-05-31 17:08 . 2004-08-19 20:09 377984 -c--a-w- h:\windows\system32\dllcache\ati2dvaa.dll
2009-05-31 17:08 . 2004-08-19 20:09 377984 ----a-w- h:\windows\system32\ati2dvaa.dll
2009-05-31 16:16 . 2009-05-31 16:23 -------- d-----w- h:\program files\Driver Cleaner Pro
2009-05-31 15:59 . 2009-05-31 15:59 -------- d-----w- h:\program files\Defraggler
2009-05-31 15:56 . 2009-05-31 15:56 -------- d-----w- h:\documents and settings\Administrateur\Local Settings\Application Data\ATI
2009-05-31 15:56 . 2009-05-31 15:56 -------- d-----w- h:\documents and settings\Administrateur\Application Data\ATI
2009-05-31 15:56 . 2009-05-31 15:56 -------- d-----w- h:\documents and settings\TAF\Application Data\Canon
2009-05-31 15:54 . 2009-05-31 15:54 -------- d-----w- h:\program files\Realtek
2009-05-31 15:53 . 2009-05-31 15:53 -------- d-----w- h:\windows\system32\RTCOM
2009-05-30 18:26 . 2009-05-31 15:58 -------- d-----w- h:\documents and settings\All Users\Application Data\ATI
2009-05-30 17:40 . 2009-05-30 19:16 25992 ----a-w- h:\windows\system32\pgdfgsvc.exe
2009-05-30 17:29 . 2009-05-30 17:29 603904 ----a-w- h:\windows\system32\TUProgSt.exe
2009-05-30 17:29 . 2008-12-11 17:31 27904 ----a-w- h:\windows\system32\uxtuneup.dll
2009-05-30 17:29 . 2009-06-05 16:48 360192 ----a-w- h:\windows\system32\TuneUpDefragService.exe
2009-05-30 15:27 . 2009-05-30 15:27 37672 ----a-w- h:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-27 22:45 . 2009-06-04 23:14 10 ----a-w- h:\windows\popcinfo.dat
2009-05-27 22:28 . 2009-05-31 15:33 -------- d-----w- h:\program files\Zuma Deluxe
2009-05-27 20:05 . 2009-05-27 20:05 -------- d-----w- h:\windows\system32\wbem\Repository
2009-05-27 19:49 . 2009-05-31 15:53 -------- d-----w- h:\windows\LastGood(2)
2009-05-27 17:16 . 2009-05-31 15:45 -------- d-----w- h:\program files\Realtek AC97
2009-05-27 15:47 . 2003-07-12 09:39 848 ------w- h:\windows\system32\drivers\alcxinit.dat
2009-05-27 15:39 . 2009-05-31 15:54 -------- d-----w- h:\documents and settings\All Users\Application Data\ATI(2)
2009-05-27 11:48 . 2009-05-31 15:55 -------- d--h--w- h:\documents and settings\TAF\Recent(2)
2009-05-23 23:37 . 2009-05-23 23:37 -------- d-----w- h:\documents and settings\TAF\Local Settings\Application Data\Windows Live Writer
2009-05-23 23:37 . 2009-05-23 23:37 -------- d-----w- h:\documents and settings\TAF\Application Data\Windows Live Writer
2009-05-22 22:01 . 2009-05-22 22:01 -------- d-----w- h:\program files\Feneris

