besoin pro pour desinfection.(log hijackthis)Résolu/Fermé

Question

Bonjour,

depuis peu j'ai plusieurs virus que j'ai beau "mettre en quarantaine" ou effacer, cela ne change rien...

j'ai fait un scan hijackthis en espérant que ça aidera qq'un d'expérimenter à m'indiquer ce que je dois faire pour me débarrasser définitivement de cette saleté.  

Merci bcp pour l'aide que vous m'apporterez.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:55:33, on 29/11/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
D:\Programmes\Java\jre6\bin\jusched.exe
C:\Users\Thomas\LOCALS~1\APPLIC~1\MICROS~1\mqtgsvc.exe
C:\Program Files\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Windows\System32undll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
C:\PROGRA~1\FOXITR~1\FOXITR~2.EXE
D:\Downloads\HiJackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
F3 - REG:win.ini: load=C:\Users\Thomas\LOCALS~1\APPLIC~1\MICROS~1\mqtgsvc.exe
O1 - Hosts: ::1 localhost
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programmes\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programmes\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programmes\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinSys2] C:\Windows\system32\startup.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programmmes\Utilitaires\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKLM\..\Policies\Explorer\Run: [CmSTP] C:\Users\Thomas\AppData\Roaming\cmstp.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [MstInit] C:\Windows\System\mstinit.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [rsvp] C:\Windows\System32\driverssvp.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [MqtgSVC] C:\Windows\mqtgsvc.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [ClipSrv] C:\Users\Thomas\AppData\Roaming\clipsrv.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Logman] C:\Users\Thomas\LOCALS~1\APPLIC~1\logman.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Mstsc] C:\Users\Thomas\LOCALS~1\APPLIC~1\MICROS~1\mstsc.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [DllHst] C:\Users\Thomas\AppData\Roaming\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [Spool] C:\Users\Thomas\LOCALS~1\APPLIC~1\MICROS~1\spoolsv.exe /waitservice
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Cisvc] C:\Windows\System32\drivers\cisvc.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [MstInit] C:\Users\Thomas\AppData\Local\Temp\mstinit.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Cisvc] C:\Windows\System32\drivers\cisvc.exe /waitservice (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O13 - Gopher Prefix: 
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\Dongle USB Bluetooth\BTNtService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: PostgreSQL (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL\8.3\bin\pg_ctl.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

jacques.gache · Accepted Answer

bonjour, tu as de belle infection tu vas passer malwarebytes poster le rapport et un RSIT, pendant ce temps je vais demander la vaildation d'un script por OTM merci @+

1) fais un examen complet de ton pc avec malwarebytes  PS: près de 2h

Télécharge Malwarebytes' Anti-Malware: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

. sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
. enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. si le pare-feu demande l'autorisation  de se connecter pour malwarebytes, acceptes
. rend-toi dans l'onglet, Recherche
. Sélectionnes  Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc si il le fait pas lui même
. une fois redémarré  double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/



2) postes les rapports log.txt et info.txt de RSIT

• Télécharge Random's System Information Tool (RSIT) de Random/Random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.
* laisses le chois 1 month 
• Clique sur "Continue" à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

ps:Les rapports se trouvent à cet endroit:

C:\rsit\info.txt

C:\rsit\log.txt


Tutoriel pour t'aider




si le rapport ne passe pas sur le forum à cause de sa longeur envoie-le sur : http://www.cijoint.fr/index.php , 

fais parcourir recherche le rapport 

puis sélectionne le rapport en double cliquand dessus

et puis sur " cliquer ici pour déposer le fichier "

un lien bleu de cette forme va apparaitre :

Veuillez noter le lien ci-dessous qui vous permettra d'accéder à ce fichier. 
C'est ce même lien que vous devrez transmettre à vos correspondants
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt 

renvoie le lien tout frais dans ta prochaine reponse .

Utilisateur anonyme · Answer

Bonjour

Poste le rapport de ton antivirus stp merci.

Utilisateur anonyme · Answer

bonjour
infection Calac nommé par certains anti-virus

toma_f_1 · Answer

Malwarebytes' Anti-Malware

merci pour ton aide jacques.gache, le scan complet de Malwarebytes' Anti-Malware est en cours, je posterai tous les résultats en début de soirée (à la fin du scan).

toma_f_1 · Answer

=== Voici le log  du scan complet de Malwarebytes' Anti-Malware ===
la suite arrive dans les prochains posts...




Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3256
Windows 6.0.6001 Service Pack 1

29/11/2009 18:45:10
mbam-log-2009-11-29 (18-45-10).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 437820
Temps écoulé: 1 hour(s), 46 minute(s), 42 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 10
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\cmSTP (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\dllhst (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\cisvc (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\esent utl (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\rsvp (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\mqtgsvc (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\mstinit (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\spool (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\logman (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinSys2 (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\chat-land\chat-land.exe (Trojan.Hijacker) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{253AAA85-617B-4895-81C9-43E01C6D8543}\RP83\A0022525.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Thomas\AppData\Roaming\cmstp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Thomas\AppData\Roaming\dllhst3g.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\cisvc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\esentutl.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\rsvp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Thomas\Local Settings\Application Data\Microsoft\spoolsv.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\mqtgsvc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\system\mstinit.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Thomas\Local Settings\Application Data\logman.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\startup.exe (Trojan.Agent) -> Quarantined and deleted successfully.

