reboot pendant l analyse de kaspersky Résolu

Question

Bonjour,
mon ordinateur reboot pendant l analyse de mon anti virus kaspersky 2010 et redemarre tout seul je n arrive pas a faire 1 analyse il coupe a chaque fois pouvez vous m aidez merci.

zamale · Answer

bonsoir,
si il reboot avant la fin de l'analyse,c'est qu'un virus ou autre chose de nefaste l'en empeche.
essais de faire une analyse avec un anti-spyware/malware voir si cela fait la meme chose.

fred08700 · Answer

salut Zamale

coco est un ami , on a passé malwarebytes (6 infections) , spybot (problèmes corrigés) et passé CCleaner.
Mais le reboot du pc pendant Kapersky est récurent . Il intervient vers 10% de l'analyse

Cosmi10 · Answer

bonjours,

Comme le souligne zamale, votre antivirus avait-il montré signe d'infection plutôt ou récemment.

Sinon, vérifier la température du CPU (dans Matériel > Sensor ..) avec SIW ?!
Entre 40 et 60C s'est OK, en haut il y a surchauffe et le PC redémarre pour ce protéger.

S'il y a aucune surchauffe.
Allez dans Panneau de config. > Système > Avancé > "Paramètres" de Démarrage et récupération > et décocher "Redémarrer automatiquement" et relancer le scan ..

pimprenelle27 · Answer

Bonsoir,

Tu as kaspersky antivirus où internet sécurity?

Me faire ceci pour un examen complet de ton PC.

&#x25B6; Ouvre ce lien et télécharge https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ZHPDiag :

&#x25B6; Une fois le téléchargement achevé, place ZHPDiag.exe sur ton Bureau.

&#x25B6; Double-clique sur l'icône pour lancer le programme.

&#x25B6; Clique sur le tournevis en haut à droite (option) puis cocher toutes les cases des options.

&#x25B6; Clique sur la loupe pour lancer l'analyse.

&#x25B6; A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir,  puis ouvre le fichier sauvegardé (ZHPDiag.tx, puis sur cliquez ici pour déposer le fichier


&#x25B6; Une fois le lien crée en dessous de c'est ce même lien que vous devrez transmettre à vos correspondants, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

coco08000 · Answer

rebonsoir
je vien de m inscrire sur ccm c est maintenant mon nouveau pseudo

pimprenelle27 · Answer

Alors pas besoin de  Logiciel: Spybot - Search & Destroy    => Spybot Search & Destroy
 surtout que tu as déjà  Kaspersky Internet Security 

Tu peux le supprimer complètement spybot, c'est peut être ça qui fait que kaspersky ne marche pas correctement.


Ensuite tu as une infections DAEMON Tools Toolbar que l'on va supprimer avec ceci : 

&#x25B6; Télécharge Toolbar-S&D (de Team IDN) sur ton Bureau
 
&#x25B6; Lance l'installation du programme en exécutant le fichier téléchargé.

&#x25B6; Sous XP : Double-clique sur le raccourci de Toolbar-S&D.

&#x25B6; Sous Vista : Fais un clic droit sur ToolbarSD et sélectionne "Exécuter en tant qu'administrateur".

&#x25B6; Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.

&#x25B6; Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.

&#x25B6; Poste le rapport généré. (C:\TB.txt)

fred08700 · Answer

salut
pimprenelle

on a mis spybot que hier et le probleme de kapersky dure depuis plus longtemps.

coco08000 · Answer

je vous poste ici le rapport de toolbarsd

   -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 3800+ )
   BIOS : Phoenix - AwardBIOS v6.00PG
   USER : christophe ( Administrator )
   BOOT : Normal boot
   Antivirus : Kaspersky Internet Security 9.0.0.463 (Activated)
   Firewall  : Kaspersky Internet Security 9.0.0.463 (Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:149 Go (Free:98 Go)
   D:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [1] ( 28/09/2009|21:10 )

   -----------\  Recherche de Fichiers / Dossiers ...

   C:\Program Files\DAEMON Tools Toolbar
   C:\Program Files\DAEMON Tools Toolbar\_DTLite.xml

   -----------\  Extensions

   (christophe) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="about:blank"
   "Search Page"="http://search.shareware.pro/?lang=fr"
   "Search Bar"="https://www.orange.fr/portail?kw="
   "SearchMigratedDefaultURL"="https://www.bing.com/?scope=web&mkt=fr-FR{searchTerms}&src={referrer:source?}"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="http://search.shareware.pro/?lang=fr"
   "Start Page"="about:blank"
   "Search Bar"="https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\DOCUME~1\CHRIST~1\Mes documents\Ma musique\dylan\02.Eminem - Crack A Bottle ft.50 cent Dr.Dre.mp3



   1 - "C:\ToolBar SD\TB_1.txt" - 28/09/2009|21:11 - Option : [1]

   -----------\  Fin du rapport a 21:11:41,70

pimprenelle27 · Answer

oui mais supprimé spybot quand même.

ensuite  : 

&#x25B6; Relance Toolbar-S&D.

&#x25B6; Tape sur "2" puis valide en appuyant sur "Entrée".

/!\ Ne ferme pas la fenêtre lors de la suppression /!\

&#x25B6; Un rapport sera généré, poste son contenu ici.

NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."
Tape explorer puis valide.

Ce qu'il faut savoir sur les toolbars (barres d'outils)

pimprenelle27 · Answer

Depuis combien de temps?

pimprenelle27 · Answer

tu peux relancer tool bar une fois ton ordi redémarré.

pimprenelle27 · Answer

on va faire autrement : 

&#x25B6; Télécharge OTM (de Old_Timer) sur ton Bureau
 
&#x25B6; Double-clique sur OTM.exe pour le lancer.

&#x25B6; Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

&#x25B6; Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

-----------------------------------------------------------------------------
:files
C:\Program Files\DAEMON Tools

:Commands
[purity]
[emptytemp]
[Reboot]


 
-----------------------------------------------------------------------------

&#x25B6; clique sur MoveIt! pour lancer la suppression.

