Trojan Win32 Cutwail-Y HELP !! Résolu/Fermé

Question

Bonjour, depuis hier mon antivirus Avast s'affole en m'affichant que je suis infecté pas Cutwail. J'ai beau faire supprimez mais rien n'y fait...

Se matin en allumant l'ordi, Un ecran bleu c'est affiché me disant de redémarré l'ordi mais l'ecran bleu réaparéssé a chaque fois. Finalement j'ai reussi a etre sur windows et Avast a recommencé de plus belle.

Merci de votre aide !

sKe69 · Accepted Answer

Salut,


très infecté !


/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .




1- Désactiver le redémarrage automatique :

A) Aller dans le menu "Démarrer"/"Panneau de configuration", puis "Performances et maintenance" et enfin "Système" .
Ou bien en faisant un clic-droit sur "Poste de travail" ( sur "ordinateur" pour Vista ) et en sélectionnant "Propriétés" .
 
B) Cliquez sur l'onglet "Avancé" ( pour Vista , cliquer dans "tâche" sur "paramètre systeme avancés" )
C) Ensuite , dans le 3eme paragraphe "Démarrage et récupération" , cliquer sur "paramètre" .
D) Dans le paragraphe "Défaillance du système" : décocher "Redémarrer automatiquement" .

puis cliquer sur "Ok" , "appliquer" et encore "Ok" pour valider la modif . 

Conseil : laisse ces paramètres par la suite ...


==========================

2- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !! 

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) . 

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

Rodo-15 · Answer

http://www.cijoint.fr/cjlink.php?file=cj200911/cijdrNKGqr.txt

sKe69 · Answer

re,


plusieurs infections ! ...


et le pire c'est que ton disque C est plein !!! ... 0% d'espace libre ... normal que ton systeme plante grave ...

fait de la place de suite , c'est IMPERATIF ! sinon on risque d'avoire du mal à utiliser les outils de désinfection ...


une fois la place faite , fait ce qui suit dans l'ordre :



1- Lance de nouveau ZHPDiag,

!! déconnecte toi et ferme toutes tes applications en cours !! 

* Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

> tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.


Laisse travailler l'outil et ne touche à rien ( cela peut-être relativement long ) .


* Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ... 

Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

* Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...


=========================

2- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal ( qui est vierge ),  copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

> https://www.cjoint.com/?lvmsy0GTto


Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien ! 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
 
 Pense à réactiver tes défenses !... 


==========================

3- Refais un scan ZHPDiag( 'normal' ), coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Rodo-15 · Answer

lorsque je fais l'analyse MD5 il y a un message d'erreur qui dit " Violation d'accés à l'adresse 00403D08 dans le module ZHPDiag.exe lecture de l'adresse FF000CBE"

sKe69 · Answer

salut,

c'est un bug de l'outil ...

regarde dans ce dossier , il y a peut-être le rapport > C:\Program files\ZHPDiag 




Fais la suite stp ...

Rodo-15 · Answer

ZHPFix v1.12.22  by Nicolas Coolman - Rapport de suppression du 22/11/2009 12:18:59
Fichier Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
C:\WINDOWS\system32\photo_id.exe  => Supprimé et mis en quarantaine

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
O4 - HKLM\..\Run: [photo_id] C:\WINDOWS\system32\photo_id.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [photo_id] D:\Documents and Settings\Rodo.1041425703126\photo_id.exe  => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "D:\Documents and Settings\Rodo.1041425703126\Local Settings\Temp\Rar$DI00.516\photo1226.jpeg-www.myspac  => Valeur absente

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\windows\system32\photo_id.exe  => Fichier absent
d:\documents and settings\rodo.1041425703126\photo_id.exe  => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 3
Elément de données du Registre : 0
Dossier : 0
Fichier : 2
Logiciel : 0
Autre : 0


End of the scan




http://www.cijoint.fr/cjlink.php?file=cj200911/cij8iEGAWq.txt

sKe69 · Answer

impec...


on continue .... dans l'ordre :


1- Télécharge et installe la dernière version de CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 



===========================

2- Infecté par Navipromo .

-------------------------------------

Pour info,
Les programmes suivants installent cette infection : 
- Funky Emoticons 
- Games-Attack
- Original-Solitaire  
- Go-Astro 
- GoRecord 
- HotTVPlayer 
- Live-Player 
- MailSkinner 
- Messenger Skinner 
- Instant Access 
- InternetGameBox 
- Sudoplanet 
- WebMediaPlayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/

---------------------------------------

Télécharge Navilog1 sur ton bureau : 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!
  
Ensuite double clique sur navilog1.exe pour lancer l'outil . 

Laisse-toi guider. Au menu principal, choisis 1 et valide . 
(ne fais pas le choix 2 notre avis/accord) .

Patiente le temps du scan ...

> Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) :
laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuellement (c'est important !) .

Note : 
Si l'outil de demande d'effectuer la manipe en mode sans echec, fais le (  /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ).
 

Patiente jusqu'au message : 
*** Scan Terminé le ..... *** 

Appuie sur une touche comme demandé, le bloc-note va s'ouvrir. 
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite . 

(Le rapport est en outre sauvegardé à la racine du disque "C\:cleanavi.txt" ) 


============================

3- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

Rodo-15 · Answer

Fix Navipromo version 4.0.5 commencé le 23/11/2009 18:08:21,87

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 10.11.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free :               Intel(R) Pentium(R) 4 CPU 2.93GHz )
BIOS : Award Medallion BIOS v6.00PG
USER : Rodo ( Administrator )
BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1335 [VPS 091123-1] 4.8.1335 (Activated)


C:\ (Local Disk) - NTFS - Total:29 Go (Free:8 Go)
D:\ (Local Disk) - NTFS - Total:150 Go (Free:101 Go)
E:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)


Recherche executée en mode normal 

Nettoyage exécuté au redémarrage de l'ordinateur


C:\Program Files\Live-Player supprimé !
D:\Documents and Settings\Rodo.1041425703126\applic~1\Live-Player supprimé !


Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu D:\Documents and Settings\Rodo.1041425703126\locals~1\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !



*** Scan terminé 23/11/2009 18:12:59,15 ***

############################# | UsbFix V6.056 |

User : Rodo (Administrateurs) # 1041425703126
Update on 23/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 18:26:05 | 23/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 2.93GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1335 [VPS 091123-1] 4.8.1335 [ Enabled | Updated ]

C:\ -> Disque fixe local # 29,99 Go (8,21 Go free) [HDD] # NTFS
D:\ -> Disque fixe local # 150,3 Go (101,38 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 504
C:\WINDOWS\system32\csrss.exe 732
C:\WINDOWS\SYSTEM32\winlogon.exe 760
C:\WINDOWS\system32\services.exe 804
C:\WINDOWS\system32\lsass.exe 816
C:\WINDOWS\system32\svchost.exe 972
C:\WINDOWS\system32\svchost.exe 1024
C:\WINDOWS\System32\svchost.exe 1064
C:\WINDOWS\system32\svchost.exe 1120
C:\WINDOWS\system32\svchost.exe 1272
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1472
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1520
C:\WINDOWS\system32\spoolsv.exe 1828
C:\WINDOWS\system32\svchost.exe 1896
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe 1996
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 2008
C:\Program Files\Bonjour\mDNSResponder.exe 128
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe 160
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe 180
C:\WINDOWS\System32\svchost.exe 192
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe 204
c:\APPS\HIDSERVICE\HIDSERVICE.exe 224
C:\Program Files\Java\jre6\bin\jqs.exe 336
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 488
C:\WINDOWS\system32\svchost.exe 588
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe 608
C:\WINDOWS\system32\wdfmgr.exe 628
c:\APPS\Powercinema\Kernel\TV\CLSched.exe 676
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 1420
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 1436
C:\WINDOWS\System32\alg.exe 1632
C:\WINDOWS\Explorer.EXE 2692
C:\WINDOWS\System32\svchost.exe 2920
C:\WINDOWS
otepad.exe 2144
C:\WINDOWS\SOUNDMAN.EXE 1268
C:\WINDOWS\ALCWZRD.EXE 2828
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe 2844
C:\Apps\Powercinema\PCMService.exe 2852
C:\apps\ABoard\ABoard.exe 2860
C:\Program Files\Winamp\winampa.exe 2868
C:\apps\ABoard\AOSD.exe 2876
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe 3016
C:\Program Files\Labtec\WebCam10\WebCam10.exe 3004
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 2528
C:\Program Files\Java\jre6\bin\jusched.exe 3104
C:\Program Files\QuickTime\QTTask.exe 3160
C:\Program Files\iTunes\iTunesHelper.exe 3208
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe 3280
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe 3352
C:\WINDOWS\system32\ctfmon.exe 3408
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE 3480
D:\Documents and Settings\Rodo.1041425703126\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe 3496
D:\Documents and Settings\Rodo.1041425703126\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe 1084
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe 3656
C:\Program Files\iPod\bin\iPodService.exe 1052
C:\Program Files\iTunes\iTunes.exe 1648
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceHelper.exe 3784
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\distnoted.exe 2232
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\SyncServer.exe 1080
C:\Program Files\Windows Live\Contacts\wlcomm.exe 4072
C:\Program Files\Java\jre6\bin\jucheck.exe 5360
C:\Program Files\Mozilla Firefox\firefox.exe 5744
C:\WINDOWS\system32\wbem\wmiprvse.exe 6036