toma_f_1 · Answer

=== Log.txt de RSIT ===

Logfile of random's system information tool 1.06 (written by random/random)
Run by Thomas at 2009-11-29 18:54:54
Microsoft® Windows Vista™ Professionnel  Service Pack 1
System drive C: has 7 GB (15%) free of 50 GB
Total RAM: 2046 MB (53% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:55:26, on 29/11/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
D:\Programmes\Java\jre6\bin\jusched.exe
C:\Users\Thomas\LOCALS~1\APPLIC~1\MICROS~1\mqtgsvc.exe
C:\Program Files\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Windows\System32undll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Windows\system32\wuauclt.exe
D:\Downloads\RSIT.exe
D:\Downloads\Thomas.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
F3 - REG:win.ini: load=C:\Users\Thomas\LOCALS~1\APPLIC~1\MICROS~1\mqtgsvc.exe
O1 - Hosts: ::1 localhost
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programmes\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programmes\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programmes\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programmmes\Utilitaires\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKLM\..\Policies\Explorer\Run: [ClipSrv] C:\Users\Thomas\AppData\Roaming\clipsrv.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Mstsc] C:\Users\Thomas\LOCALS~1\APPLIC~1\MICROS~1\mstsc.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\Users\Thomas\AppData\Roaming\MICROS~1\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [CmSTP] C:\Windows\cmstp.exe /waitservice
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [SessMgr] C:\Windows\sessmgr.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [SessMgr] C:\Windows\sessmgr.exe /waitservice (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O13 - Gopher Prefix: 
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\Dongle USB Bluetooth\BTNtService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: PostgreSQL (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL\8.3\bin\pg_ctl.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

jacques.gache · Answer

bon tu peux poster le info.txt de RSIT merci, 

tu ouvre malwarebytes et tu vides la quarantaine je vais revenir pour la suite

toma_f_1 · Answer

le info .txt a été déposé sur "ci-joint" :

http://www.cijoint.fr/cjlink.php?file=cj200911/cijBsMPpDn.txt

toma_f_1 · Answer

ok, quarantaine vidée !

jacques.gache · Answer

ok on c'est croisé, tu vide la quarantaine de malwarebytes et  tu passes en attendant usbfix option 2, je reviens avec la suite 

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


• Telecharges et installes: https://www.ionos.fr/?affiliate_id=77097 de C_XX & Chiquitine29


 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


• Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

• choisi l'option 2 ( Suppression )

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Pendant son nettoyage, l'outil a récolté certains fichiers infectieux.
Nous vous demandons de nous les faire parvenir pour des futures mises à jour, ainsi que pour un meilleur traitement des infections.
Nous vous remercions pour votre contribution.


.UsbFix te proposera d'uploader un dossier compressé à cette adresse :  https://www.ionos.fr/?affiliate_id=77097

Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

Merci d'avance pour ta contribution !!

toma_f_1 · Answer

aie, usbfix semble ne pas pouvoir fonctionner :

j'ai l'erreur : 'mode' n'est pas reconnu en tant que commande interne ou externe, un programme exécutable ou un fichier de commandes

"unsupported version", pourtant j'utilise Vista

capture d'écran : 

http://www.cijoint.fr/cjlink.php?file=cj200911/cijW8BXHwH.jpg

jacques.gache · Answer

bonjour ton vista est bien une version légal ?? tu le lance bien avec un clique droit et en tant que admininstrateur ,, 

je mange et je reviens !!

toma_f_1 · Answer

j'ai essayé, "executer en tant qu'administrateur" : même problème.

oui mon vista est légal, c'est la version Professional, je l'ai eu gratuit en tant qu'étudiant, via le site msdnaa (l'offre de MS pour les étudiants) mais je pense pas que cela change quelque chose, ca reste vista.

il n'y a pas un autre logiciel similaire à usbfix sinon ?

bon app ;

toma_f_1 · Answer

OK, j'ai pu corriger le problème, j'avais fais une boulette sur les "variables d'environnement" de windows, j'ai pu le corriger, je suis en train de'executer usbfix

jacques.gache · Answer

ok, fais usbifix si je te demandais si ton vista était légal c'est que certain outil on un disfonctionnement fasse à un OS pas claire !!!
-----
 Perso je ne sais peut être pas grand chose, mais si le peu que je sais p­eut aider et bien, 
 je veux bien le partager avec toi  !!

toma_f_1 · Answer

c'est l'utilisateur qui est pas clair dans mon cas !

ok le scan de usbfix s'est bien passé,

what else ?

jacques.gache · Answer

bon si tu avais le rapport de usbfix !! je suis en train de de concocter la suite !!

toma_f_1 · Answer

############################## | UsbFix V6.058 |

User : Thomas (Administrateurs) # PC-DE-THOMAS
Update on 26/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:28:06 | 29/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com



Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled



############################## | Processus actifs |

C:\Windows\System32\smss.exe 496
C:\Windows\system32\csrss.exe 564
C:\Windows\System32\wininit.exe 616
C:\Windows\system32\csrss.exe 628
C:\Windows\system32\services.exe 660
C:\Windows\system32\lsass.exe 672
C:\Windows\system32\lsm.exe 684
C:\Windows\System32\winlogon.exe 840
C:\Windows\system32\svchost.exe 860
C:\Windows\system32
vvsvc.exe 928
C:\Windows\system32\svchost.exe 956
C:\Windows\system32\Ati2evxx.exe 1056
C:\Windows\System32\svchost.exe 1072
C:\Windows\System32\svchost.exe 1100
C:\Windows\system32\svchost.exe 1112
C:\Windows\system32\svchost.exe 1232
C:\Windows\system32\SLsvc.exe 1272
C:\Windows\system32\svchost.exe 1336
C:\Windows\System32\LogonUI.exe 1388
C:\Windows\system32\svchost.exe 1524
C:\Windows\system32\Ati2evxx.exe 1564
C:\Windows\system32\Ati2evxx.exe 1584
C:\Windows\system32undll32.exe 1612
C:\Windows\System32\spoolsv.exe 1900
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1924
C:\Windows\system32\svchost.exe 1936
C:\Windows\system32\userinit.exe 312
C:\Windows\System32	askeng.exe 388
C:\Windows\system32\Dwm.exe 332
C:\Windows\Explorer.EXE 1088
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1264
C:\Windows\system32\svchost.exe 1448
C:\Program Files\Dongle USB Bluetooth\BTNtService.exe 1572
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe 1740
C:\Windows\system32\inetsrv\inetinfo.exe 300
c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe 2164
c:\Program Files\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe 2272
C:\Windows\system32unonce.exe 2384
C:\Windows\system32\PnkBstrA.exe 2408
C:\Windows\system32\PnkBstrB.exe 2440
C:\Windows\system32\svchost.exe 2468
C:\Windows\System32	cpsvcs.exe 2484
C:\Windows\System32	askeng.exe 2508
c:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe 2540
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe 2552
C:\Windows\system32\svchost.exe 2636
C:\Windows\system32\svchost.exe 2664
C:\Windows\System32\svchost.exe 2704
C:\Windows\system32\SearchIndexer.exe 2744
C:\Windows\system32\conime.exe 3064
C:\Windows\system32\WUDFHost.exe 3216

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\Users\Thomas\AppData\Local\Temp\mstinit.exe 
Non supprimé ! F:\autorun.inf 
Supprimé ! H:\autorun.inf 

################## | Registre # Clés infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{25070edc-4137-11dd-8f4f-00030d000001}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{8fd13d57-ed18-11dc-8794-806e6f6e6963}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[18/09/2006 22:43|--a------|24] C:\autoexec.bat 
[13/01/2008 21:24|---hs----|216] C:\Boot.BAK 
[08/03/2008 15:03|-rahs----|360] C:\Boot.ini.saved 
[02/03/2006 13:00|-rahs----|4952] C:\Bootfont.bin 
[19/01/2008 08:45|-rahs----|333203] C:\bootmgr 
[08/03/2008 15:03|-ra-s----|8192] C:\BOOTSECT.BAK 
[18/09/2006 22:43|--a------|10] C:\config.sys 
[20/02/2007 15:30|-rahs----|0] C:\IO.SYS 
[20/02/2007 15:30|-rahs----|0] C:\MSDOS.SYS 
[02/03/2006 13:00|-rahs----|47564] C:\NTDETECT.COM 
[02/03/2006 13:00|-rahs----|251712] C:
tldr 
[?|?|?] C:\pagefile.sys 
[22/10/2009 00:02|--a------|3508570112] C:\SQLFULL_FRA.iso.dlm 
[29/11/2009 19:22|--a------|1364348] C:\UsbFix(2).exe 
[29/11/2009 20:31|--a------|3819] C:\UsbFix.txt 
[22/10/2009 01:31|--a------|3788183552] C:\VS2008ProEdition90DayTrialFRAX1435985.iso 
[28/10/2009 23:07|--a------|120] D:\.asadminpass 
[28/10/2009 23:06|--a------|1589] D:\.asadmintruststore 
[28/10/2009 23:02|--a------|0] D:\.javafx_eula_accepted 
[18/11/2007 19:45|--ahs----|85] D:\desktop.ini 
[15/07/2009 08:52|--a------|65536] D:\Digital_Jockey.bin 
[07/03/2008 20:09|--a------|395] D:\Mes dossiers de partage.lnk 
[19/03/2009 22:49|--a------|419] D:\processmining.ini 
[19/03/2009 22:49|--a------|453] D:\ProM execution log.zip 
[19/03/2009 22:49|--a------|28733] D:\ProM_messages.txt 
[19/03/2009 22:48|--a------|0] D:	est_messages.txt 
[30/10/2008 00:24|--a------|732766208] D:\ubuntu-8.10-desktop-i386.iso 
[14/11/2009 00:53|--a------|13770728] E:\PROVISTA32.exe 
[26/01/2008 18:52|--a------|186362] E:\SQLDumper.exe 
[01/04/2008 12:01|-r-------|19942] F:\attack.ico 
[16/07/2008 11:19|-r-------|1036288] F:\autoRun.exe 
[20/06/2008 11:05|-r-------|46] F:\autorun.inf 
[30/06/2008 17:27|-r-------|18432] F:\CustomBackgroundPlugin.dll 
[30/06/2008 17:27|-r-------|22528] F:\CustomButtonPlugin.dll 
[17/06/2008 11:42|-r-------|1581056] F:\QtCore4.dll 
[20/02/2008 04:44|-r-------|1622016] F:\QtDesigner4.dll 
[20/02/2008 04:28|-r-------|6434816] F:\QtGui4.dll 
[20/02/2008 04:32|-r-------|557056] F:\QtScript4.dll 
[20/02/2008 04:14|-r-------|356352] F:\QtXml4.dll 
[11/10/2009 19:49|--a------|54749] H:\ComboBox_demo.zip 
[11/10/2009 20:33|--a------|126053] H:\ASPNET_ComboBoxv1.51.rar 
[16/10/2009 20:33|--a------|2710338] H:\IHM Base Process (WEB).zip 
[01/11/2009 22:31|--a------|3229956] H:\IHM Base Process (WEB)MAJ.zip 
[04/11/2009 22:39|--a------|4710] H:\smilingFolder.ico 
[?|?|?] H:\EA DATA. SF 
[05/12/2008 20:13|---h-----|2659328] H:\~WRL2653.tmp 
[05/12/2008 20:15|---h-----|2660864] H:\~WRL3297.tmp 
[05/12/2008 20:23|---h-----|2662912] H:\~WRL0258.tmp 
[05/12/2008 20:27|---h-----|2668544] H:\~WRL2046.tmp 
[05/12/2008 20:29|---h-----|1409536] H:\~WRL0244.tmp 
[05/12/2008 20:29|---h-----|1409536] H:\~WRL3947.tmp 
[05/12/2008 20:34|---h-----|1412096] H:\~WRL3942.tmp 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# D:\autorun.inf -> Dossier créé par UsbFix.  
# E:\autorun.inf -> Dossier créé par UsbFix.  
# H:\autorun.inf -> Dossier créé par UsbFix.  

