28 réponses
Hola le conficker ... :(
Si vous êtes sous Vista désactivez l'UAC
======================================================
>>>>>>>>>>>>>>>>>>>>>> /!\ Attention /!\ <<<<<<<<<<<<<<<<<<
======================================================
/!\ SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS /!\
_________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=========================================================
============> A lire, Impératif <============
Télécharge ComboFix (de sUBs) sur ton bureau pour cela :
Fait un clic droit ICI
Choisis "enregistrer la cible du lien sous" .
Tape : Moi.exe et valide.
AVANT d'utiliser ComboFix :
▶ /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
▶ (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).
▶ Double clique sur Moi.exe afin de le lancer (Sous Vista: Clique droit et choisir exécuter en tant qu'administrateur")
▶ Il va te demander d'installer le console de récupération , reconnecte toi juste le temps de la télécharger , ensuite coupe ta connexion internet .
* En cas de problèmes d'installation, Tuto
Sous XP
Sous Vista
▶ Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Ne touche a rien tant que le scan n'est pas fini /!\
▶ A la fin du scan , il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection , laisse le faire ....
▶ Après le redémarrage du PC, un rapport s'ouvrira dans le Bloc notes en fin d'analyse,
▶ Réactive toutes tes défenses , reviens sur le forum puis copie et colle le rapport dans ton a ta prochaine réponse
Note :
(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)
++
Si vous êtes sous Vista désactivez l'UAC
======================================================
>>>>>>>>>>>>>>>>>>>>>> /!\ Attention /!\ <<<<<<<<<<<<<<<<<<
======================================================
/!\ SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS /!\
_________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=========================================================
============> A lire, Impératif <============
Télécharge ComboFix (de sUBs) sur ton bureau pour cela :
Fait un clic droit ICI
Choisis "enregistrer la cible du lien sous" .
Tape : Moi.exe et valide.
AVANT d'utiliser ComboFix :
▶ /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
▶ (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).
▶ Double clique sur Moi.exe afin de le lancer (Sous Vista: Clique droit et choisir exécuter en tant qu'administrateur")
▶ Il va te demander d'installer le console de récupération , reconnecte toi juste le temps de la télécharger , ensuite coupe ta connexion internet .
* En cas de problèmes d'installation, Tuto
Sous XP
Sous Vista
▶ Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Ne touche a rien tant que le scan n'est pas fini /!\
▶ A la fin du scan , il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection , laisse le faire ....
▶ Après le redémarrage du PC, un rapport s'ouvrira dans le Bloc notes en fin d'analyse,
▶ Réactive toutes tes défenses , reviens sur le forum puis copie et colle le rapport dans ton a ta prochaine réponse
Note :
(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)
++
Bonjour, Voici le rapport généré par ComboFix. Merci bien pour m'accorder autant d'attention.
ComboFix 09-07-27.04 - Rachid.ISFOTEG 28/07/2009 16:02.3.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.224.87 [GMT 1:00]
Running from: g:\documents and settings\Rachid.ISFOTEG\Bureau\moi.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\Autorun.inf
G:\autorun.inf
g:\windows\system32\Memman.vxd
g:\windows\system32\skinboxer43.dll
H:\autorun.inf
.
---- Previous Run -------
.
D:\ml.com
D:\s.exe
F:\s.exe
g:\program files\pdfforge Toolbar\SearchSettings.dll
g:\windows\system32\msssc.dll
.
((((((((((((((((((((((((( Files Created from 2009-06-28 to 2009-07-28 )))))))))))))))))))))))))))))))
.
2009-07-28 11:13 . 2009-07-28 11:13 766 ----a-r- g:\documents and settings\Rachid.ISFOTEG\Application Data\Microsoft\Installer\{02CC87AF-5B20-4D8D-B336-D5037D8BA6D8}\_597a4eb9.exe
2009-07-28 11:13 . 2009-07-28 11:13 3774 ----a-r- g:\documents and settings\Rachid.ISFOTEG\Application Data\Microsoft\Installer\{02CC87AF-5B20-4D8D-B336-D5037D8BA6D8}\_502544d.exe
2009-07-28 11:13 . 2009-07-28 11:13 3774 ----a-r- g:\documents and settings\Rachid.ISFOTEG\Application Data\Microsoft\Installer\{02CC87AF-5B20-4D8D-B336-D5037D8BA6D8}\_28bc4fa5.exe
2009-07-28 11:13 . 2009-07-28 11:15 -------- d-----w- g:\program files\W8Soft Ad-Spy Remover Demo
2009-07-28 10:30 . 2004-03-03 20:30 5504 ----a-w- g:\windows\system32\drivers\imagedrv.sys
2009-07-28 10:30 . 2004-03-03 20:30 125184 ----a-w- g:\windows\system32\drivers\imagesrv.sys
2009-07-28 10:29 . 2000-06-26 10:45 106496 ----a-w- g:\windows\system32\TwnLib20.dll
2009-07-28 10:29 . 2001-06-26 07:15 38912 ----a-w- g:\windows\system32\picn20.dll
2009-07-28 10:29 . 2001-07-06 13:41 569344 ----a-w- g:\windows\system32\imagr5.dll
2009-07-28 10:29 . 2001-07-06 11:44 544768 ----a-w- g:\windows\system32\imagx5.dll
