SOS Infections Bagle: antivirus bloqué etc... Résolu/Fermé

Question

Bonjour,

 Le virus "bagle" m'en fait voir depuis toutes les couleurs depuis plusieurs jours...toutes les aides que j'ai consulté me proposent tout un tas d'applications à installer pour scanner, supprimer et rédiger des rapports, mais le soucis c'est que le principe de ce virus (si c'est bien celui -ci) est d'empêcher toute installation de fichiers .exe ...   -->   message d'erreur -->> "l'application....n'est pas une application win32 valide..."
A partir de là je me sens un peu foutu!
Si quelqu'un a une idée...
Merci d'avance.

Mat

jacques.gache · Accepted Answer

clak3d bon comme personne n'est revenu , on va continuer la désinfection, vu les rapports de rsit tu passeras dans un premier temps ad-remover option L

et tu me diras ce que tu utilises comme anti-virus car la tu as du norton d'actif et avast et c'est pas bon pour le bon fonctionnement du pc !!

• Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

https://www.androidworld.fr/

! Déconnecte toi et ferme toutes applications en cours ! 

• Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

• Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
• Au menu principal choisis l'option "L" et tape sur [entrée] .

• Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé sous C:\Ad-report-clean.log ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Utilisateur anonyme · Answer

bonsoir
Désactive l'UAC: controle de compte d'utilisateur

Clique sur le menu Démarrer puis sur Panneau de configuration , Comptes d'utilisateurs
Clique sur Activer ou désactiver le contrôle des comptes d'utilisateurs:
Une nouvelle fenêtre s'ouvre,décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur puis OK:
Une demande s'affiche si vous voulez redémarrer votre ordinateur, clique sur redémarrer maintenant

https://forums.cnetfrance.fr
 


&#9654; Télécharge FindyKill de Chiquitine29 sur ton bureau : 

http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe
Déconnecte toi et ferme toutes applications en cours 

• Double clique sur "Setup.exe" pour lancer l'installation avec les paramètres par par défaut . 
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)
• Clic droit sur FindyKill présent sur ton bureau, puis clique sur éxécuter en tant qu'administrateur
• Sélectionne l'option  F  pour le français, puis appuie sur la touche entrée 
• Sélectione l'option  1  (recherche), puis appuie sur la touche entrée 

&#9654; Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html

clak3d · Answer

Je ne peux pas lancer une application, même avec le contrôle des comptes utilisateurs désactivé...toujours le même message d'erreur (voir ci-dessus)

J'ai essayé bien évidement.

clak3d · Answer

Pareil, impossible d'installer, le même message d'erreur...


En fait les applications que je télécharge vont dans : ordinateur\c\windows\system32\config\systemeprofile\bureau

or mon chemin de destination habituel est : ordinateur\c\utilisateurs\mat\dekstop  (bureau)


et les fichiers .exe des applications que l'on me conseille d'installer pour scanner font tous 0ko dans le dossier    ordinateur\c\windows\system32\config\systemeprofile\bureau


Je ne comprend pas...

clak3d · Answer

ok merci...il fallait que ça tombe sur moi lol...Pour les fichiers, j'ai pris la précaution de les transférer sur ma partition :"D" qui est la deuxième ne contenant que des musiques et vidéos.Les fichiers système n'étant que sur le :"C"...
Est-ce suffisant ainsi ou  je dois tout transférer sur disque dur externe?

jacques.gache · Answer

bonjour, juste de passage, il aurait été bien de poster un RSIT pour y voir plus claire , mais bon la tu vires findykill de sur ton bureau et tu télécharges jacfind qui n'est que findykill renommé et tu essais de le lancer avec un clique droit et en tant que administrateur  http://sd-1.archive-host.com/membres/up/89820622056365782/jacfind.exe  mais perso fais directement l'option 2 et si problème tu le dis !! et on avisera

crapoulou · Answer

Bonsoir à vous, à consulter aussi :
https://forums.commentcamarche.net/forum/affich-15505716-sos-infections-bagle-antivirus-bloque-etc

jacques.gache · Answer

crapoulou bonjour, si pas possible car .exe bloqué , je pense que rKill et le téléchargement juste derrière de l'outil pourrais peut être permettre de passer !! mais si tu as une autre solution !!!

crapoulou · Answer

rkill éventuellement mais peut être que FYK renommé passera des fois...
gmer renommé, ... Il va bien en avoir un qui passera (renommé).

