Virus! Besoin d'aide... Résolu

Question

Bonjour,
J'ai un ou des virus sur mon ordinateur portable. En fait j'ai eu mon ordi avec symantec. Depuis, j'ai installé avira antivir ainsi que zonealarm. Donc voila, j'ai deux virus détectés par symantec et qui sont dans sa quarantaine. Quand je veux faire un scan avec avira, le scan se bloque arrivé à C:\ProgramData\Symantec\SRTSP\Quarantine\APQB74D.tmp (surement là où est le virus!)
Bref, je ne sais pas quoi faire et espère que vous pourrais m'aider à me débarrasser de ces problèmes!
Merci d'avance.

Tuutur · Accepted Answer

Up! J'ai vraiment besoin d'aide.

le skull · Answer

Slt 
desactive l'UAC

Télécharge GenProc (de narco4 et jean-chretien1) http://www.genproc.com/GenProc.exe
- double-clique sur GenProc.exe patiente le temps du scan.
- à la fin du scan, un message apparait clique sur "OUI"
- poste le contenu du rapport qui s'ouvre.

toptitbal · Answer

Bonjour

Avant toute autre chose, ne conserve pas deux antivirus.
Si tu as adopté Antivir, désinstalle Norton :

Désinstallation de Norton :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

le skull · Answer

oui deux antivirus ne se complète pas toujours .... 
pour désactiver l'UAC
http://pagesperso-orange.fr/NosTools/uac_vista.html

Tuutur · Answer

Merci de vos reponses!
Voilà le rapport:

Rapport GenProc 2.593 [1] - 20/06/2009 à 17:39:38  
@ Windows Vista Service Pack 1 - Mode normal
@ Mozilla Firefox (3.0.11) [Navigateur par défaut]

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures" ; par la suite, laisse-le avec ses réglages par défaut. C'est tout. 

# Etape 1/ Télécharge :
 
- WORT http://pc-system.fr/ (dj QUIOU) sur le Bureau.


 Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/  ; Choisis ta session courante *** Arthur *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).


# Etape 2/ 

 Double-clique sur le fichier WORT.exe et sélectionne le Bureau à l'aide du bouton "Parcourir". Suis les instructions et double-clique sur le fichier Wareout Removal Tool.bat qui vient d'être créé sur le Bureau. Sélectionne l'option 1 et valide par entrée.

# Etape 3/ 

 Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/ 

 Redémarre normalement et poste, dans la même réponse : 

- Le contenu du rapport WORT_report.txt situé dans C:\Wort ; 
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
- Un nouveau rapport GenProc ;

 Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com 
----------------------------------------------------------------------

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.593 20/06/2009 à 17:40:01 
WareOut:le 20/06/2009 à 17:40:13 
[HKEY_LOCAL_MACHINE\system\controlset001\services	cpip\parameters\interfaces\{6AC7E8C1-BAF7-459A-8807-BCA59D793520}] 
   NameServer	REG_SZ         	85.255.112.225,85.255.112.199

~~ Fin à 17:40:54 ~~ 




Je fais ce qui est indiqué?!

le skull · Answer

oui 
est n'oublie pas de désactiver l'UAC

Tuutur · Answer

Merci ! et oui l'uac est désactivée.
Je fais les différentes étapes et vous tient au courant! Merci encore.

Tuutur · Answer

Alors le premier rapport est là:

===== Rapport WareOut Removal Tool ===== 
 
version 3.1 
 
analyse effectuée le 20/06/2009 à 18:10:42,97 
 
Résultats de l'analyse : 
======================== 
 
~~~~ Recherche d'infections dans C:\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Program Files\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\windows\system\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\windows\system32\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\windows\system32\drivers\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Users\Arthur\AppData\Roaming\ ~~~~ 
 
 
~~~~ Recherche d'infections dans C:\Users\Arthur\Bureau\ ~~~~ 
 