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{1c9d11d1-8659-11dd-a835-001970077999}
Shell\AutoRun\command =J:\start.exe 
Shell\FramaKey\command =J:\start.exe 

HKCU\..\..\Explorer\MountPoints2\{5a8c7e44-7b74-11dd-a819-00038a000015}
Shell\Auto\command =J:\kkk.exe 
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL kkk.exe

HKCU\..\..\Explorer\MountPoints2\{e0eb8ea4-84d7-11de-942e-001970077999}
Shell\AutoRun\command =J:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{e1aaa622-b304-11dd-a89e-001970077999}
Shell\AutoRun\command =J:\start.exe 
Shell\FramaKey\command =J:\start.exe 

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.056 ! |

sKe69 · Answer

Salut,


la suite :


1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé,  poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\ 


======================


2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Rodo-15 · Answer

User : Rodo (Administrateurs) # 1041425703126
Update on 23/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 19:32:56 | 23/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 2.93GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1335 [VPS 091123-1] 4.8.1335 [ Enabled | Updated ]

C:\ -> Disque fixe local # 29,99 Go (8,2 Go free) [HDD] # NTFS
D:\ -> Disque fixe local # 150,3 Go (101,35 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 504
C:\WINDOWS\system32\csrss.exe 732
C:\WINDOWS\SYSTEM32\winlogon.exe 760
C:\WINDOWS\system32\services.exe 804
C:\WINDOWS\system32\lsass.exe 816
C:\WINDOWS\system32\svchost.exe 976
C:\WINDOWS\system32\svchost.exe 1024
C:\WINDOWS\System32\svchost.exe 1060
C:\WINDOWS\system32\svchost.exe 1128
C:\WINDOWS\SYSTEM32\logonui.exe 1148
C:\WINDOWS\system32\svchost.exe 1232
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1472
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1528
C:\WINDOWS\system32\spoolsv.exe 1812
C:\WINDOWS\system32\svchost.exe 1888
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe 1920
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1932
C:\Program Files\Bonjour\mDNSResponder.exe 1980
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe 2000
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe 2024
C:\WINDOWS\System32\svchost.exe 132
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe 152
c:\APPS\HIDSERVICE\HIDSERVICE.exe 188
C:\Program Files\Java\jre6\bin\jqs.exe 344
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 564
C:\WINDOWS\system32\svchost.exe 616
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe 632
C:\WINDOWS\system32\wdfmgr.exe 664
c:\APPS\Powercinema\Kernel\TV\CLSched.exe 728
C:\WINDOWS\system32\wuauclt.exe 1312
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 1452
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 1268
C:\WINDOWS\System32\alg.exe 2088
C:\WINDOWS\System32\svchost.exe 2556
C:\WINDOWS\system32\userinit.exe 2924
C:\WINDOWS\Explorer.EXE 3024
C:\WINDOWS\system32\wbem\wmiprvse.exe 3676

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{1c9d11d1-8659-11dd-a835-001970077999}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{5a8c7e44-7b74-11dd-a819-00038a000015}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{e0eb8ea4-84d7-11de-942e-001970077999}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{e1aaa622-b304-11dd-a89e-001970077999}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[09/11/2009 19:48|--a------|608256] C:\blackra1n.exe 
[04/10/2005 12:14|-rahs----|215] C:\BOOT.BAK 
[17/11/2008 18:58|-rahs----|296] C:\boot.ini 
[05/08/2004 13:00|-rahs----|4952] C:\Bootfont.bin 
[23/11/2009 18:12|--a------|1478] C:\cleannavi.txt 
[05/08/2004 13:00|-rahs----|263488] C:\cmldr 
[04/10/2005 12:00|--a------|5894] C:\DWNLOG.TXT 
[24/01/2009 16:03|--a------|9497] C:\FindyKill.txt 
[?|?|?] C:\hiberfil.sys 
[04/10/2005 12:17|-rahs----|0] C:\IO.SYS 
[04/10/2005 12:19|--ah-----|836] C:\IPH.PH 
[04/10/2005 12:17|-rahs----|0] C:\MSDOS.SYS 
[04/10/2005 12:21|--a------|157] C:\MYInventimeSetup.log 
[05/08/2004 13:00|--a------|47564] C:\NTDETECT.COM 
[28/09/2008 14:58|--a------|252240] C:\NTLDR 
[?|?|?] C:\pagefile.sys 
[04/10/2005 09:50|--a------|1078] C:\SAUDIT.TXT 
[16/11/2008 12:46|--a------|159] C:\Setup.log 
[27/05/2009 17:53|--a------|1341] C:\VirtualDJ Local Database v5.xml 
[17/09/2009 21:18|--a------|1334] C:\VirtualDJ Local Database v6.xml 
[22/11/2009 12:19|--a------|4072] C:\ZHPExportRegistry-22-11-2009-12-18-59.txt 
[18/06/2004 13:07|--a------|656542] D:\271_icol.dll 
[29/02/2004 16:44|--a------|52576] D:\orange.bmp 
[11/08/2008 19:28|--a------|12252871] D:\Pub Nike - Take It To The Next Level(1).mp4 
[08/07/2008 14:18|--a------|77725936] D:\Pub Nike - Take It To The Next Level.avi 
[12/08/2008 16:37|--a------|15475430] D:\Pub Nike - Take It To The Next Level.mp4 
[04/09/2008 12:36|--a------|212] D:\Raccourci vers Lecteur CD.lnk 
[06/08/2008 13:23|--a------|7725287] D:\Rhoff - La puissance.mp3 
[02/08/2008 12:05|--a------|3540157] D:\Secret Story - I Wanna Chat with you.mp3 
[03/08/2008 21:41|--a------|15780] D:\SP_A0180.jpg 
[03/08/2008 21:43|--a------|20853] D:\SP_A0182.jpg 
[31/10/2005 16:56|--a------|700416] D:\StubInstaller.exe 
[21/07/2008 18:40|--a------|216550] D:	atouagewm[1].jpg 
[20/07/2008 10:45|--a------|4145280] D:\The Chakachas - Jungle Fever.mp3 
[05/07/2008 10:22|--a------|3304430] D:\UEFA EURO 2008 - Official Theme (lunga).mp3 
[23/11/2009 19:37|--a------|5262] D:\UsbFix.txt 
[20/07/2008 12:16|--a------|186885034] D:\VA-Party_Fun_Summer_2008-2CD-2008-TWCMP3.rar 
[18/07/2008 17:58|--a------|375126] D:\wallp2b9vz[1].jpg 
[18/07/2008 17:47|--a------|417738] D:\wallpaper2_1024x768[1].jpg 
[18/07/2008 17:55|--a------|754941] D:\wallppb6ld[1].jpg 
[18/07/2008 17:57|--a------|224511] D:\wenty4hq[1].jpg 
[06/07/2008 17:34|--a------|7622576] D:\Western - Rednex - Cotton Eye Joe.mp3 
[03/08/2008 10:50|--a------|68649472] D:\Yelle - Je Veux Te Voir (By Onyx)2008.avi 
[01/08/2008 12:53|--a------|4220387] D:\yelle - tu es beau.mp3 
[17/08/2008 22:01|--a------|1997426] D:\zik.mp3 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# D:\autorun.inf -> Dossier créé par UsbFix.  