2009-07-28 10:29 . 2001-07-06 17:24 283920 ----a-w- g:\windows\system32\ImagXpr5.dll
2009-07-28 10:29 . 2009-07-28 10:29 -------- d-----w- g:\program files\Fichiers communs\Ahead
2009-07-28 10:29 . 2001-07-09 10:50 233472 ----a-w- g:\windows\system32\NeroCheck.exe
2009-07-28 10:29 . 2009-07-28 10:29 -------- d-----w- g:\program files\Ahead
2009-07-28 08:51 . 2004-01-24 00:41 227895 ----a-w- g:\windows\system32\granny2.dll
2009-07-28 08:50 . 2005-05-08 16:54 626688 ----a-w- g:\windows\system32\libcurl.dll
2009-07-28 08:49 . 2005-05-08 16:56 55808 ----a-w- g:\windows\system32\zlib1.dll
2009-07-27 09:09 . 2009-07-28 10:53 -------- d-----w- G:\UsbFix
2009-07-24 10:31 . 2009-07-24 10:31 -------- d-----w- g:\program files\Enigma Software Group
2009-07-24 09:31 . 2009-07-24 14:34 -------- d-----w- G:\ToolBar SD
2009-07-24 08:49 . 2009-07-24 08:49 -------- d-----w- g:\program files\trend micro
2009-07-24 08:49 . 2009-07-24 08:49 -------- d-----w- G:\rsit
2009-07-22 10:41 . 2009-07-28 15:00 -------- d-s---w- G:\ComboFix
2009-07-22 10:15 . 2009-07-22 10:15 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Local Settings\Application Data\Temp
2009-07-22 10:15 . 2009-07-22 10:15 -------- d-----w- g:\windows\Sun
2009-07-22 10:15 . 2009-07-22 10:15 -------- d-----w- g:\documents and settings\RACHID~1~ISF\LOCALS~1
2009-07-22 10:15 . 2009-07-22 10:15 -------- d-----w- g:\documents and settings\RACHID~1~ISF
2009-07-22 10:14 . 2009-07-22 10:14 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\littleWorld
2009-07-22 10:14 . 2009-07-22 15:57 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Application Data\dvdcss
2009-07-22 10:14 . 2009-07-22 10:14 -------- d--h--w- g:\windows\PIF
2009-07-21 15:36 . 2009-07-22 09:13 -------- d-----w- G:\TAHHA
2009-07-21 09:48 . 2009-07-22 10:15 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Local Settings\Application Data\Google
2009-07-14 14:43 . 2009-07-14 14:44 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Application Data\SolidDocuments
2009-07-10 10:59 . 2009-07-27 15:37 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Application Data\vlc
2009-07-08 17:07 . 2007-12-20 10:57 21656 ----a-w- g:\windows\system32\dopdfmn5.dll
2009-07-08 17:07 . 2007-12-20 10:57 17560 ----a-w- g:\windows\system32\dopdfmi5.dll
2009-07-08 17:06 . 2009-07-08 17:06 -------- d-----w- g:\program files\Softland
2009-07-07 15:59 . 2009-07-07 15:59 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Application Data\Yahoo!
2009-07-07 15:59 . 2009-07-22 10:14 -------- d-----w- g:\program files\Yahoo!
2009-07-01 09:17 . 2009-07-01 09:17 -------- d-----w- g:\windows\system32\wbem\Repository
2009-07-01 08:29 . 2009-07-01 09:13 -------- d-----w- g:\program files\GPLGS
2009-06-29 08:56 . 2009-06-29 08:57 -------- d--h--w- g:\windows\system32\GroupPolicy
2009-06-29 08:15 . 2009-06-29 08:15 -------- d-s---w- g:\documents and settings\Rachid.ISFOTEG\UserData
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-28 14:22 . 2009-06-19 14:10 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Application Data\Orbit
2009-07-27 14:55 . 2009-06-25 14:56 40774 ----a-w- g:\windows\system32\perfc040.dat
2009-07-27 14:55 . 2009-06-25 14:56 343116 ----a-w- g:\windows\system32\perfh040.dat
2009-07-27 14:55 . 2006-03-02 12:00 54120 ----a-w- g:\windows\system32\perfc00C.dat
2009-07-27 14:55 . 2006-03-02 12:00 388476 ----a-w- g:\windows\system32\perfh00C.dat
2009-07-24 10:09 . 2009-06-19 08:44 -------- d--h--w- g:\program files\InstallShield Installation Information
2009-07-22 14:43 . 2009-06-22 13:47 -------- d-----w- g:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-07-22 10:56 . 2009-06-19 13:52 -------- d-----w- g:\program files\pdfforge Toolbar
2009-07-08 09:33 . 2009-06-22 07:45 41776 ----a-w- g:\documents and settings\Rachid.ISFOTEG\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-07 16:03 . 2009-06-19 13:58 152576 ----a-w- g:\documents and settings\Rachid.ISFOTEG\Application Data\Sun\Java\jre1.6.0_14\lzma.dll
2009-06-26 10:03 . 2009-06-19 16:20 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Application Data\GlarySoft
2009-06-25 15:41 . 2009-06-19 08:26 23032 ----a-w- g:\windows\system32\emptyregdb.dat
2009-06-25 09:38 . 2009-06-25 09:36 -------- d-----w- g:\program files\Fichiers communs\Adobe
2009-06-22 09:49 . 2009-06-22 08:40 -------- d-----w- g:\documents and settings\All Users\Application Data\Kaspersky Lab(2)
2009-06-20 11:12 . 2009-06-19 08:30 86331 ----a-w- g:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-06-19 16:15 . 2009-06-19 16:15 -------- d-----w- g:\program files\Glary Utilities
2009-06-19 14:21 . 2009-06-19 14:10 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Application Data\GrabPro
2009-06-19 14:20 . 2009-06-19 14:20 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Application Data\pdfforge
2009-06-19 14:00 . 2009-06-19 14:01 410984 ----a-w- g:\windows\system32\deploytk.dll
2009-06-19 14:00 . 2009-06-19 14:00 -------- d-----w- g:\program files\Java