 
~~~~ Recherche de détournement de DNS ~~~~ 
 
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]
    NameServer    REG_SZ    85.255.112.225,85.255.112.199
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{6AC7E8C1-BAF7-459A-8807-BCA59D793520}]
    NameServer    REG_SZ    85.255.112.225,85.255.112.199
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{97014D1E-6BAC-484E-A2A9-E35643BB7BDD}]
    NameServer    REG_SZ    85.255.112.225,85.255.112.199
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{D4AFFBA8-3DA3-4353-AF3F-F666AEA7B9F5}]
    NameServer    REG_SZ    85.255.112.225,85.255.112.199
    DhcpNameServer    REG_SZ    85.255.112.225,85.255.112.199
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters]
    NameServer    REG_SZ    85.255.112.225,85.255.112.199
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{6AC7E8C1-BAF7-459A-8807-BCA59D793520}]
    NameServer    REG_SZ    85.255.112.225,85.255.112.199
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{97014D1E-6BAC-484E-A2A9-E35643BB7BDD}]
    NameServer    REG_SZ    85.255.112.225,85.255.112.199
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{D4AFFBA8-3DA3-4353-AF3F-F666AEA7B9F5}]
    NameServer    REG_SZ    85.255.112.225,85.255.112.199
    DhcpNameServer    REG_SZ    85.255.112.225,85.255.112.199
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\Tcpip\Parameters]
    NameServer    REG_SZ    85.255.112.225,85.255.112.199
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\Tcpip\Parameters\Interfaces\{6AC7E8C1-BAF7-459A-8807-BCA59D793520}]
    NameServer    REG_SZ    85.255.112.225,85.255.112.199
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\Tcpip\Parameters\Interfaces\{97014D1E-6BAC-484E-A2A9-E35643BB7BDD}]
    NameServer    REG_SZ    85.255.112.225,85.255.112.199
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\Tcpip\Parameters\Interfaces\{D4AFFBA8-3DA3-4353-AF3F-F666AEA7B9F5}]
    NameServer    REG_SZ    85.255.112.225,85.255.112.199
    DhcpNameServer    REG_SZ    85.255.112.225,85.255.112.199



Pour les autres, ce n'est pas gagné car à chaque fois que je veux lancer l'installation de HijackThis, Ecran bleu et arrêt! Je vais réessayer!

Tuutur · Answer

J'ai réussi à installer HiJackThis mais en le lançant, il est mis : HiJackThis a cessé de fonctionner! Que Faire? Je continue d'essayer mais au bout de trois ou quatre tentatives, j'ai l'écran bleu!!
Merci de m'aider.

le skull · Answer

attend je cherche de mon coter mais sait bizarre tout sa et on a besoin de HiJackThis m***e =(

Tuutur · Answer

Je m'en doute, oui! J'ai essayé de l'effacer puis le réinstaller mais écran bleu ou même résultat : HijackThos ne s'ouvre pas! Merci beaucoup de m'aider en tout cas!

le skull · Answer

a tu essayer en démarrent en mode sans échec pour faire un test HiJackThis ???

Tuutur · Answer

Non. J'essaye!

Tuutur · Answer

En mode sans echec, j'ai essayé mais aucune reponses, même pas de messages d'erreur! Que faire?

le skull · Answer

puffffff.....!!!!! bah la..... je vais essayer de trouver une solution des que je l'ai je te l'envoie

Tuutur · Answer

Merci beaucoup!! J'espère que tu trouveras... ( pour tu dire, j'ai 7 virus dans ma quarantaine mais ils ont l'air d'être tous les mêmes... A chaque ouverture de l'ordi, il s'en rajoute)

^^Marie^^ · Answer

Salut

Passe un coup de ToolCleaner et refais un hijackthis

++

le skull · Answer

sltr ^^marie^^

^^marie^^ tu dit "Passe un coup de ToolCleaner et refais un hijackthis "
je suis d'accord 
mais /!\

Tuutur,a dit  le samedi 20 juin 2009 à 19:17:06
Je m'en doute, oui! J'ai essayé de l'effacer puis le réinstaller mais écran bleu ou même résultat : HijackThis ne s'ouvre pas! 

alors avant il faut trouver pourquoi HijackThis ne s'ouvre pas sinon on sera toujours au même point

Tuutur · Answer

Je ne peux plus ouvrir firefox maintenant! (image incorrecte puis maintenant point d'entrée introuvable) . Je suis donc sur internet explorer mais il y a aussi image incorrecte à l'ouverture donc j'espere que ça ne va pas non plus s'arrêter! 
Bref, Hijackthis ne s'ouvre toujours pas! J'ai un rapport de avira si vous voulez...?!

Merci de m'aider!

le skull · Answer

re je n'arrette pas de chercher sans grande trouvaille =( mais tkt je ne t'abandonne pas 
mais pour "Global Virtual Card Host" cesse de fonctionner.
j'ai deja entendu parler qu'il s'agissé du lecteur d'empreintes digitales pour bouger la souris est t'il désactiver??

^^Marie^^ · Answer

·	Télécharge ToolsCleaner de A.Roshtein& dj QUIOU sur ton Bureau.(sur un des 2 liens)
http://pc-system.fr/
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner 
·	Clique sur Recherche et laisse le scan se terminer.
·	Clique, sur Suppression pour finaliser.
·	Tu peux, si tu le souhaites, te servir des Options facultatives.
·	Clique sur Quitter, pour que le rapport puisse se créer.
·	Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

le skull · Answer

Tuutur peut tu me donner la marque et le nom de ton PC pour le PROBLÈME -> "Global Virtual Card Host" cesse de fonctionner.

Tuutur · Answer

Pour ^^Marie^^, voici le rapport:


[ Rapport ToolsCleaner version 2.3.6 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\GenProc: trouvé !
C:\WORT: trouvé !
C:\Downloads\HJTInstall.exe: trouvé !
C:\GenProc\outil\mbr.exe: trouvé !
C:\GenProc\Page\GenProc[*].html: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\Arthur\Desktop\WareOut Removal Tool.bat: trouvé !
C:\Users\Arthur\Desktop\WORT: trouvé !
C:\Users\Arthur\Downloads\Genproc.exe: trouvé !
C:\Users\Arthur\Downloads\WORT.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Downloads\HJTInstall.exe: supprimé !
C:\Users\Arthur\Desktop\WareOut Removal Tool.bat: supprimé !
C:\GenProc\outil\mbr.exe: supprimé !
C:\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Users\Arthur\Downloads\Genproc.exe: supprimé !
C:\Users\Arthur\Downloads\WORT.exe: supprimé !
C:\GenProc: supprimé !
C:\WORT: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: supprimé !
C:\Users\Arthur\Desktop\WORT: supprimé !



