Coment supprimer un virus Win32 alureon-ce

Question

Bonjour,

Lors d'une analyse avast m'a détecté un virus nommé Win32 ALUREON-CE dans mon disque dur.
Par contre il m'est impossible de le supprimer ni de le mettre en quarantaine.
voici l'analyse d'avast :
22/07/2009	15:56:28	1248270988	SYSTEM	1904	Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.  
22/07/2009	15:56:29	1248270989	SYSTEM	1904	An error has occured while attempting to update. Please check the logs.  
22/07/2009	20:47:29	1248288452	SYSTEM	1820	Function setifaceUpdatePackages() has failed. Return code is 0x20000004, dwRes is 20000004.  
22/07/2009	20:48:44	1248288524	SYSTEM	1820	An error has occured while attempting to update. Please check the logs.  
23/07/2009	18:37:05	1248367025	Aurélien	11848	Sign of "Win32:Alureon-CE [Rtk]" has been found in "\?\globalroot\systemroot\system32\hjgruiqnikecrn.dll" file.  
23/07/2009	18:37:33	1248367053	Aurélien	11848	Sign of "Win32:VB-MDW [Drp]" has been found in "c:\users\aurélien\appdataoaming\sdra64.exe" file.  
23/07/2009	18:38:03	1248367083	Aurélien	11848	Sign of "Win32:VB-MDW [Drp]" has been found in "c:\windows\system32\sdra64.exe" file.  
26/07/2009	23:16:53	1248643013	Aurélien	9464	Sign of "Win32:Alureon-CE [Rtk]" has been found in "\?\globalroot\systemroot\system32\hjgruiqnikecrn.dll" file.  
26/07/2009	23:22:45	1248643365	Aurélien	5064	Sign of "Win32:Alureon-CE [Rtk]" has been found in "\?\globalroot\systemroot\system32\hjgruiqnikecrn.dll" file.  
26/07/2009	23:24:27	1248643467	Aurélien	7044	Sign of "Win32:Alureon-CE [Rtk]" has been found in "\?\globalroot\systemroot\system32\hjgruiqnikecrn.dll" file.  
27/07/2009	17:39:47	1248709187	Aurélien	4656	Sign of "Win32:Alureon-CE [Rtk]" has been found in "\?\globalroot\systemroot\system32\hjgruiqnikecrn.dll" file.  

J'ai alors lancé une analyse avec Malwarebytes. Il les détecte aussi. Il me dit qui les a supprimé mais le virus est toujours sur le disque dur d'aprés avast.
Quelqu'un peut-il me venir en aide svp?????????????

ci-dessous le rapport de Malwarebytes
Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2402
Windows 6.0.6000 

27/07/2009 17:31:45
mbam-log-2009-07-27 (17-31-45).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 290342
Temps écoulé: 1 hour(s), 15 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Windows\System32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\Windows\System32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
c:\Windows\System32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\str.sys (Rootkit.Agent) -> Quarantined and deleted successfully.


De l'aide svp???

sKe69 · Accepted Answer

Salut,


on va s'occuper de cela ... 


fais ce qui suite pour commencer :


Télécharge ZHPDiag de Nicolas Coolman sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
( version zippé -> http://www.premiumorange.com/zeb-help-process/download/ZHPDiag.zip )


!! déconnecte toi et ferme toutes tes applications en cours !! 

> double-clique sur "ZHPDiag.exe" pour lancer l'outil . 

> une fois ZHPDiag ouvert, clique sur le bouton "option" .

une liste apparait dans l'encadré principal > clique sur le bouton " Tous " ( important ! ).

> puis clique sur le bouton de "la loupe" pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "appareil photo" pour sauvegarder le rapport obtenu ...

Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

habana33700 · Answer

Avant toute chose merci de m'aider c sympa

J'ai fais ce que tu m'as dis voila le lien :

http://www.cijoint.fr/cjlink.php?file=cj200907/cijEjRCOM6.txt

sKe69 · Answer

re,

Plusieurs infections ! .... y a du boulot ! ... ^^'



/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .



on commence ... dans l'ordre :


1- Tu as deux Antivirus actifs sur ton PC ( Avast et Norton ) : c'est 1 de trop ! Ralentissement et instabilité du système + conflit entre les AV + grosse faille de sécurité ...

Donc, suivant si tu payes une licence chez l'un des deux , supprime en un dès maintenant : 

* soit Avast en procèdant ainsi -> https://www.avast.com/fr-fr/uninstall-utility


* soit Norton en procèdant ainsi :

Télécharge Norton removal tool sur ton bureau :
ftp://ftp.symantec.com/public/francais/removal_tools/Norton_Removal_Tool.exe

Déconnecte toi . 
Ensuite désinstalle Norton avec "Norton removal tool": tu double-cliques dessus et tu te laisses guider ... il faut le désinstaller correctement ( fais la manipe 2 fois si possible ).  


une fois ceci fait , tu enchaines avec la suite ....

===================

2- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau  :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !! 

* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...  
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée]. 

Le nettoyage commence .

! ne touche à rien lors de la suppression ! 

Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
accompagné d'un nouveau rapport ZHPDaig( via Cijoint ) pour analyse ... 

( le rapport est en outre sauvegardé ici -> C:\TB.txt )

habana33700 · Answer

http://www.cijoint.fr/cjlink.php?file=cj200907/ciji0PhzCx.txt
voila le lien ci dessus


et ci dessous le rapport de l'application SD toolbar :


   -----------\  ToolBar S&D 1.2.8   XP/Vista

   Microsoft® Windows Vista™ Édition Familiale Premium  ( v6.0.6000 ) 
   X86-based PC ( Multiprocessor Free : Genuine Intel(R) CPU           T2080  @ 1.73GHz )
   BIOS : Phoenix NoteBIOS 4.0 Release 6.1     
   USER : Aurélien ( Administrator )
   BOOT : Normal boot
   Antivirus : avast! antivirus 4.7.1098 [VPS 090726-1] 4.7.1098 (Activated)
   C:\ (Local Disk) - NTFS - Total:103 Go (Free:40 Go)
   D:\ (CD or DVD)
   E:\ (CD or DVD)
   F:\ (CD or DVD)
   G:\ (CD or DVD)
   H:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
   Option : [2] ( 27/07/2009|21:29 )

   [ UAC => 1 ]

   -----------\ SUPPRESSION

   Supprime! - C:\Users\AURLIE~1\FAVORI~1\Kazaa Lite K++.url
   Supprime! - C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Kazaa Lite K++
   Supprime! - C:\Users\AURLIE~1\AppData\Roaming\MICROS~1\Windows\Cookies\aurélien@mywebsearch[1].txt

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\Windows\system32\blank.htm"
   "Search Page"="https://www.google.com/?gws_rd=ssl"
   "Start Page"="https://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8&gws_rd=ssl"
   "Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
   "Url"="https://www.msn.com/fr-fr/actualite/"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="https://www.msn.com/fr-fr/"
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"


   --------------------\  Recherche d'autres infections

   C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox
   C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\Conditions g‚n‚rales.lnk
   C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\Confidentialit‚.lnk
   C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\InternetGameBox.lnk
   C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\Website.lnk
   C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer
   C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Conditions g‚n‚rales.lnk
   C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Confidentialit‚.lnk
   C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\WebMediaPlayer.lnk
   C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Website.lnk
   C:\Users\AURLIE~1\AppData\Local\Temp\Pack.epk
   [b]==> EGDACCESS <==/b

   --------------------\  Cracks & Keygens ..

   C:\Users\AURLIE~1\-\3d desktop keygen real.zip
   C:\Users\AURLIE~1\-\Age of empires 3 crack.zip
   C:\Users\AURLIE~1\-\Any crack dvd rar mpg.zip
   C:\Users\AURLIE~1\-\Bryce 6 keygen exe.zip
   C:\Users\AURLIE~1\-\Call of duty crack.zip
   C:\Users\AURLIE~1\-\Coreldraw keygen.zip
   C:\Users\AURLIE~1\-\Crack cost.zip
   C:\Users\AURLIE~1\-\CRACK GENERATOR 2.zip
   C:\Users\AURLIE~1\-\Crack iso sony vegas.zip
   C:\Users\AURLIE~1\-\Crack reason.zip
   C:\Users\AURLIE~1\-\Crack zoo tycoon 2.zip
   C:\Users\AURLIE~1\-\Crackwhore confession.zip
   C:\Users\AURLIE~1\-\David forbesthe cracken.zip
   C:\Users\AURLIE~1\-\Diamond cracklin neil rosie.zip
   C:\Users\AURLIE~1\-\Fat joe crack house.zip
   C:\Users\AURLIE~1\-\Fm 08 crack.zip
   C:\Users\AURLIE~1\-\Gta san andreas no cd crack.zip
   C:\Users\AURLIE~1\-\Leftover crack  distillers.zip
   C:\Users\AURLIE~1\-\Microsoft word 2005 f crack.zip
   C:\Users\AURLIE~1\-\NBA crackpc.zip
   C:\Users\AURLIE~1\-\Need for speed underground 2 crack.zip
   C:\Users\AURLIE~1\-\Nero newest working keygen.zip
   C:\Users\AURLIE~1\-\Office mac crack.zip
   C:\Users\AURLIE~1\-\Prince of Persia 3 crack.zip
   C:\Users\AURLIE~1\-\Prince of Persia Sands of time crack.zip
   C:\Users\AURLIE~1\-\Smartdraw 2008 crack.exe.zip
   C:\Users\AURLIE~1\-\The crack house.zip
   C:\Users\AURLIE~1\-\Usenext crack.zip
   C:\Users\AURLIE~1\-\Vista crack.zip
   C:\Users\AURLIE~1\AppData\Roaming\Azureus	orrents\Beijing_2008_CRACK_ONLY_[www.Fulldls.com].torrent
   C:\Users\AURLIE~1\AppData\Roaming\Azureus	orrents\Football_Manager_2008_(PC)_+_crack-[www.search-torrent.com].torrent
   C:\Users\AURLIE~1\AppData\Roaming\Azureus	orrents\PES_2009_Crack_KeyGen_Patch_NoCD_working_exe_[www.Fulldls.com].torrent
   C:\Users\AURLIE~1\AppData\Roaming\Microsoft\Windows\Cookies\Low\aur‚lien@command.and.conquer.generals.cd.key.generator.346581.crack-locator[1].txt
   C:\Users\AURLIE~1\AppData\Roaming\Microsoft\Windows\Cookies\Low\aur‚lien@crackserialkeygen[2].txt
   C:\Users\AURLIE~1\AppData\Roaming\Microsoft\Windows\Recent\Crack.lnk
   C:\Users\AURLIE~1\AppData\Roaming\Microsoft\Windows\Recent\Football Manager 2009 Full DVD + Crack.lnk
   C:\Users\AURLIE~1\AppData\Roaming\Microsoft\Windows\Recent\PES_2009_Crack_KeyGen_Patch_NoCD_working_exe_[www.Fulldls.com].lnk
   C:\Users\AURLIE~1\AppData\Roaming\Shareaza\Torrents\Football Manager 2009 Full DVD + Crack.torrent


   [ UAC => 1 ]


   1 - "C:\ToolBar SD\TB_1.txt" - 27/07/2009|21:34 - Option : [2]

   -----------\  Fin du rapport a 21:34:50,77

sKe69 · Answer

Bien ...


arrètes les cracks et autre keygen ! ... c'est l'une des causes principals d'infection en informatique ...




la suite dans l'ordre :


1- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 


========================

2- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !