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-19 00:04 . 2008-06-29 23:20 -------- d-----w- h:\documents and settings\TAF\Application Data\uTorrent
2009-06-18 21:11 . 2008-09-17 20:08 -------- d-----w- h:\program files\SuperCopier2
2009-06-17 15:28 . 2009-03-21 14:46 1 ----a-w- h:\documents and settings\TAF\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-06-17 01:28 . 2008-10-23 20:27 -------- d-----w- h:\program files\FlashGet
2009-06-15 21:17 . 2008-06-06 10:02 37144 ----a-w- h:\documents and settings\TAF\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-06-11 18:42 . 2008-07-12 05:54 -------- d-----w- h:\program files\a-squared Free
2009-06-05 17:25 . 2008-06-29 22:55 -------- d-----w- h:\documents and settings\TAF\Application Data\DNA
2009-06-05 17:25 . 2008-06-29 20:40 -------- d-----w- h:\documents and settings\All Users\Application Data\WLInstaller
2009-06-05 17:19 . 2008-06-29 22:47 -------- d-----w- h:\documents and settings\TAF\Application Data\Azureus
2009-05-31 23:41 . 2009-03-09 12:09 -------- d-----w- h:\program files\Dofus
2009-05-31 17:25 . 2008-06-06 10:13 -------- d--h--w- h:\program files\InstallShield Installation Information
2009-05-31 17:25 . 2008-06-06 10:13 -------- d-----w- h:\program files\ATI Technologies
2009-05-31 17:08 . 2008-06-06 16:27 -------- d-----w- h:\documents and settings\TAF\Application Data\ATI
2009-05-31 15:55 . 2008-08-04 12:35 -------- d-----w- h:\program files\ma-config.com
2009-05-31 15:51 . 2008-12-06 11:22 -------- d-----w- h:\documents and settings\TAF\Application Data\dvdcss
2009-05-31 15:32 . 2009-01-31 18:43 -------- d-----w- h:\program files\TuneUp Utilities 2009
2009-05-31 15:31 . 2008-06-29 22:55 -------- d-----w- h:\program files\DNA
2009-05-31 15:31 . 2009-01-31 18:43 -------- d-sh--w- h:\documents and settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}
2009-05-31 15:27 . 2008-06-22 15:54 -------- d-----w- h:\program files\CCleaner
2009-05-30 17:16 . 2004-08-05 12:00 90204 ----a-w- h:\windows\system32\perfc00C.dat
2009-05-30 17:16 . 2004-08-05 12:00 512468 ----a-w- h:\windows\system32\perfh00C.dat
2009-05-27 12:26 . 2008-08-04 12:35 -------- d-----w- h:\documents and settings\All Users\Application Data\ma-config.com
2009-05-24 03:20 . 2009-01-26 13:46 -------- d-----w- h:\documents and settings\TAF\Application Data\vlc
2009-05-14 19:29 . 2009-05-14 19:29 133376 ----a-w- h:\windows\system32\npkcnt4.sys
2009-05-14 19:29 . 2009-05-14 19:29 58888 ----a-w- h:\windows\system32\npkpdb.dll
2009-05-14 19:20 . 2009-05-15 23:22 2645832 ----a-w- h:\documents and settings\TAF\Application Data\Mozilla\Firefox\Profiles\icztmhu6.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\maconfsetup.exe
2009-05-14 18:56 . 2009-05-15 23:22 402800 ----a-w- h:\documents and settings\TAF\Application Data\Mozilla\Firefox\Profiles\icztmhu6.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll
2009-05-13 10:04 . 2009-03-21 14:22 -------- d-----w- h:\program files\Fichiers communs\Adobe
2009-05-07 21:32 . 2009-05-07 21:32 322080 ----a-w- h:\windows\system32\npkcrypt.dll
2009-05-07 15:43 . 2004-08-05 12:00 347136 ----a-w- h:\windows\system32\localspl.dll
2009-05-04 14:37 . 2009-05-04 14:37 600608 ----a-w- h:\windows\system32\npkSvcUpdate.exe
2009-05-04 01:15 . 2008-08-18 19:45 -------- d-----w- h:\program files\Messenger Plus! Live
2009-05-02 20:04 . 2008-06-29 20:40 -------- d-----w- h:\program files\Windows Live
2009-04-29 04:45 . 2004-08-05 12:00 827392 ----a-w- h:\windows\system32\wininet.dll
2009-04-29 04:45 . 2004-08-05 12:00 78336 ----a-w- h:\windows\system32\ieencode.dll
2009-04-29 02:17 . 2007-06-06 14:52 335872 ----a-w- h:\windows\system32\ati2dvag(3).dll
2009-04-29 02:07 . 2007-06-06 14:45 204800 ----a-w- h:\windows\system32\atipdlxx(3).dll
2009-04-29 02:06 . 2007-06-06 14:45 43520 ----a-w- h:\windows\system32\ati2edxx(3).dll
2009-04-29 02:06 . 2007-06-06 14:45 155648 ----a-w- h:\windows\system32\ati2evxx(3).dll
2009-04-29 02:04 . 2007-06-06 14:43 602112 ----a-w- h:\windows\system32\ati2evxx(3).exe
2009-04-29 01:56 . 2007-06-06 14:35 2997536 ----a-w- h:\windows\system32\ati3duag(3).dll
2009-04-29 01:42 . 2007-06-06 14:25 2687872 ----a-w- h:\windows\system32\ativvaxx(3).dll
2009-04-29 01:22 . 2007-06-06 14:11 479232 ----a-w- h:\windows\system32\atikvmag(3).dll
2009-04-29 01:17 . 2007-06-06 14:30 303104 ----a-w- h:\windows\system32\atiok3x2(3).dll
2009-04-29 01:13 . 2007-06-06 14:04 630784 ----a-w- h:\windows\system32\ati2cqag(3).dll
2009-04-28 01:04 . 2008-06-29 20:40 -------- dcsh--w- h:\program files\Fichiers communs\WindowsLiveInstaller
2009-04-24 16:00 . 2009-04-24 16:00 -------- d-----w- h:\program files\Windows Live SkyDrive
2009-04-24 15:41 . 2009-04-24 15:41 -------- d-----w- h:\program files\Fichiers communs\Windows Live
2009-04-23 17:33 . 2009-04-23 17:03 -------- d-----w- h:\program files\The Last Remnant
2009-04-23 17:33 . 2009-04-10 22:37 -------- d-----w- h:\program files\adslTV
2009-04-23 17:26 . 2009-01-14 23:33 -------- d-----w- h:\program files\DivX
2009-04-23 08:31 . 2009-04-23 08:31 -------- d-----w- h:\program files\Sunbelt Software
2009-04-21 22:32 . 2009-04-21 22:32 412192 ----a-w- h:\windows\system32\npkupd.exe
2009-04-19 20:09 . 2004-08-05 12:00 1846784 ----a-w- h:\windows\system32\win32k.sys
2009-04-15 17:53 . 2009-04-15 17:53 43424 ----a-w- h:\windows\system32\npkcusb.sys
2009-04-15 17:52 . 2009-04-15 17:52 53664 ----a-w- h:\windows\system32\npkcrypt.sys
2009-04-15 15:17 . 2004-08-05 12:00 584192 ----a-w- h:\windows\system32\rpcrt4.dll
2009-04-12 20:39 . 2009-04-12 20:39 2961 ----a-w- h:\windows\system32\unins000.dat
2009-04-12 20:39 . 2009-04-12 20:39 716153 ----a-w- h:\windows\system32\unins000.exe
2009-04-06 19:52 . 2009-04-06 19:52 76320 ----a-w- h:\windows\system32\npkuninst.exe
2009-04-06 01:49 . 2009-04-06 01:49 152576 ----a-w- h:\documents and settings\TAF\Application Data\Sun\Java\jre1.6.0_13\lzma.dll
2009-04-02 00:31 . 2009-04-02 00:31 236064 ----a-w- h:\windows\system32\npkagt.exe
2009-03-21 14:42 . 2009-03-21 14:42 7424000 ----a-r- h:\documents and settings\TAF\Application Data\Microsoft\Installer\{6860B340-530D-46B3-91F8-1AE1F70F7C33}\soffice.exe
2008-03-09 11:25 . 2009-04-12 20:39 236 ----a-w- h:\program files\Fichiers communs\dx.reg
.