&#x25B6; Le résultat apparaitra dans le cadre "Results".

&#x25B6; Clique sur Exit pour fermer.

&#x25B6; Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

&#x25B6; Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

pimprenelle27 · Answer

bon tu va me faire ceci : 

Télécharge List&Kill'em (par Gen-Hackman) et enregistre l'exécutable sur ton bureau.

! Désactive ton antivirus le temps de la manip ainsi que ton Pare-feu si présent !

! Déconnecte toi ferme toutes tes applications en cours !

&#9654; Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "exécuter en tant qu'administrateur").

&#9654; Choisis la langue souhaitée et valide par "entrée".

&#9654; Au second menu choisis l'option 1 : Mode Recherche

&#9654; Laisse travailler l'outil.

&#9654; Une fois le scan Terminé ,un rapport s'ouvre .

 Ensuite héberger le rapport : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir,  puis sur  cliquez ici pour déposer le fichier

&#x25B6; Une fois le lien crée en dessous de c'est ce même lien que vous devrez transmettre à vos correspondants, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

pimprenelle27 · Answer

on a pas fini il reste List&Kill'em à faire et après le nettoyage et mise à jour de ton pc.

coco08000 · Answer

bonsoirs
j ai remis un autre anti virus
AVG il est passer normalement 
sans probleme il m a detecter  
3 cheval de troie et mon ordinateur
refonctionne comme avant et 
je prefere le laisser comme ca 
MERCI ENCORE.
ps: ci ca reviens  permettez moi de vous recontactez.merci

pimprenelle27 · Answer

On a pas fini il reste List&Kill'em à faire et après le nettoyage et mise à jour de ton pc.

fred08700 · Answer

salut  pimprenelle27

je récupère demain la tour de coco08000.
Je peux toujours compter sur toi ?

a demain

pimprenelle27 · Answer

ba oui.

fred08700 · Answer

salut

voici le rapport de la suppression avec toolbar SD demandé en #10


   -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 3800+ )
   BIOS : Phoenix - AwardBIOS v6.00PG
   USER : christophe ( Administrator )
   BOOT : Normal boot
   Antivirus : AVG Anti-Virus Free 8.5 (Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:149 Go (Free:98 Go)
   D:\ (CD or DVD)
   E:\ (USB) - FAT32 - Total:3811 Mo (Free:3 Go)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [2] ( 12/10/2009|18:17 )

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (christophe) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.google.fr/?gws_rd=ssl"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Bar"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "SearchMigratedDefaultURL"="https://www.bing.com/?scope=web&mkt=fr-FR{searchTerms}&src={referrer:source?}"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="http://search.shareware.pro/?lang=fr"
   "Start Page"="https://www.msn.com/fr-fr/"
   "Search Bar"="https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\DOCUME~1\CHRIST~1\Favoris\Keygen.in.url
   C:\DOCUME~1\CHRIST~1\Mes documents\Ma musique\Dylan\02.Eminem - Crack A Bottle ft.50 cent Dr.Dre.mp3



   1 - "C:\ToolBar SD\TB_1.txt" - 28/09/2009|21:11 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 29/09/2009|20:02 - Option : [1]
   3 - "C:\ToolBar SD\TB_3.txt" - 12/10/2009|18:18 - Option : [2]

   -----------\  Fin du rapport a 18:18:50,91

fred08700 · Answer

et le rapport List&Kill'em 



List'em by g3n-h@ckm@n 1.0.4.2 

updated on 09.10.2009 ::::: 14.30 

Windows_NT 

Microsoft Windows XP [version 5.1.2600]
 

12/10/2009    18:28:15,83 
 
======================
Cles de demarrage "Run" 
======================
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe\""
"TomTomHOME.exe"="\"C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe\" -s"
"swg"="\"C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe\""
"msnmsgr"="\"C:\Program Files\Windows Live\Messenger\msnmsgr.exe\" /background"
"MSMSGS"="\"C:\Program Files\Messenger\msmsgs.exe\""

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="\"C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe\""
"C6501Sound"="RunDll32 c6501.cpl,CMICtrlWnd"
"SunJavaUpdateSched"="\"C:\Program Files\Java\jre6\bin\jusched.exe\""
"RemoteControl"="\"C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe\""
"LGODDFU"="\"C:\Program Files\lg_fwupdate\fwupdate.exe\" blrun"
"ORAHSSSessionManager"="C:\Program Files\Orange\SessionManager\SessionManager.exe"
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe"
"RestartNeroSetup"="\"D:\Installation\Setupx.exe\" "
"SystrayORAHSS"="\"C:\Program Files\Orange\Systray\SystrayApp.exe\""
"Malwarebytes Anti-Malware (reboot)"="\"C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe\" /runcleanupscript"
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe"

=====================
cles additionnelles
=====================
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"ConsentPromptBehaviorAdmin"=dword:00000002

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
@="Winamp Toolbar Loader"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{280b5d37-4a76-467a-b3d6-942fca90acde}]
@=""
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}]
@="WormRadar.com IESiteBlocker.NavFilter"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
@="Search Helper"
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}]
@="Google Dictionary Compression sdch"
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
@="JQSIEStartDetectorImpl"
"NoExplorer"=dword:00000001

===============
Path : C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\ATI Technologies\ATI Control Panel;C:\Program Files\Samsung\Samsung PC Studio 3\ 
===============
¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : 

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"  
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"  
 
¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes : 

HKCR\EoRezoBHO.EoBho  
HKCR\EoRezoBHO.EoBho.1  
HKCU\SOFTWARE\EoRezo  
"HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}"  
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell  
HKLM\SOFTWARE\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}  
HKLM\SOFTWARE\Classes\AppID\EoRezoBHO.dll  
HKLM\Software\Classes\EoRezoBHO.EoBho  
HKLM\Software\Classes\EoRezoBHO.EoBho.1  
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1  
HKLM\SOFTWARE\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}  
 
¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch : 

ALG.EXE-0F138680.pf
AVGCMGR.EXE-1D29CBA8.pf
AVGNSX.EXE-3B2A5A79.pf
AVGSRMAX.EXE-23586B55.pf
AVGUI.EXE-388E181A.pf
AVGUPD.EXE-388A6FCA.pf
CHCP.COM-18156052.pf
CMD.EXE-087B4001.pf
CNMSE9D.EXE-1F1AF969.pf
CONNECTIVITYMANAGER.EXE-2A95C2B6.pf
CORECOM.EXE-23570F6B.pf
DEFRAG.EXE-273F131E.pf
DESKBOARD.EXE-04D11079.pf
DFRGNTFS.EXE-269967DF.pf
DLLHOST.EXE-40073C2F.pf
FIND.EXE-0EC32F1E.pf
FINDSTR.EXE-0CA6274B.pf
FIXCFG.EXE-293DC071.pf
FTCOMMODULE.EXE-37869B9B.pf
GOOGLETOOLBARNOTIFIER.EXE-3629C61D.pf
GOOGLEUPDATERSERVICE.EXE-3AB369BE.pf
HELPSVC.EXE-2878DDA2.pf
HNMCLIENT.EXE-26D7190A.pf
IEXPLORE.EXE-27122324.pf
INFODISPLAY.EXE-1B37E43A.pf
JAVA.EXE-0C263507.pf
LAUNCHER.EXE-13840303.pf
Layout.ini
LIST_KILLEM.EXE-1ACA1CC2.pf
LIVEBOXUTILITIES.EXE-315831D4.pf
LOGONUI.EXE-0AF22957.pf
MODE.COM-31685BAE.pf
MSCORSVW.EXE-1BF30400.pf
MSIEXEC.EXE-2F8A8CAE.pf
NMINDEXINGSERVICE.EXE-01E84916.pf
NOTEPAD.EXE-336351A9.pf
NTOSBOOT-B00DFAAD.pf
ORACONFIGRECOVER.EXE-1CFB1EA3.pf
OSV.EXE-1A4D2F4B.pf
PV.EXE-02C569DD.pf
REG.EXE-0D2A95F7.pf
REGEDIT.EXE-1B606482.pf
RUNDLL32.EXE-13DA0E71.pf
RUNDLL32.EXE-23B0BDC4.pf
RUNDLL32.EXE-268BFF96.pf
RUNDLL32.EXE-2905E326.pf
RUNDLL32.EXE-321DD1BD.pf
RUNDLL32.EXE-451FC2C0.pf
RUNDLL32.EXE-482EE6C6.pf
RUNDLL32.EXE-4BB0E97B.pf
SC.EXE-012262AF.pf
SETPATH.EXE-38F85A52.pf
SOFFICE.BIN-01E25E9C.pf
SOFFICE.EXE-358D937C.pf
SPLASH.EXE-231C86B0.pf
SSMYPICS.SCR-01C62024.pf
SYSTRAYAPP.EXE-2AA773D0.pf
TOOLBARSD.EXE-054F14C7.pf
VERCLSID.EXE-3667BD89.pf
WLTUSER.EXE-05A5B196.pf
WMIAPSRV.EXE-1E2270A5.pf
WMIPRVSE.EXE-28F301A9.pf
WSCNTFY.EXE-1B24F5EB.pf
WSCRIPT.EXE-32960AB9.pf
WUAUCLT.EXE-399A8E72.pf
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

fred08700 · Answer

je dois partir au boulot

je te lis demain

bonne soirée

pimprenelle27 · Answer

Tu vas me faire ceci de suite : 

* Sous Vista : &#x25B6; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

* Clique sur Démarrer puis sur panneau de configuration
* Double Clique sur l'icône "Comptes d'utilisateurs"
* Clique ensuite sur désactiver et valide.
* Redémarre le PC


&#x25B6; Télécharge et enregistre le fichier d installation sur ton bureau :

  http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

&#x25B6; tutoriel installation

&#x25B6; Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( le bureau )

&#x25B6; Ouvre le dossier Ad-remover présent sur ton bureau

&#x25B6; Double clique sur Ad-remover.bat.

* Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"

&#x25B6; Au menu principal choisi l'option "L" et tape sur [entrée] .

&#x25B6; Laisse travailler l'outil et ne touche à rien ...

&#x25B6; Poste le rapport qui apparait à la fin.

( le rapport est sauvegardé aussi sous C:\Ad-report.log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

fred08700 · Answer

salut et merci
pour info , le lien du tuto ne fonctionne pas.

voici le rapport

.
======= RAPPORT D'AD-REMOVER 1.1.4.5_Y | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 11.10.2009 à 13:06
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 14:46:55, 13/10/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 3 v5.1.2600
Nom du PC: CHRISTOP-43C87E | Utilisateur actuel: christophe
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

HKCU\Software\EoRezo 
HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9} 
HKLM\Software\Classes\AppID\EoRezoBHO.DLL 
HKLM\Software\Classes\EoRezoBHO.EoBho 
HKLM\Software\Classes\EoRezoBHO.EoBho.1 
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1 
HKCU\software\microsoft\internet explorer\searchscopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} 
.
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\cmhost.cyp 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\ConfMedia.cyp 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\db 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\eoDesktop 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\eoStats 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\host.cyp 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\install.exe 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\SoftwareUpdate 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\user.cyp 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\eoDesktop\config.xml 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\eoDesktop\eoDesktop.html 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\eoDesktop\userConfig.xml 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\SoftwareUpdate\Download 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\SoftwareUpdate\help_config.cyp 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\SoftwareUpdate\Software 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\SoftwareUpdate\unins000.dat 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\SoftwareUpdate\unins000.exe 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\SoftwareUpdate\user_config.cyp 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\SoftwareUpdate\user_profil.cyp 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\SoftwareUpdate\Software\itsTV 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.11 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.12 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.12\itstv.exe 
C:\DOCUME~1\CHRIST~1\APPLIC~1\EoRezo 
 
(!) -- Fichiers temporaires supprimés. 
 