--> clique droit sur l' .exe et choisis "executer entant qu'admin..." pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 


# Clique droit / "executer entant qu'admin..."  sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

habana33700 · Answer

Bonjour

J'ai lancé une analyse avec USB Fix il y a un instant. Visiblement cela prend un certain temps, je t'enverrai le rapport ce soir.


Par conter hier soir, j'ai éteind l'ordinateur. Et ce midi impossible de démarrer windows normalement, l'écran devenait bleu et l'ordi redémarrait. J'ai donc démarré et effectué les manip que tu m'as préconisé en mode sans échec. Y a t-il des contraintes par rapport au mode sans échec ?

Encore Merci

sKe69 · Answer

re,

Y a t-il des contraintes par rapport au mode sans échec ? 

oui ... mais on va faire avec pour le moment ...

poste moi le rapport demandé dès que possible ...

habana33700 · Answer

Excusez moi pour le retard voila le rapport :


############################## | UsbFix V6.011 |

User : Aurélien (Administrateurs) # PC-DE-AURÉLIEN
Update on 24/07/09 by Chiquitine29 & C_XX
Start at: 12:54:36 | 28/07/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Genuine Intel(R) CPU           T2080  @ 1.73GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6000 32-bit) # 
Internet Explorer 7.0.6000.16711
Windows Firewall Status : Enabled
AV : avast! antivirus 4.7.1098 [VPS 090726-1] 4.7.1098 [ Enabled | Updated ]

C:\ -> Disque fixe local # 103,78 Go (44,4 Go free) [HDD] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque amovible # 975,72 Mo (960,42 Mo free) # FAT
J:\ -> Disque amovible # 1,86 Go (1,56 Go free) # FAT
K:\ -> Disque amovible # 0,74 Mo (0,25 Mo free) # FAT

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\svchost.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32
otepad.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Présent ! D:\Setup.exe  
Présent ! D:\autorun.inf  
Présent ! H:\Setup.exe  
Présent ! H:\autorun.inf  

################## | Registre # Clés Run infectieuses |

Présent ! HKLM\software\microsoft\security center "UacDisableNotify" ( 0x1 )  

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{029d5b18-9cdd-11dc-9379-00038a000015}
shell\AutoRun\command =G:
oautorun.exe 

HKCU\..\..\Explorer\MountPoints2\{5a7c8b53-1976-11dc-870b-00038a000015}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
shell\Open(0)\command =Recycled\ctfmon.exe 

HKCU\..\..\Explorer\MountPoints2\{5a7c8b76-1976-11dc-870b-00038a000015}
shell\Auto\command =AdobeR.exe e
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{5a7c8b81-1976-11dc-870b-00038a000015}
shell\AutoRun\command =F:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{6e0eefda-18ab-11dc-97f2-00038a000015}
shell\Auto\command =AdobeR.exe e
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{750368e5-455c-11de-bdb2-00038a000015}
shell\AutoRun\command =H:\start.exe 
shell\IUFMaquiCLE\command =H:\start.exe 

HKCU\..\..\Explorer\MountPoints2\{750368e7-455c-11de-bdb2-00038a000015}
shell\AutoRun\command =jm3cx96.bat 
shell\open\Command =jm3cx96.bat 

HKCU\..\..\Explorer\MountPoints2\{bed1a28d-4e64-11dc-9152-001b240aeae2}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL E:\Recycled\ctfmon.exe
shell\Open(0)\command =E:\Recycled\ctfmon.exe 

HKCU\..\..\Explorer\MountPoints2\{c3764dd6-16a3-11dc-aa34-00038a000015}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
shell\Open(0)\command =Recycled\ctfmon.exe 

HKCU\..\..\Explorer\MountPoints2\{ea489867-7a36-11dc-9f5e-00038a000015}
shell\AutoRun\command =F:\Autorun\UbiAutorun.exe 

################## | Cracks / Keygens / Serials |

sKe69 · Answer

Bien ...


la suite dans l'ordre :


1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 

# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé,  poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).


====================

2- En mode Normal si possible >

Supprime ZHPDiag que tu as , on va utilisé une nouvelle version :

Télécharge ZHPDiag de Nicolas Coolman sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
( version zippé -> http://www.premiumorange.com/zeb-help-process/download/ZHPDiag.zip )


!! déconnecte toi et ferme toutes tes applications en cours !! 

> double-clique sur "ZHPDiag.exe" pour lancer l'outil . 

> une fois ZHPDiag ouvert, clique sur le bouton "option" .

une liste apparait dans l'encadré principal > clique sur le bouton " Tous " ( important ! ).

> puis clique sur le bouton de "la loupe" pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "appareil photo" pour sauvegarder le rapport obtenu ...

Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

habana33700 · Answer

ça se passe pas comme tu me le décris pour la manip USB fix :
je lance l'application, un petit écran noir apparait
il me demande la langue F
l'option : je sélectionne 2 supression 
et là il lance la suppression 
sur le petit écran noir je vois le nom des dossiers défilés pour l'ordi redémarre en mode normal
donc la ça plante il redémarre en mode sans échec.
et pas de rapport de la suppression.
ni de scan au redémarrage.

est ce normal?

sKe69 · Answer

bon ...


passe à l'étape suivante ... on verra plus tard pour le nettoyage avec UsbFix ...

habana33700 · Answer

ci dessous le lien  :
http://www.cijoint.fr/cjlink.php?file=cj200907/cijsCpbJgc.txt

et le rapport est trop gros le mail ne passe pas.

sKe69 · Answer

Bien ...

on va procèder autrement ...


fais ceci dans un premier temps :


1- Avoir accès aux fichiers cachés :
 
Va dans Menu Démarrer->panneau de config.("affichage classique")-> Options des dossiers
--> vas sur l'onglet " Affichage " .
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 




2- Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  : 
C:\Windows\system32\actskin4o.exe

Clique sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


Fais de même pour :

C:\Windows\system32\algi.exe
C:\Windows\system32\drivers\yvewpbiux.sys
C:\Program Files\uusee\UUSeePlayer.exe
C:\Windows\system32\drivers\A502.sys


Poste moi donc ces 5 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

habana33700 · Answer

Pour les premieres au niveau du poste de travail, je n'y ait pas accès étant donné que je suis en mode sans échec. 
comment puis je procéder dans ce cas?

sKe69 · Answer

Re,


le mode normal ne fonctionne toujours pas donc ....



laisse tomber VirusTotal , on va trancher dans le vif directement :



! Toujours tes unités externes branchées au PC ! 


Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !): 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape CFix et valide . 

- le renommage au téléchargement est primordial pour contrer l'infection, sinon l'outil sera inutilisable - 


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
--------------------------------------------------------------------------------------------


Ensuite :
double-clique sur "CFix.exe" ( = combofix.exe ) pour lancer l'outil . 

-- Pour  XP > laisse toi guider pour faire l'installe de la console de récupération . reconnecte toi uniquement le temps de cette manipulation . une fois le console installée ,re-déconnecte toi avant de poursuivre -- 

Appuie sur la touche Y (Yes) pour démarrer le scan . 

Notes importantes : 
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment  : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée ici: C:\Combofix.txt 

Réactive bien tes défenses

 
Poste le rapport Combofix pour analyse ... ( depuis le mode normal si possible )

habana33700 · Answer

J'ai un souci pour désactiver l'antivirus et autre protection :

C'est que avec le mode sans échec j'ai aucun icone qui s'affiche sur ma barre d'outil dans le bureau.
Sont-ils déjà désactivés ?

sKe69 · Answer

Sont-ils déjà désactivés ?

--> en mode sans échec ... oui ...^^

habana33700 · Answer

l'application ne s'éxécute pas comme tu me le décris, voila ce qui s'afffiche :

l'analyse ne débute pas, une fenetre s'ouvre me disant que l'adresse Internet ou j'avais télécharger Combofix n'était pas une adresse officielle et il me donne la bonne adresse qui correspond pourtant à celle que tu m'as donné.

sKe69 · Answer

Télécharge le ici > http://www.cijoint.fr/cj200907/cijZK8tn2X.zip

extrait le contenu de l'archive sur ton bureau ... 


en fait "ske.exe" = "Combofix.exe" préalablement renomé ... reprends ensuite la manipe ...

habana33700 · Answer

alors l'analyse se lance :
pendant l'analyse il me répète plusieurs fois :
Access denied Administrator permissions are needed to use the selected options .
Use an administrator command prompt to complete these tasks.

ensuite l'analyse continue, il détecte bien un rootkit je valide
il redémarre le pc. 


Par contre au redémarrage aucun rapport dans C:/

sKe69 · Answer

pas de rapport Combofix.txt  ( peut-être ske.txt ) sous C ?

regarde dans ce dossier C:\Qoobox  si il ne s'y trouve pas et poste le....

autre question : ta session n'est pas une session "administrateur" ?



tu es en mode normal maintenant ? ... Refais un scan ZHPdiag en mode normal et poste le nouveau rapport obtenu ( via Cijoint ) pour analyse ....

habana33700 · Answer

Non il n'y a rien dans Qoobox.

Si ma session est une session administrateur. ou la plupart du temps que je lance une application il me le demande et je confirme.

Je suis toujours en mode échec . Quand je démarre normalement il y a toujours cet écran bleu qui apparait au bout d'une minute je sais pas d'ou cela vient ça aussi.

sKe69 · Answer

re,

j'avais zappé quelque chose .... tu es sous vista !