Et le skull, comment ça lecteur d'empreints digitales? Jai un portable donc jai le rectangle pour dirigé la souris qui marche mais je ne vois pas autre chose de digital...

Merci de m'aider!

Tuutur · Answer

Ok, C'est un Hp 6830s et j'ai vista.
Voilà!

le skull · Answer

en lisant sur un forum il dise que pour le problème "Global Virtual Card Host" cesse de fonctionner il faut faire une mise a jour du BIOS donc je vais approfondir les recherches pour ne pas dire de bêtise ^^

en espérant trouver déjà au moins une solution a tout tes problème

Tuutur · Answer

Merci beaucoup! J'espere que c'est la cause d'autres problemes! Pour faire enfin le HijackThis et voir les problemes dus au virus!

le skull · Answer

non je ne pense pas que sais sa qui pose le problème pour HijackThis mais vaut mieux essayer de tout régler et d'être tranquille pas la suite

Tuutur · Answer

Non, j'ai télécharger au lien fourni et au moment de faire install: HijackThis a cessé de fonctionner! Je ne comprend pas!! Je continue d'essayer ou pas? Car je vais finir par retomber sur l'écran bleu et ce n'est peut être pas tres bon d'avoir cet écran bleu?
Pour l'instant, je réessaye! 
Merci.

Tuutur · Answer

Je ne sais pas si tu as vu mais au début, on m'a donné un lien pour le supprimer et j'ai telecharger "norton removal tool" mais impossible de le faire fonctionner car il me dit que pour que ça marche, il faut supprimer dans "Ajouter/Supprimer des programmes" Symantec 9 ou plus recent... 
Ce que j'ai fait et dans recherche, il n'y a plus rien de symantec donc je réessaye mais il me demande toujours de le supprimer!

PS: j'ai depuis quelques démarrage une fenetre avec "nouveau matériel détecté" (je ne sais pas de quoi il parle car il n'y a aucune info...) j'ai trois options - arrêter de me prevenir
                                                             - me rappeler ulterieurement
                                                             - rechercher et installer le pilote logiciel (ce qui ne donne rien!)

^^Marie^^ · Answer

Télécharge HostsXpert sur ton Bureau : 
http://www.funkytoad.com/download/HostsXpert.zip 

---> Décompresse-le (Clic droit >> Extraire ici) 

---> Double-clique sur HostsXpert pour le lancer 

---> clique sur le bouton "Restore MS Hosts File" puis ferme le programme 

PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.

Tuutur · Answer

^^Marie^^, je l'ai fait!
Et maintenant?

^^Marie^^ · Answer

Tu as le CD pour une éventuelle réparation ?


Telecharge FindyKill sur ton bureau : 

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe 
https://www.malekal.com/tutorial-findykill/

--> Lance l installation avec les paramètres par défaut 

--> Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir 


--> Double clic sur le raccourci FindyKill sur ton bureau 

--> Au menu principal, choisis l’option 1 (Recherche) 

--> Post le rapport FindyKill.txt 

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

Tuutur · Answer

J'ai pas de CD pour une éventuelle réparation, non! :S
Je fais quand même ce que tu m'a dis?!
Merci!

Tuutur · Answer

Alors, je le fais?

Tuutur · Answer

Je n'ai toujours rien fait! J'attends votre aide. Merci d'avance!

Tuutur · Answer

Up

^^Marie^^ · Answer

SAlut

Telecharge FindyKill sur ton bureau :  ??

Cela donne quoi

Pas trop présente en ce moment

Tuutur · Answer

FindyKill est introuvable! Le lien m'amenne sur 404- Not Found. J'ai cherché sur google et tous les liens sont identiques! Que faire?

gen-hackman · Answer

salut on peut essayer de voir avec ca :


Télécharge DDS.scr de sUBs Sur le bureau.:

L'outil ne nécessite pas d'installation. 

Lances-le en cliquant sur l'icône dds.scr 

Cette fenêtre DOS va apparaitre:
 

Le scan ne doit pas dépasser trois minutes. 
Un premier rapport va s'ouvrir que tu enregistreras sous DDS.txt par défaut sur le bureau. 
Il te sera demandé si tu veux faire le scan optionnel. 
Accepte par Oui 
Un nouveau rapport s'ouvre que tu enregistres sous Attach.txt sur le bureau. 
Tu ne le fourniras que si nécessaire. 
Poste le rapport DDS.txt

Tuutur · Answer

Merci beaucoup, Voila le rapport DDS: DDS (Ver_09-06-26.01) - NTFSx86 Run by Arthur at 14:26:50,09 on 08/07/2009 Internet Explorer: 7.0.6001.18000 BrowserJavaVersion: 1.6.0_13 Microsoft® Windows Vista™ Professionnel 6.0.6001.1.1252.33.1036.18.2042.948 [GMT 2:00] AV: Symantec Endpoint Protection *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C} SP: ZoneAlarm Anti-Spyware *enabled* (Outdated) {F245A209-1085-48B4-B927-35D56015EC60} SP: Spybot - Search and Destroy *enabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9} SP: Symantec Endpoint Protection *disabled* (Updated) {6C85A515-B91D-4D2B-AF18-40984A4A8493} SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B} ============== Running Processes =============== C:\windows\system32\wininit.exe C:\windows\system32\lsm.exe C:\windows\system32\svchost.exe -k DcomLaunch C:\windows\System32\svchost.exe -k Cognizance C:\Program Files\Hewlett-Packard\File Sanitizer\HPFSService.exe c:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe C:\windows\system32\svchost.exe -k rpcss C:\windows\system32\Ati2evxx.exe C:\windows\System32\svchost.exe -k LocalServiceNetworkRestricted C:\windows\System32\svchost.exe -k LocalSystemNetworkRestricted C:\windows\system32\svchost.exe -k netsvcs C:\windows\system32\svchost.exe -k GPSvcGroup C:\windows\system32\SLsvc.exe C:\windows\system32\svchost.exe -k LocalService C:\windows\system32\svchost.exe -k NetworkService C:\Windows\System32\ZoneLabs\vsmon.exe C:\windows\system32\Ati2evxx.exe C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe C:\windows\system32\Dwm.exe C:\windows\Explorer.EXE C:\windows\system32 askeng.exe C:\windows\System32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\windows\system32 askeng.exe C:\windows\system32\svchost.exe -k LocalServiceNoNetwork c:\Program Files\ActivIdentity\ActivClient\accoca.exe C:\windows\system32\AEADISRV.EXE C:\Windows\system32\agrsmsvc.