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |

"C:\Program Files\Java\jdk1.6.0_11\bin\serialver.exe"  
06/01/2009 22:07 |Size 26624 |Crc32 d75e7977 |Md5 d659f0b373ca2ae478fc1d082664cea0  
 
"C:\Users\Public\Downloads\eMule\Incoming\Atomix Virtual Dj 5.7\Atomix Virtual DJ 5.7+ crack+ 38 skins+ 109 effects +123 samples\Atomix Virtual DJ 5.7 + crack + 38 skins + 109 effects + 123 samples\virtualdj.exe"  
22/11/2005 18:52 |Size 13352523 |Crc32 71b9e2e0 |Md5 e7995c41c62e5dc16a1d1e8c2cda2f86  
 
"C:\Users\Public\Downloads\eMule\Incoming\Atomix Virtual Dj 5.7 (2008) Crack 38 Skins 109 Effects 123 Samples\Atomix Virtual DJ 5.7+ crack+ 38 skins+ 109 effects +123 samples\Atomix Virtual DJ 5.7 + crack + 38 skins + 109 effects + 123 samples\virtualdj.exe"  
22/11/2005 18:52 |Size 13352523 |Crc32 71b9e2e0 |Md5 e7995c41c62e5dc16a1d1e8c2cda2f86  
 
"C:\Users\Thomas\AppData\Local\Temp\OraInstall2009-03-13_08-12-04PM\jdk\bin\serialver.exe"  
28/02/2007 18:58 |Size 53373 |Crc32 8013e950 |Md5 2126360ab3ebc6eb1d386ee6f56fa530  
 
"D:\Crack, Serial, Patch\BF 2142\BF2142_Update_1.10.exe"  
15/01/2007 19:04 |Size 34350940 |Crc32 1baca140 |Md5 b30b1c514f78279a1121f818e2b9a186  
 
"D:\Crack, Serial, Patch\BF 2142\battlefield_2142_Update_1.40.exe\battlefield_2142_patch_1-25.exe"  
09/09/2007 06:23 |Size 301782093 |Crc32 07e39b71 |Md5 4c7a3062eb2a6ad96ee774c47b170248  
 
"D:\Crack, Serial, Patch\BF 2142\battlefield_2142_Update_1.40.exe\battlefield_2142_Update_1.40.exe"  
17/11/2007 15:30 |Size 62266969 |Crc32 64123a33 |Md5 c5706d50b55de59eb6d18ec740b50f2c  
 
"D:\Crack, Serial, Patch\Civ 4\civilization_4_patch_v1.09_fran_ais_18048.exe"  
19/10/2006 21:45 |Size 24834449 |Crc32 17993445 |Md5 49a982ee75b9460ebdc538fde9ba4e96  
 
"D:\Crack, Serial, Patch\Sims 2\Crack_Sims2.exe"  
25/09/2004 21:37 |Size 661343 |Crc32 5df1677e |Md5 de928491932b72e9fccd20fb358249b9  
 
"D:\Downloads\Native.Instruments.Traktor.Pro.v1.2.1-UNION\files\u-tsp121\crack\Traktor.exe"  
08/09/2009 13:11 |Size 16114504 |Crc32 905647d2 |Md5 a1a20ffd991130871eb83a2eb9075eea  
 
"D:\Crack, Serial, Patch\Civ 4\civilization_iv_patch_v1.61_multi-langues_19634.zip"
-> Contain : Civ4Patch1.61.exe 

"C:\Users\Public\Downloads\eMule\Incoming\Atomix Virtual Dj 5.7 (2008) Crack 38 Skins 109 Effects 123 Samples.rar" 
-> contain :  Atomix Virtual DJ 5.7+ crack+ 38 skins+ 109 effects +123 samples\Atomix Virtual DJ 5.7 + crack + 38 skins + 109 effects + 123 samples\virtualdj.exe

"D:\Crack, Serial, Patch\GTR2 Crack No-cd OK.rar" 
-> contain :  Crack\GTR2.exe

"D:\Crack, Serial, Patch\GTR2 Crack No-cd OK.rar" 
-> contain :  Just extract to your GTR2 folder and replace the .exe file.txt