Donc on reprends :


1- protocole à suivre pour  Windows Vista :

*Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :
 
Aller dans "démarrer" puis "panneau de configuration" : 
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs" 
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
--->Redémarrer le PC ! 

Tutos : 
http://pagesperso-orange.fr/NosTools/uac_vista.html
https://forum.malekal.com/viewtopic.php?f=59&t=6517 


* Important :
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
Fais ceci systématiquement ! ...



2- une fois ceci fait et pris en compte , refait la manipe avec ComboFix ( ske.exe ) > https://forums.commentcamarche.net/forum/affich-13579217-coment-supprimer-un-virus-win32-alureon-ce#15

et pour lancer "ske.exe" , fait bien clique droit dessus / "exécuter entant qu'admin..." ... =)


poste moi le rapport obtenu ...

habana33700 · Answer

Toujours pas de rapport aprés le redémarrage.


Par contre encore + inquiétant pendant le redémarrage en mode normal, pas d'apparition sur le bureau mais un sur un écran noir avec une fenetre me disant "Modification non autorisée a été apportée à Windows, limitation de sfonctionnalités de windows et soit je cherche une solution en ligne soit je ferme et en fermant il me vire de la session.

Donc je peux plus du tout me connecter en mode normal.

sKe69 · Answer

arf ... 

Ca sent pas bon ... fait une sauvegarde de tes donnée perso au cas où ... ( aucun .exe , .rar , .zip ,  .scr , .htm ou .html ... ) 



1- refais un scan ZHPDiag stp , et poste le nouveau rapport obtenu ( via Cijoint ) pour analyse ....

=====================


2- Télécharge SysProt ( de swatkat ) sur ton bureau :

http://homepages.slingshot.co.nz/~crutches/SysProt/SysProt.exe


!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!


* double clique sur "SysProt.exe" pour lancer l'outil .

* clique sur l'onglet "log" :

> coche toutes les cases présentes dans l'encadré "Write to log" .

* Puis clique sur le bouton en bas à droite [Create Log] .

* le scan démarre , laisse travailler l'outil ( même si il semble avoir planté ...)

> Au bout d'un moment, une fenêtre va apparaitre : laisse bien "Scan all drives " coché et clique sur [Start] .

> patiente de nouveau ... attends le message de fin indiquant la creation du rapport et clique sur "OK"
 

* ferme SysProt et copie/colle le contenu du rapport "SysProtLog.txt" qui a été sauvegardé sur ton bureau dans ta prochaine réponse ...

habana33700 · Answer

déja le lien : rapport ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj200907/cijbjNoWOz.txt

je t'envoie la suite

habana33700 · Answer

voila la suite :


SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************

No Processes found

******************************************************************************************
******************************************************************************************
No Kernel Modules found

******************************************************************************************
******************************************************************************************
No SSDT Hooks found

******************************************************************************************
******************************************************************************************
No Kernel Hooks found

******************************************************************************************
******************************************************************************************
No IRP Hooks found

******************************************************************************************
******************************************************************************************
Ports:
Local Address: PC-DE-AURÉLIEN.HOME:50089
Remote Address: 65.54.165.177:HTTPS
Type: TCP
Process: 0 (PID)
State: TIME_WAIT

Local Address: PC-DE-AURÉLIEN.HOME:NETBIOS-SSN
Remote Address: 0.0.0.0:0
Type: TCP
Process: 4 (PID)
State: LISTENING

Local Address: PC-DE-AURÉLIEN:49156
Remote Address: 0.0.0.0:0
Type: TCP
Process: 544 (PID)
State: LISTENING

Local Address: PC-DE-AURÉLIEN:49155
Remote Address: 0.0.0.0:0
Type: TCP
Process: 520 (PID)
State: LISTENING

Local Address: PC-DE-AURÉLIEN:49154
Remote Address: 0.0.0.0:0
Type: TCP
Process: 992 (PID)
State: LISTENING

Local Address: PC-DE-AURÉLIEN:49153
Remote Address: 0.0.0.0:0
Type: TCP
Process: 880 (PID)
State: LISTENING

Local Address: PC-DE-AURÉLIEN:49152
Remote Address: 0.0.0.0:0
Type: TCP
Process: 456 (PID)
State: LISTENING

Local Address: PC-DE-AURÉLIEN:EPMAP
Remote Address: 0.0.0.0:0
Type: TCP
Process: 748 (PID)
State: LISTENING

Local Address: PC-DE-AURÉLIEN.HOME:138
Remote Address: NA
Type: UDP
Process: 4 (PID)
State: NA

Local Address: PC-DE-AURÉLIEN.HOME:NETBIOS-NS
Remote Address: NA
Type: UDP
Process: 4 (PID)
State: NA

Local Address: PC-DE-AURÉLIEN:LLMNR
Remote Address: NA
Type: UDP
Process: 976 (PID)
State: NA

Local Address: PC-DE-AURÉLIEN:IPSEC-MSFT
Remote Address: NA
Type: UDP
Process: 908 (PID)
State: NA

Local Address: PC-DE-AURÉLIEN:500
Remote Address: NA
Type: UDP
Process: 908 (PID)
State: NA

******************************************************************************************
******************************************************************************************
No hidden files/folders found

sKe69 · Answer

On va essayer ceci :


1- Télécharge OTM (de Old_Timer) sur ton Bureau. 

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

! Déconnecte toi et ferme toutes tes applications en cours !
 
Double clique sur "OTM.exe" pour ouvrir le prg . 
Puis copie ce qui se trouve en citation ci-dessous,
 

:Services
iprqesqbd

:Files
C:\Windows\system32\drivers\yvewpbiux.sys
C:\Program Files\IEToolbar
C:\Windows\gkkjm0170.exe
C:\Windows\System32\winset.ini
C:\Windows\System32\ciadvs.exe
C:\Windows\System32\ciadvss.exe
C:\Windows\System32\hjgruilog.dat
C:\Windows\System32\2432874399.dat
C:\Windows\System32\hjgruiqnikecrn.dll
C:\Windows\System32\hjgruieulctvoj.dat
C:\Windows\System32\hjgruiyujngcqq.dat
C:\Users\Aurélien\AppData\Local\Temp\hjgruidmsxebyg000
C:\Users\Aurélien\AppData\Local\Temp\hjgrui000

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 
 
-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ... 

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"  
( " xxxx2009_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ).


===================


2- refais un scan ZHPDiag et poste le nouveau rapport ( via Cijoint ) pour analyse ...

habana33700 · Answer

ci-dessous le rapport otm :
All processes killed
========== SERVICES/DRIVERS ==========

Service\Driver iprqesqbd deleted successfully.
========== FILES ==========
File/Folder C:\Windows\system32\drivers\yvewpbiux.sys not found.
C:\Program Files\IEToolbar moved successfully.
C:\Windows\gkkjm0170.exe moved successfully.
C:\Windows\System32\winset.ini moved successfully.
C:\Windows\System32\ciadvs.exe moved successfully.
C:\Windows\System32\ciadvss.exe moved successfully.
C:\Windows\System32\hjgruilog.dat moved successfully.
C:\Windows\System32\2432874399.dat moved successfully.
DllUnregisterServer procedure not found in C:\Windows\System32\hjgruiqnikecrn.dll
C:\Windows\System32\hjgruiqnikecrn.dll NOT unregistered.
C:\Windows\System32\hjgruiqnikecrn.dll moved successfully.
C:\Windows\System32\hjgruieulctvoj.dat moved successfully.
C:\Windows\System32\hjgruiyujngcqq.dat moved successfully.
C:\Users\Aurélien\AppData\Local\Temp\hjgruidmsxebyg000 moved successfully.
C:\Users\Aurélien\AppData\Local\Temp\hjgrui000 moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Aurélien
->Temp folder emptied: 7974733 bytes
->Temporary Internet Files folder emptied: 48836659 bytes
->Java cache emptied: 8945146 bytes
 
User: AurÚlien
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 3670016 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 66,21 mb
 
 
OTM by OldTimer - Version 3.0.0.5 log created on 07292009_221856

Files moved on Reboot...

Registry entries deleted on Reboot...


au redémarrage combofix est réapparu et à publier le rapport ci-dessous et je suis de nouveau en mode normal :
ComboFix 09-07-29.01 - Aurélien 29/07/2009 22:28.1.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6000.0.1252.33.1036.18.894.220 [GMT 2:00]
Running from: c:\users\Aurélien\Documents\LimeWire\Saved\Desktop\cijZK8tn2X\ske.exe
SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
 * Created a new restore point
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-2152478756-3922319563-605102323-500
c:\$recycle.bin\S-1-5-21-3406683125-4077109358-4081785792-500
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\Conditions générales.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\Confidentialité.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\InternetGameBox.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\Website.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Conditions générales.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Confidentialité.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\WebMediaPlayer.lnk
c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Website.lnk
c:\users\Public\Desktop\WebMediaPlayer.lnk
c:\windows\Installer\f70ff5d.msi
c:\windows\system32\cXs0xsN1wS0nXXK.vbs
c:\windows\system32\drivers\hjgruiixfkeygp.sys
c:\windows\system32\hjgruieulctvoj.dat
c:\windows\system32\hjgruimpgwglkj.dll
c:\windows\system32\hjgruiqnikecrn.dll
c:\windows\system32\hjgruiyujngcqq.dat
c:\windows\system32\zWPjEUCEdEUMNVm.vbs

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_hjgruidmsxebyg
-------\Service_hjgruidmsxebyg


(((((((((((((((((((((((((   Files Created from 2009-06-28 to 2009-07-29  )))))))))))))))))))))))))))))))
.