((((((((((((((((((((((((((((( SnapShot@2009-06-18_19.33.29 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-06-19 00:13 . 2009-06-19 00:13 16384 h:\windows\Temp\Perflib_Perfdata_520.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="h:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"uTorrent"="h:\program files\uTorrent\uTorrent.exe" [2009-02-11 270128]
"ctfmon.exe"="h:\windows\system32\ctfmon.exe" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="h:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"Adobe Reader Speed Launcher"="h:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"RTHDCPL"="RTHDCPL.EXE" - h:\windows\RTHDCPL.exe [2007-04-12 16132608]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="h:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=h:\windows\system32\ctfmon.exe
"DAEMON Tools Lite"="h:\program files\DAEMON Tools Lite\daemon.exe" -autorun
"uTorrent"="h:\program files\uTorrent\uTorrent.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="h:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"StartCCC"="h:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
"SunJavaUpdateSched"="h:\program files\Java\jre6\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"h:\\Program Files\\Messenger\\msmsgs.exe"=
"h:\\Program Files\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"h:\\Program Files\\Hercules\\Classic Silver\\Station2.exe"=
"h:\\Program Files\\FlashGet\\flashget.exe"=
"h:\\Program Files\\UBISOFT\\Ghost Recon Advanced Warfighter 2\\graw2.exe"=
"h:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"h:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"h:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"h:\\Program Files\\Games-Masters.com\\CABAL Online (Europe)\\launcher\\update\\ESTdnheadless.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"14900:TCP"= 14900:TCP:*:Disabled:NortonAV
"17447:TCP"= 17447:TCP:*:Disabled:NortonAV
"15719:TCP"= 15719:TCP:*:Disabled:NortonAV
"13918:TCP"= 13918:TCP:*:Disabled:NortonAV
"13730:TCP"= 13730:TCP:*:Disabled:NortonAV
"13913:TCP"= 13913:TCP:*:Disabled:NortonAV
"15175:TCP"= 15175:TCP:*:Disabled:NortonAV
"14894:TCP"= 14894:TCP:*:Disabled:NortonAV
"13691:TCP"= 13691:TCP:*:Disabled:NortonAV
"15834:TCP"= 15834:TCP:*:Disabled:NortonAV
"12571:TCP"= 12571:TCP:*:Disabled:NortonAV
"14820:TCP"= 14820:TCP:*:Disabled:NortonAV
"17225:TCP"= 17225:TCP:*:Disabled:NortonAV
"12905:TCP"= 12905:TCP:*:Disabled:NortonAV
"12070:TCP"= 12070:TCP:*:Disabled:NortonAV
"18124:TCP"= 18124:TCP:*:Disabled:NortonAV
"15231:TCP"= 15231:TCP:*:Disabled:NortonAV
"14583:TCP"= 14583:TCP:*:Disabled:NortonAV
"16131:TCP"= 16131:TCP:*:Disabled:NortonAV

R0 xfilt;VIA SATA IDE Hot-plug Driver;h:\windows\system32\drivers\xfilt.sys [06/06/2008 12:38 17920]
R1 aswSP;avast! Self Protection;h:\windows\system32\drivers\aswSP.sys [29/06/2008 08:37 114768]
R2 aswFsBlk;aswFsBlk;h:\windows\system32\drivers\aswFsBlk.sys [29/06/2008 08:37 20560]
S3 camfilt2;camfilt2;h:\windows\system32\drivers\camfilt2.sys [12/01/2009 08:30 94720]
S3 maconfservice;Ma-Config Service;h:\program files\ma-config.com\maconfservice.exe [13/05/2009 14:37 216232]
S3 Ndisprot;ArcNet NDIS Protocol Driver;h:\windows\system32\drivers\ndisprot.sys [03/12/2008 05:21 27904]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mchInjDrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'