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.056 ! |



http://www.cijoint.fr/cjlink.php?file=cj200911/cijj3UcTwb.txt

sKe69 · Answer

impec ...


on a bien avancé ... fais ceci maintenant :



1- Utilise Malwarebytes ainsi :


mets le à jour !( onglet "mise à jour" ) . Recommence plusieurs fois jusqu'à ce qu'il n' y est plus de maj disponnibles ...
 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


========================


2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Rodo-15 · Answer

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3218
Windows 5.1.2600 Service Pack 3

24/11/2009 18:27:25
mbam-log-2009-11-24 (18-27-12).txt

Type de recherche: Examen rapide
Eléments examinés: 143253
Temps écoulé: 19 minute(s), 4 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\Documents and Settings\Rodo.1041425703126\Menu Démarrer\Programmes\Démarrage\sysupd32.exe (Trojan.Downloader) -> No action taken.
D:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
D:\Documents and Settings\Rodo.1041425703126\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.


http://www.cijoint.fr/cjlink.php?file=cj200911/cijwvCSszv.txt

sKe69 · Answer

salut,

-> No action taken.

recommence Malwarebytes , tu n'as pas fait la manipe correctement > il faut supprimé ce qu'il a détecté !


poste moi le nouveau rapport obtenu stp ...

Rodo-15 · Answer

Il doit y avoir un probleme, j'ai pourtant bien supprimé la selection...


alwarebytes' Anti-Malware 1.41
Version de la base de données: 3218
Windows 5.1.2600 Service Pack 3

24/11/2009 18:27:25
mbam-log-2009-11-24 (18-27-12).txt

Type de recherche: Examen rapide
Eléments examinés: 143253
Temps écoulé: 19 minute(s), 4 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\Documents and Settings\Rodo.1041425703126\Menu Démarrer\Programmes\Démarrage\sysupd32.exe (Trojan.Downloader) -> No action taken.
D:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
D:\Documents and Settings\Rodo.1041425703126\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.

sKe69 · Answer

re,


c'est quoi cette partion D ? ....

Rodo-15 · Answer

Euh je sait pas .. mais j'ai redémarrer le PC et ecran bleu "un probleme a été detecté et windows a été arrété afin de prévenir tout dommage sur votre ordinateur"

J'ai beau redémaré l'ordi avec le bouton de l'UC mais toujours l'écran bleu... J'écris a partir d'un autre PC !

A mon avis c'est mort...

sKe69 · Answer

re,


tu avais bien fait ce que j'avais donné à l'étape 1 ici > https://forums.commentcamarche.net/forum/affich-15288705-trojan-win32-cutwail-y-help#1

?



essaye de démarrer en mode sans échec avec "prise en charge du réseau" :

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) dès le démarrage du PC .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis l' option : Sans Échec avec prise encharge du réseau , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ). 


une fois dans ce mode ( si cela marche ) , refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Noni · Answer

Trojan win32 pakes cutwail removal
http://darfuns.com/trojan-removal/win32-pakes-Cutwail/

Rodo-15 · Answer

j'ai suivi à la lettre tout ce que tu m'a dit... J'ai fait mode sans echec avec prise en charge du reseau mais l'ecran bleu fait son retour...

sKe69 · Answer

re,

mais l'ecran bleu fait son retour...


avant d'arriver sur le bureau ou au bout d'un moment ? ....

Rodo-15 · Answer

Bin des que je tapote sur f8 il y a un écran noir avec marquer démarer windows normalement mode sans echec etc... j'appuis sur mode sans echec "avec réseau" il y une barre de chargement qui s'affiche et la écran bleu

sKe69 · Answer

bon ...


recommence donc comme si tu voulais aller en mode sans échec . 

sauf qu'au menu de démarrage tu choisis l'option " dernière configuration de Windows connue..."


dis moi si tu arrives sur le bureau ...

Rodo-15 · Answer

Je l'ai fait 3 fois, toujour l'ecran bleu...

sKe69 · Answer

bon ,


éteinds l'ordi et débranche le éléctriquement ...

>  ouvre le , fais un dépoussiérage minutieux si cela est nécessaire .

> vérifie toutes les connectiques ( surtout celles qui partent de la carte mère vers le(s) DD ) .

> vérifie les connections barrettes de RAM/carte mère .

> vérifie les connections des éventuelles cartes PCI .


une fois fait redémarre l'ordi et dis moi ...

Rodo-15 · Answer

J'ai ouvert l'UC j'ai nettoyer le peu de poussiere qu'il y avait j'ai vérifié les branchement tout est nikel mais toujour cet ecran bleu que ce soit en mode sans echec ou normal...

sKe69 · Answer

est-ce qu tu as ton Cd de Windows original ?

si c'est la cas ( et j'espère ) , fait cette manipe pour tenter de réparer Windows 
> http://www.informatruc.com/reparer-windows-xp/

tiens moi au courant ....

Rodo-15 · Answer

A non j'ai jamais eu de CD. tu veut que je désinstalle tout comme si je venais de l'acheter c'est sa ?

sKe69 · Answer

A non j'ai jamais eu de CD

et ton Windows est légitime ? ....

Rodo-15 · Answer

Oui bien sur ! Mais j'ai verifier dans le carton de L'UC et je nai pas dedisque windows...

sKe69 · Answer

bon ...

bah là , on ne va pouvoir faire grand chose ...


À l'écran de démarrage de l'ordinateur, après le signal sonore, tapote sur la touche SUPPR, ou DEL, ou F2 ou TAB (la touche est notifiée au bas de l'écran et dépend de la marque du BIOS) pour entrer dans le setup (réglages).


Là on te demandera sur quelle "unité" démarrer : 

le Disque 30 Go [HDD] # NTFS ( correspond à C )
le Disuqe 150 Go [DATA] # NTFS ( correspond à D )
le CD Rom


choisis celui qui correspond à D pour voir ....


dis moi si tu arrives sur le bureau ....

Rodo-15 · Answer

OK par contre niveau anglais je suis pas un crak 

Il y a 6 onglets Main Advanced PCIPnP Boot Security Exit

OU je doit aller ?

sKe69 · Answer

re,

Il y a 6 onglets Main Advanced PCIPnP Boot Security Exit 


tu n'es pas au bonne endroit .... essaye avec une autre touche ...

normalement c'est celle qui donné en bas de l'ecran au démarrage , comme l'limage présente dans ce tuto > http://www.informatruc.com/reparer-windows-xp/

Rodo-15 · Answer

Il y a que la touche F2 qui marche et sa met le menu en anglais comme je t'ai dit.

Pour info c'est un packard bell

sKe69 · Answer

écoute laisse tombé ça ...


faut essayer de récuppérer tes données perso ...


pour cela , il y une techinique avec un CD Live linux  : c'est un systeme autonomme graver sur un DVD qui te permettra d'accédé à ton DD et aussi de récuppérer sur un support externe tes doc perso ...


évite les exe et les zip ( si c'est un file infector qui a fouttu sa merde , ces types de fichiers sont les 1er corrompus et peuvent relancer l'infection ) 

Tuto CD live linux ici > https://www.commentcamarche.net/faq/4883-knoppix-utiliser-knoppix-comme-cd-de-secours


dis moi si tu t'en es sorti ...

Rodo-15 · Answer

Ok cette Aprem je bosse pas je tenterai le coup mais j'ai pas mal de données (Musiques Videos...) Tu pense que un seul CD pourra tout sauvegardé ?

Rodo-15 · Answer

quelqu'un m'a prêté un disque dur seul (pas externe) je peut l'utilisé pour y mettre les données ? Parce que j'ai rien d'autre à par une petite clé USB 256MO ...

sKe69 · Answer

oui tu peux

 ... mais comme je t'ai dis juste les doc perso : music , film , photo , doc administratif ... 

mais aucun prg ( .exe ou fichier systeme ) , ni d'archive ( .rar ou . zip ) , ni favorit , ni ".htm" et "html" .... !

Rodo-15 · Answer

Bon je me suis pas embêter j'ai formater sans rien sauvegarder ! Comme sa au moin le ménage est fait !!

Et miracle ! en installant Picasa ce logiciel m'a retrouver toutes mes musiques vidéos etc ... Pourtant j'ai bien formater l'ordinateur quand j'ai rallumé l'ordi j'ai tapoté sur F11 et j'ai pu faire un formatage complet de systeme comme si je venais de l'acheter et sa m'a bien mis ATTENTION touts vos données vonts êtres supprimées... 

Il me reste à trouver un BON antivirus parce qu'Avast à pas l'air véritablement fiable..

J'attend t'es ordres..

sKe69 · Answer

Bravo ...


avant tout voir ou en est le systeme et ce qu'il va falloir mettre à jour ....



fais ceci donc :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !! 

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) . 

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

Rodo-15 · Answer

http://www.cijoint.fr/cjlink.php?file=cj200911/cij3lQTmhl.txt

sKe69 · Answer

Salut,


vu ... donc avant de mettre le PC à jour , un anti-virus ! ....