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.3 [fr] *
.
 Nom du profil: dmdx02qr.default (christophe)
.
(Prefs.js) user_pref("browser.search.selectedEngine", "alterseek"); 
(Prefs.js) user_pref("browser.startup.homepage", "www.orange.fr"); 
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.1.3"); 
.
(prefs.js) EFFACÉ: user_pref("weboftrust.search.ask.display", "Ask.com Web Search"); 
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials ... ) ==============
.
C:\Documents and Settings\christophe\Favoris\Keygen.in.url
.
===================================
.
3956 Octet(s) - C:\Ad-Report-CLEAN[1].log 
.
2404 Fichier(s) - C:\DOCUME~1\CHRIST~1\LOCALS~1\Temp 
1 Fichier(s) - C:\WINDOWS\Temp 
.
17 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
13 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE 
.
Fin à: 14:50:37 | 13/10/2009 - CLEAN[1]
.
============== E.O.F ==============
.

fred08700 · Answer

re

j'ai désinstalle AVG pour remettre kapersky internet sécurité 2010 , puisqu'il l'avait acheté.

l'analyse complète de kapersky est en route : 37% et déjà 4 chevaux de troies.

je poste le rapport a la suite

fred08700 · Answer

le rapport kapersky

Analyse Complète: terminée :  il y a moins d'une minute   (événements : 11, objets : 221982, durée : 01:00:35)	
13/10/2009 17:03:53	Lancement de la tâche				
13/10/2009 17:06:39	Détectés: Trojan.Win32.Hrup.gen	C:\System Volume Information\_restore{D66F4CA2-B1E1-4213-BD82-838802E0EB85}\RP394\A0131034.exe			
13/10/2009 17:07:04	Supprimés: Trojan.Win32.Hrup.gen	C:\System Volume Information\_restore{D66F4CA2-B1E1-4213-BD82-838802E0EB85}\RP394\A0131034.exe			
13/10/2009 17:07:35	Détectés: Trojan.Win32.Hrup.gen	C:\System Volume Information\_restore{D66F4CA2-B1E1-4213-BD82-838802E0EB85}\RP405\A0141579.exe			
13/10/2009 17:07:35	Supprimés: Trojan.Win32.Hrup.gen	C:\System Volume Information\_restore{D66F4CA2-B1E1-4213-BD82-838802E0EB85}\RP405\A0141579.exe			
13/10/2009 17:07:36	Détectés: Trojan.Win32.Hrup.gen	C:\System Volume Information\_restore{D66F4CA2-B1E1-4213-BD82-838802E0EB85}\RP412\A0143184.exe			
13/10/2009 17:07:37	Supprimés: Trojan.Win32.Hrup.gen	C:\System Volume Information\_restore{D66F4CA2-B1E1-4213-BD82-838802E0EB85}\RP412\A0143184.exe			
13/10/2009 17:08:47	Détectés: Trojan.Win32.Hrup.gen	C:\System Volume Information\_restore{D66F4CA2-B1E1-4213-BD82-838802E0EB85}\RP427\A0150375.exe			
13/10/2009 17:09:01	Supprimés: Trojan.Win32.Hrup.gen	C:\System Volume Information\_restore{D66F4CA2-B1E1-4213-BD82-838802E0EB85}\RP427\A0150375.exe			
13/10/2009 18:04:25	Erreur de traitement	E:\bonsai\saison entretien\ete.htm	Erreur de lecture		
13/10/2009 18:04:28	Fin de la tâche				
Recherche d'outils de dissimulation d'activité: terminée :  il y a 43 minutes   (événements : 2, objets : 489, durée : 00:01:06)	
13/10/2009 17:21:19	Fin de la tâche				
13/10/2009 17:20:13	Lancement de la tâche

fred08700 · Answer

pareil que hier et comme demain , je pars au boulot

a demain

pimprenelle27 · Answer

OK le pc ne rame pas avec kaspersky internet sécuritty? Pense à désactiver le perefeu windows?

Ensuite kaspersky a-til supprimé tout les virus trouvé qui sont pour la plupart dans la restauration du system, à part celui ci qui n'as pas marché : 13/10/2009 18:04:25 Erreur de traitement E:\bonsai\saison entretien\ete.htm Erreur de lecture

fred08700 · Answer

salut

le pare-feu est desactivé .
Les troies chevaux de troies sont supprimés (rien avec une analyse rapide de kapersky)

Erreur de traitement E:\bonsai\saison entretien\ete.htm Erreur de lecture  : c'est un lien que j'ai sur une de mes clef usb.

Et maintenant ?

pimprenelle27 · Answer

Me faire ceci pour un examen de ton PC.

&#x25B6; Télécharge Random's System Information Tool (RSIT).

&#x25B6; Un tutoriel est  à ta disposition pour l'installer et l'utiliser correctement ici

&#x25B6; Double clique sur RSIT.exe pour lancer l'outil.

&#x25B6; Clique sur 'Continue' à l'écran Disclaimer.

&#x25B6; Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

&#x25B6; Une fois le scan fini , 2 rapports vont apparaitre. &#x25B6; Héberge le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller


Petite chose à faire pour les rapports générés par RSIT avant de continuer

&#x25B6; Vous devez fusionner les deux rapports.
&#x25B6; C'est-à-dire, copier/coller le contenu du rapport info.txt à la suite du rapport log.txt  dans un bloc note pour ne faire qu'un seul rapport.
&#x25B6; Ensuite enregistrer le rapport log.txt.

 Ensuite : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir, chercher le rapport log.txt puis cliquez sur ici pour déposer le fichier

&#x25B6; Une fois le lien crée en dessous de c'est ce même lien que vous devrez transmettre à vos correspondants, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

fred08700 · Answer

re

voici les rapports RSIT

http://www.cijoint.fr/cjlink.php?file=cj200910/cijuZrNusM.txt

pimprenelle27 · Answer

Nettoyage :


! Déconnecte toi ferme toutes tes applications en cours !