2009-06-19 h:\windows\Tasks\1-Click Maintenance.job
- h:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-12 01:36]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Tout télécharger avec FlashGet - h:\program files\FlashGet\jc_all.htm
IE: &Télécharger avec FlashGet - h:\program files\FlashGet\jc_link.htm
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-18 20:16
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\mchInjDrv]
"ImagePath"="\??\h:\docume~1\TAF\LOCALS~1\Temp\mc22.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(672)
h:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1968)
h:\program files\SuperCopier2\SC2Hook.dll
h:\windows\system32\msi.dll
h:\windows\system32\WPDShServiceObj.dll
h:\windows\system32\PortableDeviceTypes.dll
h:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
h:\program files\Alwil Software\Avast4\aswUpdSv.exe
h:\program files\Alwil Software\Avast4\ashServ.exe
h:\program files\a-squared Free\a2service.exe
h:\windows\system32\npkcmsvc.exe
h:\program files\Alwil Software\Avast4\ashMaiSv.exe
h:\program files\Alwil Software\Avast4\ashWebSv.exe
h:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-06-19 20:20 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-06-19 00:20
ComboFix2.txt 2009-06-18 21:11
ComboFix3.txt 2009-06-18 19:35

Avant-CF: 111 827 668 992 octets libres
Après-CF: 111 808 901 120 octets libres

Current=2 Default=2 Failed=7 LastKnownGood=8 Sets=1,2,3,4,5,6,7,8
269 --- E O F --- 2009-06-17 01:55
0
Réponse 43 / 71
Taffy
19 juin 2009 à 02:45
et un nouveau rapport de "RSIT"

Logfile of random's system information tool 1.06 (written by random/random)
Run by TAF at 2009-06-18 20:21:45
Microsoft Windows XP Édition familiale Service Pack 2
System drive H: has 107 GB (45%) free of 238 GB
Total RAM: 2046 MB (79% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:21:59, on 18/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\WINDOWS\system32\spoolsv.exe
H:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
H:\WINDOWS\system32\npkcmsvc.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\WINDOWS\System32\alg.exe
H:\WINDOWS\system32\wscntfy.exe
H:\WINDOWS\RTHDCPL.EXE
H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
H:\Program Files\SuperCopier2\SuperCopier2.exe
H:\Program Files\uTorrent\uTorrent.exe
H:\WINDOWS\system32\ctfmon.exe
H:\WINDOWS\explorer.exe
H:\WINDOWS\system32\notepad.exe
H:\Documents and Settings\TAF\Bureau\RSIT.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe
H:\Program Files\Trend Micro\HijackThis\TAF.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - H:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - H:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] H:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [uTorrent] "H:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Tout télécharger avec FlashGet - H:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - H:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.ma-config.com/activex/MaConfig_3_1_2_1.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - H:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - H:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - H:\WINDOWS\system32\npkcmsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - H:\WINDOWS\System32\TuneUpDefragService.exe
0
Réponse 44 / 71
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
19 juin 2009 à 08:39
Salut,


encore une petite vérif sur ViruTotal :


Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
H:\Documents and Settings\TAF\Bureau\Fotos.exe

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 71
Taffy
19 juin 2009 à 10:49
Bonjour,
le "Exe" placer en "H:\Documents and Settings\TAF\Bureau\Fotos.exe" n'apparait pas meme avec l'affichage des fichiers caché.
0
Réponse 46 / 71
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
19 juin 2009 à 11:42
ok ... ^^


fais ceci alors :


1- Double clique sur "OTM.exe" pour ouvrir le prg .

* Ensuite rend toi sur cette page > https://www.cjoint.com/?gtlPu7ckMh

* Puis copie tout le texte qui s' y trouve et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

! Déconnecte toi et ferme toutes tes applications en cours ( navigateur compris ) !

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

======================

2- Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe

!!Déconnecte toi et ferme tes applications en cours !!


* double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ...


Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .




0
Réponse 47 / 71
Taffy
19 juin 2009 à 21:25
Bonsoir,
Voila le rapport de "OTM"

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list\\H:\Documents and Settings\TAF\Bureau\Fotos.exe deleted successfully.
========== FILES ==========
========== COMMANDS ==========
File delete failed. H:\DOCUME~1\TAF\LOCALS~1\Temp\etilqs_m0BjkxRJGbLfSgkwn6W9 scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. H:\Documents and Settings\TAF\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. H:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. H:\WINDOWS\temp\JET772E.tmp scheduled to be deleted on reboot.
File delete failed. H:\WINDOWS\temp\JET7877.tmp scheduled to be deleted on reboot.
File delete failed. H:\WINDOWS\temp\Perflib_Perfdata_520.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. H:\Documents and Settings\TAF\Local Settings\Application Data\Mozilla\Firefox\Profiles\icztmhu6.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. H:\Documents and Settings\TAF\Local Settings\Application Data\Mozilla\Firefox\Profiles\icztmhu6.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. H:\Documents and Settings\TAF\Local Settings\Application Data\Mozilla\Firefox\Profiles\icztmhu6.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. H:\Documents and Settings\TAF\Local Settings\Application Data\Mozilla\Firefox\Profiles\icztmhu6.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. H:\Documents and Settings\TAF\Local Settings\Application Data\Mozilla\Firefox\Profiles\icztmhu6.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. H:\Documents and Settings\TAF\Local Settings\Application Data\Mozilla\Firefox\Profiles\icztmhu6.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.