2009-06-19 13:46 . 2009-06-19 09:42 -------- d-----w- g:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-06-19 13:40 . 2009-06-19 13:40 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Application Data\Foxit
2009-06-19 09:22 . 2009-06-19 09:22 0 ----a-w- g:\windows\nsreg.dat
2009-06-19 08:59 . 2009-06-19 08:59 -------- d-----w- g:\program files\Microsoft.NET
2009-06-19 08:45 . 2009-06-19 08:45 -------- d-----w- g:\program files\Analog Devices
2009-06-19 08:45 . 2009-06-19 08:43 -------- d-----w- g:\program files\Fichiers communs\InstallShield
2009-06-19 08:45 . 2009-06-19 08:43 -------- d-----w- g:\program files\SiS VGA Utilities V3.57a
2009-06-19 08:33 . 2009-06-19 08:33 -------- d-----w- g:\program files\microsoft frontpage
2009-06-19 08:29 . 2009-06-19 08:29 -------- d-----w- g:\program files\Services en ligne
2009-06-04 11:37 . 2009-06-04 11:37 348160 ----a-w- g:\windows\system32\msvcr71.dll
2009-06-04 11:37 . 2009-06-04 11:37 499712 ----a-w- g:\windows\system32\msvcp71.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
2009-05-04 14:32 650752 ----a-w- g:\program files\pdfforge Toolbar\WidgiToolbarIE.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "g:\program files\pdfforge Toolbar\WidgiToolbarIE.dll" [2009-05-04 650752]
[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="g:\windows\system32\ctfmon.exe" [2006-03-02 15360]
"Glary Memory Optimizer"="c:\program files\Glary Utilities\memdefrag.exe" [2009-06-02 102912]
"Google Update"="g:\documents and settings\Rachid.ISFOTEG\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-07-21 210928]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiS Windows KeyHook"="g:\windows\system32\keyhook.exe" [2004-02-27 315392]
"SiSUSBRG"="g:\windows\SiSUSBrg.exe" [2002-07-12 176128]
"Smapp"="g:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 225280]
"SunJavaUpdateSched"="g:\program files\Java\jre6\bin\jusched.exe" [2009-06-19 218520]
"NeroFilterCheck"="g:\windows\system32\NeroCheck.exe" [2001-07-09 233472]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="g:\windows\system32\CTFMON.EXE" [2006-03-02 15360]
g:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Orbit.lnk - c:\program files\Orbitdownloader\orbitdm.exe [2009-7-7 1793224]
Utility Tray.lnk - g:\windows\system32\sistray.exe [2009-6-19 430080]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Orbitdownloader\\orbitdm.exe"=
"c:\\Program Files\\Orbitdownloader\\orbitnet.exe"=
"g:\\Program Files\\Java\\jre6\\bin\\jusched.exe"=
"g:\\Program Files\\pdfforge Toolbar\\SearchSettings.exe"=
"g:\\WINDOWS\\system32\\keyhook.exe"=
"g:\\Documents and Settings\\Rachid.ISFOTEG\\Local Settings\\Application Data\\Google\\Update\\GoogleUpdate.exe"=
"g:\\WINDOWS\\SiSUSBrg.exe"=
"g:\\WINDOWS\\system32\\sistray.exe"=
"g:\\Documents and Settings\\Rachid.ISFOTEG\\Local Settings\\Application Data\\Google\\Update\\1.2.183.7\\GoogleCrashHandler.exe"=
"c:\\Program Files\\Glary Utilities\\memdefrag.exe"=
"g:\\Program Files\\Fichiers communs\\Microsoft Shared\\Source Engine\\OSE.EXE"=
"g:\\Program Files\\Analog Devices\\SoundMAX\\SMTray.exe"=
"c:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE"=
"g:\\UsbFix\\Tools\\Kill.exe"=
"g:\\UsbFix\\Tools\\Kill_P.exe"=
"g:\\WINDOWS\\system32\\cmd.exe"=
"g:\\Program Files\\Outlook Express\\msimn.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
R3 abp470n5;abp470n5;\??\g:\windows\system32\drivers\einnqn.sys --> g:\windows\system32\drivers\einnqn.sys [?]
.
Contents of the 'Scheduled Tasks' folder
2009-07-28 g:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2009-07-07 09:39]
2009-07-28 g:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1060284298-1085031214-725345543-1003Core.job
- g:\documents and settings\Rachid.ISFOTEG\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-07-21 09:48]
2009-07-28 g:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1060284298-1085031214-725345543-1003UA.job
- g:\documents and settings\Rachid.ISFOTEG\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-07-21 09:48]
.
- - - - ORPHANS REMOVED - - - -
WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - (no file)
.
------- Supplementary Scan -------
.
mWindow Title =
IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204
IE: Ajouter à Kaspersky Anti-Bannière - c:\program files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202
IE: E&xporter vers Microsoft Excel - g:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - g:\documents and settings\Rachid.ISFOTEG\Application Data\Mozilla\Firefox\Profiles\65oaa010.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=
FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - plugin: g:\documents and settings\Rachid.ISFOTEG\Local Settings\Application Data\Google\Update\1.2.183.7\npGoogleOneClick8.dll
---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.
**************************************************************************
driver loading error catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-28 16:08
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(504)
g:\windows\system32\klogon.dll
.