    * Redémarrer ton PC en mode sans échec manuellement 
    * Tapez sur la touche F8 avant de voir apparaître la barre de progression, avant l'écran de logo Windows
    * Sélectionnez alors le mode sans échec sans prise en charge réseau et appuyez sur la touche entrée de votre clavier.



&#9654; Double-clic sur l'icône présente sur le bureau pour lancer List&Kill'em (sous vista : clic droit > "Exécuter en tant qu'administrateur").

&#9654; Choisis la langue souhaitée et valide par "entrée".

&#9654; Choisis cette fois ci l'option 2 : Mode Destruction

&#9654; Laisse travailler l'outil.

&#9654; Une fois Terminé , poste le contenu du 2éme rapport qui s'ouvre dans ta prochaine réponse.

Note: le Rapport sur trouve en outre a cet emplacement: C:\Kill'em.txt

fred08700 · Answer

voici le rapport kill'em

Kill'em by g3n-h@ckm@n 1.0.4.2 

updated on 09.10.2009 ::::: 14.30 

Windows_NT 

Microsoft Windows XP [version 5.1.2600]
 

14/10/2009    13:54:40,59 

Fichiers analysés : 
================= 
 

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : 

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"  
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"  
"C:\WINDOWS\system32	mp.reg"  
 
 
¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers : 
  
Quarantaine : 

qmgr0.dat.Kill'em
qmgr1.dat.Kill'em
tmp.reg.Kill'em

¤¤¤¤¤¤¤¤¤¤ Verification : 
 

===============
Path : C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\ATI Technologies\ATI Control Panel;C:\Program Files\Samsung\Samsung PC Studio 3\ 
===============
¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : 

 
¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes : 

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell  
 
¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch : 

Layout.ini
NTOSBOOT-B00DFAAD.pf
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

pimprenelle27 · Answer

Regarde si dans ajout et suppression de programme, tu as BoontyGames

fred08700 · Answer

pas de BoontyGames dans ajout et suppression.

Mais le résultat de recherche me le trouve dans c:/ Program Files

pimprenelle27 · Answer

Supprimer Boonty.exe

Bouton Démarrer => Exécuter... => Ecrire : services.msc

Rechercher dans le panneau qui s’ouvre : Boonty Games

Double-clic dessus => Type de démarrage : Désactivé => en dessous Arrêter et OK

Supprimer BOONTY Shared qui se trouve dans C:\Program Files\Fichiers communs\

Si vous avez un message d'erreur à cause du processus actif, le refaire en mode sans échec.

fred08700 · Answer

ok

service désactivé et fichiers supprimés

je suis en train de lancer une analyse avec A-SQURED anti-malware.

on fait quoi maintenant ?

pimprenelle27 · Answer

non supprime dans ajout et suppression de programme A-SQURED anti-malware, maintenant qu'il y a kaspsersky, ça sert à rien et en plus celui ci n'est pas top. je préfère qu'après avoir supprimé a-squared tu installe celui ci : 

&#x25B6; Télécharge malwarebyte's anti-malware

&#x25B6; Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
 
&#x25B6; Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

&#x25B6; Lance une analyse complète en cliquant sur "Exécuter un examen complet"

&#x25B6; Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

&#x25B6; L'analyse peut durer un bon moment.....

&#x25B6; Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

&#x25B6; Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

&#x25B6; Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

fred08700 · Answer

ok

j'ai déja MBAM sur le PC

a-squared diagnostique : Trojan-Downloader.JS.Iframe.ry!A2

dans: C:\WINDOWS\system32\Drivers\cdaudio.sys

je stoppe tout ou je le laisse finir son scan ?
 
ps : le rapport a-squared

Version - a-squared Anti-Malware 4.5
Dernière mise à jour : 14/10/2009 16:41:34

Paramètres des balayages :

Type de balayage : Scan Intelligent
Objets : Mémoire, Traces, Cookies, C:\WINDOWS\, C:\Program Files
Balayage dans les archives : Marche
Analyse heuristique : Arrêt
Balayage dans les ADS : Marche

Début du balayage :	14/10/2009 17:06:01

C:\WINDOWS\system32\drivers\cdaudio.sys 	Objets détectés : Trojan-Downloader.JS.Iframe.ry!A2

Analysé

Fichiers : 	150963
Traces : 	634411
Cookies : 	20
Processus : 	33

Objets trouvés

Fichiers : 	1
Traces : 	0
Cookies : 	0
Processus : 	0
Clés de Registre : 	0

Fin du balayage :	14/10/2009 17:37:54
Temps du balayage :	0:31:53

C:\WINDOWS\system32\drivers\cdaudio.sys	En Quarantaine Trojan-Downloader.JS.Iframe.ry!A2

En Quarantaine

Fichiers : 	1
Traces : 	0
Cookies : 	0

pimprenelle27 · Answer

bon ba fini mais tu supprimera ce logiciel ensuite.

fred08700 · Answer

le rapport MBAM

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2961
Windows 5.1.2600 Service Pack 3