OTM by OldTimer - Version 2.1.0.1 log created on 06192009_150322

Files moved on Reboot...
File H:\DOCUME~1\TAF\LOCALS~1\Temp\etilqs_m0BjkxRJGbLfSgkwn6W9 not found!
File move failed. H:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
File H:\WINDOWS\temp\JET772E.tmp not found!
File H:\WINDOWS\temp\JET7877.tmp not found!
File H:\WINDOWS\temp\Perflib_Perfdata_520.dat not found!
H:\Documents and Settings\TAF\Local Settings\Application Data\Mozilla\Firefox\Profiles\icztmhu6.default\Cache\_CACHE_001_ moved successfully.
H:\Documents and Settings\TAF\Local Settings\Application Data\Mozilla\Firefox\Profiles\icztmhu6.default\Cache\_CACHE_002_ moved successfully.
H:\Documents and Settings\TAF\Local Settings\Application Data\Mozilla\Firefox\Profiles\icztmhu6.default\Cache\_CACHE_003_ moved successfully.
H:\Documents and Settings\TAF\Local Settings\Application Data\Mozilla\Firefox\Profiles\icztmhu6.default\Cache\_CACHE_MAP_ moved successfully.
H:\Documents and Settings\TAF\Local Settings\Application Data\Mozilla\Firefox\Profiles\icztmhu6.default\urlclassifier3.sqlite moved successfully.
H:\Documents and Settings\TAF\Local Settings\Application Data\Mozilla\Firefox\Profiles\icztmhu6.default\XUL.mfl moved successfully.

Registry entries deleted on Reboot...
0
Réponse 48 / 71
Taffy
19 juin 2009 à 21:32
voila le rapport de "GenProc"

Rapport GenProc 2.591 [1] - 19/06/2009 à 15:12:16
@ Windows XP Service Pack 2 - Mode normal
@ Internet Explorer (7.0.5730.13) [Navigateur par défaut]

~~ "H:\WINDOWS\sed.exe" a été renommé sed.exe_RenameGenProc ~~
~~ "H:\WINDOWS\grep.exe" a été renommé grep.exe_RenameGenProc ~~
~~ ECHEC DU TELECHARGEMENT DE MBR.EXE ~~

Il est impératif de désactiver le résident de A-Squared pendant l'ensemble des manipulations qui vont suivre. Aide A-Squared : http://ww11.genproc.com/a-squared/a-squared.html

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures" ; par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :

- MSNFix http://sosvirus.changelog.fr/MSNFix.zip (!aur3n7) et décompresse-le sur le Bureau.


Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; Choisis ta session courante *** TAF *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).


# Etape 2/

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste, dans la même réponse :

- Le contenu du rapport msnfix.txt situé dans H:\WINDOWS ;
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
- Un nouveau rapport GenProc ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.591 19/06/2009 à 15:14:01
MSNFix:le 19/06/2009 à 15:14:22 "H:\Program Files\Microsoft Studio Files"

~~ Fin à 15:14:48 ~~
0
Réponse 49 / 71
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
19 juin 2009 à 22:16
bien ...

c'est ce qu'il me semblait ... il y en reste ... pourtant MSNFix l'a supprimer au début ....


on va faire autrement alors ... on va réutiliser MSNFix ainsi :


souligne>Impératif </souligne>: Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R (recherche).
- Si l'infection est détectée, exécute l'option N (nettoyage) .

-> Une fois finit, sauvegardes le rapport généré sur ton bureau .
Redémarre ton PC ( = retour au mode normal ).

-> il se peut aussi que l'infection doit être nettoyer au redémarrage du PC : avant l'arrivée du bureau , une fenêtre demandant l'exécution de "MSNfix" s'ouvre .
-> clique sur ok pour que l'outil puisse finir de travailler (patiente jusqu'à l'apparition du bureau ... ceci peut s'avérer relativement long).
le rapport s'ouvrira à l'arrivée du bureau ...


---> poste moi ce rapport accompagné d'un nouveau rapport RSIT ( fait en mode normal ) dans ta prochaine réponse pour analyse ...


( PS : le rapport est en outre sauvegardé ici C:\MSNFix\"date_heure".txt et ici C:\WINDOWS\msnfix.txt )


0
Réponse 50 / 71
Taffy
20 juin 2009 à 20:58
Bonsoir, désoler pour toutes ces absences, voila le rapport de "MSNFix" (Ps: un document texte nommer "catchme.log" est apparue sur mon bureau, veux tu que je te le poste?)