2009-07-29 18:40 . 2009-07-29 18:40	2048	----a-w-	c:\windows\system32\msxml6r.dll
2009-07-29 18:40 . 2009-07-29 18:40	1341440	----a-w-	c:\windows\system32\msxml6.dll
2009-07-28 10:44 . 2009-07-28 10:44	--------	d-----w-	c:\program files\CCleaner
2009-07-27 19:28 . 2009-07-27 19:34	--------	d-----w-	C:\ToolBar SD
2009-07-11 08:09 . 2009-07-11 08:13	--------	d-----w-	c:\progra~2\Sports Interactive
2009-07-11 08:06 . 2008-05-30 12:19	507400	----a-w-	c:\windows\system32\XAudio2_1.dll
2009-07-11 08:06 . 2008-05-30 12:18	238088	----a-w-	c:\windows\system32\xactengine3_1.dll
2009-07-11 08:06 . 2008-05-30 12:17	65032	----a-w-	c:\windows\system32\XAPOFX1_0.dll
2009-07-11 08:06 . 2008-05-30 12:17	25608	----a-w-	c:\windows\system32\X3DAudio1_4.dll
2009-07-11 08:06 . 2008-05-30 12:11	467984	----a-w-	c:\windows\system32\d3dx10_38.dll
2009-07-11 08:06 . 2008-05-30 12:11	1491992	----a-w-	c:\windows\system32\D3DCompiler_38.dll
2009-07-11 08:06 . 2008-05-30 12:11	3850760	----a-w-	c:\windows\system32\D3DX9_38.dll
2009-07-11 08:06 . 2008-03-05 14:03	479752	----a-w-	c:\windows\system32\XAudio2_0.dll
2009-07-11 08:06 . 2008-03-05 14:03	238088	----a-w-	c:\windows\system32\xactengine3_0.dll
2009-07-11 08:06 . 2008-03-05 14:00	25608	----a-w-	c:\windows\system32\X3DAudio1_3.dll
2009-07-11 08:06 . 2008-03-05 13:56	1420824	----a-w-	c:\windows\system32\D3DCompiler_37.dll
2009-07-11 08:06 . 2008-02-05 21:07	462864	----a-w-	c:\windows\system32\d3dx10_37.dll
2009-07-10 10:59 . 2009-06-17 09:27	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-10 10:59 . 2009-07-10 10:59	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-07-10 10:59 . 2009-07-10 10:59	--------	d-----w-	c:\progra~2\Malwarebytes
2009-07-10 10:59 . 2009-06-17 09:27	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-07-10 10:45 . 2009-07-10 10:45	--------	d-----w-	C:\_OTM
2009-07-09 18:24 . 2009-07-09 18:24	--------	d-----w-	c:\program files\gBurner

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-29 20:35 . 2006-11-07 02:47	690832	----a-w-	c:\windows\system32\perfh00C.dat
2009-07-29 20:35 . 2006-11-07 02:47	117572	----a-w-	c:\windows\system32\perfc00C.dat
2009-07-28 10:27 . 2006-11-06 18:18	--------	d-----w-	c:\program files\Common Files\Symantec Shared
2009-07-27 19:25 . 2006-11-06 18:18	--------	d-----w-	c:\progra~2\Symantec
2009-07-26 11:40 . 2007-08-10 15:55	--------	d-----w-	c:\program files\OrangeHSS
2009-07-11 16:51 . 2008-05-16 14:55	--------	d-----w-	c:\program files\Common Files\Steam
2009-07-11 08:02 . 2007-06-16 19:37	--------	d-----w-	c:\program files\Sports Interactive
2009-06-28 10:44 . 2006-11-06 18:17	--------	d-----w-	c:\program files\Google
2009-06-22 18:44 . 2007-10-26 16:04	--------	d-----w-	c:\program files\KONAMI
2009-06-22 18:36 . 2007-08-29 17:26	--------	d-----w-	c:\program files\MSN Messenger
2009-06-18 17:40 . 2008-12-26 19:20	230432	----a-w-	C:\PA207.DAT
2007-08-24 18:42 . 2007-08-24 18:42	8	--sha-r-	c:\windows\System32\FB7DFC5433.dll
2006-11-07 02:50 . 2006-11-07 02:50	8192	--sha-w-	c:\windows\Users\Default\NTUSER.DAT
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-08-13 1232896]
"SmpcSys"="c:\program files\Packard Bell\SetUpMyPC\SmpSys.exe" [2006-10-23 1092152]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2007-11-20 360448]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-06 39408]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2007-08-16 1006264]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-16 815104]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-07-11 90112]
"HostManager"="c:\program files\Common Files\AOL\1162836921\ee\AOLSoftware.exe" [2006-11-14 50736]
"toolbar_eula_launcher"="c:\program files\Packard Bell\GOOGLE_EULA\EULALauncher.exe" [2007-01-10 18944]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"VX1000"="c:\windows\vVX1000.exe" [2006-12-05 707360]
"Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2008-06-10 107248]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2006-11-09 3784704]

c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
Digimax Viewer 2.1.lnk - c:\program files\Samsung\Digimax Viewer 2.1\STImgBrowser.exe [2007-6-23 634880]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{75C0C6AA-1E8F-42E5-82D8-7705BD669B54}"= UDP:c:\program files\Common Files\aol\acs\AOLDial.exe:AOL Autoconnect
"{73909FEE-8311-4ECA-8E08-47B3C6385F18}"= TCP:c:\program files\Common Files\aol\acs\AOLDial.exe:AOL Autoconnect
"{3A2CF873-85AB-4D09-AF32-A3846399E3AB}"= UDP:c:\program files\Common Files\aol\acs\AOLacsd.exe:module de connexion AOL
"{60627279-8ED2-40F1-B703-78253F44388D}"= TCP:c:\program files\Common Files\aol\acs\AOLacsd.exe:module de connexion AOL
"{86DEA87F-DA31-4D07-9A63-BAE28389EEA8}"= UDP:c:\program files\AOL 9.0 VR\waol.exe:AOL
"{43025746-8BFE-4B5D-B621-F6D6FD66ABD5}"= TCP:c:\program files\AOL 9.0 VR\waol.exe:AOL
"{6070C7F0-77E7-4D2D-A3CF-D8157897AC6F}"= UDP:c:\program files\Common Files\aol\TopSpeed\3.0\aoltpsd3.exe:AOL TopSpeed
"{73D33FF5-7100-4503-B4BF-277AC3D8558B}"= TCP:c:\program files\Common Files\aol\TopSpeed\3.0\aoltpsd3.exe:AOL TopSpeed
"{5AF1E4F8-D8D9-48C5-AD43-7A389B50F5AF}"= UDP:c:\program files\Common Files\aol\Loader\aolload.exe:AOL Loader
"{AC52375A-A715-4AE6-B7AD-87B1A1D777FD}"= TCP:c:\program files\Common Files\aol\Loader\aolload.exe:AOL Loader
"{1CDDABE6-6655-4A29-BAA0-6660BA528BEA}"= UDP:c:\program files\Common Files\aol\System Information\sinf.exe:AOL System Information
"{01E8BFA3-768F-40DC-8D9D-CED6262A3BF3}"= TCP:c:\program files\Common Files\aol\System Information\sinf.exe:AOL System Information
"{1AF7D52D-44C0-4A12-B45F-6700AD07D45F}"= UDP:c:\program files\Skype\Phone\Skype.exe:Skype
"{8DED1855-51E1-44C5-81A7-75F61D30EE52}"= TCP:c:\program files\Skype\Phone\Skype.exe:Skype
"{4E3FF6A5-E4DE-4978-899C-A0EF7F1E5D0C}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"{E6885D87-8071-4A5C-9379-63D117AE065C}"= UDP:c:\windows\System32\lxbtcoms.exe:Lexmark Communications System
"{AFF8D277-7C68-47CC-AE05-9AF27C922EA2}"= TCP:c:\windows\System32\lxbtcoms.exe:Lexmark Communications System
"{1CA0E0A1-D203-466A-B5D7-D693912C05FF}"= UDP:c:\program files\Cyanide\GameCenter\GameCenter.exe:GameCenter
"{6F25841A-FE9C-4F5F-90B8-FC4BAEC74567}"= TCP:c:\program files\Cyanide\GameCenter\GameCenter.exe:GameCenter
"{783A2CA9-C47F-4D72-B4B9-38BAAA9E7A47}"= UDP:c:\program files\Microsoft LifeCam\LifeExp.exe:LifeExp.exe
"{8E78F905-1BB9-4850-A6ED-2C6EC3C135CE}"= TCP:c:\program files\Microsoft LifeCam\LifeExp.exe:LifeExp.exe
"{1839C543-41CA-42F7-B80C-6B1B1E377CB1}"= UDP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"{8BF9E274-C222-4CBE-AA77-78FD064DE440}"= TCP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"{277E1D20-0AB1-45D1-A19C-1DD3CDEBE929}"= UDP:c:\program files\Cyanide\Pro Cycling Manager 2007\PCM.exe:Pro Cycling Manager 2007
"{9FF14212-5E50-41C1-850B-4F01AA74E777}"= TCP:c:\program files\Cyanide\Pro Cycling Manager 2007\PCM.exe:Pro Cycling Manager 2007
"{480C6778-6700-4074-A7F4-E3BE26378583}"= UDP:c:\windows\System32\PnkBstrA.exe:PnkBstrA
"{3BC6D4EE-A889-4EA7-ABCA-2A7B923D0D00}"= TCP:c:\windows\System32\PnkBstrA.exe:PnkBstrA
"{4A69233F-851D-41D2-B35E-3F5616DA91DA}"= UDP:c:\windows\System32\PnkBstrB.exe:PnkBstrB
"{FB940780-D42B-4D51-B8E3-47EA4C94723F}"= TCP:c:\windows\System32\PnkBstrB.exe:PnkBstrB
"{3D4AACCD-70BE-42ED-9B78-AB70829DDCCD}"= UDP:c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:Veoh Web Player 
"{BE8B795D-A0DC-4719-BD95-44FF7548A9E3}"= TCP:c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:Veoh Web Player 
"{9D1AF70E-5D1C-4A0A-886D-3EC45A74384E}"= Disabled:UDP:c:\program files\Sports Interactive\Football Manager 2008\fm.exe:Football Manager 2008
"{E306DCEF-670E-4B1B-82D6-AEB7636B4282}"= Disabled:TCP:c:\program files\Sports Interactive\Football Manager 2008\fm.exe:Football Manager 2008
"{C9B8C3C6-C8AF-4F39-AA89-4F7500A1D65D}"= Disabled:UDP:c:\program files\Sports Interactive\Football Manager 2009\fm.exe:Football Manager 2009
"{805F26BE-BC78-458F-BE2F-7689BC9CEF49}"= Disabled:TCP:c:\program files\Sports Interactive\Football Manager 2009\fm.exe:Football Manager 2009

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\Program Files\uusee\UUSeePlayer.exe"= c:\program files\uusee\UUSeePlayer.exe:*:Enabled:UUSEE
"c:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe"= c:\program files\OrangeHSS\Connectivity\ConnectivityManager.exe:*:enabled:CSS