Completion time: 2009-07-28 16:12
ComboFix-quarantined-files.txt 2009-07-28 15:12
ComboFix2.txt 2009-06-26 09:16
Pre-Run: 1 843 425 280 octets libres
Post-Run: 1 833 631 744 octets libres
263 --- E O F --- 2009-06-25 17:46
ComboFix 09-07-27.04 - Rachid.ISFOTEG 28/07/2009 16:02.3.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.224.87 [GMT 1:00]
Running from: g:\documents and settings\Rachid.ISFOTEG\Bureau\moi.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\Autorun.inf
G:\autorun.inf
g:\windows\system32\Memman.vxd
g:\windows\system32\skinboxer43.dll
H:\autorun.inf
.
---- Previous Run -------
.
D:\ml.com
D:\s.exe
F:\s.exe
g:\program files\pdfforge Toolbar\SearchSettings.dll
g:\windows\system32\msssc.dll
.
((((((((((((((((((((((((( Files Created from 2009-06-28 to 2009-07-28 )))))))))))))))))))))))))))))))
.
2009-07-28 11:13 . 2009-07-28 11:13 766 ----a-r- g:\documents and settings\Rachid.ISFOTEG\Application Data\Microsoft\Installer\{02CC87AF-5B20-4D8D-B336-D5037D8BA6D8}\_597a4eb9.exe
2009-07-28 11:13 . 2009-07-28 11:13 3774 ----a-r- g:\documents and settings\Rachid.ISFOTEG\Application Data\Microsoft\Installer\{02CC87AF-5B20-4D8D-B336-D5037D8BA6D8}\_502544d.exe
2009-07-28 11:13 . 2009-07-28 11:13 3774 ----a-r- g:\documents and settings\Rachid.ISFOTEG\Application Data\Microsoft\Installer\{02CC87AF-5B20-4D8D-B336-D5037D8BA6D8}\_28bc4fa5.exe
2009-07-28 11:13 . 2009-07-28 11:15 -------- d-----w- g:\program files\W8Soft Ad-Spy Remover Demo
2009-07-28 10:30 . 2004-03-03 20:30 5504 ----a-w- g:\windows\system32\drivers\imagedrv.sys
2009-07-28 10:30 . 2004-03-03 20:30 125184 ----a-w- g:\windows\system32\drivers\imagesrv.sys
2009-07-28 10:29 . 2000-06-26 10:45 106496 ----a-w- g:\windows\system32\TwnLib20.dll
2009-07-28 10:29 . 2001-06-26 07:15 38912 ----a-w- g:\windows\system32\picn20.dll
2009-07-28 10:29 . 2001-07-06 13:41 569344 ----a-w- g:\windows\system32\imagr5.dll
2009-07-28 10:29 . 2001-07-06 11:44 544768 ----a-w- g:\windows\system32\imagx5.dll
2009-07-28 10:29 . 2001-07-06 17:24 283920 ----a-w- g:\windows\system32\ImagXpr5.dll
2009-07-28 10:29 . 2009-07-28 10:29 -------- d-----w- g:\program files\Fichiers communs\Ahead
2009-07-28 10:29 . 2001-07-09 10:50 233472 ----a-w- g:\windows\system32\NeroCheck.exe
2009-07-28 10:29 . 2009-07-28 10:29 -------- d-----w- g:\program files\Ahead
2009-07-28 08:51 . 2004-01-24 00:41 227895 ----a-w- g:\windows\system32\granny2.dll
2009-07-28 08:50 . 2005-05-08 16:54 626688 ----a-w- g:\windows\system32\libcurl.dll
2009-07-28 08:49 . 2005-05-08 16:56 55808 ----a-w- g:\windows\system32\zlib1.dll
2009-07-27 09:09 . 2009-07-28 10:53 -------- d-----w- G:\UsbFix
2009-07-24 10:31 . 2009-07-24 10:31 -------- d-----w- g:\program files\Enigma Software Group
2009-07-24 09:31 . 2009-07-24 14:34 -------- d-----w- G:\ToolBar SD
2009-07-24 08:49 . 2009-07-24 08:49 -------- d-----w- g:\program files\trend micro
2009-07-24 08:49 . 2009-07-24 08:49 -------- d-----w- G:\rsit
2009-07-22 10:41 . 2009-07-28 15:00 -------- d-s---w- G:\ComboFix
2009-07-22 10:15 . 2009-07-22 10:15 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Local Settings\Application Data\Temp
2009-07-22 10:15 . 2009-07-22 10:15 -------- d-----w- g:\windows\Sun
2009-07-22 10:15 . 2009-07-22 10:15 -------- d-----w- g:\documents and settings\RACHID~1~ISF\LOCALS~1
2009-07-22 10:15 . 2009-07-22 10:15 -------- d-----w- g:\documents and settings\RACHID~1~ISF
2009-07-22 10:14 . 2009-07-22 10:14 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\littleWorld
2009-07-22 10:14 . 2009-07-22 15:57 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Application Data\dvdcss
2009-07-22 10:14 . 2009-07-22 10:14 -------- d--h--w- g:\windows\PIF
2009-07-21 15:36 . 2009-07-22 09:13 -------- d-----w- G:\TAHHA
2009-07-21 09:48 . 2009-07-22 10:15 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Local Settings\Application Data\Google
2009-07-14 14:43 . 2009-07-14 14:44 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Application Data\SolidDocuments
2009-07-10 10:59 . 2009-07-27 15:37 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Application Data\vlc
2009-07-08 17:07 . 2007-12-20 10:57 21656 ----a-w- g:\windows\system32\dopdfmn5.dll
2009-07-08 17:07 . 2007-12-20 10:57 17560 ----a-w- g:\windows\system32\dopdfmi5.dll
2009-07-08 17:06 . 2009-07-08 17:06 -------- d-----w- g:\program files\Softland
2009-07-07 15:59 . 2009-07-07 15:59 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Application Data\Yahoo!