14/10/2009 18:39:24
mbam-log-2009-10-14 (18-39-24).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 150962
Temps écoulé: 34 minute(s), 24 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

fred08700 · Answer

re

jai passé virustotal sur le fichier trouvé par A-Squared , voici le résultat

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.10.14 Trojan-Downloader.JS.Iframe.ry!A2
AhnLab-V3 5.0.0.2 2009.10.13 -
AntiVir 7.9.1.35 2009.10.14 -
Antiy-AVL 2.0.3.7 2009.10.14 -
Authentium 5.1.2.4 2009.10.14 -
Avast 4.8.1351.0 2009.10.13 -
AVG 8.5.0.420 2009.10.14 -
BitDefender 7.2 2009.10.14 -
CAT-QuickHeal 10.00 2009.10.14 -
ClamAV 0.94.1 2009.10.14 -
Comodo 2599 2009.10.13 -
DrWeb 5.0.0.12182 2009.10.14 -
eSafe 7.0.17.0 2009.10.14 Win32.Banker
eTrust-Vet 35.1.7067 2009.10.14 -
F-Prot 4.5.1.85 2009.10.14 -
F-Secure 8.0.14470.0 2009.10.14 -
Fortinet 3.120.0.0 2009.10.14 -
GData 19 2009.10.14 -
Ikarus T3.1.1.72.0 2009.10.14 -
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.870 2009.10.14 -
Kaspersky 7.0.0.125 2009.10.14 -
McAfee 5770 2009.10.13 -
McAfee+Artemis 5770 2009.10.13 -
McAfee-GW-Edition 6.8.5 2009.10.14 -
Microsoft 1.5101 2009.10.14 -
NOD32 4507 2009.10.14 -
Norman 6.01.09 2009.10.14 -
nProtect 2009.1.8.0 2009.10.14 -
Panda 10.0.2.2 2009.10.14 -
PCTools 4.4.2.0 2009.10.14 -
Prevx 3.0 2009.10.14 -
Rising 21.51.24.00 2009.10.14 -
Sophos 4.46.0 2009.10.14 -
Sunbelt 3.2.1858.2 2009.10.14 -
Symantec 1.4.4.12 2009.10.14 -
TheHacker 6.5.0.2.041 2009.10.14 -
TrendMicro 8.950.0.1094 2009.10.14 -
VBA32 3.12.10.11 2009.10.14 -
ViRobot 2009.10.14.1984 2009.10.14 -
VirusBuster 4.6.5.0 2009.10.14 -
Information additionnelle
File size: 18688 bytes
MD5...: c1b486a7658353d33a10cc15211a873b
SHA1..: 76094c8e69f435e218a751ec6bde89f3d861f477
SHA256: aa4dd9e7aae5aab1146b360b17001f975d2f29a1281cf7b13e7136480410f347
ssdeep: 384:ruD7sZOK/YLdW95rjCPs1khmDIHTTSwBWTgwW:Oq/ePs1kHzTSwS
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4000
timedatestamp.....: 0x3b7d840a (Fri Aug 17 20:52:26 2001)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0xb87 0xc00 6.22 79f862e39efda6f387eaa98d6f91017f
.rdata 0xf00 0xa0 0x100 2.69 ba72c8bd86767e4d0cb57337265f18a8
PAGECDNC 0x1000 0x153a 0x1580 6.42 7d0d84f5cdac7334b8be4d257b38664b
PAGECDOT 0x2580 0x1a01 0x1a80 6.41 1f3242a3a13a8e6fd232ba8fdf7ac251
INIT 0x4000 0x2b2 0x300 5.01 81ee96a8feddf761737efd8717fe6a62
.rsrc 0x4300 0x3f0 0x400 3.33 389ca3c0de76854c5ed07faeee8cfd44
.reloc 0x4700 0x1dc 0x200 5.55 3eff2beb322e9d0cb2175ee58a54f0df

( 1 imports )
> ntoskrnl.exe: KeWaitForSingleObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, KeSetEvent, RtlCompareMemory, ExFreePoolWithTag, ExAllocatePoolWithTag, IofCompleteRequest, IoSetHardErrorOrVerifyDevice, KeDelayExecutionThread, PoCallDriver, PoStartNextPowerIrp, IoDeleteDevice, IoAttachDeviceToDeviceStack, IoCreateDevice, MmLockPagableDataSection, ZwClose, RtlQueryRegistryValues, IoOpenDeviceRegistryKey, RtlWriteRegistryValue

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: CD-ROM Audio Filter Driver
original name: cdaudio.sys
internal name: cdaudio.sys
file version.: 5.1.2600.0 (XPClient.010817-1148)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=c1b486a7658353d33a10cc15211a873b' target='_blank'>https://www.symantec.com?md5=c1b486a7658353d33a10cc15211a873b</a>

ATENTION ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.

pimprenelle27 · Answer

Vide la quarantaine de malware. Et donc le rapport Asquared il est où tu as pu supprimer ce qu'il avait trouvé?

fred08700 · Answer

salut  Pimprenelle

quarantaine vidée et le nouveau scan de a-squared est nikel . (donc soit le fichier a été viré ou soit un faux positif).
J'ai désinstallé A-squared et je te poste un new RSIT

http://www.cijoint.fr/cjlink.php?file=cj200910/cijUl6LDJN.txt

pimprenelle27 · Answer

&#x25B6; Télécharge Dr.Web CureIt! sur ton Bureau :



&#x25B6; Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan.
 
&#x25B6; Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite.

&#x25B6; Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration.

&#x25B6; Choisissez l'onglet Scanner, et décochez Analyse heuristique.

&#x25B6; De retour à la fenêtre principale : choisissez Analyse complète.

&#x25B6; Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la.

&#x25B6; Cliquez Oui pour Tout si un fichier est détecté.

&#x25B6; A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine.

&#x25B6; Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport.

&#x25B6; Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.

&#x25B6; Fermez Dr.Web CureIt!

&#x25B6; Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.