Télécharge AntiVir Personal Edition  ici :
http://www.commentcamarche.net/telecharger/telecharger-55-antivir
ou ici :
http://dl1.avgate.net/down/windows/antivir_workstation_winu_fr_h.exe
ou ici :
http://www.free-av.com/fr/telecharger/1/avira_antivir_personal_free_antivirus.html

Anti-virus gratuit et en français . 

Installe le et mets le à jour si besoin .

Aide AntiVir : https://www.malekal.com/avira-free-security-antivirus-gratuit/
TUTO installation : http://www.forum-vista.net/forum/topic5704.html


Fais ce réglage supplémentaire :

***************************************
Une fois AntiVir ouvert, clique sur "configuration" et coche bien la case " mode expert " : 

* mets toi sur "scanner"/"recherche" (à gauche) -> dans "fichiers", coche tous les fichiers et en dessous dans priorité scanner= élevé  .
coche aussi : autorisé l'arrêt , comme cela tu peux faire une pause pendant le scan si tu le desir. 
* toujours dans "recherche" -> " Autres réglages ", coche les cases suivantes : 
>secteur d'amorçage lecteurs de rech. 
>Contrôler secteurs d'amorçage maître 
>Suivre les liens symboliques 
>Rech.Rootkit au dém. de la recherche 
et décoche : 
ignorer les fichiers hors ligne 

* mets toi sur "scanner"/"recherche"/ "heuristique" -> Heuristique macrovirus= coché, et en dessous coche activer AHeADet coche la case degré d'identification élevé ...
* mets toi sur "scanner"/"recherche"/ "action en cas de résultat positif" -> coche " interactif" et choisis le mode "individuel" .

* mets toi sur "Guard"/"recherche"/ "heuristique" -> Heuristique macrovirus= coché, et en dessous coche activer AHeADet coche la case degré d'identification moyen ...


---> clique sur "OK" pour valider le réglage ...
****************************************

Une fois fait , 
lance un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ... 

> poste moi le rapport obtenu ... Aide toi bien du tuto ;) 

( PS : Si AntiVir s'affolle dès la fin de son installe , ainsi qu'au redémarrage du PC , mets tout en quarantaine et poste moi tous les rapports ... )

Rodo-15 · Answer

Apparemment sa a l'air éfficace... AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26 RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32 Configuration pour la recherche actuelle : Nom de la tâche...............................: Disques durs locaux Fichier de configuration......................: c:\program files\avira\antivir desktop\alldiscs.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, D:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Sélection de fichiers intelligente Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: élevé Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Début de la recherche : dimanche 29 novembre 2009 13:38 La recherche d'objets cachés commence. '106242' objets ont été contrôlés, '0' objets cachés ont été trouvés. La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'iTunes.exe' - '1' module(s) sont contrôlés Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'AOSD.EXE' - '1' module(s) sont contrôlés Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés Processus de recherche 'QTTask.exe' - '1' module(s) sont contrôlés Processus de recherche 'ABOARD.EXE' - '1' module(s) sont contrôlés Processus de recherche 'PCMService.exe' - '1' module(s) sont contrôlés Processus de recherche 'Monitor.exe' - '1' module(s) sont contrôlés Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés Processus de recherche 'atiptaxx.exe' - '1' module(s) sont contrôlés Processus de recherche 'ALCWZRD.EXE' - '1' module(s) sont contrôlés Processus de recherche 'SoundMan.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés Processus de recherche 'CLSched.exe' - '1' module(s) sont contrôlés Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'ULCDRSvr.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'HidService.exe' - '1' module(s) sont contrôlés Processus de recherche 'CLMLService.exe' - '1' module(s) sont contrôlés Processus de recherche 'CLMLServer.exe' - '1' module(s) sont contrôlés Processus de recherche 'CLCapSvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés Processus de recherche 'AOLacsd.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '48' processus ont été contrôlés avec '48' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD1 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD2 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD3 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD4 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '62' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\hiberfil.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. Recherche débutant dans 'D:\' D:\75a0211847aba227cf07cf9ca36c\admparse.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\advpack.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\browseui.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\corpol.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\custsat.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\dxtmsft.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\dxtrans.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\extmgr.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\hmmapi.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\icardie.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\ie4uinit.exe [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\ieakeng.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\ieaksie.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\ieakui.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\ieapfltr.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\iedkcs32.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\iedw.exe [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\ieencode.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\ieframe.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\iepeers.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\ieproxy.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\iernonce.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\iertutil.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\iesetup.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\ieudinit.exe [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\ieui.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\iexplore.exe [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\imgutil.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\inseng.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\jscript.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\jsproxy.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\licmgr10.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\msfeeds.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\msfeedsbs.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\msfeedssync.exe [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\mshta.exe [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\mshtml.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\mshtmled.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\mshtmler.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\msls31.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\msrating.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\mstime.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\occache.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\pngfilt.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\shdocvw.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\shlwapi.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\spmsg.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\spuninst.exe [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\spupdsvc.exe [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\url.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\urlmon.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\vbscript.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\vgx.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\webcheck.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\winfxdocobj.exe [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\75a0211847aba227cf07cf9ca36c\wininet.dll [AVERTISSEMENT] Impossible d'ouvrir le fichier ! D:\Documents and Settings\Rodo\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\OP.jar-30e2590-6fb0b6e3.zip [0] Type d'archive: ZIP --> OP.class [RESULTAT] Contient le modèle de détection de l'exploit EXP/ByteVerify.I [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b407291.qua' ! D:\Documents and Settings\Rodo\Local Settings\Temporary Internet Files\Content.IE5\2THKH6LN\135[1] [RESULTAT] Contient le cheval de Troie TR/Fakealert.aba.2 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b47739c.qua' ! D:\Documents and Settings\Rodo\Local Settings\Temporary Internet Files\Content.IE5\2THKH6LN\g1[1] [RESULTAT] Contient le cheval de Troie TR/Fakealert.QS [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b6d73d9.qua' ! D:\Documents and Settings\Rodo\Local Settings\Temporary Internet Files\Content.IE5\2THKH6LN\g1[2] [RESULTAT] Contient le cheval de Troie TR/Fakealert.QS [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b6d73dd.qua' ! D:\Documents and Settings\Rodo\Local Settings\Temporary Internet Files\Content.IE5\DPIZNYHC\g1[1] [RESULTAT] Contient le cheval de Troie TR/Fakealert.QS [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b6d748a.qua' ! D:\Documents and Settings\Rodo\Local Settings\Temporary Internet Files\Content.IE5\DPIZNYHC\g1[2] [RESULTAT] Contient le cheval de Troie TR/Fakealert.QS [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b6d748f.qua' ! D:\Documents and Settings\Rodo\Local Settings\Temporary Internet Files\Content.IE5\ON10WD9K\135[1] [RESULTAT] Contient le cheval de Troie TR/Fakealert.aba.2 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b4774fd.qua' ! D:\Documents and Settings\Rodo\Local Settings\Temporary Internet Files\Content.IE5\ON10WD9K\135[2] [RESULTAT] Contient le cheval de Troie TR/Fakealert.aba.2 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b4774ff.qua' ! D:\Documents and Settings\Rodo\Local Settings\Temporary Internet Files\Content.IE5\ON10WD9K\135[3] [RESULTAT] Contient le cheval de Troie TR/Fakealert.aba.2 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b477500.qua' ! D:\Documents and Settings\Rodo\Local Settings\Temporary Internet Files\Content.IE5\ON10WD9K\135[4] [RESULTAT] Contient le cheval de Troie TR/Fakealert.aba.2 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b477502.qua' ! D:\Documents and Settings\Rodo\Local Settings\Temporary Internet Files\Content.IE5\ON10WD9K\g1[1] [RESULTAT] Contient le cheval de Troie TR/Fakealert.QS [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b6d7517.qua' ! D:\Documents and Settings\Rodo\Local Settings\Temporary Internet Files\Content.IE5\TUNOAGLM\g1[1] [RESULTAT] Contient le cheval de Troie TR/Fakealert.QS [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b6d7567.qua' ! D:\Documents and Settings\Rodo.1041425703126\Incomplete\T-5860471-babylone tryo.au [RESULTAT] Contient le modèle de détection de l'exploit EXP/ASF.GetCodec.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b47765c.qua' ! D:\Documents and Settings\Rodo.1041425703126\Mes documents\Mes fichiers reçus\Avast 2.3 Protection Windows Live Messenger ©.plsc [0] Type d'archive: ZIP --> huhu_ctrl.js [RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Rce.Gen --> lock.exe [RESULTAT] Contient le cheval de Troie TR/MustHave.A --> sin.exe [RESULTAT] Contient le cheval de Troie TR/Agent.17902 --> mdr.exe [RESULTAT] Contient le cheval de Troie TR/PSW.MSN.myf [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b737864.qua' ! Fin de la recherche : dimanche 29 novembre 2009 14:38 Temps nécessaire: 59:54 Minute(s) La recherche a été effectuée intégralement 12973 Les répertoires ont été contrôlés 244666 Des fichiers ont été contrôlés 17 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 14 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 58 Impossible de contrôler des fichiers 244591 Fichiers non infectés 8184 Les archives ont été contrôlées 58 Avertissements 16 Consignes 106242 Des objets ont été contrôlés lors du Rootkitscan 0 Des objets cachés ont été trouvés

sKe69 · Answer

et bien ...