"D:\Crack, Serial, Patch\NOCD_Sims2_Mode_Construction.rar" 
-> contain :  Crack_Sims2.exe

"D:\Crack, Serial, Patch\Rainbow_Six_Vegas crack (le + pop, maybe V1.00) .rar" 
-> contain :  Tom_Clancys_Rainbow_Six_Vegas_CRACK_ONLY-iND\R6Vegas_Game.exe

"D:\Crack, Serial, Patch\BF 2\Battlefield 2 1.4 No CD crack BF2 [Razor 1911].rar" 
-> contain :  BF2.exe

"D:\Crack, Serial, Patch\BF 2\Battlefield 2 NOCD - Crack.rar" 
-> contain :  BF2.exe

"D:\Crack, Serial, Patch\Civ 4\Civilization 4 1.61.Cracked-iND.rar" 
-> contain :  Civilization4.exe

"D:\Crack, Serial, Patch\Company of heroes\Company of Heroes - Opposing Fronts v2.101 Multillanguage.rar" 
-> contain :  [Crack] Company of Heroes - Opposing Fronts v2.101 Multillanguage\RelicCOH.exe

"D:\Documents\Cours\M1 SIIO\Macromedia Dreamweaver 8 FR + Keygen.rar" 
-> contain :  Macromedia Studio 8.0 - Keygen.exe

"D:\Documents\Cours\M1 SIIO\Macromedia Dreamweaver 8 FR + Keygen.rar" 
-> contain :  Dreamweaver 8.exe


################## | Upload | 

Veuillez envoyer le fichier : D:\Desktop\UsbFix_Upload_Me_PC-de-Thomas.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.058 ! |

toma_f_1 · Answer

log mis sur cijoint

http://www.cijoint.fr/cjlink.php?file=cj200911/cijZkhqzCn.txt

jacques.gache · Answer

bon tu vas faire se qui suit , fixer les lignes avec hijackthis faire OTM mais tu vas faire cela en mode sans echec pour être sur que aucun processus actif nous bloque cela.
une fois fais et redémarrer tu passeras ccleaner et tu posteras un nouveau log.txt RSIT

donc tu télécharges OTM sur ton bureau avant de passer en mode sans echec http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/


donc tu copies dans le bloc notes la procédure car pas de connection internet en mode sans echec

tu cliques droit sur ton bureau " dans un endroit vide " 
et sur nouveau tu choisis document texte
un bloc notes est présent sur ton bureau, 
tu l'ouvres et tu colles dedans ce qui suit en gras entre les lignes comme cela tu pourras une fois en mode sans echec suivre et faire ce qu'il faut 

  

1) Fixer les lignes avec hijackthis



 __________________________________________________________________________________

F3 - REG:win.ini: load=C:\Users\Thomas\LOCALS~1\APPLIC~1\MICROS~1\mqtgsvc.exe
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Policies\Explorer\Run: [ClipSrv] C:\Users\Thomas\AppData\Roaming\clipsrv.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Mstsc] C:\Users\Thomas\LOCALS~1\APPLIC~1\MICROS~1\mstsc.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\Users\Thomas\AppData\Roaming\MICROS~1\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [CmSTP] C:\Windows\cmstp.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [SessMgr] C:\Windows\sessmgr.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [SessMgr] C:\Windows\sessmgr.exe /waitservice (User 'Default user')

____________________________________________________________________________________










2) pour OTM


__________________________________________________________________________________________

:services
FTRTSVC

:files
c:\users	homas\locals~1\applic~1\micros~1\mqtgsvc.exe
c:\windows\system32\startup.exe
C:\Users\Thomas\AppData\Roaming\cmstp.exe
C:\Windows\System\mstinit.exe
C:\Windows\System32\driverssvp.exe 
C:\Windows\mqtgsvc.exe
C:\Users\Thomas\AppData\Roaming\clipsrv.exe
C:\Users\Thomas\LOCALS~1\APPLIC~1\logman.exe
C:\Users\Thomas\LOCALS~1\APPLIC~1\MICROS~1\mstsc.exe
C:\Users\Thomas\AppData\Roaming\dllhst3g.exe
C:\Users\Thomas\LOCALS~1\APPLIC~1\MICROS~1\spoolsv.exe
C:\Windows\System32\drivers\cisvc.exe
C:\Windows\sessmgr.exe
C:\Windows\cmstp.exe
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WinSys2"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 
"CmSTP"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 
"ClipSrv"=-
"DllHst"=-
"Mstsc"=-

:commands
[emptytemp]
[Reboot]


__________________________________________________________________________________________


tu fermes le document texte en acceptant les modifications

tu redémarres en mode sans echec en suivant la procédure " attention pas de connection donc si tu as un doute sur la procédure pour hijackthis et OTM tu la copies ou tu la mets dans un document texte sur ton bureau pour la suivre 


pour redémarrer en mode sans échec : /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 
 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

.Cliques sur Démarrer
.Cliques sur Arrêter
.Sélectionnes Redémarrer et au redémarrage
.Appuis sur la touche F8 ou F5 celon les marques de pc sans discontinuer "1 appuis seconde" dès qu'un écran de texte apparaît puis disparaît
.Utilises les touches de direction pour sélectionner mode sans échec
.puis appuis sur ENTRÉE
.Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre
une fois démarré ne t'inquiette pas si les couleurs et les icônes ne sont pas comme d'abitude 

tuto:http://www.vista-xp.fr/forum/topic93.html




 une fois en mode sans echec 

1) .Lances HijackThis 
.Cliques sur "Do a system scan only" 
.Tu coches les lignes  que tu as mis dans le bloc notes fixer les lignes avec hijackthis