&#x25B6; Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note

 Ensuite : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir, chercher rapport DrWeb.txt  puis sur  cliquez ici pour déposer le fichier

&#x25B6; Une fois le lien crée en, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

fred08700 · Answer

re



voici le rapport , "ne tient pas compte de ce qu'il y a dans E , c'est ma clef" , autrement RAS
sur le PC

SmitfraudFix.exe\SmitfraudFix\Process.exe;E:\DESINFECTION\SmitfraudFix.exe;Tool.Prockill;;
SmitfraudFix.exe\SmitfraudFix\restart.exe;E:\DESINFECTION\SmitfraudFix.exe;Tool.ShutDown.14;;
SmitfraudFix.exe;E:\DESINFECTION;L'archive contient des éléments infectés;Quarantaine.;
UsbFix.exe\Tools\Kill_P.exe;E:\DESINFECTION\UsbFix.exe;Tool.Prockill;;
UsbFix.exe;E:\DESINFECTION;L'archive contient des éléments infectés;Quarantaine.;
AD-R.exe\data017;E:\DESINFECTION\AD-R.exe;Tool.Prockill;;
AD-R.exe;E:\DESINFECTION;L'archive contient des éléments infectés;Quarantaine.;
Process.exe;E:\DESINFECTION\SDFix\SDFix\apps;Tool.Prockill;Irréparable.Quarantaine.;
Process.exe;E:\DESINFECTION\SmitfraudFix;Tool.Prockill;Irréparable.Quarantaine.;
restart.exe;E:\DESINFECTION\SmitfraudFix;Tool.ShutDown.14;Irréparable.Quarantaine.;

pimprenelle27 · Answer

Parfais. une dernière vérif : 

Télécharge List&Kill'em (par Gen-Hackman) et enregistre l'exécutable sur ton bureau.

! Désactive ton antivirus le temps de la manip ainsi que ton Pare-feu si présent !

! Déconnecte toi ferme toutes tes applications en cours !

&#9654; Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "exécuter en tant qu'administrateur").

&#9654; Choisis la langue souhaitée et valide par "entrée".

&#9654; Au second menu choisis l'option 1 : Mode Recherche

&#9654; Laisse travailler l'outil.

&#9654; Une fois le scan Terminé ,un rapport s'ouvre .

 Ensuite héberger le rapport : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir,  chercher le rapport .txt puis cliquez sur  ici pour déposer le fichier

&#x25B6; Une fois le lien crée en dessous, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

fred08700 · Answer

merci

voici le rapport

http://www.cijoint.fr/cjlink.php?file=cj200910/cijOOUeqPH.txt

fred08700 · Answer

DESOLE

Prends plutot ce rapport

http://www.cijoint.fr/cjlink.php?file=cj200910/cijyB08Kyq.txt

pimprenelle27 · Answer

Nettoyage :


! Déconnecte toi ferme toutes tes applications en cours !

    * Redémarrer ton PC en mode sans échec manuellement 
    * Tapez sur la touche F8 avant de voir apparaître la barre de progression, avant l'écran de logo Windows
    * Sélectionnez alors le mode sans échec sans prise en charge réseau et appuyez sur la touche entrée de votre clavier.



&#9654; Double-clic sur l'icône présente sur le bureau pour lancer List&Kill'em (sous vista : clic droit > "Exécuter en tant qu'administrateur").

&#9654; Choisis la langue souhaitée et valide par "entrée".

&#9654; Choisis cette fois ci l'option 2 : Mode Destruction

&#9654; Laisse travailler l'outil.

&#9654; Une fois Terminé , poste le contenu du 2éme rapport qui s'ouvre dans ta prochaine réponse.

Note: le Rapport sur trouve en outre a cet emplacement: C:\Kill'em.txt

fred08700 · Answer

bonjour

voici le rapport Kill'em

Kill'em by g3n-h@ckm@n 1.0.4.2 

updated on 09.10.2009 ::::: 14.30 

Windows_NT 

Microsoft Windows XP [version 5.1.2600]
 

16/10/2009     7:39:46,50 

Fichiers analysés : 
================= 
 

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : 

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"  
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"  
 
 
¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers : 
  
Quarantaine : 

qmgr0.dat.Kill'em
qmgr1.dat.Kill'em

¤¤¤¤¤¤¤¤¤¤ Verification : 
 

===============
Path : C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\ATI Technologies\ATI Control Panel;C:\Program Files\Samsung\Samsung PC Studio 3\ 
===============
¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : 

 
¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes : 

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell  
 
¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch : 

NTOSBOOT-B00DFAAD.pf
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

pimprenelle27 · Answer

Parfais un dernier RSIT.

fred08700 · Answer

re

le voici

http://www.cijoint.fr/cjlink.php?file=cj200910/cijfyC8gt0.txt

pimprenelle27 · Answer

Pourrais tu aller juste me supprimer ça tmp.txt dans system 32 : C:\WINDOWS\system32	mp.txt

fred08700 · Answer

ok , c'est fait

pour info , c'est quoi , car j'ai ouvert , il n'y avait rien dans ce bloc note ?

pimprenelle27 · Answer

c'est créé pour rien.

On peut passer au nettoyage et mise à jour de l’ordinateur :


Lance Hijackthis , (= C:\Program Files\Trend Micro\HijackThis\christophe.exe ) , ensuite clique sur do a system scan only puis tu sélectionne les lignes suivante ,

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game14.zylom.com/activex/zylomgamesplayer.cab

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"    => Cyberlynk®PowerDVD
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')    => Microsoft®Windows NT
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')    => Microsoft®Windows NT
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')    => Microsoft®Windows NT
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')    => Microsoft®Windows NT



Tu cliques en bas sur le bouton FIX CHECKED et valides .



Redémarres l'ordi . ( important pour que certaines modifs faites avec hijakthis soient prises en compte )

Ensuite supprimer ceci : C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe 


Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : 

&#x25B6; Télécharge Toolscleaner sur ton Bureau 

&#x25B6; Sous XP : Double-clique sur ToolsCleaner2.exe
&#x25B6; Clique sur Recherche et laisse le scan se terminer.
&#x25B6; Clique sur Suppression pour finaliser.
&#x25B6; Tu peux, si tu le souhaites, te servir des Options facultatives.
&#x25B6; Clique sur Quitter, pour que le rapport puisse se créer.
&#x25B6; Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse


Pour mettre à jour les logiciels sur ton PC : 

 Les Mises A Jour sont très importantes pour votre PC,  afin d'éviter certaines failles de sécurité

Voici un excellent petit logiciel très utile qui te permettra de savoir les nouvelles mises à jour disponibles pour les différents logiciels installés sur ton PC :

&#x25B6; Télécharge Update Checker

&#x25B6; Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.