2009-07-07 15:59 . 2009-07-22 10:14 -------- d-----w- g:\program files\Yahoo!
2009-07-01 09:17 . 2009-07-01 09:17 -------- d-----w- g:\windows\system32\wbem\Repository
2009-07-01 08:29 . 2009-07-01 09:13 -------- d-----w- g:\program files\GPLGS
2009-06-29 08:56 . 2009-06-29 08:57 -------- d--h--w- g:\windows\system32\GroupPolicy
2009-06-29 08:15 . 2009-06-29 08:15 -------- d-s---w- g:\documents and settings\Rachid.ISFOTEG\UserData
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-28 14:22 . 2009-06-19 14:10 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Application Data\Orbit
2009-07-27 14:55 . 2009-06-25 14:56 40774 ----a-w- g:\windows\system32\perfc040.dat
2009-07-27 14:55 . 2009-06-25 14:56 343116 ----a-w- g:\windows\system32\perfh040.dat
2009-07-27 14:55 . 2006-03-02 12:00 54120 ----a-w- g:\windows\system32\perfc00C.dat
2009-07-27 14:55 . 2006-03-02 12:00 388476 ----a-w- g:\windows\system32\perfh00C.dat
2009-07-24 10:09 . 2009-06-19 08:44 -------- d--h--w- g:\program files\InstallShield Installation Information
2009-07-22 14:43 . 2009-06-22 13:47 -------- d-----w- g:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-07-22 10:56 . 2009-06-19 13:52 -------- d-----w- g:\program files\pdfforge Toolbar
2009-07-08 09:33 . 2009-06-22 07:45 41776 ----a-w- g:\documents and settings\Rachid.ISFOTEG\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-07 16:03 . 2009-06-19 13:58 152576 ----a-w- g:\documents and settings\Rachid.ISFOTEG\Application Data\Sun\Java\jre1.6.0_14\lzma.dll
2009-06-26 10:03 . 2009-06-19 16:20 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Application Data\GlarySoft
2009-06-25 15:41 . 2009-06-19 08:26 23032 ----a-w- g:\windows\system32\emptyregdb.dat
2009-06-25 09:38 . 2009-06-25 09:36 -------- d-----w- g:\program files\Fichiers communs\Adobe
2009-06-22 09:49 . 2009-06-22 08:40 -------- d-----w- g:\documents and settings\All Users\Application Data\Kaspersky Lab(2)
2009-06-20 11:12 . 2009-06-19 08:30 86331 ----a-w- g:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-06-19 16:15 . 2009-06-19 16:15 -------- d-----w- g:\program files\Glary Utilities
2009-06-19 14:21 . 2009-06-19 14:10 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Application Data\GrabPro
2009-06-19 14:20 . 2009-06-19 14:20 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Application Data\pdfforge
2009-06-19 14:00 . 2009-06-19 14:01 410984 ----a-w- g:\windows\system32\deploytk.dll
2009-06-19 14:00 . 2009-06-19 14:00 -------- d-----w- g:\program files\Java
2009-06-19 13:46 . 2009-06-19 09:42 -------- d-----w- g:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-06-19 13:40 . 2009-06-19 13:40 -------- d-----w- g:\documents and settings\Rachid.ISFOTEG\Application Data\Foxit
2009-06-19 09:22 . 2009-06-19 09:22 0 ----a-w- g:\windows\nsreg.dat
2009-06-19 08:59 . 2009-06-19 08:59 -------- d-----w- g:\program files\Microsoft.NET
2009-06-19 08:45 . 2009-06-19 08:45 -------- d-----w- g:\program files\Analog Devices
2009-06-19 08:45 . 2009-06-19 08:43 -------- d-----w- g:\program files\Fichiers communs\InstallShield
2009-06-19 08:45 . 2009-06-19 08:43 -------- d-----w- g:\program files\SiS VGA Utilities V3.57a
2009-06-19 08:33 . 2009-06-19 08:33 -------- d-----w- g:\program files\microsoft frontpage
2009-06-19 08:29 . 2009-06-19 08:29 -------- d-----w- g:\program files\Services en ligne
2009-06-04 11:37 . 2009-06-04 11:37 348160 ----a-w- g:\windows\system32\msvcr71.dll
2009-06-04 11:37 . 2009-06-04 11:37 499712 ----a-w- g:\windows\system32\msvcp71.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
2009-05-04 14:32 650752 ----a-w- g:\program files\pdfforge Toolbar\WidgiToolbarIE.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "g:\program files\pdfforge Toolbar\WidgiToolbarIE.dll" [2009-05-04 650752]
[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="g:\windows\system32\ctfmon.exe" [2006-03-02 15360]
"Glary Memory Optimizer"="c:\program files\Glary Utilities\memdefrag.exe" [2009-06-02 102912]
"Google Update"="g:\documents and settings\Rachid.ISFOTEG\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-07-21 210928]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiS Windows KeyHook"="g:\windows\system32\keyhook.exe" [2004-02-27 315392]
"SiSUSBRG"="g:\windows\SiSUSBrg.exe" [2002-07-12 176128]
"Smapp"="g:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 225280]
"SunJavaUpdateSched"="g:\program files\Java\jre6\bin\jusched.exe" [2009-06-19 218520]
"NeroFilterCheck"="g:\windows\system32\NeroCheck.exe" [2001-07-09 233472]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="g:\windows\system32\CTFMON.EXE" [2006-03-02 15360]
g:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Orbit.lnk - c:\program files\Orbitdownloader\orbitdm.exe [2009-7-7 1793224]
Utility Tray.lnk - g:\windows\system32\sistray.exe [2009-6-19 430080]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Orbitdownloader\\orbitdm.exe"=
"c:\\Program Files\\Orbitdownloader\\orbitnet.exe"=
"g:\\Program Files\\Java\\jre6\\bin\\jusched.exe"=
"g:\\Program Files\\pdfforge Toolbar\\SearchSettings.exe"=
"g:\\WINDOWS\\system32\\keyhook.exe"=
"g:\\Documents and Settings\\Rachid.ISFOTEG\\Local Settings\\Application Data\\Google\\Update\\GoogleUpdate.exe"=
"g:\\WINDOWS\\SiSUSBrg.exe"=
"g:\\WINDOWS\\system32\\sistray.exe"=
"g:\\Documents and Settings\\Rachid.ISFOTEG\\Local Settings\\Application Data\\Google\\Update\\1.2.183.7\\GoogleCrashHandler.exe"=
"c:\\Program Files\\Glary Utilities\\memdefrag.exe"=