MSNFix 1.760

H:\Documents and Settings\TAF\Bureau\MSNFix
Fix exécuté le 20/06/2009 - 13:49:36,43 By TAF
mode sans échec

************************ Recherche les fichiers présents

... H:\autorun.inf
... H:\Autorun.inf

************************ Recherche les dossiers présents

... H:\Program Files\Microsoft Studio Files\




************************ Suppression des fichiers

.. OK ... H:\WINDOWS\system32\avgvrark.exe
.. OK ... H:\DOCUME~1\TAF\LOCALS~1\Temp\winlogon.exe
.. OK ... H:\DOCUME~1\TAF\LOCALS~1\Temp\services.exe
.. OK ... H:\WINDOWS\system32\cftmon.exe
/!\ ... H:\autorun.inf
/!\ ... H:\Autorun.inf


************************ Suppression des dossiers

/!\ ... H:\Program Files\Microsoft Studio Files\


************************ Nettoyage du registre



************************ Hostsclean

Cleanhosts v 0.1.0.7 By Laurent

-- Backup : H:\WINDOWS\system32\drivers\etc\hosts-20090620135159
-- original size 0.03 Kb / 1 lines
scan impossible. because they are Only 1 line in hosts file


End .............................. not available Secondes





Les fichiers encore présents seront supprimés au prochain redémarrage


************************ Suppression des fichiers

/!\ ... H:\autorun.inf
/!\ ... H:\Autorun.inf





************************ Hostsclean

Cleanhosts v 0.1.0.7 By Laurent

-- Backup : H:\WINDOWS\system32\drivers\etc\hosts-20090620141229
-- original size 0.03 Kb / 1 lines
scan impossible. because they are Only 1 line in hosts file


End .............................. not available Secondes
0
Réponse 51 / 71
Taffy
20 juin 2009 à 21:01
voila le rapporte de "RSIT"

Logfile of random's system information tool 1.06 (written by random/random)
Run by TAF at 2009-06-20 14:44:37
Microsoft Windows XP Édition familiale Service Pack 2
System drive H: has 107 GB (45%) free of 238 GB
Total RAM: 2046 MB (78% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:44:51, on 20/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\WINDOWS\system32\spoolsv.exe
H:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
H:\WINDOWS\system32\npkcmsvc.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\WINDOWS\System32\alg.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\RTHDCPL.EXE
H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
H:\Program Files\SuperCopier2\SuperCopier2.exe
H:\Program Files\uTorrent\uTorrent.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Documents and Settings\TAF\Bureau\RSIT.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe
H:\Program Files\Trend Micro\HijackThis\TAF.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - H:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - H:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] H:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [uTorrent] "H:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Tout télécharger avec FlashGet - H:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - H:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.ma-config.com/activex/MaConfig_3_1_2_1.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - H:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - H:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - H:\WINDOWS\system32\npkcmsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - H:\WINDOWS\System32\TuneUpDefragService.exe
0
Réponse 52 / 71
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
21 juin 2009 à 01:51
bien ....

fais ceci histoire d'être sur du coup :



! Déconnecte toi et ferme toutes tes applications en cours !

Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous, 


:processes
explorer.exe

:Services

:Reg

:Files
H:\Program Files\Microsoft Studio Files

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]



et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

0
Réponse 53 / 71
Taffy
21 juin 2009 à 03:31
voila le rapport

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
H:\Program Files\Microsoft Studio Files moved successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. H:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. H:\WINDOWS\temp\JET65E9.tmp scheduled to be deleted on reboot.
File delete failed. H:\WINDOWS\temp\JET66D3.tmp scheduled to be deleted on reboot.
File delete failed. H:\WINDOWS\temp\Perflib_Perfdata_61c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTM by OldTimer - Version 2.1.0.1 log created on 06202009_211008

Files moved on Reboot...
File move failed. H:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
H:\WINDOWS\temp\JET65E9.tmp moved successfully.
H:\WINDOWS\temp\JET66D3.tmp moved successfully.
H:\WINDOWS\temp\Perflib_Perfdata_61c.dat moved successfully.

Registry entries deleted on Reboot...
0
Réponse 54 / 71
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
21 juin 2009 à 10:50
bon ...


c'est bizard que ce dossier réapparaisse systematiquement ....

fait ceci histoir de voire si il est encore là et ce qui se trouve à l'interieur :


Télécharge SystemLook de jpshortstuff sur ton bureau :

http://images.malwareremoval.com/jpshortstuff/SystemLook.exe


* Double-clique sur "SystemLook.exe" pour lancer l'outil .

-> Copies/colle le texte ci-dessous dans la fenêtre :


:dir
H:\Program Files\Microsoft Studio Files


* Clique sur le bouton [Look] pour lancer l'examen .

Laisse travailler ...

* Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.

-> Poste ce rapport dans ta prochaine réponse pour analyse ...


( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )


0
Réponse 55 / 71
Taffy
21 juin 2009 à 13:59
Bonjour,
Voila le rapport de "SystemLoook"
SystemLook v1.0 by jpshortstuff (22.05.09)
Log created at 07:39 on 21/06/2009 by TAF (Administrator - Elevation successful)

========== dir ==========

H:\Program Files\Microsoft Studio Files - Unable to find folder.

-=End Of File=-


en autre j'ai trouve ceci sur le net peut etre que cela pourras t'aider, mais c'est en anglais ^^"

https://securelist.com/?virusid=177737
0
Réponse 56 / 71
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
21 juin 2009 à 17:29
Salut,

merci pour le lien ... mais cette fois on est OK .... ^^


fais ce qui suis dans l'ordre :


( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnecte toi et ferme bien toutes tes applications en cours .