R0 pe3akt6c;Cycling Manager 2007 Environment Driver (pe3akt6c);c:\windows\System32\drivers\pe3akt6c.sys [08/06/2007 19:29 64912]
R0 pf2akt6c;Cycling Manager 2007 File System Driver (pf2akt6c);c:\windows\System32\drivers\pf2akt6c.sys [08/06/2007 19:28 83856]
R0 ps6akt6c;Cycling Manager 2007 Synchronization Driver (ps6akt6c);c:\windows\System32\drivers\ps6akt6c.sys [08/06/2007 19:28 55704]
R3 rt61x86;Ralink RT61 Wireless Driver for Windows Vista;c:\windows\System32\drivers
etr61.sys [11/05/2007 16:28 357376]
S2 FontCache3.0.0.0clr_optimization_v2.0.50727_32;Cache de police de Windows Presentation Foundation 3.0.0.0 FontCache3.0.0.0clr_optimization_v2.0.50727_32;c:\windows\system32\actskin4o.exe srv --> c:\windows\system32\actskin4o.exe srv [?]
S2 pr2akt6c;Cycling Manager 2007 Drivers Auto Removal (pr2akt6c);c:\windows\system32\pr2akt6c.exe svc --> c:\windows\system32\pr2akt6c.exe svc [?]
S2 WdiServiceHostSessionEnv;Service hôte WDIServiceHost WdiServiceHostSessionEnv;c:\windows\system32\algi.exe srv --> c:\windows\system32\algi.exe srv [?]
S3 ovt530;Hercules Webcam Classic;c:\windows\System32\drivers\ov530vid.sys [13/12/2008 18:28 161792]
S3 PAC207;SoC PC-Camera;c:\windows\System32\drivers\PFC027.SYS [05/12/2006 12:34 507136]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [10/08/2007 18:00 28224]
S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\System32\drivers\s916bus.sys [14/06/2008 22:51 83496]
S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\System32\drivers\s916mdfl.sys [14/06/2008 22:51 15016]
S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\System32\drivers\s916mdm.sys [14/06/2008 22:51 109992]
S3 s916mgmt;Sony Ericsson Device 916 USB WMC Device Management Drivers (WDM);c:\windows\System32\drivers\s916mgmt.sys [14/06/2008 22:51 103976]
S3 s916obex;Sony Ericsson Device 916 USB WMC OBEX Interface;c:\windows\System32\drivers\s916obex.sys [14/06/2008 22:51 100008]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8
mWindow Title = 
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer à &Bluetooth - c:\program files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-29 22:41
Windows 6.0.6000  NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1682928167-2818316632-1173391612-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:26,4c,a2,0f,6b,c7,04,52,e2,70,2c,b0,83,0d,85,b8,08,35,8a,99,db,89,8d,
   6f,5b,9f,c0,9f,35,d4,d5,22,98,69,17,67,36,60,00,e7,79,06,a9,54,7b,2a,a4,66,\
"??"=hex:70,e3,35,b0,9c,b1,1a,59,db,84,29,cb,e3,90,de,65

[HKEY_USERS\S-1-5-21-1682928167-2818316632-1173391612-1000\Software\SecuROM\License information*]
"datasecu"=hex:87,06,93,cf,cb,4b,32,95,a8,6f,5d,cb,8b,f6,00,a7,45,62,a8,d9,85,
   f3,af,a6,f4,fc,80,c0,42,12,a4,13,d0,eb,e4,16,17,d4,64,a5,d8,1c,bf,bd,07,a2,\
"rkeysecu"=hex:9b,04,a8,92,08,fb,4f,36,8b,5e,a1,13,bb,bb,01,d1

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Other Running Processes ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\Ati2evxx.exe
c:\windows
otepad.exe
c:\program files\ATI Technologies\ATI.ACE\CLI.exe
c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
c:\windows\System32\PnkBstrA.exe
c:\windows\System32\PnkBstrB.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\progra~1\COMMON~1\France Telecom\Shared Modules\AlertModule\1\AlertModule.exe
c:\windows\System32undll32.exe
c:\windows\System32\conime.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\System32undll32.exe
.
**************************************************************************
.
Completion time: 2009-07-29 22:54 - machine was rebooted
ComboFix-quarantined-files.txt  2009-07-29 20:54

Pre-Run: 46 798 462 976 octets libres
Post-Run: 46 636 601 344 octets libres

231	--- E O F ---	2008-08-13 16:25

sKe69 · Answer

Super .. 


on continue car il y a du boulot ! ... ^^


on bosse maintenant en mode normal ! ( sauf si je te demande de passer en mse )


Dans l'ordre :


1- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 


=========================

2- Infecté par Navipromo .

-------------------------------------

Pour info,
Les programmes suivants installent cette infection : 
- Funky Emoticons 
- Games-Attack
- Original-Solitaire  
- Go-Astro 
- GoRecord 
- HotTVPlayer 
- Live-Player 
- MailSkinner 
- Messenger Skinner 
- Instant Access 
- InternetGameBox 
- Sudoplanet 
- WebMediaPlayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/

---------------------------------------

Télécharge Navilog1 sur ton bureau : 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!
  
Ensuite clique droit / "éxecuter entant qu'admin..." sur navilog1.exe pour lancer l'outil . 

Laisse-toi guider. Au menu principal, choisis 1 et valide . 
(ne fais pas le choix 2 notre avis/accord) .

Patiente le temps du scan ...

> Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) :
laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuelement (c'est important !) .

Note : 
Si l'outil de demande d'effectuer la manipe en mode sans echec, fais le (  /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ).
 

Patiente jusqu'au message : 
*** Scan Terminé le ..... *** 

Appuie sur une touche comme demandé, le bloc-note va s'ouvrir. 
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et fait la suite . 

(Le rapport est en outre sauvegardé à la racine du disque "C\:cleanavi.txt" ) 


========================

3- refais un scan avec ZHPDiag , poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ....

habana33700 · Answer

alors ci dessou le rapport de navilog et aprés le lien :

Fix Navipromo version 4.0.1 commencé le 29/07/2009 23:38:21,86

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 18.07.2009 à 11h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Édition Familiale Premium  ( v6.0.6000 ) 
X86-based PC ( Multiprocessor Free : Genuine Intel(R) CPU           T2080  @ 1.73GHz )
BIOS : Phoenix NoteBIOS 4.0 Release 6.1     
USER : Aurélien ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:103 Go (Free:41 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
F:\ (CD or DVD)
G:\ (CD or DVD)


Recherche executée en mode normal 

Nettoyage exécuté au redémarrage de l'ordinateur


C:\Users\Aur‚lien\AppData\Local\virtualstore\Program Files\InternetGamebox supprimé ! 
C:\Users\Aur‚lien\AppData\Local\yqwuo.dat supprimé !


Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\AURLIE~1\AppData\Local\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !





*** Scan terminé 30/07/2009  6:32:14,23 ***

puis le lien ci joint :

http://www.cijoint.fr/cjlink.php?file=cj200907/cijL7yhNp7.txt

sKe69 · Answer

Salut,


tu va pouvoir fait ceci maintenant :


1- Avoir accès aux fichiers cachés :
 
Va dans Menu Démarrer->panneau de config.("affichage classique")-> Options des dossiers
--> vas sur l'onglet " Affichage " .
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 



2- Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  : 
C:\Windows\system32\actskin4o.exe 

Clique sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


Fais de même pour :

C:\Windows\system32\algi.exe 
C:\Program Files\uusee\UUSeePlayer.exe 
C:\Windows\system32\drivers\A502.sys 


Poste moi donc ces 4 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

habana33700 · Answer

ok je t'envoie ça vers midi je suis acteullement au boulot.

Il y a encore beaucoup d'infections?

habana33700 · Answer

voila le premier rapport  C:\Windows\system32\actskin4o.exe


Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.24 2009.07.30 - 
AhnLab-V3 5.0.0.2 2009.07.30 - 
AntiVir 7.9.0.234 2009.07.30 - 
Antiy-AVL 2.0.3.7 2009.07.30 - 
Authentium 5.1.2.4 2009.07.29 - 
Avast 4.8.1335.0 2009.07.29 - 
AVG 8.5.0.387 2009.07.30 - 
BitDefender 7.2 2009.07.30 - 
CAT-QuickHeal 10.00 2009.07.30 - 
ClamAV 0.94.1 2009.07.30 - 
Comodo 1812 2009.07.30 - 
DrWeb 5.0.0.12182 2009.07.30 - 
eSafe 7.0.17.0 2009.07.29 Win32.Flooder.IM.VB. 
eTrust-Vet 31.6.6647 2009.07.30 - 
F-Prot 4.4.4.56 2009.07.29 - 
F-Secure 8.0.14470.0 2009.07.30 - 
Fortinet 3.120.0.0 2009.07.30 - 
GData 19 2009.07.30 - 
Ikarus T3.1.1.64.0 2009.07.30 - 
Jiangmin 11.0.800 2009.07.30 - 
K7AntiVirus 7.10.805 2009.07.29 - 
Kaspersky 7.0.0.125 2009.07.30 - 
McAfee 5692 2009.07.29 - 
McAfee+Artemis 5692 2009.07.29 - 
McAfee-GW-Edition 6.8.5 2009.07.30 - 
Microsoft 1.4903 2009.07.30 - 
NOD32 4290 2009.07.30 - 
Norman 6.01.09 2009.07.29 - 
nProtect 2009.1.8.0 2009.07.30 - 
Panda 10.0.0.14 2009.07.29 - 
PCTools 4.4.2.0 2009.07.29 - 
Prevx 3.0 2009.07.30 - 
Rising 21.40.32.00 2009.07.30 - 
Sophos 4.44.0 2009.07.30 - 
Sunbelt 3.2.1858.2 2009.07.29 - 
Symantec 1.4.4.12 2009.07.30 - 
TheHacker 6.3.4.3.378 2009.07.30 - 
TrendMicro 8.950.0.1094 2009.07.30 - 
VBA32 3.12.10.9 2009.07.30 - 
ViRobot 2009.7.30.1861 2009.07.30 - 
VirusBuster 4.6.5.0 2009.07.29 - 
Information additionnelle 
File size: 380928 bytes 
MD5...: 99825c8aed2fa0ac76aa0fad770f44c1 
SHA1..: 6d19de49d974f8645147d3001fe2cda73ed17742 
SHA256: f05e0b9a6e426f1db6a3b6dab4d6c726b10901cd549524923b3703d390444ab9 
ssdeep: 6144:uxd7LmGSqpUnENuRbGS0Pz6Te79qcaZnCDe:uxtLG4NuRbGS0e3qe
 