clak3d · Answer

Pareil avec jacfind, j'avais déja essayé de renommer le fichier.

jacques.gache · Answer

oui c'est ce que je me disais ou le télécharger et le lancer en mode sans echec des fois que après il puisse passer en normal une fois l'infection afaiblie

crapoulou · Answer

Ok pour le MSE mais vigilance !!!!

clak3d · Answer

En fait là je suis déjà dans Windows en mode sans échec.

crapoulou · Answer

Tu as bien l'UAC désactivé et lance les tools en tant qu'administrateur ?
ZHP Diag est passé la dernière fois sur un bagle corriace....
ZHPFix enchainé.

jacques.gache · Answer

En fait là je suis déjà dans Windows en mode sans échec.

 avec prise en charge du réseau !!  pourquoi le mode normal ne marche pas

moment de grace · Answer

bonsoir

si ca peut aider
https://forums.commentcamarche.net/forum/affich-15503479-virus-bagle#p15504691
post 4

clak3d · Answer

le mode normal?c'est aléatoire...il redémarre des fois, ça arrive...c'est pour ça que je reste en MSE

clak3d · Answer

Oui oui, l'UAC est désactivé et j'exécute en tant qu'administrateur.

jacques.gache · Answer

et même renommé il passe pas ??

clak3d · Answer

Oui, déjà testé.

clak3d · Answer

Mais je sais pas si vous avez lu plus haut mais une partie du probleme ne viendrait pas de là?  je reposte : 


"Pareil, impossible d'installer, le même message d'erreur...


En fait les applications que je télécharge vont dans : ordinateur\c\windows\system32\config\systemeprofile\bureau

or mon chemin de destination habituel est : ordinateur\c\utilisateurs\mat\dekstop (bureau)


et les fichiers .exe des applications que l'on me conseille d'installer pour scanner font tous 0ko dans le dossier ordinateur\c\windows\system32\config\systemeprofile\bureau


Je ne comprend pas..."

jacques.gache · Answer

bon tu vas essayer autrement tu vires findykill et jacfind de sur ton bureau tu vas passer rKill et tout de suite après sans redémarrer le pc et sans rien faire d'autre retélécharger jacfind et voir si tu arrive à le lancer

1) supprimes tout ce qui est findykill et jacjind de sur ton pc

2) passes rKill

téléchargez le fichier suivant dans votre bureau.

https://download.bleepingcomputer.com/grinler/rkill.com

Une fois qu'il est téléchargé, double-cliquez sur le rkill.com

patiente pendant qu'il travail.

Quand il a fini, la fenêtre noire va se fermer automatiquement

Ne redémarrez pas votre ordinateur 

3) retélécharges l'outil et lances le !! http://sd-1.archive-host.com/membres/up/89820622056365782/ja­cfind.exe
en tant que administrateur

jacques.gache · Answer

http://sd-1.archive-host.com/membres/up/89820622056365782/jacfind.exe  tu le prends ici

jacques.gache · Answer

bon moi dodo boulot dans 8h , clak3d tu fais comme expliqué dans le message 25 et tu télécharge jacfind depuis le message 27 !! bonne nuit à tous

Lyonnais92 · Answer

Salut,

si il est infecté par bagle, c'est une toute nouvelle variante, et qui innove totalement sur les anciennes : elle ne bloque plus le mode sans échec.

Oubliez Bagle ici.

Oubliez Virut.

===

pour tes téléchargements, vérifie ceci :

sous firefox, clique sur Outils puis Options et clique sur l'onglet Général.

Est ce que le bouton-radio devant "Toujours demander où enregistrer les fichiers " est cochée ?

Si non, coche la

==

Ensuite, est ce que ceci fonctionne :

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

clak3d · Answer

ça ne fonctionne pas pour la simple et bonne raison que je ne peux pas installer d'application , AUCUNE.

Lyonnais92 · Answer

Re,

as tu fait la vérification que j'ai demandé ?

Quand tu télécharges (avec l'option activée), as tu une fenêtre qui s'ouvre te demandant où et sous quel nom tu veux télécharger ?

clak3d · Answer

oui je l'ai faite...ça ne marche toujours pas...

Lyonnais92 · Answer

Re,

quand je pose une question, tu réponds à la question, ou bien tu vas te débrouiller tout seul.