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\windows\system32\svchost.exe -k bthsvcs c:\Program Files\ActivIdentity\ActivClient\acevents.exe c:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe C:\windows\system32\svchost.exe -k hpdevmgmt C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\windows\System32\svchost.exe -k HPZ12 C:\windows\System32\svchost.exe -k HPZ12 C:\windows\system32\svchost.exe -k NetworkServiceNetworkRestricted C:\windows\system32\svchost.exe -k imgsvc C:\windows\System32\TUProgSt.exe C:\windows\System32\svchost.exe -k WerSvcGroup C:\windows\system32\SearchIndexer.exe C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe C:\windows\system32\svchost.exe -k HPService C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe C:\Program Files\ActivIdentity\ActivClient\accrdsub.exe C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\pthosttr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe C:\windows\system32\wbem\wmiprvse.exe C:\Program Files\Hewlett-Packard\File Sanitizer\CoreShredder.exe C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe C:\Program Files\Analog Devices\Core\smax4pnp.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE C:\Program Files\Windows Media Player\wmpnetwk.exe C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe c:\Program Files\ActivIdentity\ActivClient\acevents.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\Program Files\Mozilla Firefox\firefox.exe c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe C:\windows\system32\wbem\wmiprvse.exe C:\windows\servicing\TrustedInstaller.exe C:\windows\System32\vds.exe C:\windows\system32\SearchProtocolHost.exe C:\windows\system32\SearchFilterHost.exe C:\Users\Arthur\Downloads\dds.scr ============== Pseudo HJT Report =============== uStart Page = hxxp://www.google.fr/ uDefault_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=83&bd=all&pf=cmnb mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=83&bd=all&pf=cmnb mDefault_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=83&bd=all&pf=cmnb uInternet Settings,ProxyOverride = *.local BHO: Octh Class: {000123b4-9b42-4900-b3f7-f4b073efc214} - c:\program files\orbitdownloader\orbitcth.dll BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll BHO: BHO_Startup Class: {3134413b-49b4-425c-98a5-893c1f195601} - c:\program files\hewlett-packard\file sanitizer\IEBHO.dll BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\program files\spybot - search & destroy\SDHelper.dll BHO: Programme d'aide de l'Assistant de connexion Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\program files\google\googletoolbarnotifier\5.1.1309.3572\swg.dll BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll BHO: Credential Manager for HP ProtectTools: {df21f1db-80c6-11d3-9483-b03d0ec10000} - c:\program files\hewlett-packard\iam\bin\ItIEAddIn.dll BHO: HP Smart BHO Class: {ffffffff-cf4e-4f2b-bdc2-0e72e116a856} - c:\program files\hp\digital imaging\smart web printing\hpswp_BHO.dll TB: {0BF43445-2F28-4351-9252-17FE6E806AA0} - No File uRun: [LightScribe Control Panel] c:\program files\common files\lightscribe\LightScribeControlPanel.exe -hidden uRun: [SpybotSD TeaTimer] c:\program files\spybot - search & destroy\TeaTimer.exe mRun: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide mRun: [IAAnotif] c:\program files\intel\intel matrix storage manager\iaanotif.exe mRun: [] mRun: [accrdsub] "c:\program files\actividentity\activclient\accrdsub.exe" mRun: [PTHOSTTR] c:\program files\hewlett-packard\hp protecttools security manager\PTHOSTTR.EXE /Start mRun: [CognizanceTS] rundll32.exe c:\progra~1\hewlet~1\iam\bin\ASTSVCC.dll,RegisterModule mRun: [SynTPEnh] c:\program files\synaptics\syntp\SynTPEnh.exe mRun: [hpWirelessAssistant] c:\program files\hewlett-packard\hp wireless assistant\HPWAMain.exe mRun: [File Sanitizer] c:\program files\hewlett-packard\file sanitizer\CoreShredder.exe mRun: [QlbCtrl.exe] c:\program files\hewlett-packard\hp quick launch buttons\QlbCtrl.exe /Start mRun: [WatchDog] c:\program files\intervideo\dvd check\DVDCheck.exe mRun: [SoundMAXPnP] c:\program files\analog devices\core\smax4pnp.exe mRun: [SoundMAX] c:\program files\analog devices\soundmax\soundmax.exe /tray mRun: [StartCCC] "c:\program files\ati technologies\ati.ace\core-static\CLIStart.exe" mRun: [ccApp] "c:\program files\common files\symantec shared\ccApp.exe" mRun: [hpqSRMon] c:\program files\hp\digital imaging\bin\hpqSRMon.exe mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe" mRun: [ZoneAlarm Client] "c:\program files\zone labs\zonealarm\zlclient.exe" mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min mRun: [HP Health Check Scheduler] c:\program files\hewlett-packard\hp health check\HPHC_Scheduler.exe StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\dvdche~1.lnk - c:\program files\intervideo\dvd check\DVDCheck.exe StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\hpdigi~1.lnk - c:\program files\hp\digital imaging\bin\hpqtra08.exe mPolicies-system: EnableLUA = 0 (0x0) mPolicies-system: EnableUIADesktopToggle = 0 (0x0) IE: &Download by Orbit - c:\program files\orbitdownloader\orbitmxt.dll/201 IE: &Grab video by Orbit - c:\program files\orbitdownloader\orbitmxt.dll/204 IE: Do&wnload selected by Orbit - c:\program files\orbitdownloader\orbitmxt.dll/203 IE: Down&load all by Orbit - c:\program files\orbitdownloader\orbitmxt.dll/202 IE: E&xport to Microsoft Excel - c:\progra~1\micros~1\office12\EXCEL.EXE/3000 IE: Envoyer au périphérique &Bluetooth... - c:\program files\widcomm\bluetooth software\btsendto_ie.htm IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\widcomm\bluetooth software\btsendto_ie_ctx.htm IE: {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\program files\widcomm\bluetooth software\btsendto_ie.htm IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~1\office12\REFIEBAR.DLL IE: {DDE87865-83C5-48c4-8357-2F5B1AA84522} - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - c:\program files\hp\digital imaging\smart web printing\hpswp_BHO.dll IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\program files\spybot - search & destroy\SDHelper.dll DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab TCP: NameServer = 85.255.112.225,85.255.112.199 TCP: {6AC7E8C1-BAF7-459A-8807-BCA59D793520} = 85.255.112.225,85.255.112.199 TCP: {97014D1E-6BAC-484E-A2A9-E35643BB7BDD} = 85.255.112.225,85.255.112.199 TCP: {D4AFFBA8-3DA3-4353-AF3F-F666AEA7B9F5} = 85.255.112.225,85.255.112.199 AppInit_DLLs: APSHook.dll LSA: Notification Packages = scecli ASWLNPkg ================= FIREFOX =================== FF - ProfilePath - c:\users\arthur\appdata oaming\mozilla\firefox\profiles\ctdlqkgp.