PEiD..: - 
TrID..: File type identification
DirectShow filter (47.3%)
Windows OCX File (28.9%)
InstallShield setup (10.1%)
Win32 Executable MS Visual C++ (generic) (8.8%)
Win32 Executable Generic (2.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x31261
timedatestamp.....: 0x3e0961eb (Wed Dec 25 07:44:43 2002)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x32a35 0x33000 6.56 08284d743a673fe9f1d6d423e27dd5ae
.rdata 0x34000 0x5aa5 0x6000 5.70 a2d903e5865337546066edd2468bdad1
.data 0x3a000 0x7a74 0x8000 5.81 19adfa17f79c86ea12513d921f8decc8
.rsrc 0x42000 0x15d70 0x16000 5.11 e94be16f3a90642412d1d38151291c11
.reloc 0x58000 0x430c 0x5000 5.77 b674a3d644f3d09f38d7acf6d0593769

( 10 imports ) 
> WINMM.dll: PlaySoundA
> KERNEL32.dll: WaitForSingleObject, CreateThread, GetVersion, GetModuleHandleA, SetFilePointer, WriteFile, DebugBreak, HeapReAlloc, HeapFree, ExitProcess, QueryPerformanceCounter, Sleep, HeapSize, QueryPerformanceFrequency, LCMapStringW, GetCPInfo, GetACP, GetOEMCP, GetStdHandle, GetTickCount, GetWindowsDirectoryA, CreateFileA, GetFileSize, ReadFile, CloseHandle, DeleteFileA, GetCurrentThreadId, GetCurrentProcess, FlushInstructionCache, RtlUnwind, InterlockedIncrement, InterlockedDecrement, LoadLibraryA, GetProcAddress, lstrcatA, lstrcpyA, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, HeapDestroy, InitializeCriticalSection, HeapCreate, GetSystemInfo, HeapAlloc, DisableThreadLibraryCalls, IsDBCSLeadByte, lstrcpynA, lstrcmpiA, LoadLibraryExA, GetLastError, FindResourceA, LoadResource, SizeofResource, FreeLibrary, WideCharToMultiByte, GetModuleFileNameA, GetShortPathNameA, TerminateProcess, lstrlenA, MultiByteToWideChar, lstrlenW, GetStringTypeA, LCMapStringA, GetStringTypeW
> USER32.dll: DestroyCaret, GetScrollInfo, TrackPopupMenu, SetWindowsHookExA, UnhookWindowsHookEx, CallNextHookEx, GetMenuItemCount, GetMenuStringA, SetMenuItemInfoA, WindowFromDC, LoadImageA, GetWindowDC, PostMessageA, EnumThreadWindows, PeekMessageA, GetMessageA, DispatchMessageA, MsgWaitForMultipleObjects, MessageBoxA, LoadBitmapA, ShowWindow, SetFocus, GetDC, SetScrollInfo, SetWindowTextA, EnableWindow, GetSysColor, GetWindow, GetParent, CreateWindowExA, GetDesktopWindow, DrawTextA, SystemParametersInfoA, ClientToScreen, GetUpdateRgn, GetClassNameA, SendMessageA, GetCursorPos, GetWindowRect, GetWindowRgn, SetCapture, ReleaseCapture, GetWindowLongA, SetWindowLongA, RedrawWindow, BeginPaint, GetClientRect, EndPaint, ReleaseDC, IsWindowEnabled, InvalidateRect, IntersectRect, EqualRect, OffsetRect, SetWindowRgn, SetWindowPos, IsWindow, DestroyWindow, GetFocus, IsChild, UnionRect, PtInRect, GetKeyState, GetClassInfoExA, LoadCursorA, wsprintfA, RegisterClassExA, IsRectEmpty, EnableMenuItem, SetMenu, GetMenuItemID, GetSubMenu, GetMenuState, GetActiveWindow, AdjustWindowRect, GetMenu, GetWindowTextLengthA, GetWindowTextA, GetWindowPlacement, GetSystemMenu, UpdateWindow, GetIconInfo, CallWindowProcA, DrawIconEx, DefWindowProcA, LoadStringA, CharNextA, GetMenuItemInfoA
> GDI32.dll: RestoreDC, DeleteDC, SetWindowOrgEx, SetMapMode, SaveDC, LPtoDP, CreateDCA, BitBlt, SelectObject, CreateCompatibleDC, GetDeviceCaps, SelectClipRgn, GetCurrentObject, CreateFontIndirectA, GetClipBox, CreateDIBSection, ExtCreateRegion, GetRegionData, SetBkMode, GetStockObject, SetViewportOrgEx, SetTextColor, SetBkColor, CreateSolidBrush, RectInRegion, CombineRgn, OffsetRgn, CreateRectRgn, PtInRegion, DeleteObject, GetObjectA, CreateRectRgnIndirect
> comdlg32.dll: GetSaveFileNameA, GetOpenFileNameA
> ADVAPI32.dll: RegEnumKeyExA, RegEnumValueA, RegQueryInfoKeyA, RegSetValueExA, RegDeleteKeyA, RegOpenKeyExA, RegCloseKey, RegDeleteValueA, RegCreateKeyExA
> SHELL32.dll: ShellExecuteExA
> ole32.dll: OleLoadFromStream, OleSaveToStream, WriteClassStm, CreateOleAdviseHolder, OleRegGetMiscStatus, StringFromCLSID, ProgIDFromCLSID, OleRegGetUserType, CoCreateInstance, CoTaskMemRealloc, CoTaskMemAlloc, CoTaskMemFree, CreateStreamOnHGlobal, StgCreateDocfile, StgOpenStorage, OleRegEnumVerbs
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> COMCTL32.dll: ImageList_Draw

( 4 exports ) 
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
 
PDFiD.: - 
RDS...: NSRL Reference Data Set

( Hewlett Packard )

> HP Color LaserJet 2600n: actskin4.ocx

( Gateway )

> Gateway Drivers: actskin4.ocx

habana33700 · Answer

second rapport C:\Windows\system32\algi.exe  :

Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.24 2009.07.30 - 
AhnLab-V3 5.0.0.2 2009.07.30 - 
AntiVir 7.9.0.234 2009.07.30 - 
Antiy-AVL 2.0.3.7 2009.07.30 - 
Authentium 5.1.2.4 2009.07.29 - 
Avast 4.8.1335.0 2009.07.29 - 
AVG 8.5.0.387 2009.07.30 - 
BitDefender 7.2 2009.07.30 - 
CAT-QuickHeal 10.00 2009.07.30 - 
ClamAV 0.94.1 2009.07.30 - 
Comodo 1812 2009.07.30 - 
DrWeb 5.0.0.12182 2009.07.30 - 
eSafe 7.0.17.0 2009.07.29 - 
eTrust-Vet 31.6.6647 2009.07.30 - 
F-Prot 4.4.4.56 2009.07.29 - 
F-Secure 8.0.14470.0 2009.07.30 - 
Fortinet 3.120.0.0 2009.07.30 - 
GData 19 2009.07.30 - 
Ikarus T3.1.1.64.0 2009.07.30 - 
Jiangmin 11.0.800 2009.07.30 - 
K7AntiVirus 7.10.805 2009.07.29 - 
Kaspersky 7.0.0.125 2009.07.30 - 
McAfee 5692 2009.07.29 - 
McAfee+Artemis 5692 2009.07.29 - 
McAfee-GW-Edition 6.8.5 2009.07.30 - 
Microsoft 1.4903 2009.07.30 - 
NOD32 4290 2009.07.30 - 
Norman 6.01.09 2009.07.29 - 
nProtect 2009.1.8.0 2009.07.30 - 
Panda 10.0.0.14 2009.07.29 - 
PCTools 4.4.2.0 2009.07.29 - 
Prevx 3.0 2009.07.30 - 
Rising 21.40.32.00 2009.07.30 - 
Sophos 4.44.0 2009.07.30 - 
Sunbelt 3.2.1858.2 2009.07.29 - 
Symantec 1.4.4.12 2009.07.30 - 
TheHacker 6.3.4.3.378 2009.07.30 - 
TrendMicro 8.950.0.1094 2009.07.30 - 
VBA32 3.12.10.9 2009.07.30 - 
ViRobot 2009.7.30.1861 2009.07.30 - 
VirusBuster 4.6.5.0 2009.07.29 - 
Information additionnelle 
File size: 58880 bytes 
MD5...: e69fb0e3112c40fdc0ef7d21a52dc951 
SHA1..: 14c785ed9ff7eddcb066a5e62dc8fde9fe28af75 
SHA256: 6fb299330edef77dc91fc279d90d8adea138ec98342116121f5879b50070963d 
ssdeep: 1536:XdeySOdIJUmbRVNWpa/IbhH4w9Tmga9JH3QJB:Xde4eh8CIbhHe9+JB
 
PEiD..: - 
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x7124
timedatestamp.....: 0x4549b2cd (Thu Nov 02 08:56:45 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xafd2 0xb000 6.19 f7774cabd92a905904372b11db3b7579
.data 0xc000 0x780 0x400 3.03 e12550d9ec12210dfa801975552b680a
.rsrc 0xd000 0x1fc8 0x2000 5.50 35ea9fd16e4baee0c2c286075353929c
.reloc 0xf000 0xdbc 0xe00 5.89 40e3f6a317f7b7ae6f1cffdba9d99eda