"g:\\Program Files\\Fichiers communs\\Microsoft Shared\\Source Engine\\OSE.EXE"=
"g:\\Program Files\\Analog Devices\\SoundMAX\\SMTray.exe"=
"c:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE"=
"g:\\UsbFix\\Tools\\Kill.exe"=
"g:\\UsbFix\\Tools\\Kill_P.exe"=
"g:\\WINDOWS\\system32\\cmd.exe"=
"g:\\Program Files\\Outlook Express\\msimn.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
R3 abp470n5;abp470n5;\??\g:\windows\system32\drivers\einnqn.sys --> g:\windows\system32\drivers\einnqn.sys [?]
.
Contents of the 'Scheduled Tasks' folder
2009-07-28 g:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2009-07-07 09:39]
2009-07-28 g:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1060284298-1085031214-725345543-1003Core.job
- g:\documents and settings\Rachid.ISFOTEG\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-07-21 09:48]
2009-07-28 g:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1060284298-1085031214-725345543-1003UA.job
- g:\documents and settings\Rachid.ISFOTEG\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-07-21 09:48]
.
- - - - ORPHANS REMOVED - - - -
WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - (no file)
.
------- Supplementary Scan -------
.
mWindow Title =
IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204
IE: Ajouter à Kaspersky Anti-Bannière - c:\program files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202
IE: E&xporter vers Microsoft Excel - g:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - g:\documents and settings\Rachid.ISFOTEG\Application Data\Mozilla\Firefox\Profiles\65oaa010.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=
FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - plugin: g:\documents and settings\Rachid.ISFOTEG\Local Settings\Application Data\Google\Update\1.2.183.7\npGoogleOneClick8.dll
---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.
**************************************************************************
driver loading error catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-28 16:08
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(504)
g:\windows\system32\klogon.dll
.
Completion time: 2009-07-28 16:12
ComboFix-quarantined-files.txt 2009-07-28 15:12
ComboFix2.txt 2009-06-26 09:16
Pre-Run: 1 843 425 280 octets libres
Post-Run: 1 833 631 744 octets libres
263 --- E O F --- 2009-06-25 17:46
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re-bonjour, voici le rapport généré par RSIT. Encore un Immense Merci.
Logfile of random's system information tool 1.06 (written by random/random)
Run by Rachid.ISFOTEG at 2009-07-28 17:39:25
Microsoft Windows XP Professionnel Service Pack 2
System drive G: has 4 GB (44%) free of 10 GB
Total RAM: 224 MB (23% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:39:59, on 28/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\keyhook.exe
G:\Program Files\Analog Devices\SoundMAX\SMTray.exe
G:\Program Files\Java\jre6\bin\jusched.exe
G:\Program Files\Java\jre6\bin\jqs.exe
G:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Glary Utilities\memdefrag.exe
C:\Program Files\Orbitdownloader\orbitdm.exe
G:\WINDOWS\system32\sistray.exe
C:\Program Files\Orbitdownloader\orbitnet.exe
C:\Program Files\Glary Utilities\Integrator.exe
G:\Program Files\Ahead\Nero\nero.exe
G:\DOCUME~1\RACHID~1.ISF\LOCALS~1\Temp\qcingt.exe
G:\WINDOWS\system32\imapi.exe
G:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Mozilla Firefox\firefox.exe
G:\Documents and Settings\Rachid.ISFOTEG\Bureau\RSIT.exe
G:\Program Files\trend micro\Rachid.ISFOTEG.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - G:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - G:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - G:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - G:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [SiS Windows KeyHook] G:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] G:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Smapp] G:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Glary Memory Optimizer] "C:\Program Files\Glary Utilities\memdefrag.exe" /autostart
O4 - HKCU\..\Run: [Google Update] "G:\Documents and Settings\Rachid.ISFOTEG\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Orbit.lnk = C:\Program Files\Orbitdownloader\orbitdm.exe
O4 - Global Startup: Utility Tray.lnk = G:\WINDOWS\system32\sistray.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - G:\Program Files\Java\jre6\bin\jqs.exe
Logfile of random's system information tool 1.06 (written by random/random)
Run by Rachid.ISFOTEG at 2009-07-28 17:39:25
Microsoft Windows XP Professionnel Service Pack 2
System drive G: has 4 GB (44%) free of 10 GB
Total RAM: 224 MB (23% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:39:59, on 28/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\keyhook.exe
G:\Program Files\Analog Devices\SoundMAX\SMTray.exe
G:\Program Files\Java\jre6\bin\jusched.exe
G:\Program Files\Java\jre6\bin\jqs.exe
G:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Glary Utilities\memdefrag.exe
C:\Program Files\Orbitdownloader\orbitdm.exe
G:\WINDOWS\system32\sistray.exe
C:\Program Files\Orbitdownloader\orbitnet.exe
C:\Program Files\Glary Utilities\Integrator.exe
G:\Program Files\Ahead\Nero\nero.exe
G:\DOCUME~1\RACHID~1.ISF\LOCALS~1\Temp\qcingt.exe
G:\WINDOWS\system32\imapi.exe
G:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Mozilla Firefox\firefox.exe
G:\Documents and Settings\Rachid.ISFOTEG\Bureau\RSIT.exe