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ FF - plugin: c:\program files\google\google updater\2.4.1601.7122 pCIDetect13.dll FF - plugin: c:\program files\google\update\1.2.183.7 pGoogleOneClick8.dll FF - plugin: c:\program files\windows live\photo gallery\NPWLPG.dll FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} ---- FIREFOX POLICIES ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: nglayout.initialpaint.delay - 600 FF - user.js: content.notify.interval - 600000 FF - user.js: content.max.tokenizing.time - 1800000 FF - user.js: content.switch.threshold - 600000 ============= SERVICES / DRIVERS =============== R0 SbAlg;SbAlg;c:\windows\system32\drivers\SbAlg.sys [2008-5-14 51376] R0 SbFsLock;SbFsLock;c:\windows\system32\drivers\SbFsLock.sys [2008-5-14 12928] R1 RsvLock;RsvLock;c:\windows\system32\drivers svlock.sys [2008-5-14 12496] R2 accoca;ActivClient Middleware Service;c:\program files\actividentity\activclient\accoca.exe [2007-5-16 182576] R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\avira\antivir desktop\sched.exe [2009-6-20 108289] R2 ASBroker;Logon Session Broker;c:\windows\system32\svchost.exe -k Cognizance [2008-1-21 21504] R2 ASChannel;Local Communication Channel;c:\windows\system32\svchost.exe -k Cognizance [2008-1-21 21504] R2 HP ProtectTools Service;HP ProtectTools Service;c:\program files\hewlett-packard\hp protecttools security manager\PTChangeFilterService.exe [2008-5-14 34184] R2 HpFkCryptService;Drive Encryption Service;c:\program files\hewlett-packard\drive encryption\HpFkCrypt.exe [2008-5-14 256512] R2 HPFSService;File Sanitizer for HP ProtectTools;c:\program files\hewlett-packard\file sanitizer\HPFSService.exe [2008-6-17 77824] R2 SBSDWSCService;SBSD Security Center Service;c:\program files\spybot - search & destroy\SDWinSec.exe [2009-6-20 1153368] R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-5-9 604416] R3 Com4QLBEx;Com4QLBEx;c:\program files\hewlett-packard\hp quick launch buttons\Com4QLBEx.exe [2008-6-17 193840] R3 NETw5v32;Pilote de carte Intel(R) Wireless WiFi Link pour Windows Vista 32 bits ;c:\windows\system32\drivers\NETw5v32.sys [2008-4-28 3658752] S2 gupdate1c9e2c92ef16c29;Service Google Update (gupdate1c9e2c92ef16c29);c:\program files\google\update\GoogleUpdate.exe [2009-6-1 133104] S2 hpsrv;HP Service;c:\windows\system32\hpservice.exe [2008-4-7 24936] S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2008-1-21 179712] S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [2008-1-12 23888] S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\common files\symantec shared\eengine\EraserUtilRebootDrv.sys [2009-3-11 101936] S3 RoxMediaDB10;RoxMediaDB10;c:\program files\common files oxio shared\10.0\sharedcom\RoxMediaDB10.exe [2008-4-8 1112560] =============== Created Last 30 ================ 2009-06-27 18:34 --d----- c:\users\arthur\appdata oaming\Samsung 2009-06-27 18:02 109,704 a------- c:\windows\system32\drivers\ssm_mdm.sys 2009-06-27 18:02 83,592 a------- c:\windows\system32\drivers\ssm_bus.sys 2009-06-27 18:02 15,112 a------- c:\windows\system32\drivers\ssm_mdfl.sys 2009-06-27 18:02 12,424 a------- c:\windows\system32\drivers\ssm_whnt.sys 2009-06-27 18:02 12,424 a------- c:\windows\system32\drivers\ssm_wh.sys 2009-06-27 18:02 12,424 a------- c:\windows\system32\drivers\ssm_cmnt.sys 2009-06-27 18:02 12,424 a------- c:\windows\system32\drivers\ssm_cm.sys 2009-06-27 17:29 59 a------- c:\windows\wininit.ini 2009-06-27 17:22 --d----- c:\windows\system32\Samsung_USB_Drivers 2009-06-27 17:22 766 a------- c:\windows\system32\Uninstall.ico 2009-06-27 17:22 5,632 a------- c:\windows\system32\drivers\StarOpen.sys 2009-06-27 17:22 --d----- c:\program files\Samsung 2009-06-20 22:38 --d----- c:\programdata\Spybot - Search & Destroy 2009-06-20 22:38 --d----- c:\program files\Spybot - Search & Destroy 2009-06-20 22:38 --d----- c:\progra~2\Spybot - Search & Destroy 2009-06-20 21:31 --d----- c:\program files\AxBx 2009-06-20 20:25 55,640 a------- c:\windows\system32\drivers\avgntflt.sys 2009-06-20 20:25 --d----- c:\programdata\Avira 2009-06-20 20:25 --d----- c:\program files\Avira 2009-06-20 20:25 --d----- c:\progra~2\Avira 2009-06-20 18:54 --d----- c:\program files\Trend Micro 2009-06-19 11:38 170,496 a------- c:\windows\system32 cpipcfg.dll 2009-06-19 11:38 22,528 a------- c:\windows\system32 etiougc.exe 2009-06-19 11:37 1,221,512 a------- c:\windows\system32\zpeng25.dll 2009-06-19 11:37 --d----- c:\program files\Zone Labs 2009-06-19 11:36 350,192 a---h--- c:\windows\system32\drivers\vsconfig.xml 2009-06-19 11:36 293,528 a------- c:\windows\system32\drivers\vsdatant.sys 2009-06-19 11:36 --d----- c:\windows\system32\ZoneLabs 2009-06-19 11:35 --d----- c:\programdata\CheckPoint 2009-06-19 11:35 --d----- c:\progra~2\CheckPoint 2009-06-19 11:35 --d----- c:\windows\Internet Logs 2009-06-18 23:01 --d----- c:\programdata\WindowsSearch 2009-06-11 07:44 2,033,152 a------- c:\windows\system32\win32k.sys 2009-06-11 07:44 636,928 a------- c:\windows\system32\localspl.dll ==================== Find3M ==================== 2009-07-08 13:52 143,360 a------- c:\windows\inf\infstrng.dat 2009-07-08 13:52 86,016 a------- c:\windows\inf\infstor.dat 2009-07-08 13:52 51,200 a------- c:\windows\inf\infpub.dat 2009-07-08 01:53 1,713 a------- c:\windows\bthservsdp.dat 2009-07-07 00:06 716,298 a------- c:\windows\system32\perfh00C.dat 2009-07-07 00:06 144,420 a------- c:\windows\system32\perfc00C.dat 2009-06-22 14:59 188,817 a------- c:\windows\hpoins31.dat 2009-06-20 19:33 123,952 a------- c:\windows\system32\drivers\SYMEVENT.SYS 2009-06-20 19:33 10,563 a------- c:\windows\system32\drivers\SYMEVENT.CAT 2009-06-20 19:33 805 