fais ceci maintenant :


1- Télécharge Malwarebytes' : 
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
 
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg : 
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


===========================

2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Rodo-15 · Answer

http://www.cijoint.fr/cjlink.php?file=cj200911/cijd1aM63e.txt

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3258
Windows 5.1.2600 Service Pack 2

29/11/2009 20:23:43
mbam-log-2009-11-29 (20-23-43).txt

Type de recherche: Examen rapide
Eléments examinés: 146849
Temps écoulé: 13 minute(s), 21 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.

sKe69 · Answer

re,

ce qu'a déniché MBAM sur D n'est pas bon signe ...



fais ceci :


1- Supprime ce qui est dans la quarantaine de Malwarebytes .


====================

2- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 


==============================

3- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !): 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------------------------------------------------------------------

Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour  XP, l' installation de la Console de Récupération  sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation. 
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png  
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan -- 


Notes importantes : 
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment  : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée ici : C:\Combofix.txt 

Réactive bien tes défenses .

 
Poste le rapport Combofix pour analyse et attends la suite ...

Rodo-15 · Answer

ComboFix 09-11-29.06 - Rodo 30/11/2009 13:55.1.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.33.1036.18.511.177 [GMT 1:00]
Lancé depuis: d:\documents and settings\Rodo.1041425703126.000\Mes documents\Téléchargements\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:ecycler\S-1-5-21-2086947289-1322880767-2107099865-1003
d:\documents and settings\All Users\Application Data\Microsoft\Shortcuts
d:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\Adobe Reader Speed Launch.lnk

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-10-28 au 2009-11-30  ))))))))))))))))))))))))))))))))))))
.