Lances le .
*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

( garde CCleaner et Malwarebytes : très utiles ! )

======================================

2- Refais un coup de CCleaner ( registre compris ) .

======================================

3- Retélécharge et réinstalle hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharge et installe le logiciel HijackThis :

ici http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

======================================

4- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================

5- Fais un scan en ligne avec Kaspersky :

Suis les indications de ce tuto > http://www.commentcamarche.net/faq/sujet 17751 scanner en ligne avec kaspersky

Sauvegarde bien le rapport en ".txt" et poste son contenu dans ta prochaine réponse ...



0
Réponse 57 / 71
Taffy
21 juin 2009 à 20:45
Bonsoir
voila le rapport de "TCleaner"

[ Rapport ToolsCleaner version 2.3.6 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

H:\Combofix.txt: trouvé !
H:\MsnCleaner.txt: trouvé !
H:\*.msnfix: trouvé !
H:\UsbFix.txt: trouvé !
H:\SDFIX: trouvé !
H:\MsnFix: trouvé !
H:\GenProc: trouvé !
H:\Qoobox: trouvé !
H:\_OTM: trouvé !
H:\UsbFix: trouvé !
H:\Rsit: trouvé !
H:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
H:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
H:\Documents and Settings\TAF\Bureau\HijackThis.lnk: trouvé !
H:\Documents and Settings\TAF\Bureau\Msnfix.zip: trouvé !
H:\Documents and Settings\TAF\Bureau\OTM.exe: trouvé !
H:\Documents and Settings\TAF\Bureau\ComboFix.exe: trouvé !
H:\Documents and Settings\TAF\Bureau\UsbFix.lnk: trouvé !
H:\Documents and Settings\TAF\Bureau\Rsit.exe: trouvé !
H:\Documents and Settings\TAF\Bureau\MsnFix: trouvé !
H:\Documents and Settings\TAF\Menu Démarrer\Programmes\UsbFix: trouvé !
H:\Documents and Settings\TAF\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
H:\Documents and Settings\TAF\Mes documents\setup et utils\SdFix.exe: trouvé !
H:\Documents and Settings\TAF\Mes documents\setup et utils\Gmer.zip: trouvé !
H:\Documents and Settings\TAF\Mes documents\setup et utils\HJTInstall.exe: trouvé !
H:\Documents and Settings\TAF\Mes documents\setup et utils\UsbFix.exe: trouvé !
H:\GenProc\Page\GenProc[*].html: trouvé !
H:\Program Files\MsnFix: trouvé !
H:\Program Files\Trend Micro\HijackThis: trouvé !
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
H:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
H:\WINDOWS\msnfix.txt: trouvé !
H:\_OTM\MovedFiles\06172009_195515\Program Files\skmw\*.msnfix: trouvé !
H:\_OTM\MovedFiles\06172009_195515\Program Files\skmw\sec\*.msnfix: trouvé !
H:\_OTM\MovedFiles\06172009_195515\Program Files\skmw\WinRds\*.msnfix: trouvé !
H:\_OTM\MovedFiles\06202009_211008\Program Files\Microsoft Studio Files\*.msnfix: trouvé !

---------------------------------
--> Suppression:

H:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
H:\Documents and Settings\TAF\Bureau\HijackThis.lnk: supprimé !
H:\Documents and Settings\TAF\Bureau\Msnfix.zip: supprimé !
H:\Documents and Settings\TAF\Bureau\OTM.exe: supprimé !
H:\Documents and Settings\TAF\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
H:\Documents and Settings\TAF\Mes documents\setup et utils\SdFix.exe: supprimé !
H:\Documents and Settings\TAF\Mes documents\setup et utils\Gmer.zip: supprimé !
H:\Documents and Settings\TAF\Mes documents\setup et utils\HJTInstall.exe: supprimé !
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
H:\Combofix.txt: supprimé !
H:\MsnCleaner.txt: supprimé !
H:\*.msnfix: ERREUR DE SUPPRESSION !!
H:\UsbFix.txt: supprimé !
H:\Documents and Settings\TAF\Bureau\UsbFix.lnk: supprimé !
H:\Documents and Settings\TAF\Bureau\Rsit.exe: supprimé !
H:\Documents and Settings\TAF\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
H:\Documents and Settings\TAF\Mes documents\setup et utils\UsbFix.exe: supprimé !
H:\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
H:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
H:\WINDOWS\msnfix.txt: supprimé !
H:\_OTM\MovedFiles\06172009_195515\Program Files\skmw\*.msnfix: ERREUR DE SUPPRESSION !!
H:\_OTM\MovedFiles\06172009_195515\Program Files\skmw\sec\*.msnfix: ERREUR DE SUPPRESSION !!
H:\_OTM\MovedFiles\06172009_195515\Program Files\skmw\WinRds\*.msnfix: ERREUR DE SUPPRESSION !!
H:\_OTM\MovedFiles\06202009_211008\Program Files\Microsoft Studio Files\*.msnfix: ERREUR DE SUPPRESSION !!
H:\SDFIX: supprimé !
H:\MsnFix: supprimé !
H:\GenProc: supprimé !
H:\Qoobox: supprimé !
H:\_OTM: supprimé !
H:\UsbFix: supprimé !
H:\Rsit: supprimé !
H:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
H:\Documents and Settings\TAF\Bureau\MsnFix: supprimé !
H:\Documents and Settings\TAF\Menu Démarrer\Programmes\UsbFix: supprimé !
H:\Program Files\MsnFix: supprimé !
H:\Program Files\Trend Micro\HijackThis: supprimé !
0
Réponse 58 / 71
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
21 juin 2009 à 20:58
oki ...