Donc je repose ma dernière question :

Quand tu télécharges, as tu une fenêtre qui s'ouvre te demandant où et sous quel nom tu veux télécharger ? 


J'en pose une autre, as tu un autre ordi et une clé USB ?

clak3d · Answer

Je suis désolé, mais j'ai répondu à ta question...Bref, OUI, il y a une fenêtre, OUI elle me propose le nom et le lieu de destination, mais le fichier termine finalement dans le lieu cité plus haut  ( ordinateur\c\windows\system32\config\systemeprofile\bureau )


OUI j'ai une clé usb, mais malheureusement pas d'autre ordinateur.

Lyonnais92 · Answer

Re,

si tu choisis ta clé USB comme destination le fichier ne se créé pas dans la clé (toujours avec ZHPDiag ?

Tu as le même problème avec Internet Explorer ?

clak3d · Answer

Alors, le fichier reste bien dans la clé (enfin , là c'est un disque dur externe) mais il fait 0ko comme pour les autres  et affiche le même message d'erreur...

pour internet explorer, j'essaye de suite.

clak3d · Answer

alors, ça fonctionne avec internet explorer (j'aurai du y penser quand même...mais je ne l'utilise jamais ) .L'installation marche.
J'essaye tout ça et je te dis.

Lyonnais92 · Answer

Re,

pendant que les téléchargements fonctionnent, fais ces 2 là :

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.

hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.

7) Ferme MBAM (pour le moment).

===
télécharge ComboFix (par sUBs)

et enregistre le sur le Bureau.

Tu ne fais rien de plus avec Combofix sans que je te le demande.

==

Je vais aller dormir.

J'examinerai (j'espère) le rapport de ZHPDiag demain (enfin, au jour).

clak3d · Answer

http://www.cijoint.fr/cjlink.php?file=cj200912/cijfLADjW9.txt

clak3d · Answer

Le rapport de ZHPDiag ci-dessus.

clak3d · Answer

Par contre j'ai un soucis avec malwarebytes, il lance l'install et à la moitié de la jauge d'installation il m'indique le "code d'erreur 407"
Une fois l'installation terminé quand je veux ouvrir en cliquant sur le raccourcis, il me ré-indique le même message...j'ai désinstallé puis réinstallé mais toujours pareil.

Pour ComboFix, il attend sagement sur mon bureau...


Ciao

Lyonnais92 · Answer

Bonjour,

surprise, surprise,

tu es bel et bien infecté par Bagle. On va voir ce que va dire l'auteur de FindyKill.

Ton antiivirus est toujours bloqué ?

===

Ce n'était pas la peine de retélécharger MBAM qui se met à jour.

Tu peux supprimer le Combofix.exe que tu as téléchargé, Bagle l'a probablement shooté.

===

Bizarre que tu dises Le virus "bagle" m'en fait voir depuis toutes les couleurs depuis plusieurs jours. L'infection Bagle semble datée du 6 dec à 6h46.

Ton premier post date du 2 déc et tu avais déjà les symptômes.

D'ailleurs tu parles d'une "petite application" source de tes ennuis.

Tu as supprimé ce crack ? (et l'application installée)

===

On peut revenir au post 27 :

télécharge le fichier indiqué.

! Déconnecte-toi d'Internet et ferme toutes applications en cours.

• Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut.

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...).

• Double-clique sur le raccourci FindyKill qui est sur ton Bureau pour lancer l'outil.

• Au menu principal choisis l'option " F " pour français et tape sur [Entrée].

• Au second menu Choisis l'option " 1 " (Recherche) et tape sur [Entrée]

Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

===

Je ne reviens que ce soir.

J'espère qu'au moins un des autres intervenants fera avancer après tes réponses.

clak3d · Answer

Oui mon antivirus est entierement bloqué, encore hier je pouvais faire un scan disc même si ma protection residente ne fonctionnait pas.