a------- c:\windows\system32\drivers\SYMEVENT.INF 2009-05-14 15:28 299,008 a------- c:\windows\system32\TubeFinder.exe 2009-05-09 14:25 604,416 a------- c:\windows\system32\TUProgSt.exe 2009-05-09 14:25 361,216 a------- c:\windows\system32\TuneUpDefragService.exe 2009-04-27 14:21 17,152 a------- c:\windows\system32\authuitu.dll 2009-04-27 14:21 28,928 a------- c:\windows\system32\uxtuneup.dll 2009-04-24 18:05 827,904 a------- c:\windows\system32\wininet.dll 2009-04-24 18:02 78,336 a------- c:\windows\system32\ieencode.dll 2009-04-24 15:44 26,624 a------- c:\windows\system32\ieUnatt.exe 2009-04-24 14:32 410,984 a------- c:\windows\system32\deploytk.dll 2009-04-23 14:43 784,896 a------- c:\windows\system32 pcrt4.dll 2008-06-17 10:27 665,600 a------- c:\windows\inf\drvindex.dat 2008-04-15 21:15 340,236 a------- c:\windows\inf\perflib\040c\perfi.dat 2008-04-15 21:15 340,236 a------- c:\windows\inf\perflib\040c\perfh.dat 2008-04-15 21:15 37,390 a------- c:\windows\inf\perflib\040c\perfd.dat 2008-04-15 21:15 37,390 a------- c:\windows\inf\perflib\040c\perfc.dat 2008-01-21 04:43 174 a--sh--- c:\program files\desktop.ini 2006-11-02 11:20 287,440 a------- c:\windows\inf\perflib\0000\perfi.dat 2006-11-02 11:20 287,440 a------- c:\windows\inf\perflib\0000\perfh.dat 2006-11-02 11:20 30,674 a------- c:\windows\inf\perflib\0000\perfd.dat 2006-11-02 11:20 30,674 a------- c:\windows\inf\perflib\0000\perfc.dat ============= FINISH: 14:27:18,57 ===============

gen-hackman · Answer

rien dans ce rapport :(

peux-tu énumérer exactement et précisement , les problemes que tu as de manière à ce que je me dirige vers les outils adéquats à te faire utiliser ?

Tuutur · Answer

Je ne m'y connais pas trop alors je pense avoir un ou des virus, qui était dans ma quarantaine (bien qu'ils n'y soient plus!?) et pour hijackthis et spybot que j'ai voulu télécharger, ils "arretent de fonctionner au lancement", des écrans bleus parfois, et je suis dirigé sur des sites que je n'ai pas tapé! Voilà, je crois que c'est tout. Ah oui, et firefox me met une message d'erreur à chaque lancement avec "image incorrecte" comme titre.

gen-hackman · Answer

bien petite verification :

&#9830 Desactive ton Anti-virus le temps de la manip car il est detecte a tort comme infection puis :

&#9830 Télécharge List_All (de g3n-h@ckm@n)

et enregistre-le sur ton bureau et pas ailleurs

&#9830 Execute-le en double clic (clic droit et "en tant qu'administrateur" sous vista)pour le lancer

&#9830 choisis la langue d'utilisation

&#9830 choisis l'option en gras ci-dessous :

1 : Elements du panneau de configuration (cpl)
2 : Liste des .dll systeme
3 : Listes des executables (.exe)
4 : Liste des fichiers systeme (Drivers)
5 : Liste du system32
6 : Liste de tout le systeme
7 : Liste des fichiers .tmp
8 : Liste des fichiers racine
9 : Liste des fichiers cachés 
0 : Liste des Processus Console


puis "entrée"

&#9830 rends-toi récupérer le rapport où il t'est indiqué ,

&#9830 envoie-le sur : http://www.cijoint.fr/ , fais-toi parcourir , 

puis envoie le fichier.

&#9830 un lien de cette forme va apparaitre :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9830 renvoie le lien tout frais dans ta prochaine reponse .

Tuutur · Answer

Ok, merci, voilà le lien :


http://www.cijoint.fr/cjlink.php?file=cj200907/cij58k9kJk.txt

gen-hackman · Answer

supprime ceci manuellement :

C:\Windows\System32\reg.exe

ensuite :

fais pareil avec List_All mais option 9

Tuutur · Answer

Reg est impossible à supprimer. Il me dit que je n'y suis pas autorisé! Je suis pourtant administrateur!?

gen-hackman · Answer

pas grave passe à la suite

Tuutur · Answer

Voila,

http://www.cijoint.fr/cjlink.php?file=cj200907/cijK5dhyZ3.txt

gen-hackman · Answer

Télécharger Smitfraudfix par S!RI :


  
Décompresser l'archive 
Exécuter le en double cliquant sur Smitfraudfix.cmd 
Appuyer sur une touche pour continuer 
Arriver à l'invite de commande, saisir la lettre L afin de basculer le fix en langue française 
Au menu, choisir l’option  Recherche 
Poster le rapport ainsi généré

Tuutur · Answer

Le lien est la, 

http://www.cijoint.fr/cjlink.php?file=cj200907/cijClfEiGU.txt

PS : En téléchargeant ce fichier, mon antivirus m'a averti qu'il y avait des virus tous issus du fichier, j'ai ignoré pour pouvoir faire cela... 

Merci encore!

gen-hackman · Answer

relances smitfraufix et fais l 'option "DNS" puis poste le rapport

Tuutur · Answer

Voila,

http://www.cijoint.fr/cjlink.php?file=cj200907/cij4K3iIae.txt

gen-hackman · Answer

Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



Télécharges :

Malwarebytes  

ou  :

Malwarebytes

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

* Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "Complet" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

gen-hackman · Answer

qu'est ce qui dit lui ?

Tuutur · Answer

Oh ça me fait c***r !!! Désolé mais ça m'énerve! Je suis encore bloqué comme pour Hijackthis (je ne sais pas si tu as lu le début du topic...) , "Malwarebytes a cessé de fonctionner" quand je le lance! Que faire? En tout cas merci beaucoup pour tout ton investissement!

gen-hackman · Answer

bon ben ca pue le Rootkit j 'ai l'impression /!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\ ♦ Surtout , penses à l'enregistrement à renommer Comfix en "ton prenom.exe" _________________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ♦ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil: https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Avant d'utiliser ComboFix : ______________________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° ♦ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ♦ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. >> Reviens sur le forum, et ♦ copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Tuutur · Answer

Ok ok, je n'ai encore rien fait, je n'ai pas trop compris l'histoire de renommer combofix en monpremon.exe!!?
Ce que je vais télécharger, je le renomme direct en monprenom?
Merci

gen-hackman · Answer

oui car certaines infections sont capables de bloquer des outils de desinfection