.Tu cliques sur "Fix Checked" 
.Tu fermes HijackThis 



et puis tu fais OTM


 fais un clic droit sur le fichier OTM.exe puis choisir Exécuter en tant qu'administrateur

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve dans le bloc notes sur ton bureau pour OTM

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

si il ne redémarre pas de lui même fais le 

et Postes le rapport situé dans C:\_OTM\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .




une fois fait et redémarré tu passes ccleaner avec les réglages donnés



télécharges Ccleaner à partir de cette adresses

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/


.enregistres le sur le bureau
.double-cliques sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur intaller
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.cochesla première case vieilles données du perfetch que celle-la 
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vériffis en relancant  rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé  tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner

pour aider si besion tutoriel: https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

ou plus ici: http://www.lescofofides.fr/forum/viewtopic.php?f=30&t=96



ET puis tu relances RSIT et tu postes le nouveau log.txt, merci

toma_f_1 · Answer

voici le log OTM ,

par contre je me demande si j'ai pas fais une connerie :

au lieu de faire les étapes hijackthis et OTM d'une traite en mode sans echec j'ai fait :

mode sans echec ON
hijackthis avec fix des 9 lignes
redemmarer en mode normal (car comme un boulet j'avais pas télécharger OTM)
redemarrer en mode sans echec
OTM
redemarrer

c bon quand même ?

All processes killed
========== SERVICES/DRIVERS ==========
Service FTRTSVC stopped successfully!
Service FTRTSVC deleted successfully!
========== FILES ==========
c:\users	homas\locals~1\applic~1\micros~1\mqtgsvc.exe moved successfully.
File/Folder c:\windows\system32\startup.exe not found.
File/Folder C:\Users\Thomas\AppData\Roaming\cmstp.exe not found.
File/Folder C:\Windows\System\mstinit.exe not found.
File/Folder C:\Windows\System32\driverssvp.exe not found.
File/Folder C:\Windows\mqtgsvc.exe not found.
C:\Users\Thomas\AppData\Roaming\clipsrv.exe moved successfully.
File/Folder C:\Users\Thomas\LOCALS~1\APPLIC~1\logman.exe not found.
C:\Users\Thomas\LOCALS~1\APPLIC~1\MICROS~1\mstsc.exe moved successfully.
File/Folder C:\Users\Thomas\AppData\Roaming\dllhst3g.exe not found.
File/Folder C:\Users\Thomas\LOCALS~1\APPLIC~1\MICROS~1\spoolsv.exe not found.
File/Folder C:\Windows\System32\drivers\cisvc.exe not found.
C:\Windows\sessmgr.exe moved successfully.
C:\Windows\cmstp.exe moved successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinSys2 not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\CmSTP not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ClipSrv not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\DllHst not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Mstsc not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: postgre
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Public
 
User: Thomas
->Temp folder emptied: 792687356 bytes
->Temporary Internet Files folder emptied: 28135485 bytes
->Java cache emptied: 52801782 bytes
->FireFox cache emptied: 66902657 bytes
->Google Chrome cache emptied: 108066148 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 24 bytes
%systemroot%\System32 .tmp files removed: 1610800 bytes
Windows Temp folder emptied: 15135625 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 280908 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 1016,32 mb
 
 
OTM by OldTimer - Version 3.1.2.0 log created on 11292009_221239

jacques.gache · Answer

par contre je me demande si j'ai pas fais une connerie : 

au lieu de faire les étapes hijackthis et OTM d'une traite en mode sans echec j'ai fait : 

mode sans echec ON 
hijackthis avec fix des 9 lignes 
redemmarer en mode normal (car comme un boulet j'avais pas télécharger OTM) 
redemarrer en mode sans echec 
OTM 
redemarrer 

je pense pas que cela est une influence sur le résultat ?? 
 
tu passes ccleaner et tu postes le RSIT

toma_f_1 · Answer

ccleaner passé, log rsit : 

Logfile of random's system information tool 1.06 (written by random/random)
Run by Thomas at 2009-11-29 22:34:31
Microsoft® Windows Vista™ Professionnel  Service Pack 1
System drive C: has 9 GB (17%) free of 50 GB
Total RAM: 2046 MB (58% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:34:59, on 29/11/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\Windows\System32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
D:\Programmes\Java\jre6\bin\jusched.exe
C:\Program Files\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Windows\System32undll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\SearchFilterHost.exe
D:\Downloads\RSIT.exe
D:\Downloads\Thomas.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O1 - Hosts: ::1 localhost
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programmes\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programmes\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programmes\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programmmes\Utilitaires\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [MqtgSVC] C:\Users\Thomas\AppData\Roaming\MICROS~1\mqtgsvc.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [MqtgSVC] C:\Users\Thomas\AppData\Roaming\MICROS~1\mqtgsvc.exe /waitservice (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O13 - Gopher Prefix: 
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\Dongle USB Bluetooth\BTNtService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: PostgreSQL (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL\8.3\bin\pg_ctl.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

jacques.gache · Answer

bon il y encore ces 2 lignes O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [MqtgSVC] C:\Users\Thomas\AppData\Roaming\MICROS~1\mqtgsvc.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [MqtgSVC] C:\Users\Thomas\AppData\Roaming\MICROS~1\mqtgsvc.exe /waitservice (User 'Default user')
  je ne m'explique pas leur présence , tu vas dans un premier temps passer combofix mais pour contrer certaine infection je l'ai renommé en waitservice

tu ne touches pas le pc pendant qu'il travail sauf pour répondre quand il te le demande, si tu suis bien la procédure et que tu prends le temps de regarder le tutoriel officiels il n'y a pas de raison pour qu'il y est un problème !!! lol !!



Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection): 

- Va dans démarrer puis panneau de configuration 
- Double Clique sur l'icône "Comptes d'utilisateurs" 
- Clique ensuite sur désactiver et valide. 


Tutoriel officiel prends le temps de le regarder : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Supprimes éventuellement toute ancienne version de ComboFix de ton PC 

Télécharge Combofix.exe de sUBs renommé en waitservice sur ton Bureau:

http://sd-1.archive-host.com/membres/up/89820622056365782/waitservice.exe

 Déconnectes toi d'internet et désactives ton antivirus et toutes protection résidente, pour que Combofix puisse s'exécuter normalement. 


double-clique sur combofix.exe ou plutôt  waitservice et suis les instructions 

à la fin, il va produire un rapport C:\ComboFix.txt 

réactive ton parefeu, ton antivirus, la garde de ton antispyware 

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Tu as un tutoriel complet ici : 

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

toma_f_1 · Answer

désolé de pas avoir répondu j'étais sur autre chose.

je vais me coucher, je continu demain matin, je posterai les résultats. 

un grande MERCI à toi pour tes conseils, ton courage et ta patience, j'espere pouvoir t'aider en retour.

a demain bonne nuit.

jacques.gache · Answer

ok bonne nuit je vais faire de même car boulot dans 7h

toma_f_1 · Answer

finalement ...

log combofix : 

http://www.cijoint.fr/cjlink.php?file=cj200911/cijlYk60ZD.txt

jacques.gache · Answer

bonjour, bon combo a supprimé des choses  et ce qui était dans le dernier RSIT c:\users\Thomas\AppData\Roaming\Microsoft\mqtgsvc.exe

comment va ton pc ???

j'ai anthony5151 qui est passer voir le combo et me fais la remarque qu'il y a encore cela c:\users\Thomas\AppData\Roaming\ieudinit.exe.vir 
c:\windows\clipsrv.exe 
c:\users\Thomas\AppData\Local\esentutl.exe.vir 

je vais lui demander de te faire un script pour combofix car perso je ne le maîtrise pas

toma_f_1 · Answer

ben mon PC a l'air d'aller plutôt bien ! 

en tout cas mon antivirus me signalait régulièrement la présence d'un cheval de troie maintenant cela à l'air réglé.

et tout est stable.

jacques.gache · Answer

ok mais je vais attendre la confirmation de anthony5151 qui si lui me dit il y  cela qu'il faut supprimer , je sais qu'il a raison donc en attendant tu ne touche pas au programmes installer on verra d'après anthony , merci

toma_f_1 · Answer

ok pas de souci

jacques.gache · Answer

bonjour, anthony 5151 vient de me donner par MP la suite tu fais comme expliqué , Merci quand il dit combofix pour toi c'est waitservice @+

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour tom_f_1, il n'est pas transposable sur un autre ordinateur ! 

• Télécharge ce dossier tom_f_1.zip
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination 
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau. 

• Désactive tes logiciels de protection 
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien) 
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
• Si le fichier ne s'ouvre pas, il se trouve ici &#8594; C:\ComboFix.txt

toma_f_1 · Answer

le scan s'est bien passé.

log : http://www.cijoint.fr/cjlink.php?file=cj200911/cij51HcLd8.txt

jacques.gache · Answer

bonjour, anthony5151 viens de me dire que c'était bon peux tu poster un hijackthis pour voir si plus de lignes superflus , Merci

toma_f_1 · Answer

voici le log

http://www.cijoint.fr/cj200912/cij5cFhzhi.txt

jacques.gache · Answer

bon tu vas faire ce qui suit et normalement plus de problème , merci à anthony5151 pour le script combofix !!

1) Fixer les lignes

.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux 
.Lances HijackThis 
.Cliques sur "Do a system scan only" 
.Tu coches les lignes suivantes : 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - Startup: Courrier électronique - Raccourci.lnk = ?


.Tu cliques sur "Fix Checked" 
.Tu fermes HijackThis 

des expliquations en images : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm




2) désinstalles tout les outils utilisés avec toollscleaner2 lui tu le supprimeras manuellement de sur ton bureau

Télécharge toolscleaner sur ton Bureau :  http://bibou0007.com/outils-specifiques-f78/tutorial-toolscleaner-2-t375.htm

si le lien ne marche pas essais avec celui ci  https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

. Double-cliques sur ToolsCleaner2.bat et laisse le travailler 
. Cliques sur Recherche et laisse le scan se terminer. 
. Cliques sur Suppression pour finaliser. 
. Tu peux, si tu le souhaites, te servir des Options facultatives. 
. Clique sur Quitter, pour que le rapport puisse se créer. 
. Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse



3) redamarres ton pc et passes ccleaner sur le registre

et si plus de problème, il nous resteras la restauration système qu'il faudra purger

toma_f_1 · Answer

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Qoobox: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\Windows\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Combofix.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Windows\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !

je fat maintenant l'étape 3

toma_f_1 · Answer

ok c'est fait , y a juste un truc qui veux pas partir : 

Extension de fichiers inutilisé | {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} |   HKCr {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

à chauqe fois l'erreur revient, j'ai aussi essayer clic droit puis ouvrir dans l'éditeur de registre afin de le supprimer mais une "erreur se produit lors de la suppression"

jacques.gache · Answer

pas inquiettant si tu utilises ccleaner tu la verras toujours cette clé est lié à antivir qui est ton antivirus

toma_f_1 · Answer

ok merci pour l'explication,

peux tu m'expliquer comment fairer : "il nous resteras la restauration système qu'il faudra purger " stp

jacques.gache · Answer

oui je vais te donné pour la restauration système, et si tu veux j'était parti voir comment mettre en exclusion dans ccleaner la clés de antivir comme cela il te la mettra plus , si cela t'intéresse je de dirais , je te conseillerais de conserver et d'utiliser régulièrement ccleaner , tout comme malwarebytes que tu utiliseras régulièrement mais toujours faire la mise à jour avnt de le lancer !!

tu vérifiras la mise à jour de Java , pour cela tu vas dans panneau de configuration, tu ouvres java "la tasse de cafè" , cliques sur l'onglet mise à jour  et en bas de la page mettre à jour maintenant et tu suis les explications si mise à jour à faire.


et puis tu vas sur cette page et installe IE8  http://www.microsoft.com/downloads/details.aspx?FamilyID=79154fb4-c610-4a1e-811d-dfe0f1dd84d1&DisplayLang=fr
ou ici:
https://www.commentcamarche.net/telecharger/web-internet/12481-internet-explorer-9/

et puis installes le SP2 soit en allant sur windows update et faire les mises à jour pour ton pc ou ici :
https://www.commentcamarche.net/telecharger/utilitaires/24009-windows-vista-sp2/



Après une désinfection il est utile de supprimer tous les points de restauration système de façon à ne pas remonter, par mégarde, un point de restauration infecté. 

Pour cela, il faut désactiver la restauration système (ce qui aura pour conséquence de supprimer tous les points de restauration existants) puis la réactiver juste après pour que Windows continue à faire des points de sauvegarde réguliers. 


Dans Panneau de configuration/sytème, cliquez sur le lien Protection du système (sur la gauche de la fenêtre).

Sous Points de restauration automatiques

décochez toutes les cases dans la liste des disques disponibles.

Ceci afin de désactiver la fonction de restauration du système.

Vista va vous demander confirmation pour cette opération.

Confirmez en cliquant sur le bouton Désactiver la restauration du système. 

Tous les points de restauration système existants seront supprimés.

Cliquez sur OK pour fermer la fenêtre.


Cliquez de nouveau sur Protection du système, 

recochez toutes les cases dans la liste des disques disponibles puis cliquez sur OK.

Ceci aura pour conséquence de remettre la restauration système en fonction.

Vous pourrez alors, créer un point de restauration tout neuf en cliquant sur le bouton Créer. 

Le système se chargera ensuite de créer les autres à intervalles réguliers.


source: http://www.vista-xp.fr/forum/topic243.html

toma_f_1 · Answer

tiens je savais pas qu'il y avais un SP2.

téléchargement en cours :)

jacques.gache · Answer

ok mais je trouve bizare que windows update ne te l'ai pas proposé avec les mise à jour ?? tes mises à jour sont bien activé sur automatique ??

toma_f_1 · Answer

ok j'ai pu mettre tout à jour et créer un point de restauration.

je n'ai jamais utilisé cette fonctionnalité. Est-ce que si mon pc est de nouveau vérolé je n'aurais qu' à faire une "restauration du systême pour corriger le problème? Mes fichiers et programmes crées depuis aujourd'hui seront-ils perdus ?

jacques.gache · Answer

bonjour, coches ton sujet en résolu si plus de problèmes !! merci

 si tu as un problème de disfonctionnement ou autre la première parade est la restauration système " si l'infection ne la pas déactivé " cela te permet de revenir en arrière, mais windows créer des points de restauration automatiquement et régulièrement, il est même recommander de créer toi même un point de restauration avant toutes manipe ou toute installation,  ce qui veut dire que si tu utilises la restauration système dans 10 jours il ne sera pas forcément nécessaire de revenir à la date d'aujourd'hui car si tu sais que ton pc déconne que depuis 2 jours tu prends le point de restauration jsute avant le problème tu perds que ce qui as été installer sur le pc comme programmes , si tu as mis des photos depuis ton appareil numérique sur ton pc , celle ci reste dans tes images !! 

pour plus d'info http://www.forum-vista.net/forum/

toma_f_1 · Answer

Ok je te remercie infiniment pour tes conseils et ton aide. merci aussi à anthony pour le script Combofix.

félicitations à vous deux.

jacques.gache · Answer

ok moi aussi je te remercie pour avoir suivi à la lettre toutes nos demande et d'avoir passer les outils comme expliqué , cela n'est pas toujours le cas , donc je dirais merci à nous trois !!! lol !! @+

toma_f_1 · Answer

;) comme tu as l'air plutôt calé je t'ai fait confiance.

Besoin pro pour desinfection.(log hijackthis)

48 réponses

Discussions similaires

Newsletters