continue .... ^^
0
Réponse 59 / 71
Taffy
22 juin 2009 à 00:42
Voila le rapport

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: rapport d'analyse
dimanche 21 juin 2009
Système d'exploitation : Microsoft Windows XP Home Edition Service Pack 2 (build 2600)
Version de Kaspersky Online Scanner : 7.0.26.13
Dernière mise à jour de la base : Sunday, June 21, 2009 19:38:53
Enregistrements dans la base : 2375016
--------------------------------------------------------------------------------

Paramètres d'analyse:
analyser avec la base suivante: étendue
Analyser les archives: oui
Analyser les bases de messagerie: oui

Zone d'analyse - Poste de travail:
C:\
E:\
F:\
G:\
H:\
I:\
M:\

Statistiques d'analyse:
Objets analysés: 107085
Menaces trouvées: 1
Objets infectés trouvés: 1
Objets suspects trouvés: 0
Durée d'analyse: 02:53:53


Nom de fichier / Menace / Compteur de menaces
H:\Program Files\Alwil Software\Avast4\DATA\moved\olhrwef.exe.vir Infecté : Trojan-GameThief.Win32.Magania.bhfk 1

La zone sélectionnée a été analysée.
0
Réponse 60 / 71
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 juin 2009 à 01:47
Oki ...

c'est la quarnataine d'Avast qui a été détéctée ... rien de grave donc ...

A moins que tu face la colection de virus , je t'invite à supprimé ce qui se trouve dans la quarantaine d'Avast ... =)


une fois ceci fais , on finalise ... dans l'ordre :


1- Mets à jours ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :

Version Console Java à jour > 6 Update 14
Version Adobe Reader à jour > v 9.1.1
Version Internet Explorer à jour > v 8

* pour la console Java :
-> désinstalle toutes les versions antérieurs via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Puis télécharge et installe la dernière version ici :
http://www.commentcamarche.net/telecharger/telecharger 34055318 java runtime environment
ou https://www.java.com/fr/

( Autre astuce pour faire cette maj ainsi que la suppression des anciennes versions
avec l'outil Javara : http://www.commentcamarche.net/faq/sujet 15645 javara indispensable )

-> Enfin contrôle ceci :
Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".


* Adobe Reader :
-> désinstalle avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Note : si tu as une imprimante ,éteinds la et débranche la du PC avant de faire la mise à jour.
-> télécharge et installe la dernière version ici :
http://www.commentcamarche.net/telecharger/telecharger 27 acrobat reader


* Internet Explorer :
Même si tu utilises un autre Navigateur , il faut tenir IE à jours ! ( sinon faille de sécurité ) .
->Télécharge le ici : https://support.microsoft.com/fr-fr/allproducts
ou ici : http://www.microsoft.com/downloads/details.aspx?familyid=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=fr

! Ferme toutes applications en cours ( navigateurs compris ), désactive toutes tes défenses ( antivirus , pare feu , guarde anti-spyware ...), et en reste connecté !

> puis lance l'installe de IE8 et laisse toi guider ...( regarde bien le du tuto ci-dessous )

->Pourquoi mettre à jours IE et tuto ici :
https://forum.malekal.com/viewtopic.php?f=45&t=12405



============================


2- Fais une mise à jours de ton Système via panneau de config / "Windows Update" :
-> fais toutes les mises à jours disponibles, surtout les dites "critiques" et "importantes" ( XP SP3 , ect ... ).
-> tu les télécharges , puis une fois celles-ci téléchargées , lance les installations ( il te sera surement demandé de redémarrer le PC pour finir les installes ...).

Astuce ici :
http://www.commentcamarche.net/faq/sujet 273 windows update toutes versions

Note :
ferme toutes applications en cours et ne fais rien d'autre avec le PC lors de la mise à jour du système .

============================


3- une fois tout ceci fait , utilise Hijackthis :

tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34),
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

> !! Déconnecte toi et ferme toutes tes applications en cours !!

Clique sur le raccourci du bureau pour lancer le prg :
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

---> Poste le rapport généré pour analyse ...



0

Discussions similaires

Dimensions L x l x H : comment lire ces infos ?
Miss-Curieuse -
valou -

8 réponses
Qu'est-ce que c'est un fichier *.h ?
_Pol_ -
Devlopper :D -

7 réponses
dimension d'un calque
moi2023 -
kabakak -

4 réponses
Dimension de Shapes
duduleray -
Patrice33740 -

5 réponses
Comment résilier sur wap.bouygtel.fr/abo ?
deesse.57 -
GMOMO -

6 réponses