Tuutur · Answer

Alors au début de combofix, j'ai eu deux messages d'erruer me disant que je n'avais pas desactiver zonealarm alors que j'avais fait shutdown! J'ai tenté de tout desactiver mais le message est revenu donc j'ai continuer... Au bout de 30 secondes, une petite fenetre s"est ouverte, me parlant d'un rootkit...!? et de noter 6 emplacement qui pourrait être utiles apres comme C:\Windows\System32\MSIVXyvcrwqmmqqxpmcfqveyxoeearwjexpsk.dll ... et il y a aussi des .sys . Apres les avoir noté et cliqué sur OK, une toute petite fenetre avec une croix rouge est apparu il me semble et tout de suite apres, ecran bleu.. redemarrage.. et je poste ici.. Que faire? Je recommance?

Merci

P.S: depuis ce redémarrage, avira m'informe de découverte de virus auxquels "j'ai refusé l'accès" Du genre Tr/Crypt... (j'ai pas eu le temps de lire..)

gen-hackman · Answer

Lance Combofix en mode sans echec

Tuutur · Answer

J'en ai refait un en mode normal, c'est allé jusqu'au bout et après il y a eu "rebooting" qui était en train de se faire et que je ne devais pas faire manuellement... et écran bleu puis panne de démarrage, restauration et pas de rapport! Je recommence en mode sans échec?

gen-hackman · Answer

oui

Tuutur · Answer

Voila, j'ai fait en mode sans échec et des le démarrage de combofix, l'ordi s'est redémarrer sans rien demander et combofix a recommencer mais je n'ai pu désactiver aucun antivirus, firewall... donc il y a eu des demandes de refus d'accès aux virus durant le scan de combofix, donc je ne sais pas si c'est bon mais voilà le log après la suppression de plusieurs "trucs qui me sont inconnus..." 

http://www.cijoint.fr/cjlink.php?file=cj200907/cij8o3tNu8.txt

Merci!!

gen-hackman · Answer

ok mets malwarebytes à jour et fais un scan

Tuutur · Answer

Voila, j'ai supprimé 5 éléments je crois... Mais pendant le scan, avira m'a averti d'autres virus qui ne sont pas les mêmes que ceux supprimés je crois..
Bref, voila le log de malwarebytes : 
http://www.cijoint.fr/cjlink.php?file=cj200907/cijtZRKgsj.txt

gen-hackman · Answer

Télécharge OTL de OLDTimer

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant scan all users

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt" s'il t'est demandé

Tuutur · Answer

Le rapport OTL : 
http://www.cijoint.fr/cjlink.php?file=cj200907/cijNSxJY1f.txt

Le rapport Extras :
http://www.cijoint.fr/cjlink.php?file=cj200907/cij8MKGPyZ.txt

gen-hackman · Answer

je ne vois plus d'infections dans ce log

Tuutur · Answer

Donc je n'ai plus de problemes? En tout cas, merci beaucoup, vraiment! Et si je ne suis plus infecté, je desinstalle tous les programmes installés (malwarebytes, hijackthis, list all...) ? Et comment être bien protégé?
Merci pour tout!

gen-hackman · Answer

tout est dit la dedans : Télécharge :ATF Cleaner par Atribune Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ Tu peux garder ATF pour d'eventuels netttoyages un peu plus poussés __________________________________________________ http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner ---> Télécharge ToolsCleaner2 sur ton Bureau. * Double-clique sur ToolsCleaner2.exe pour le lancer. * Clique sur Recherche et laisse le scan agir. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options Facultatives. * Clique sur Quitter pour obtenir le rapport. * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). ________________________________________________ Tu peux supprimer ToolCleaner _________________________________________________ ---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! B-Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ > Peux-tu vérifier Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). Tuto voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ > Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) __________________________________________________ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm ___________________________________________________ > Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ > Si nous avons utilisé MalwareByte's Anti-Malware : vide sa quarantaine. - Lance le programme puis clique sur . - Sélectionne tous les éléments puis clique sur . - Quitte le programme. ______________________________________________________ >si tu as installé Antivir : Configuration ________________________________________________________ > Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ > Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : > Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. - Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. - Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ > Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu (/!\ les routeurs et box en possèdent un)] + [Un bon Antispyware avec immunisation] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ >lien utile >SpywareBlaster = petit logiciel qui bloque l'installation d'activeX nuisibles au PC.(Fonctionne en arrière plan) ____________ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ___________ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ____________ Voila, Bonne lecture, à bientot,une fois tout ceci fait tu peux mettre le topic en resolu

Tuutur · Answer

Le rapport ToolCleaner :

 http://www.cijoint.fr/cjlink.php?file=cj200907/cijSwV6ZcN.txt

Le rapport JavaRa : (cela ne marchait pas sur cijoint :s)

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Thu Jul 16 16:28:10 2009

Found and removed: C:\Program Files\Java\jre1.6.0_06

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0000-0002-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0000-0004-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0003-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0012-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0013-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0014-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBC}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBC}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBC}

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D610006