G:\Program Files\trend micro\Rachid.ISFOTEG.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - G:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - G:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - G:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - G:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [SiS Windows KeyHook] G:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] G:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Smapp] G:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Glary Memory Optimizer] "C:\Program Files\Glary Utilities\memdefrag.exe" /autostart
O4 - HKCU\..\Run: [Google Update] "G:\Documents and Settings\Rachid.ISFOTEG\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Orbit.lnk = C:\Program Files\Orbitdownloader\orbitdm.exe
O4 - Global Startup: Utility Tray.lnk = G:\WINDOWS\system32\sistray.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - G:\Program Files\Java\jre6\bin\jqs.exe
Heu ... tu vachement pourri car coriace ce truc :(
P.S : je pense que je dois partir en vacances demain , je ne peux donc pas répondre ... je te ferais un signe quand je reviens :)
Fais moi tout ceci dans l'ordre pendant mon absence stp :
> Télécharge ZEB_RESTORE
ou ICI
Enregistre ce fichier sur ton bureau.
! Déconnecte toi et ferme toutes tes applications !
- Clique droit Zeb-Restore.zip ==> "Extraire tout" choisis comme lieu d'enregistrement le bureau.
- Ouvre le dossier ZR_1.0.0.37 ==> double clique sur Zeb-Restore.exe
Coche les cases devant ( et uniquement celles-ci ! ) :
* RegEdit : réactive l'accès à RegEdit
* Windows Update : rétablit la fonction Windows Update
* Gestionnaire des tâches : réactive le gestionnaire des tâches
* Policies : remet en place des éléments désactivés par "Policies"
* Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
- Clique sur : " Restaurer " et laisse faire.
- Une fois fait, redémarre ton PC pour que les réparations prennent effet ...
============================================================
Télécharge CCleaner sur ton bureau
▶ Installe le , mais décoche la barre yahoo.
▶ Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
▶ Dans le menu nettoyeur , clique sur "Analyse.
▶ Ensuite clique sur le bouton "Lancer le nettoyage" et laisse le faire.
▶ Maintenant dans l'onglet "Registre" , clique sur "Chercher des erreurs"
▶ Réponds a OUI a la question qui te sera posée.
▶ Enfin , répare les erreurs en cliquant sur " Réparer les erreurs sélectionnés "
N.B : Refais trois fois , une réparation du registre pour que cela soit efficace !
Regarde bien le Tutoriel CCleaner , il est bien expliqué ...
============================================================
/!\ Attention /!\
|=> Script écrit spécialement pour cet ordinateur , toute autre transportation pourrait endommager sévèrement votre système <=|
▶ Copie le texte ci-dessous :
Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"G:\DOCUME~1\RACHID~1.ISF\LOCALS~1\Temp\gevg.exe"=-
"G:\DOCUME~1\RACHID~1.ISF\LOCALS~1\Temp\wmgp.exe"=-
"G:\DOCUME~1\RACHID~1.ISF\LOCALS~1\Temp\qcingt.exe"=-
File::
G:\DOCUME~1\RACHID~1.ISF\LOCALS~1\Temp\gevg.exe
G:\DOCUME~1\RACHID~1.ISF\LOCALS~1\Temp\wmgp.exe
G:\DOCUME~1\RACHID~1.ISF\LOCALS~1\Temp\qcingt.exe
G:\zPharaoh.exe
Folder::
G:\Documents and Settings\Rachid.ISFOTEG\Application Data\tazebama
▶ Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
▶ Sauvegarde ce fichier sous le nom de CFScript.txt
▶ /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
▶ (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).
▶ Glisse maintenant le fichier CFScript.txt dans Combofix.exe (= Moi.exe) comme ceci
=> Cela va relancer Combofix,
▶ Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
▶ Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
/!\ Ne touche à rien tant que le scan n'est pas terminé.
▶ Après redémarrage, poste le contenu du rapport Combofix.txt
============================================================
Télécharge Dr.Web CureIt sur ton Bureau:
▶ Démarre en mode sans échec.
▶ Double clique drweb-cureit.exe et ensuite clique sur Analyse ;
▶ Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; vous pouvez quitter en cliquant le "X"
▶ Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
▶ Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
▶ De retour à la fenêtre principale : clique pour activer "Analyse complète";
▶ Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶ Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶ Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés :
▶ Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
▶ Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
▶ Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶ Ferme Dr.Web Cureit* Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
▶ Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.
============================================================
**********************************************************
********************* Option S (Recherche) *********************
**********************************************************
Télécharge AD-Remover ( de C_XX ) sur ton bureau :
• Dézippe l'archive sur le bureau et Double clique sur "AD-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
! Déconnecte toi et ferme toutes applications en cours !
• Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
• Au menu principal choisis l'option "S" et tape sur [entrée] .
• Laisse travailler l'outil et ne touche à rien ...