J'ai essayé de lancer combofix pour verifier avant de supprimer (ne sait-on jamais?) et apparement il se lance...j'ai arrêté avant d'accepter les conditions mais ça a l'air bon, il n'est pas shooté.
Serais-je vraiment tombé sur une nouvelle race du bagle qui ne shoot que quand ça le chante et me laisse à peu près tranquille en MSE?   :-)

Pour la date de l'infection, c'est bizarre comme tu dis, car j'ai bien eu le début de mes soucis le 2...Et en m'étant renseigné sur le net à droite à gauche je me doutais fortement que c'était un bagle.Mais que le rapport indique le 6, là je ne peux pas te dire je pige pas...
Et donc cette "petite application" qui en est une puiqu'elle est gratuite (il me semble, vu ce qu'elle fait c'est surement le cas) que j'ai eu le malheur de telecharger par emule au lieu de mozilla, et ouais je cherchais des sous-tîtres alors la flème de changer de fenêtre lol...(je crois que je m'en voudrai de cette fleme)
Pour tout vous dire, cette application s'appelle "hotkey sound recorder" , c'est un utilitaire tout banal qui sert à enregistrer en wav ou mp3 tout ce qui passe par la carte son.J'en ai besoin donc vous connaissez la suite quand j'ai lancé le fichier .exe
D'ailleurs j'ai supprimé le dossier entier de incoming mais impossible de trouver le reste, j'ai pourtant cherché...
Après m'être rendu compte instantanément que l'appli avait mit du bordel (blocage d'avast et windows defender), j'ai tenté un point de restauration.Ce que je n'aurais pas du faire je pense.

Voila, vous savez tout.

clak3d · Answer

ok, je suis en train.

clak3d · Answer

Bon, le scan a planté à un peu plus de la moitié je crois...le pc, s'est éteint tout seul...
Je retente?

clak3d · Answer

oui

clak3d · Answer

J'ai une question :

Avec ce virus, y a-t-il danger pour mes données bancaires?

clak3d · Answer

oui
je le lance ou j'attend?

par contre je travaille de nuit donc à 20h15 je serai parti, je sais pas si je dois attendre...

Utilisateur anonyme · Answer

c'est pas un virus, c'est un ver informatique, pour les données bancaires, je ne sais pas

clak3d · Answer

sûrement je pense, vu que ce vers empeche mon antivirus de fonctionner, tout un tas de cheveaux de troie et autres espions peuvent se ballader tranquillement dans mon pc.

clak3d · Answer

non, j'attendais ta confirmation, vu que lyonnais92 m'avait dit de ne rien faire avec s'il n'était pas là...j'écoute les conseils des utilisateurs avertis...;-)  

Mais toi, tu peux peut être me guider  :-)  ...je le lance?

clak3d · Answer

ok, je ferme tout et branche tous mes disques amovibles?

je pense à ça,si jackfind a fait éteindre mon pc pendant le scan tout à l'heure, c'est possible que ça soit parceque je n'ai pas déconnecté internet?si c'est ça je peux retenter.

clak3d · Answer

mouais...je l'ai lancé, mon pc s'est redémarré.J'imagine que ce n'est pas la procédure normale.du coup ne sachant pas trop quoi faire je l'ai demarré en mode sans echec...me revoila au point 0.

clak3d · Answer

voila le rapport, ce coup-ci c'est passé.


http://www.cijoint.fr/cjlink.php?file=cj200912/cijf2NNSeC.txt

clak3d · Answer

je reviens dans 30minutes.

jacques.gache · Answer

bonjour, avec une collection comme cela ne sois pas surpris d'avoir des problème il serait bein de penser à supprimer cela 
################## | Cracks / Keygens / Serials |

"C:\Users\mat\Desktop\Nouveau dossier\divers omnisphere\Keygen.exe"  
07/10/2008 01:48 |Size 66336 |Crc32 6075973b |Md5 8c3e7857978287136cd002158e0eb17c  
 
"C:\Users\mat\Documents\Binverse\alt.binaries.cd.image\air-sod1kgn\Keygen.exe"  
07/10/2008 07:39 |Size 66336 |Crc32 6075973b |Md5 8c3e7857978287136cd002158e0eb17c  
 
"D:\bureau c    raccourcis et données\Nouveau dossier\divers omnisphere\Keygen.exe"  
07/10/2008 01:48 |Size 66336 |Crc32 6075973b |Md5 8c3e7857978287136cd002158e0eb17c  
 
"D:\matt divers\Sony Sound Forge v8.0 Full With\Additional Plugins\Sonic Foundry ExpressFX 1 v.1.0c (Build 212) [CRACK]\Setup.exe"  
16/03/2003 23:28 |Size 1647793 |Crc32 789bf8c0 |Md5 816ab53333f04ca85b1ee2fbbd8b50f1  
 