( 8 imports ) 
> ADVAPI32.dll: SetServiceStatus, RegisterServiceCtrlHandlerW, RegCloseKey, RegOpenKeyExW, RegNotifyChangeKeyValue, StartServiceCtrlDispatcherW, RegQueryValueExW, RegEnumKeyExW, SystemFunction036
> KERNEL32.dll: DeleteTimerQueueEx, CloseHandle, Sleep, WaitForMultipleObjects, CreateEventW, HeapSetInformation, WaitForSingleObject, SetEvent, CreateThread, DeleteTimerQueueTimer, CreateTimerQueueTimer, GetCurrentProcessId, DuplicateHandle, GetCurrentProcess, RaiseException, GetLastError, CreateTimerQueue, EnterCriticalSection, LeaveCriticalSection, InitializeCriticalSection, DeleteCriticalSection, InterlockedDecrement, InterlockedIncrement, InterlockedExchange, InterlockedCompareExchange, GetStartupInfoW, SetUnhandledExceptionFilter, BindIoCompletionCallback, WriteFile, ReadFile, HeapFree, GetProcessHeap, HeapAlloc, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA
> msvcrt.dll: _controlfp, __1type_info@@UAE@XZ, _onexit, __CxxFrameHandler3, _purecall, _CxxThrowException, memcpy, free, _wcsicmp, memcpy_s, _lock, __dllonexit, _unlock, _terminate@@YAXXZ, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, _wcmdln, exit, _XcptFilter, _exit, _cexit, __wgetmainargs, malloc, _callnewh, _what@exception@@UBEPBDXZ, realloc, memmove, isdigit, memset, __0exception@@QAE@ABV0@@Z, __0exception@@QAE@XZ, __1exception@@UAE@XZ, memmove_s, _except_handler4_common
> ATL.DLL: -, -, -, -, -, -
> WS2_32.dll: -, WSASocketW, -, -, -, -, -, -, -, -, WSAIoctl, -, -, -, -
> ole32.dll: CoCreateInstance, CoTaskMemFree, CoTaskMemAlloc, CoUninitialize, CoInitializeEx, CLSIDFromString
> OLEAUT32.dll: -, -
> WSOCK32.dll: -, -

( 0 exports ) 
 
PDFiD.: - 
RDS...: NSRL Reference Data Set

( Microsoft )

> Installed Vista Ultimate: alg.exe

 
Les deux derniers n'existent pas

habana33700 · Answer

autant pour moi voila le dernier C:\Windows\system32\drivers\A502.sys :



Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.24 2009.07.30 - 
AhnLab-V3 5.0.0.2 2009.07.30 - 
AntiVir 7.9.0.234 2009.07.30 - 
Antiy-AVL 2.0.3.7 2009.07.30 - 
Authentium 5.1.2.4 2009.07.29 - 
Avast 4.8.1335.0 2009.07.29 - 
AVG 8.5.0.387 2009.07.30 - 
BitDefender 7.2 2009.07.30 - 
CAT-QuickHeal 10.00 2009.07.30 - 
ClamAV 0.94.1 2009.07.30 - 
Comodo 1812 2009.07.30 - 
DrWeb 5.0.0.12182 2009.07.30 - 
eSafe 7.0.17.0 2009.07.29 - 
eTrust-Vet 31.6.6647 2009.07.30 - 
F-Prot 4.4.4.56 2009.07.29 - 
F-Secure 8.0.14470.0 2009.07.30 - 
Fortinet 3.120.0.0 2009.07.30 - 
GData 19 2009.07.30 - 
Ikarus T3.1.1.64.0 2009.07.30 - 
Jiangmin 11.0.800 2009.07.30 - 
K7AntiVirus 7.10.805 2009.07.29 - 
Kaspersky 7.0.0.125 2009.07.30 - 
McAfee 5692 2009.07.29 - 
McAfee+Artemis 5692 2009.07.29 - 
McAfee-GW-Edition 6.8.5 2009.07.30 - 
Microsoft 1.4903 2009.07.30 - 
NOD32 4290 2009.07.30 - 
Norman 6.01.09 2009.07.29 - 
nProtect 2009.1.8.0 2009.07.30 - 
Panda 10.0.0.14 2009.07.29 - 
PCTools 4.4.2.0 2009.07.29 - 
Prevx 3.0 2009.07.30 - 
Rising 21.40.32.00 2009.07.30 - 
Sophos 4.44.0 2009.07.30 - 
Sunbelt 3.2.1858.2 2009.07.29 - 
Symantec 1.4.4.12 2009.07.30 - 
TheHacker 6.3.4.3.378 2009.07.30 - 
TrendMicro 8.950.0.1094 2009.07.30 - 
VBA32 3.12.10.9 2009.07.30 - 
ViRobot 2009.7.30.1861 2009.07.30 - 
VirusBuster 4.6.5.0 2009.07.29 - 
Information additionnelle 
File size: 20732 bytes 
MD5...: d28ebccbcc8e720d2a0e8f306743fc32 
SHA1..: 4fcf1d939ecee46bb5a3a76d5c05e1383259d6b4 
SHA256: 02246f33763f42943b4d36d1054dde592532e6c34c32e8d780cd53fc3f396cfe 
ssdeep: 384:II+SOmFFXpxClACRZl5MVsnqBcDk+LWNyC4NN9B4athiLlj:AmFNdCtCVzB4
4yrz4x
 
PEiD..: - 
TrID..: File type identification
Win64 Executable Generic (87.2%)
Win32 Executable Generic (8.6%)
Generic Win/DOS Executable (2.0%)
DOS Executable Generic (2.0%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3c8
timedatestamp.....: 0x429d7987 (Wed Jun 01 09:01:59 2005)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2c0 0x1fe2 0x2000 6.32 1afc5a49f69d19bbb82cb080ed5629ff
.data 0x22c0 0xc 0x20 0.00 70bc8f4b72a86921468bf8e8441dce51
.edata 0x22e0 0xc6 0xe0 4.20 48df8a498843844038de5e98a273a0f3
INIT 0x23c0 0x438 0x440 5.14 d8fc0b4173c57d4f5cf5e22fda398a67
.rsrc 0x2800 0x610 0x620 3.00 cc46ef809046563a5d39a8af8a60a85d
.reloc 0x2e20 0x1ac 0x1c0 5.28 6eb475ea007d19294e4389d1eeb0ed77

( 3 imports ) 
> ntoskrnl.exe: ExAllocatePoolWithTag, KeSetEvent, InterlockedDecrement, InterlockedIncrement, ZwClose, RtlQueryRegistryValues, IoOpenDeviceRegistryKey, IoDeleteDevice, IoDetachDevice, KeInitializeDpc, IoAttachDeviceToDeviceStack, ExFreePool, RtlInitUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, sprintf, PoRequestPowerIrp, PoCallDriver, PoStartNextPowerIrp, IoFreeIrp, IoAllocateIrp, ExQueueWorkItem, KeInsertQueueDpc, IoBuildDeviceIoControlRequest, KeWaitForSingleObject, IoCreateDevice, KeInitializeEvent, KeInitializeSpinLock, IofCallDriver, ObfReferenceObject, IofCompleteRequest
> HAL.dll: KfAcquireSpinLock, KeStallExecutionProcessor, KfReleaseSpinLock
> USBD.SYS: _USBD_CreateConfigurationRequestEx@8, _USBD_ParseConfigurationDescriptorEx@28, USBD_GetUSBDIVersion

( 5 exports ) 
UMSS_AbortTransfer, UMSS_GetMaxLun, UMSS_GetNextPDO, UMSS_RegisterCompletionHandler, UMSS_StartRequest
 
PDFiD.: - 
RDS...: NSRL Reference Data Set
-

sKe69 · Answer

plus qu'un ... ^^

C:\Program Files\uusee\UUSeePlayer.exe

habana33700 · Answer

C:\Program Files\uusee\UUSeePlayer.exe est introuvable

est ce normal?

sKe69 · Answer

re,

tu as bien fait ceci avant :

Avoir accès aux fichiers cachés :
 
Va dans Menu Démarrer->panneau de config.("affichage classique")-> Options des dossiers
--> vas sur l'onglet " Affichage " .
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 



?

habana33700 · Answer

oui j'ai fais tous ce que tu m'as dis

sKe69 · Answer

bon ...


en tous cas , ce qui à été vérifié est clean ... ^^


on continue :


1- Supprime l'outil UsbFix que tu as ( on va reprendre avec une version plus récente ) :

# Double clique sur le raccourci UsbFix présent sur ton bureau .

# Choisis l' option 5 ( Désinstaller ) et laisse toi guider ...


========================

2- Re- télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !

--> Clique droit / " exécuter entant qu'admin..." sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .


IMPERATIF:
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 


# Clique droit / " exécuter entant qu'admin..." sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

habana33700 · Answer

il me dit que USBFix s'est installé correctement mais je n'ai aucun raccourci pour lancer l'application sur le bureau?


Est ce normal?

sKe69 · Answer

re,

dans ce cas là , va dans C:\UsbFix 
> là , tu clique droit / "executer entant qu'admin..." sur UsbFix.cmd pour lancer l'outil ...

habana33700 · Answer

Je suis au boulot je reagrderai tout à l'heure mais j'ai déjà regardé dans le fichier USB Fix dans C:/ et il me semble n'avoir vu que l'application Désintaller USBFix et des sous dossier : Tools, etc... les autres je ne me souviens plus.

Est-il dans un sous dossier?

habana33700 · Answer

voila le rapport USB Fix :


############################## | UsbFix V6.012 |

User : Aurélien (Administrateurs) # PC-DE-AURÉLIEN
Update on 29/07/09 by Chiquitine29 & C_XX
Start at: 17:51:21 | 30/07/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Genuine Intel(R) CPU           T2080  @ 1.73GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6000 32-bit) # 
Internet Explorer 7.0.6000.16890
Windows Firewall Status : Enabled
AV : avast! antivirus 4.7.1098 [VPS 090729-1] 4.7.1098 [ Enabled | Updated ]

C:\ -> Disque fixe local # 103,78 Go (34,4 Go free) [HDD] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
I:\ -> Disque amovible # 975,72 Mo (960,31 Mo free) # FAT

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\PnkBstrB.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Common Files\aol\1162836921\ee\aolsoftware.exe
C:\Windows\vVX1000.exe
C:\Windows\PixArt\PAC207\Monitor.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\1\AlertModule.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\conime.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés Run infectieuses |

Présent ! HKLM\software\microsoft\security center "UacDisableNotify" ( 0x1 )  

################## | Registre # Mountpoints2 |


################## | Cracks / Keygens / Serials |

sKe69 · Answer

Bien ... on est clean du côté des "autorun" ...


dis moi comment va le PC maintenant .... du mieux ?


puis fait ceci :

1- (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
 

• Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .
• Choisis l' option 3 ( Vaccination )
• Laisse travailler l outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.
 

• Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

=====================

2-Télécharge GenProc  (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe

!!Déconnecte toi et ferme tes applications en cours !!


* clique droit / " executer entant qu'admin..." sur GenProc.exe pour lancer le scan et laisse faire...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ...
 

Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
 
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

habana33700 · Answer

le pc va beaucoup mieu, il est moins lent, il met moins de tems à se lancer aussi.

voila le rapport :

Rapport GenProc 2.606 [1] - 30/07/2009 à 18:15:12 
@ Windows Vista "CSDVersion" does not exist - Mode normal
@ Internet Explorer (7.0.6000.16890) [Navigateur par défaut]

~~ "C:\Windows\sed.exe" a été renommé sed.exe_RenameGenProc ~~
~~ "C:\Windows\grep.exe" a été renommé grep.exe_RenameGenProc ~~
~~ ECHEC DU TELECHARGEMENT DE MBR.EXE ~~  
~~ ECHEC DU TELECHARGEMENT D'HIJACKTHIS ~~  
 
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 


Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :  
- C:\Program Files\EsetOnlineScanner\log.txt

 

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 18:17:59 ~~

sKe69 · Answer

bien ...



fais ce qui sut dans l'ordre ( si le dernier rapport est clean , on finalisera ) :


( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau. 
http://pc-system.fr/

Déconnecte toi et ferme bien toutes tes applications en cours .

Clique droit sur le prg et choisis "éxécuter en tant que Administrateur"
 
*Clique sur Recherche et laisse le scan se terminer (cela peut être long). 
*Clique sur Suppression pour finaliser. 
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . 

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . 

( garde CCleaner et Malwarebytes : très utiles ! )

=====================

2- Refais un coup de CCleaner ( registre compris ) .

=====================

3- Retélécharge et réinstalle hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharge et installe le logiciel HijackThis : 

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment ) 

=====================

4- Important :
Purge de la restauration système 
-->Désactive ta restauration :
Dans démarrer, clique droit sur ordinateur/propriétés/protection du système : décoche la case devant ton disk dur maitre ( pour toi -> C )  , valide, applique et OK 
Redémarre ton PC ...
 
-->Réactive ta restauration :
Clique droit sur ordinateur/propriétés/protection du système : coche la case devant ton disk dur maitre , valide, applique et OK 
Redémarre ton PC ...

( tuto : https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista ) 

=====================

5- Fais un scan en ligne avec Kaspersky :

Suis les indications de ce tuto > https://www.commentcamarche.net/faq/17751-scanner-en-ligne-avec-kaspersky

Fait un scan du "poste de travail" .
Sauvegarde bien le rapport en ".txt" et poste son contenu dans ta prochaine réponse ...

habana33700 · Answer

ci dessous le rapport tools cleaner : 


[ Rapport ToolsCleaner version 2.3.9 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\cleannavi.txt: trouvé !
C:\TB.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\GenProc: trouvé !
C:\Qoobox: trouvé !
C:\_OTM: trouvé !
C:\Toolbar SD: trouvé !
C:\UsbFix: trouvé !
C:\GenProc\Page\GenProc[*].html: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Navilog1\catchme.exe: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\UsbFix: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UsbFix: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UsbFix\UsbFix.lnk: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\UsbFix: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\UsbFix: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\UsbFix\UsbFix.lnk: trouvé !
C:\Users\Aurélien\AppData\Local	emp\ckz_5R7V\ZHPdiag.exe: trouvé !
C:\Users\Aurélien\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\UsbFix: trouvé !
C:\Users\Aurélien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UsbFix: trouvé !
C:\Users\Aurélien\Desktop\UsbFix.lnk: trouvé !
C:\Users\Aurélien\Documents\LimeWire\Saved\Desktop\ZHPdiag.exe: trouvé !
C:\Users\Aurélien\Documents\LimeWire\Saved\Desktop\OTM.exe: trouvé !
C:\Users\Aurélien\Documents\LimeWire\Saved\Desktop\Navilog1.exe: trouvé !
C:\Users\Aurélien\Documents\LimeWire\Saved\Desktop\UsbFix.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Navilog1\catchme.exe: supprimé !
C:\Users\Aurélien\AppData\Local	emp\ckz_5R7V\ZHPdiag.exe: supprimé !
C:\Users\Aurélien\Documents\LimeWire\Saved\Desktop\ZHPdiag.exe: supprimé !
C:\Users\Aurélien\Documents\LimeWire\Saved\Desktop\OTM.exe: supprimé !
C:\Users\Aurélien\Documents\LimeWire\Saved\Desktop\Navilog1.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\cleannavi.txt: supprimé !
C:\TB.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UsbFix\UsbFix.lnk: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Users\Aurélien\Desktop\UsbFix.lnk: supprimé !
C:\Users\Aurélien\Documents\LimeWire\Saved\Desktop\UsbFix.exe: supprimé !
C:\GenProc: supprimé !
C:\Qoobox: supprimé !
C:\_OTM: supprimé !
C:\Toolbar SD: supprimé !
C:\UsbFix: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\UsbFix: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UsbFix: supprimé !
C:\Users\Aurélien\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\UsbFix: ERREUR DE SUPPRESSION !!
C:\Users\Aurélien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UsbFix: supprimé !

sKe69 · Answer

re,

tu supprimeras Combofix manuellement ...


continue ... ^^

habana33700 · Answer

ben dis donc il est trés long ce scan : cela fait 1h30 qui tourne il est toujours à 27%.

par contre pour l'instant il me dit qu'il a trouvé 3 objets menaçants et 1230 objets infectés. et ça ne cesse d'augmenter.

ça me fait peur. tu en pensesquoi en attendant le rapport?

sKe69 · Answer

re,

3 objets menaçants et 1230 objets infectés 

????? ... sérieux ???? ... le non de l'infection qui revient le plus dans les 1230 stp ...


tu me feras parvenir le rapport via Cijoint ...

habana33700 · Answer

il n'a pas de nom il y a juste le nombre :

il ya toujours 3 objets menaçants mais 6600 objets infectés. et ça augmente encore.
de plus il est entrain d'analyser la partie :

C:\Users\Aurélien\...

c'est pas possible il doit y avoir une erreur?

sKe69 · Answer

re,


6600 objets infectés

pas impossible en cas de "File infector" ... mais j'en doute ... mais dis moi , tu as bien fait la 
"purge de la restauration systeme " comme je t'avait demandé ... ?

habana33700 · Answer

oui je l'ai bien fait.


il y en a 12000 maintenant. en fait j'ai l'impression qu'a chaque fois qu'il anakyse un dossier il dit qu'il est infecté.


avec 12000 objets infectésmon ordi ramerait beaucoup et la c pas le cas

habana33700 · Answer

j'ai lancé le scan toute la nuit, ce matin j'ai vu qu'il avait planté.

Il en était alors à 3H de scan , 3 objets menaçants et 27000 objets infectés...


Je l'ai relancé ce matin, visiblement il détecte maintenant :

2objets menaçants
6objets infectés    dans le dossier C:\ProgrammeFiles\Avast

et tou le reste des objets infectés sont dans C:\Users\Aurélien
et visiblement tout les dossiers qu'il trouve il prétend qu'ils sont infectés.

je serais de retour chez moi à midi pour voir si enfin le scan s'est terminé.

habana33700 · Answer

je viens de revenir chez moi.

comme l'essai précédent l'analyse kaspersky s'est encore planté à 31% sot 2h44min.

elle s'arete sur l'analyse d'un fichier (Trade secret.zip/Setup.exe).

objets menaçants : 3
objets infectés : 28172.


ce nombre me fait peur.

Que dois je faire maintenant

sKe69 · Answer

Salut,


je crois voir d'ou cela provient ... plusieurs archives contenant des infections ... ce que l'on voit dans le rapport Toolbar S&D / chapitre  Cracks & Keygens ..   > https://forums.commentcamarche.net/forum/affich-13579217-coment-supprimer-un-virus-win32-alureon-ce#4

Est-ce toi qui as téléchargé tout ces craks ? ...




Puis fais ceci dans un premier temps :


Télécharge OAD ( par !aur3n7) : http://sosvirus.changelog.fr/OAD.exe 
----> Enregistre le sur ton bureau .

Double clique sur l'icone OAD pour le lancer 

- nom du fichier à rechercher :
-->tape ou fais un copier coller de : Crack cost.zip

- Type de recherche : sélectionne l'option 3 puis valide ["entrée"] 

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé. 
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé. 

Note : suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient ...

->Sauvegarde ce rapport sur ton Bureau et fais un copier / coller de celui-ci dans ta prochaine réponse ...

habana33700 · Answer

j'en est télécharger plusieurs pour des jeux mais pas 28000.lol

ok je fais ce que tu m'as dis ce soir.


merci encore pour tes conseils.

sKe69 · Answer

re,

il n'y a pas  28000 cracks ! ... ^^ 

disont qu'il soit possible que l'ensemble de ces archives contenant de cracks donne + de 28000 fichiers infectieux ...


je ne serais pas trop dispo se soir ... au pire, je te donnerai suite demain dans la matinée...

habana33700 · Answer

voici le rapport


 31/07/2009 ---- 18:03:02,14  

----------------------------------
§§§§§§ [Crack cost.zip] §§§§§§
----------------------------------
[  ] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


*******************
     [Fichier] 
*******************

c:\Users\Aur‚lien\-\Crack cost.zip


*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

sKe69 · Answer

Bon ...


est-ce que tu peux me donner le cheminement exacte de cette archive :


c:\Users\Aurélien\-\Crack cost.zip

le " - " , c'est trop vague pour que je puisse faire quoi que se soit ...



Puis tu vas réutiliser malwarebytes ainsi :


mets le à jour  ( onglet mise à jour ) . 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's .

Fais un examen dit "Rapide" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) pour analyse ...

habana33700 · Answer

enfait le "-" c'est le nom d'un dossier caché et effectivement à l'intérieur il y a 31521 éléments.

est ce qu'il me suffie de supprimé ce dossier ou faut-il tout de meme que j'éxécute malwarebytes?

sKe69 · Answer

est ce qu'il me suffie de supprimé ce dossier 

> oui et non ! ... ^^

Regarde la taille qu'il fait , ta corbeille ne pourra pas tout contenir d'un coup ...

supprime par vague le contenu de ce dossier et vide au fure et à mesure ta corbeille ...


une fois ce dossier vide , tu le suppriume ! et tu vide la corbeille de nouveau ...



* Ensuite tu refais un coup de CCleaner ( registre comrpis ) .


* tu fais la manipe avec Malwarebytes ( en le mettant bien à jour ! ) . poste le rapport


* tu redémarres le PC, puis tu vas contrôler que ce fameux dossier " - " n'est pas ré-apparu et dis moi ...

Coment supprimer un virus Win32 alureon-ce

64 réponses

Votre réponse

Discussions similaires

Newsletters