--> Poste le rapport qui apparait à la fin , sur le forum ... <--
Notes:
1- Le rapport est sauvegardé aussi sous C:\Ad-report-scan.log
2- "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Aide (Recherche)
**********************************************************
********************* Option L (Nettoyage) *********************
**********************************************************
! Déconnecte toi et ferme toutes applications en cours !
• Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
• Au menu principal choisis l'option "L" et tape sur [entrée] .
• Laisse travailler l'outil et ne touche à rien ...
--> Poste le rapport qui apparait à la fin , sur le forum ... <--
Notes:
1- Le rapport est sauvegardé aussi sous C:\Ad-report-clean.log
2- "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Aide en images (Nettoyage)
============================================================
Relances RSIT et colle le rapport obtenu ...
A+ :)
P.S : je pense que je dois partir en vacances demain , je ne peux donc pas répondre ... je te ferais un signe quand je reviens :)
Fais moi tout ceci dans l'ordre pendant mon absence stp :
> Télécharge ZEB_RESTORE
ou ICI
Enregistre ce fichier sur ton bureau.
! Déconnecte toi et ferme toutes tes applications !
- Clique droit Zeb-Restore.zip ==> "Extraire tout" choisis comme lieu d'enregistrement le bureau.
- Ouvre le dossier ZR_1.0.0.37 ==> double clique sur Zeb-Restore.exe
Coche les cases devant ( et uniquement celles-ci ! ) :
* RegEdit : réactive l'accès à RegEdit
* Windows Update : rétablit la fonction Windows Update
* Gestionnaire des tâches : réactive le gestionnaire des tâches
* Policies : remet en place des éléments désactivés par "Policies"
* Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
- Clique sur : " Restaurer " et laisse faire.
- Une fois fait, redémarre ton PC pour que les réparations prennent effet ...
============================================================
Télécharge CCleaner sur ton bureau
▶ Installe le , mais décoche la barre yahoo.
▶ Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
▶ Dans le menu nettoyeur , clique sur "Analyse.
▶ Ensuite clique sur le bouton "Lancer le nettoyage" et laisse le faire.
▶ Maintenant dans l'onglet "Registre" , clique sur "Chercher des erreurs"
▶ Réponds a OUI a la question qui te sera posée.
▶ Enfin , répare les erreurs en cliquant sur " Réparer les erreurs sélectionnés "
N.B : Refais trois fois , une réparation du registre pour que cela soit efficace !
Regarde bien le Tutoriel CCleaner , il est bien expliqué ...
============================================================
/!\ Attention /!\
|=> Script écrit spécialement pour cet ordinateur , toute autre transportation pourrait endommager sévèrement votre système <=|
▶ Copie le texte ci-dessous :
Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"G:\DOCUME~1\RACHID~1.ISF\LOCALS~1\Temp\gevg.exe"=-
"G:\DOCUME~1\RACHID~1.ISF\LOCALS~1\Temp\wmgp.exe"=-
"G:\DOCUME~1\RACHID~1.ISF\LOCALS~1\Temp\qcingt.exe"=-
File::
G:\DOCUME~1\RACHID~1.ISF\LOCALS~1\Temp\gevg.exe
G:\DOCUME~1\RACHID~1.ISF\LOCALS~1\Temp\wmgp.exe
G:\DOCUME~1\RACHID~1.ISF\LOCALS~1\Temp\qcingt.exe
G:\zPharaoh.exe
Folder::
G:\Documents and Settings\Rachid.ISFOTEG\Application Data\tazebama
▶ Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
▶ Sauvegarde ce fichier sous le nom de CFScript.txt
▶ /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
▶ (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).
▶ Glisse maintenant le fichier CFScript.txt dans Combofix.exe (= Moi.exe) comme ceci
=> Cela va relancer Combofix,
▶ Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
▶ Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
/!\ Ne touche à rien tant que le scan n'est pas terminé.
▶ Après redémarrage, poste le contenu du rapport Combofix.txt
============================================================
Télécharge Dr.Web CureIt sur ton Bureau:
▶ Démarre en mode sans échec.
▶ Double clique drweb-cureit.exe et ensuite clique sur Analyse ;
▶ Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; vous pouvez quitter en cliquant le "X"
▶ Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
▶ Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
▶ De retour à la fenêtre principale : clique pour activer "Analyse complète";
▶ Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶ Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶ Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés :
▶ Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
▶ Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
▶ Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶ Ferme Dr.Web Cureit* Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
▶ Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.
============================================================
**********************************************************
********************* Option S (Recherche) *********************
**********************************************************
Télécharge AD-Remover ( de C_XX ) sur ton bureau :
• Dézippe l'archive sur le bureau et Double clique sur "AD-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
! Déconnecte toi et ferme toutes applications en cours !
• Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
• Au menu principal choisis l'option "S" et tape sur [entrée] .
• Laisse travailler l'outil et ne touche à rien ...
--> Poste le rapport qui apparait à la fin , sur le forum ... <--
Notes:
1- Le rapport est sauvegardé aussi sous C:\Ad-report-scan.log
2- "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Aide (Recherche)
**********************************************************
********************* Option L (Nettoyage) *********************
**********************************************************
! Déconnecte toi et ferme toutes applications en cours !
• Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
• Au menu principal choisis l'option "L" et tape sur [entrée] .
• Laisse travailler l'outil et ne touche à rien ...
--> Poste le rapport qui apparait à la fin , sur le forum ... <--
Notes:
1- Le rapport est sauvegardé aussi sous C:\Ad-report-clean.log
2- "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Aide en images (Nettoyage)
============================================================
Relances RSIT et colle le rapport obtenu ...
A+ :)