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D610006

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610006

Found and removed: SOFTWARE\Classes\JavaPlugin.160_06

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_06

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_06

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610006

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610006

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610006

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160060}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0001-0003-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0001-0004-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0001-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0001-0006-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0001-0007-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0001-0000-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0001-0001-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0001-0002-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0001-0003-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0001-0004-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0001-0005-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0001-0006-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0001-0007-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0001-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0002-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0004-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0007-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0008-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0009-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0010-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0011-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0012-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0013-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0014-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0015-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0016-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0000-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0001-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0002-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0003-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0004-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0005-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0006-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0007-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0008-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0009-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0010-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0011-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0012-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0013-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0014-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0015-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0002-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\JavaPlugin.160_06

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_06

Found and removed: Software\JavaSoft\Java2D\1.6.0_06

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0015-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_06\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_06\bin\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Common Files\Java\Update\Base Images\jre1.6.0.b105\patch-jre1.6.0_06.b02\

------------------------------------

Finished reporting.


J'ai d'abord fait ceci puis j'ai installé java... C'est bien ce qu'il fallait faire?

Merci vraiment pour tout!!! Et après votre réponse, Je marque le topic résolu!

gen-hackman · Answer

oui impec pour java

Tuutur · Answer

Re-Bonjour! 

Je n'ai pas réussi à mettre le topic en résolu! (Peut-être car je suis en utilisateur anonyme et que je dois marquer mon pseudo avant chaque message...!?)
Bref, j'ai malheureusement que les problèmes recommencent: 
- Toujours le problème de Global Virtual Card Host qui cesse de fonctionner sans raison...
- Lors d'une analyse complète avec malware bytes, Écran bleu ! (c'est bien qu'il y a un problème quelque part, non?)
- Au démarrage, avant que mon fond d'ecran n'apparaisse, sur fond noir, 4 lignes apparaissent brievement : La 2e je crois dit que l'acces direct au volume est impossible...!?
- CCleaner bloque au nettoyage a 23% (vidage de corbeille, alors qu'elle est vide!)

Bon, désolé de vous re-déranger, et merci d'avance et encore pour ce qui a été fait précédemment!

gen-hackman · Answer

télécharge GenProc sur ton bureau 

double-clique sur GenProc.exe (le".exe" peut ne pas apparaitre)

et poste le contenu du rapport qui s'ouvre 


IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

Tuutur · Answer

J'ai fait un GenProc et quand avira m'alerte ( trois fois d'affiliée), j'ignore! Le scan est interminable (plus de 30 minutes) donc j'essaye de fermer mais rien ne répond... donc j'éteins manuellement l'ordinateur. Voila, je recommence?
ps : j'ai branché une clé usb
Merci!

Tuutur · Answer

Up! Svp...

gen-hackman · Answer

tu as branché une clé usb qui vient d ou ?

Tuutur · Answer

Ma clé USB... j'y mets des musiques, des films... J'ai cru comprendre que pour ce genre de scan, il faut brancher ces périphériques externes... non?

gen-hackman · Answer

je pense que tu viens de te prendre un rootkit du genre "geyekr*" /!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\ ▶ Surtout , penses à l'enregistrement à renommer Combofix en "ton prenom.exe" _________________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil: https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Avant d'utiliser ComboFix : ______________________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. >> Reviens sur le forum, et ▶ copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Virus! Besoin d'aide...

79 réponses

Votre réponse

Discussions similaires

Newsletters