&#x25B6; Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.

&#x25B6; Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.

&#x25B6; Un conseil : n'installe pas les BETA qui sont listées en dessous.

&#x25B6; Tu installes les mises à jour que tu désires, les plus importantes sont :

&#9679; Java

&#9679; Adobe Reader

&#9679; Adobe Flash Player

&#9679; Navigateur Internet

(attention certain logiciels mis en lien pour les mises à jour peuvent être en anglais, rechercher celui en français)


Voici un tuto


Enfin un petit nettoyage de l'ordi  :


Télécharge Ccleaner

Tutoriel pour l'installer et l'utiliser correctement CCleaner

Fais le nettoyage et recherche les erreurs du registre comme expliqué en bas du tutoriel.


Enfin Purge de la restauration système : 


Désactivation de la restauration :


&#x25B6; Cliquez droit sur poste de travail
&#x25B6; Ensuite aller sur propriétés
&#x25B6; Puis restauration système
&#x25B6; Et cochez la case désactiver la restauration
&#x25B6; Cliquez ensuite sur appliquez, puis OK
&#x25B6; Et redémarrez votre PC



Réactivation de la restauration :


&#x25B6; Cliquez droit sur poste de travail
&#x25B6; Ensuite aller sur propriétés
&#x25B6; Puis restauration système
&#x25B6; Et décochez la case désactiver la restauration
&#x25B6; Cliquez ensuite sur appliquez, puis OK
&#x25B6; Et redémarrez votre PC


Et ensuite création d'un nouveau point de restauration comme ce qui suit : 


&#x25B6; Allez dans le Menu Démarrer
&#x25B6; Puis dans Programmes
&#x25B6; Ensuite dans Accessoires
&#x25B6; Et enfin dans Outils système
&#x25B6; Choisir Restauration du système
&#x25B6; Sélectionnez créer un point de restauration
&#x25B6; Cliquez sur Suivant
&#x25B6; Entrez un nom pour le point de restauration
&#x25B6; Cliquez sur créer et le point de restauration se créé automatiquement.


Enfin vous devez garder les logiciels suivant qui ont été téléchargés pour la désinfection  et le nettoyage:: 


&#x25B6; Ccleaner à garder absolument et faire le nettoyage souvent

&#x25B6; Malware à garder absolument (faire scan de temps en temps)

&#x25B6; Update checker à garder absolument et faire un scan pour vérifier les mises à jour disponible

Les autres sont à supprimer, dans ajout et suppression de programmes pour certains et pour d'autres manuellement 


Pour finir, penser à faire après tout ça, une défragmentation du  PC afin de regrouper les fragments de fichiers éparpillés sur le disque pour optimiser les temps d'accès du disque dur lors de la lecture de fichiers de taille importante.

Voici la procédure : 

Méthode 1 : 

Ainsi pour défragmenter de manière optimale, il est fortement recommandé de démarrer Windows en mode sans échec, puis de lancer la défragmentation !

Pour lancer la défragmentation : 

&#x25B6; Pour Windows XP et pour les autres versions, la procédure est quasiment la même

&#x25B6; Double-cliquez sur Poste de Travail, clic droit sur le disque à défragmenter puis sur Propriétés.

&#x25B6; Choisissez l'onglet Outils puis cliquez sur Défragmenter maintenant


Méthode 2 :

Aussi pour défragmenter le disque dur (plus efficace que l'utilitaire de défragmentation de Windows).

Télacharge MyDefrag

Voir le tuto pour bien l'installer et l'utiliser



Si vous ne trouvé pas  Hijackthis, téléchargez le fichier d'installation d'HijackThis. 

Tutoriaux Hijackthis

fred08700 · Answer

voici le rapport toolscleaner 

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\christophe\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\christophe\DoctorWeb\Quarantine\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\christophe\DoctorWeb\Quarantine\Ad-R.exe: trouvé !
C:\Documents and Settings\christophe\DoctorWeb\Quarantine\UsbFix.exe: trouvé !
C:\Documents and Settings\christophe\Mes documents\Téléchargements\Rsit.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\christophe\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\christophe\DoctorWeb\Quarantine\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\christophe\DoctorWeb\Quarantine\Ad-R.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Documents and Settings\christophe\DoctorWeb\Quarantine\UsbFix.exe: supprimé !
C:\Documents and Settings\christophe\Mes documents\Téléchargements\Rsit.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

                              ============================================

_ +1 pour Update cheker , je ne connaissais pas

_ pas de probleme pour MBAM et ccleaner

_ le reste , comme Kill'em a été supprimé manuellement

_ une petite question : pour analyser hijackthis , j'utilise "help2go" ou "HijackThis Logfileauswertung".
existe-t-il un équivalent pour RSIT ?

                               ============================================

En tout cas , un GRAND MERCI à toi pour ta gentillesse et ta disponibilité et surtout tes connaissances.
encore merci et bonne continuation .

PS: change ta signature , vu ce que tu fais , tu n'es plus en formation

pimprenelle27 · Answer

si sis j'y suis encore en formation désolé, je ne peux pac changer comme ça, mais ça va bientôt changer.


sinon comment va le pc?


Après je ne te conseil pas d'analyser toi même ton pc avec des robots de ce genre surtout si tu n'as pas un minimum de connaissance sur les virus et autres.

fred08700 · Answer

bonjour
le PC va très bien et je lui rends ce soir . Merci à toi.

Quant à hijackthis , je ne fais que des analyses , je ne fixe rien (ou seulement ce dont je suis sur à 100%) et ce , que sur mon pc . Pas d'inquiétude.

Je me répète  mais mille merci pour ton aide .

Serait-ce possible de mettre ce topic sur résolu , merci

pimprenelle27 · Answer

oui tu en fait la demande avec le triangle jaune.

Et merci vraiment beaucoup pour ces compliments.

Reboot pendant l analyse de kaspersky

59 réponses

Votre réponse

Discussions similaires

Newsletters