2009-11-30 12:42 . 2009-11-30 12:42	--------	d-----w-	c:\program files\CCleaner
2009-11-30 11:17 . 2009-11-30 11:17	--------	d-----w-	c:\windows\LastGood
2009-11-29 20:02 . 2009-04-28 20:20	129520	------w-	c:\windows\system32\pxafs.dll
2009-11-29 20:01 . 2009-11-29 21:00	--------	d-----w-	d:\documents and settings\Rodo.1041425703126.000\Application Data\Winamp
2009-11-29 20:01 . 2009-11-29 20:04	--------	d-----w-	c:\program files\Winamp
2009-11-29 19:03 . 2009-11-29 19:03	--------	d-----w-	d:\documents and settings\Rodo.1041425703126.000\Application Data\Malwarebytes
2009-11-29 19:02 . 2009-09-10 13:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-29 19:02 . 2009-11-29 19:02	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-11-29 19:02 . 2009-09-10 13:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-11-29 15:01 . 2009-11-29 15:01	10134	----a-r-	d:\documents and settings\Rodo.1041425703126.000\Application Data\Microsoft\Installer\{BEF726DD-4037-4214-8C6A-E625C02D2870}\ARPPRODUCTICON.exe
2009-11-29 15:01 . 2009-11-29 15:01	10134	----a-r-	d:\documents and settings\Rodo.1041425703126.000\Application Data\Microsoft\Installer\{35725FBC-A136-4A46-9F29-091759D9BB93}\ARPPRODUCTICON.exe
2009-11-29 15:01 . 2009-11-29 15:01	10134	----a-r-	d:\documents and settings\Rodo.1041425703126.000\Application Data\Microsoft\Installer\{EA516024-D84D-41F1-814F-83175A6188F2}\ARPPRODUCTICON.exe
2009-11-29 15:01 . 2007-03-06 16:54	41376	----a-w-	c:\windows\system32\drivers\LVUSBSta.sys
2009-11-29 15:01 . 2007-03-06 16:51	129824	----a-w-	c:\windows\system32\lvci1051.dll
2009-11-29 15:01 . 2007-03-06 16:49	491168	----a-w-	c:\windows\system32\drivers\LV561AV.SYS
2009-11-29 15:01 . 2007-03-06 15:03	13398	----a-w-	c:\windows\system32\Repository.reg
2009-11-29 15:01 . 2003-02-21 03:42	348160	----a-w-	c:\windows\system\msvcr71.dll
2009-11-29 15:01 . 2007-03-06 16:54	527136	----a-w-	c:\windows\system32\LVUI2RC.dll
2009-11-29 15:01 . 2007-03-06 16:54	215840	----a-w-	c:\windows\system32\LVUI2.dll
2009-11-29 15:01 . 2007-03-06 16:50	264992	----a-w-	c:\windows\system32\lvcodec2.dll
2009-11-29 15:01 . 2009-11-29 15:01	--------	d-----w-	c:\program files\Fichiers communs\Labtec
2009-11-29 15:00 . 2009-11-29 15:00	--------	d-----w-	c:\program files\Fichiers communs\LogiShrd
2009-11-29 14:35 . 2009-11-29 15:00	--------	d-----w-	c:\program files\Labtec
2009-11-29 12:10 . 2009-07-28 14:33	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-11-29 12:10 . 2009-03-30 08:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-11-29 12:10 . 2009-02-13 10:28	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-11-29 12:10 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-11-29 12:10 . 2009-11-29 12:10	--------	d-----w-	d:\documents and settings\All Users\Application Data\Avira
2009-11-29 12:10 . 2009-11-29 12:10	--------	d-----w-	c:\program files\Avira
2009-11-29 10:55 . 2009-11-29 10:55	--------	d-----w-	c:\windows\system32\XPSViewer
2009-11-29 10:55 . 2009-11-29 10:55	--------	d-----w-	c:\program files\MSBuild
2009-11-29 10:55 . 2009-11-29 10:55	--------	d-----w-	c:\program files\Reference Assemblies
2009-11-29 10:54 . 2008-07-06 12:06	89088	------w-	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-11-29 10:54 . 2008-07-06 12:06	117760	------w-	c:\windows\system32\prntvpt.dll
2009-11-29 10:54 . 2008-07-06 12:06	575488	------w-	c:\windows\system32\xpsshhdr.dll
2009-11-29 10:54 . 2008-07-06 12:06	575488	------w-	c:\windows\system32\dllcache\xpsshhdr.dll
2009-11-29 10:54 . 2008-07-06 12:06	1676288	------w-	c:\windows\system32\xpssvcs.dll
2009-11-29 10:54 . 2008-07-06 12:06	1676288	------w-	c:\windows\system32\dllcache\xpssvcs.dll
2009-11-29 10:54 . 2008-07-06 10:50	597504	------w-	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-11-29 10:50 . 2009-11-29 10:50	--------	d-----w-	c:\program files\MSXML 6.0
2009-11-28 22:53 . 2009-11-28 22:53	--------	d-----w-	c:\program files\Microsoft CAPICOM 2.1.0.2
2009-11-28 22:50 . 2009-11-28 22:50	--------	d-----w-	c:\windows\ServicePackFiles
2009-11-28 22:49 . 2009-11-28 22:49	--------	d-----w-	c:\program files\MSXML 4.0
2009-11-28 11:36 . 2009-11-28 12:42	--------	d-----w-	c:\windows\system32\CatRoot_bak
2009-11-28 11:30 . 2009-11-28 11:32	--------	d-----w-	c:\program files\ZHPDiag
2009-11-28 11:00 . 2008-06-14 17:59	272768	------w-	c:\windows\system32\drivers\bthport.sys
2009-11-28 11:00 . 2008-06-14 17:59	272768	------w-	c:\windows\system32\dllcache\bthport.sys
2009-11-28 10:57 . 2008-05-08 12:28	202752	------w-	c:\windows\system32\dllcachemcast.sys
2009-11-28 10:52 . 2009-06-21 22:06	153088	------w-	c:\windows\system32\dllcache	riedit.dll
2009-11-28 10:38 . 2008-10-24 11:10	453632	------w-	c:\windows\system32\dllcache\mrxsmb.sys
2009-11-28 10:38 . 2009-03-06 14:46	286208	------w-	c:\windows\system32\dllcache\pdh.dll
2009-11-28 10:38 . 2009-02-06 16:39	227840	------w-	c:\windows\system32\dllcache\wmiprvse.exe
2009-11-28 10:38 . 2005-07-26 04:39	60416	------w-	c:\windows\system32\dllcache\colbact.dll
2009-11-28 10:38 . 2009-02-09 10:20	685056	------w-	c:\windows\system32\dllcache\advapi32.dll
2009-11-28 10:38 . 2009-02-09 10:20	473088	------w-	c:\windows\system32\dllcache\fastprox.dll
2009-11-28 10:38 . 2009-02-09 10:20	399360	------w-	c:\windows\system32\dllcachepcss.dll
2009-11-28 10:38 . 2009-02-09 10:20	453120	------w-	c:\windows\system32\dllcache\wmiprvsd.dll
2009-11-28 10:38 . 2009-02-09 10:08	111104	------w-	c:\windows\system32\dllcache\services.exe
2009-11-28 10:38 . 2009-02-06 16:54	35328	------w-	c:\windows\system32\dllcache\sc.exe
2009-11-28 10:38 . 2009-02-09 10:20	739840	------w-	c:\windows\system32\dllcache
tdll.dll
2009-11-28 10:36 . 2009-11-28 10:36	--------	d-----w-	d:\documents and settings\Rodo.1041425703126.000\Local Settings\Application Data\Adobe
2009-11-28 10:25 . 2008-12-11 11:57	333184	------w-	c:\windows\system32\dllcache\srv.sys
2009-11-28 10:24 . 2008-05-01 14:31	331776	------w-	c:\windows\system32\dllcache\msadce.dll
2009-11-28 10:23 . 2009-07-10 13:41	1315328	------w-	c:\windows\system32\dllcache\msoe.dll
2009-11-28 10:22 . 2008-04-11 18:51	683520	------w-	c:\windows\system32\dllcache\inetcomm.dll
2009-11-28 10:17 . 2009-08-04 17:05	2138112	------w-	c:\windows\system32\dllcache
tkrnlmp.exe
2009-11-28 10:17 . 2009-08-04 17:05	2059776	------w-	c:\windows\system32\dllcache
tkrnlpa.exe
2009-11-28 10:17 . 2009-08-04 17:05	2182400	------w-	c:\windows\system32\dllcache
toskrnl.exe
2009-11-28 10:17 . 2009-08-04 17:05	2017792	------w-	c:\windows\system32\dllcache
tkrpamp.exe
2009-11-28 10:16 . 2009-06-05 07:46	655872	------w-	c:\windows\system32\dllcache\mstscax.dll
2009-11-28 10:14 . 2008-12-16 12:49	351232	------w-	c:\windows\system32\dllcache\winhttp.dll
2009-11-28 10:12 . 2008-10-15 16:59	332800	------w-	c:\windows\system32\dllcache
etapi32.dll
2009-11-28 10:11 . 2009-07-31 04:58	1172480	------w-	c:\windows\system32\dllcache\msxml3.dll
2009-11-28 10:04 . 2008-04-21 21:27	219136	------w-	c:\windows\system32\dllcache\wordpad.exe
2009-11-28 09:57 . 2009-08-06 18:23	274288	----a-w-	c:\windows\system32\mucltui.dll
2009-11-28 09:57 . 2009-08-06 18:23	215920	----a-w-	c:\windows\system32\muweb.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-30 12:51 . 2009-11-27 13:17	53944	----a-w-	d:\documents and settings\Rodo.1041425703126.000\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-11-29 11:19 . 2004-08-16 15:41	84766	----a-w-	c:\windows\system32\perfc00C.dat
2009-11-29 11:19 . 2004-08-16 15:41	510742	----a-w-	c:\windows\system32\perfh00C.dat
2009-11-27 22:06 . 2009-11-27 21:57	--------	d-----w-	c:\program files\AOL 9.0
2009-11-27 22:04 . 2009-11-27 13:17	--------	d-----w-	d:\documents and settings\Rodo.1041425703126.000\Application Data\You've Got Pictures Screensaver
2009-11-27 22:01 . 2009-11-27 21:57	--------	d-----w-	c:\program files\Services en ligne
2009-11-27 19:25 . 2009-11-27 17:14	--------	d-----w-	d:\documents and settings\Rodo.1041425703126.000\Application Data\Apple Computer
2009-11-27 18:32 . 2009-11-27 18:32	--------	d-----w-	d:\documents and settings\All Users\Application Data\iPodtoComputer
2009-11-27 18:32 . 2009-11-27 18:32	--------	d-----w-	c:\program files\Cucusoft
2009-11-27 17:14 . 2009-11-27 17:13	--------	d-----w-	c:\program files\iTunes
2009-11-27 17:13 . 2009-11-27 17:13	--------	d-----w-	c:\program files\iPod
2009-11-27 17:13 . 2009-11-27 17:10	--------	d-----w-	c:\program files\Fichiers communs\Apple
2009-11-27 17:12 . 2009-11-27 17:12	--------	d-----w-	c:\program files\Bonjour
2009-11-27 17:12 . 2009-11-27 17:12	--------	d-----w-	c:\program files\QuickTime
2009-11-27 17:11 . 2009-11-27 17:11	73728	----a-w-	c:\windows\ALCFDRTM.EXE
2009-11-27 17:11 . 2009-11-27 17:11	--------	d-----w-	c:\program files\Apple Software Update
2009-11-27 16:49 . 2009-11-27 16:48	--------	d-----w-	c:\program files\Messenger Plus! Live
2009-11-27 16:05 . 2009-11-27 16:05	--------	d-----w-	c:\program files\Microsoft
2009-11-27 16:05 . 2009-11-27 16:05	--------	d-----w-	c:\program files\Windows Live
2009-11-27 16:05 . 2009-11-27 16:05	--------	d-----w-	c:\program files\Windows Live SkyDrive
2009-11-27 15:57 . 2009-11-27 15:57	--------	d-----w-	c:\program files\Fichiers communs\Windows Live
2009-11-27 15:38 . 2009-11-27 15:38	--------	d-----w-	c:\program files\Google
2009-11-27 15:15 . 2005-10-05 05:17	--------	d-----w-	d:\documents and settings\All Users\Application Data\Symantec
2009-11-27 15:15 . 2009-11-27 21:57	--------	d-----w-	c:\program files\Fichiers communs\Symantec Shared
2009-11-27 13:49 . 2009-11-27 21:57	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-11-25 18:02 . 2009-11-07 09:39	79488	----a-w-	d:\documents and settings\Rodo.1041425703126\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-18 13:40 . 2009-11-18 13:40	4	----a-w-	d:\documents and settings\Rodo.1041425703126\Application Data\avdrn.dat
2009-11-17 12:46 . 2009-04-26 20:04	--------	d-----w-	d:\documents and settings\Rodo.1041425703126\Application Data\LimeWire
2009-11-16 16:54 . 2009-02-11 18:33	--------	d-----w-	d:\documents and settings\Rodo.1041425703126\Application Data\uTorrent
2009-11-14 19:07 . 2009-03-15 11:59	--------	d-----w-	d:\documents and settings\Rodo.1041425703126\Application Data\Winamp
2009-11-11 21:23 . 2009-01-31 15:57	--------	d-----w-	d:\documents and settings\All Users\Application Data\Microsoft Help
2009-11-09 19:15 . 2008-09-04 17:24	--------	d-----w-	d:\documents and settings\Rodo.1041425703126\Application Data\Apple Computer
2009-11-09 19:02 . 2009-11-09 19:00	--------	d-----w-	d:\documents and settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-11-09 18:40 . 2009-11-09 18:40	79144	----a-w-	d:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe
2009-09-25 05:54 . 2004-08-16 15:41	666112	----a-w-	c:\windows\system32\wininet.dll
2009-09-25 05:54 . 2004-08-16 15:40	81920	----a-w-	c:\windows\system32\ieencode.dll
2009-09-11 14:34 . 2004-08-16 15:40	133632	----a-w-	c:\windows\system32\msv1_0.dll
2009-09-04 20:46 . 2004-08-16 15:40	58880	----a-w-	c:\windows\system32\msasn1.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"ATIPTA"="c:\ati technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_02\bin\jusched.exe" [2005-03-04 36975]
"Ulead AutoDetector v2"="c:\program files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe" [2004-11-26 90112]
"PCMService"="c:\apps\Powercinema\PCMService.exe" [2005-05-11 127118]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 24576]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-03-06 488984]
"LogitechQuickCamRibbon"="c:\program files\Labtec\WebCam10\WebCam10.exe" [2007-03-06 1060376]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" - c:\windows\system32\Hdaudpropshortcut.exe [2004-03-17 61952]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SoundMan.exe [2004-09-10 77824]
"AlcWzrd"="ALCWZRD.EXE" - c:\windows\ALCWZRD.EXE [2004-09-15 2557952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

d:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\AOL 9.0\aol.exe"=
"%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\logo_ubi.exe"=
"%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\pandora.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\APPS\Inventime\my.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/11/2009 13:10 108289]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [27/11/2009 14:51 402432]
.
Contenu du dossier 'Tâches planifiées'

2009-11-27 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-11-30 c:\windows\Tasks\Configurer mon PC.job
- c:\apps\SMP\PCSETUP.EXE [2005-05-11 07:03]

2009-11-27 c:\windows\Tasks\HDReg.job
- c:\apps\HDReg\HDRegRem.exe [2005-10-04 08:14]

2009-11-27 c:\windows\Tasks\Rappel d'enregistrement 2.job
- c:\windows\system32\OOBE\oobebaln.exe [2004-08-16 12:00]

2009-11-27 c:\windows\Tasks\Rappel d'enregistrement 3.job
- c:\windows\system32\OOBE\oobebaln.exe [2004-08-16 12:00]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.fr/
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
FF - ProfilePath - d:\documents and settings\Rodo.1041425703126.000\Application Data\Mozilla\Firefox\Profiles
7036wqy.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.fr/
FF - plugin: c:\program files\Google\Picasa3
pPicasa3.dll
FF - plugin: c:\program files\Java\jre1.5.0_02\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_02\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_02\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_02\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_02\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_02\bin\NPJPI150_02.dll
FF - plugin: c:\program files\Java\jre1.5.0_02\bin\NPOJI610.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology
pViewpoint.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-QcDrv - c:\program files\Fichiers communs\Labtec\QCDRV\BIN\SETUP.EXE UNINSTALL REMOVEPROMPT
AddRemove-RealJukebox 1.0 - c:\program files\Fichiers communs\Real\Update_OB1puninst.exe RealNetworks|RealPlayer|6.0
AddRemove-RealPlayer 6.0 - c:\program files\Fichiers communs\Real\Update_OB1puninst.exe RealNetworks|RealPlayer|6.0



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-30 14:05
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MysqlInventime]
"ImagePath"="c:\apps\INVENT~1\mysql\bin\mysqld-nt --defaults-file=c:\apps\Inventime\mysql\my.ini MysqlInventime"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(724)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2009-11-30 14:08
ComboFix-quarantined-files.txt  2009-11-30 13:08

Avant-CF: 23 231 123 456 octets libres
Après-CF: 23 206 563 840 octets libres

- - End Of File - - 0CE200469C1FA863E3BB5E8C7E1B4BDB

sKe69 · Answer

Bien ...


fais ceci miantenant :


1- Avoir accès aux fichiers cachés :
 
Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage 
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 



2- Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  : 
d:\documents and settings\Rodo.1041425703126\Application Data\avdrn.dat 

Clique sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


=========================


3- Tu vas ré-utiliser Malwarebytes mais en faisant un examen complet :


! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebytes' .

Fais un examen dit "COMPLET" ( et sélectionne bien tous tes disks avant le scan ! ).

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...

Rodo-15 · Answer

a-squared	4.5.0.43	2009.11.30	-
AhnLab-V3	5.0.0.2	2009.11.28	-
AntiVir	7.9.1.79	2009.11.30	-
Antiy-AVL	2.0.3.7	2009.11.30	-
Authentium	5.2.0.5	2009.11.30	-
Avast	4.8.1351.0	2009.11.30	-
AVG	8.5.0.426	2009.11.30	-
BitDefender	7.2	2009.11.30	-
CAT-QuickHeal	10.00	2009.11.30	-
ClamAV	0.94.1	2009.11.30	-
Comodo	3089	2009.11.30	-
DrWeb	5.0.0.12182	2009.11.30	-
eSafe	7.0.17.0	2009.11.29	-
eTrust-Vet	35.1.7148	2009.11.30	-
F-Prot	4.5.1.85	2009.11.30	-
F-Secure	9.0.15370.0	2009.11.29	-
Fortinet	4.0.14.0	2009.11.30	-
GData	19	2009.11.30	-
Ikarus	T3.1.1.74.0	2009.11.30	-
Jiangmin	11.0.800	2009.11.29	-
K7AntiVirus	7.10.906	2009.11.27	-
Kaspersky	7.0.0.125	2009.11.30	-
McAfee	5817	2009.11.29	-
McAfee+Artemis	5817	2009.11.29	-
McAfee-GW-Edition	6.8.5	2009.11.30	-
Microsoft	1.5302	2009.11.30	-
NOD32	4649	2009.11.30	-
Norman	6.03.02	2009.11.30	-
nProtect	2009.1.8.0	2009.11.28	-
Panda	10.0.2.2	2009.11.29	-
PCTools	7.0.3.5	2009.11.30	-
Prevx	3.0	2009.11.30	-
Rising	22.24.00.09	2009.11.30	-
Sophos	4.48.0	2009.11.30	-
Sunbelt	3.2.1858.2	2009.11.29	-
Symantec	1.4.4.12	2009.11.30	-
TheHacker	6.5.0.2.081	2009.11.28	-
TrendMicro	9.100.0.1001	2009.11.30	-
VBA32	3.12.12.0	2009.11.30	-
ViRobot	2009.11.30.2062	2009.11.30	-
VirusBuster	5.0.21.0	2009.11.29	-
Information additionnelle
File size: 4 bytes
MD5...: bf68c10e961b8e33f7804a94b8287d01
SHA1..: ab0e726e1139ae7ee382f77fcc50aeddfc8d6697
SHA256: e1231834cf888451a7b3c5e1188d7b5e9752101971d00f78678a0a4e60386f15
ssdeep: 3:eU:eU
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Unknown!

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3258
Windows 5.1.2600 Service Pack 2

30/11/2009 16:29:27
mbam-log-2009-11-30 (16-29-27).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Eléments examinés: 240808
Temps écoulé: 1 hour(s), 11 minute(s), 34 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

sKe69 · Answer

bien ....


tout est clean .... ^^


on finalise :



1- Mets à jours ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :

Version Console Java à jour > 6 Update 17
Version Adobe Reader à jour > v 9.3.0

* pour la console Java :
-> désinstalle toutes les versions antérieurs  via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Puis télécharge et installe la dernière version ici :
https://www.commentcamarche.net/telecharger/developpement/12917-java-runtime-environment/
ou https://www.java.com/fr/

( Autre astuce pour faire cette maj ainsi que la suppression des anciennes versions 
avec l'outil Javara : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara )

-> Enfin contrôle ceci : 
Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".


* Adobe Reader :
-> désinstalle avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Note : si tu as une imprimante ,éteinds la et débranche la du PC avant de faire la mise à jour.
-> télécharge et installe la dernière version ici : 
https://www.commentcamarche.net/telecharger/bureautique/2625-adobe-reader/


============================


2- Fais une mise à jours de ton Système via panneau de config / "Windows Update" : 
-> fais toutes les mises à jours disponibles, surtout les dites "critiques" et "importantes" ( XP SP3 ,Internet Explorer 8, ect ... ).
-> tu les télécharges , puis une fois celles-ci téléchargées , lance les installations ( il te sera surement demandé de redémarrer le PC pour finir les installes ...).

-> il faudra sûrement recommencer l'opération plusieurs fois pour que tout soit fait !

Astuce ici :
https://www.commentcamarche.net/faq/273-windows-update-toutes-versions

Note : 
ferme toutes applications en cours et ne fais rien d'autre avec le PC lors de la mise à jour du système .

===========================


3- Une fois tout ceci fait , utilise Hijackthis :

Télécharge et installe le logiciel HijackThis : 

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " . 

tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34), 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

>  !! Déconnecte toi et ferme toutes tes applications en cours !! 

Clique sur le raccourci du bureau pour lancer le prg : 
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" 


---> Poste le rapport généré pour analyse ...

Rodo-15 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:18:50, on 30/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Labtec\WebCam10\WebCam10.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\SoftwareDistribution\Download\Install\NDP20SP2-KB974417-x86.exe
d:\5571b50f719b7dd0121d23a9add5\HotFixInstaller.exe
C:\WINDOWS\system32\MsiExec.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Labtec\WebCam10\WebCam10.exe" /hide
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\RunOnce: [NoIE4StubProcessing] C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: MysqlInventime - Unknown owner - C:\Apps\INVENT~1\mysql\bin\mysqld-nt.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

sKe69 · Answer

OK pour Java et adobe ...

fais l'étape 2 stp , c'est IMPERATIF ! ...

poste moi un nouvel hijackthis une fois toutes les mises à jour faites , pas avant ....

Rodo-15 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:31:29, on 30/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\QuickTime\QTTask.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Labtec\WebCam10\WebCam10.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Labtec\WebCam10\WebCam10.exe" /hide
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: MysqlInventime - Unknown owner - C:\Apps\INVENT~1\mysql\bin\mysqld-nt.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

sKe69 · Answer

Impec ...



1- Ferme toutes tes applications ( navigateur compris ) et déconnecte toi .

Relance Hijackthis mais click sur " Do a scan only " 
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . 
Tu vas cliquer sur les carrés des lignes suivantes : 


O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe



Tu cliques en bas sur le bouton FIX CHECKED et valides .



2- Redémarre l'ordi .
( important pour que certaines modifs faites avec hijakthis soient prises en compte ) 


Puis teste ton PC ainsi que ta navigation sur internet ... Si tout est Ok pour toi , on peut passer à la dernière étape ....
Poste aussi un dernier rapport Hijackthis de contrôle ...

Rodo-15 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:45:06, on 01/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\Ati2evxx.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Labtec\WebCam10\WebCam10.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Labtec\WebCam10\WebCam10.exe" /hide
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: MysqlInventime - Unknown owner - C:\Apps\INVENT~1\mysql\bin\mysqld-nt.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

sKe69 · Answer

Salut, Suite et fin dans l'ordre : 1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau. http://pc-system.fr/ Déconnecte toi et ferme bien toutes tes applications en cours . Lances le . *Clique sur Recherche et laisse le scan se terminer (cela peut être long). *Clique sur Suppression pour finaliser. *Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) : --> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection . Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . ( garde CCleaner et Malwarebytes : très utiles ! ) ====================================== 2- Refais un coup de CCleaner ( registre compris ) . ====================================== 3- fait ce checkup pour finir : A-Purge de la restauration système *Désactive ta restauration : Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK --->Redémarre ton PC ... *Réactive ta restauration : Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK --->Redémarre ton PC ... ( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ). Attention : ne pas toucher au PC pendant qu'il travaille ! B-Nettoyage et Défragmentation de tes Disques *Nettoyage : Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général" Clique sur le bouton "nettoyage de disque", OK . tu le fais pour chacun de tes disques ... *Vérifications des erreurs : Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ... ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK . Tu le fais pour chacun de tes disques ... Note : si tu as un utilitaire pour défragmenter , utilise le à la place ... ( attention , cela peut durer assez longtemps - plus de dix heures dans certains cas ) C-Créer un point de restauration de ton PC : Aller dans le Menu Démarrer puis dans Programmes, - Ensuite dans Accessoires et enfin dans Outils système, - Choisir "Restauration du système", - Sélectionner "Créer un point de restauration", - Cliquer sur "Suivant", - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple : << Point restauration sain >> . --> Cliquer sur "Créer" et le point de restauration se créé automatiquement. ---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)

Rodo-15 · Answer

Salut ! désolé j'ai pas eu de rapport avec toolscleaner mais j'en ai supprimez 5 ou 6 lignes.

Sinon tout a l'air nickel, tout marche sans probleme !

sKe69 · Answer

Salut,


Content d'avoir pu te rendre service... et domage qu'on est du passé par une ré-installe... mais bon, t'as récupéré tes docs perso, c'est l'essentiel ... ^^


Potasse ces quelques recommandations :


=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html 
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance : 
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement). 

=>  Il faut absolument tenir à jour régulièrement Windows:

Via Internet Explorer ( impératif ), rends toi sur Microsoft Update
http://www.update.microsoft.com/windowsupdate/v6/default.aspx

Effectue toutes les mise à jour critiques proposées.
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
Démarrer / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis sur OK

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi : 

( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.htm )

Donc pour se faire, rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions. 
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. 
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . 
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 

Autre astuce : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara

============================================================= 

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
- Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 
- Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. 

-> autre très bon soft similaire dans cette astuce : 
https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
 
===========================================================
* le pare- feu de Xp vaut rien , je te conseille fortement dans installer un :
( Important > si votre antivirus fait aussi pare-feu , ne pas en installer un autre ! conflits et plantages assurés ! )

Armor ou Comodo sont très bien ( en anglais mais gratuit )...Tu trouveras tout ce qu'il faut ici :
https://www.commentcamarche.net/telecharger/securite/pare-feu/

tutos :
https://www.malekal.com/tutorial-online-armor-free/
https://www.malekal.com/tutorial-comodo-firewall/

( Attention : pour Comodo 3 , choisir uniquement l'installation du pare-feu seul. Ne pas installer la barre d'outil pour les navigateurs ! )

En deuxieme choix ( gratuit aussi ) :
->Comodo ancienne version 2.4 ( en francais ) : 
http://download.comodo.com/cpf/download/setups/release/languages/CFP_Setup_English_French_2.4.16.174.exe
tuto: https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389

->PC Tools Firewall Plus (en français) :
https://fr.norton.com/
Tuto : http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/

(Note: pensez bien à désactiver le pare-feu de Windows avant de lancer l'installe de tout autre pare-feu !)

* teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.php

* tests firewall: http://www.matousec.com/index.html 

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) : 

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html 

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html 

================================================================ 

Pour une meilleur sécurité lorsque tu surfes : 

* Je te conseille d'utiliser le navigateur " FireFox " :
télécharge le ici -> http://www.mozilla-europe.org/fr/
ou -> https://www.commentcamarche.net/telecharger/web-internet/9879-firefox/

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

-> Tutorial pour sécuriser Firefox :
https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ 

* tu peux installer cet Add-ons : WOT ( gratuit / compatible IE et FireFox )
-> Firefox https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp - IE https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
-> Démo : http://www.mywot.com/fr/demo
Très simple et léger , WOT permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

* Noscript est un autre "Add-ons" ( pour Firefox ) qui empêche l'exécution de scripts en provenance des sites Web. 
Il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée : 
http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net
https://addons.mozilla.org/fr/firefox/addon/noscript/

=================================================================
=> Rappel sur les principales causes d'infection : 

A lire > https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf
( merci aux auteurs de ce pdf )

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 

Les dangers des cracks : 
https://forum.malekal.com/viewtopic.php?t=893&start=

-> Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

-> Fléaux du moment par le biais de pseudo crack sur réseau P2P : Virut/Scrible !
> https://www.futura-sciences.com/tech/actualites/informatique-virut-scribble-retour-infection-redoutable-18310/


* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): 

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 

Pourquoi éviter le P2P (emule ,Shareaza, kazza ... ect):
> http://www.libellules.ch/... 
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
> https://lexpansion.lexpress.fr/actualite-economique/
 

* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment : 
http://assiste.com.free.fr/p/abc/c/anti_activex.html


* Prévention sur deux autres types d'infection d'actualité : 

MSN prévention : 
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
 

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ 
https://forum.malekal.com/viewtopic.php?f=45&t=5544 

* Rappel sur l'utilisation d'une version piratée de Windows :
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows

=================================================================

Bon à savoir :

* La "Console de récupération" ( XP ): 
face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable. 
tutoriels ici : 
https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm .
https://www.informatruc.com

Equivalent Vista : http://www.forum-vista.net/forum/

* Conserve une sauvegarde des fichiers importants ( Sur CD/DVD rom ,DD externe ,ect ...). 

* Ne pas telecharger n'importe quoi, éviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games, ...ect

* Analyser les fichiers reçus/téléchargés :
Pour les adeptes du Peer 2 Peer ( que je déconseille fortement ),toujours analyser les fichiers telechargés avec l'antivirus, l'anti-spyware/malaware du PC avant de les executer ... Cela minimise les risques ( mais ceux-ci restent tout de même présents ! ) 
Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir .
Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus .

* Idées reçus en sécurité informatique ( très instructif ) > 
http://www.libellules.ch/idees_recues_securite.php

=================================================================
( merci le sioux ) 
 

Voilou ...


bonne suite à toi ... =)

A+

Rodo-15 · Answer

Merci beaucoup Ske69 ! Maid j'avais une question à te poser : C'est ton métier d'aider les gens via un forum ou c'est juste comme sa pour passer le temp parce que t'a l'air d'etre un véritable pro en informatique !

sKe69 · Answer

hello ,

C'est ton métier d'aider les gens via un forum ou c'est juste comme sa pour passer le temp 

tout ceux qui interveinnent sur le forum sont des bénévoles ! ... 

Et mon "métier" n'a rien à voir avec l'informatique ... ;)


A+

Trojan Win32 Cutwail-Y HELP !!

59 réponses

Discussions similaires