"D:\matt divers\Sony Sound Forge v8.0 Full With\Additional Plugins\Sonic Foundry ExpressFX 2 v.1.0c (Build 211) [CRACK]\Setup.exe"  
16/03/2003 23:32 |Size 1650987 |Crc32 509ec7fe |Md5 0f52aad76778a86e0a2142443155281b  
 
"D:\matt divers\Sony Sound Forge v8.0 Full With\Additional Plugins\Sonic Foundry MP3 Plugin v.2.0 [KEYGEN]\Keygen.exe"  
30/05/2001 00:51 |Size 44612 |Crc32 ed2ecb73 |Md5 18cce99be5464da27d0e3e90f12ed87d  
 
"D:\matt divers\Sony Sound Forge v8.0 Full With\Additional Plugins\Sonic Foundry Noise Reduction 2.0a\crack\damn_NoisePlugin_kg.exe"  
30/05/2001 00:50 |Size 44612 |Crc32 53d1ab5a |Md5 27e752df0ea7b8adb798ee125192f730  
 
"D:\matt divers\Sony Sound Forge v8.0 Full With\Additional Plugins\Sonic Foundry XFX 1 DirectX Plug-In [SERIAL]\Setup.exe"  
16/03/2003 23:39 |Size 1568123 |Crc32 90df082a |Md5 142779f8df35b52d15f4ddb221d658aa  
 
"D:\matt divers\Sony Sound Forge v8.0 Full With\Additional Plugins\Sonic Foundry XFX 2 DirectX Plug-In [SERIAL]\Setup.exe"  
16/03/2003 23:42 |Size 1619792 |Crc32 254d8334 |Md5 d50bbc0085dea4e17747ca4383e2eff7  
 
"D:\matt divers\Sony Sound Forge v8.0 Full With\Additional Plugins\Sonic Foundry XFX 3 DirectX Plug-In [SERIAL]\Setup.exe"  
16/03/2003 23:43 |Size 1535586 |Crc32 02b06d72 |Md5 29fecd4449acf2e024d360a04f2923e9  
 
"D:\matt divers\Sony Sound Forge v8.0 Full With\Best Plugins\Sound Forge Noise Reduction 2 w serial no keygen\uer_sfnr20a.exe"  
06/09/2000 08:13 |Size 18090 |Crc32 e435aa92 |Md5 3ebce0e73491d45e902212ff77c90dee  
 
"D:\matt divers\Sony Sound Forge v8.0 Full With\Sony Sound Forge v8.0 FULL with many plugins\Best Plugins\Sound Forge Noise Reduction 2 w serial no keygen\uer_sfnr20a.exe"  
06/09/2000 08:13 |Size 18090 |Crc32 e435aa92 |Md5 3ebce0e73491d45e902212ff77c90dee  
 
"D:\matt divers\Sony Sound Forge v8.0 Full With\Sound Forge Noise Reduction 2 w serial no keygen\uer_sfnr20a.exe"  
06/09/2000 08:13 |Size 18090 |Crc32 e435aa92 |Md5 3ebce0e73491d45e902212ff77c90dee  
 
"D:\matt divers\TOUS LES PLUGINS ET SAMPLESgcAudio z3ta+gcAudio z3ta+\crack\z3ta+.exe"  
21/11/2002 00:03 |Size 90112 |Crc32 421acdcc |Md5 6885cc74c1cf45bdb2c7f25bb295942c  
 
"D:\matt divers\TOUS LES PLUGINS ET SAMPLES\Sonic.Foundry.MPEG.MP3\Cracked\eatsfapc.exe"  
31/05/2003 00:00 |Size 3524166 |Crc32 a218cf06 |Md5 f7a8c49c4fa43566acad32de81c2313e  
 
"D:	ransfert incoming\apprentissage clavier\Typing Master 2003 v.6.21\keygen.exe"  
23/02/2003 23:18 |Size 20746 |Crc32 bcede33b |Md5 63dd0eb9ba4bc7f283ec4e76833ddd39  
 
"D:	ransfert incoming\SAMPLES, VST\VST\PSPaudioware.PSP.VintageWarmer.VST.DX.RTAS.v2.0.1.incl.KeyGen-BEAT\PSPaudioware.PSP.VintageWarmer.VST.DX.RTAS.v2.0.1.incl.KeyGen-BEAT\KeyGen.exe"  
28/02/2007 17:34 |Size 22016 |Crc32 42e6891d |Md5 b8a788315d0e0e3a1e255dff7c396574  
 
"D:	ransfert incoming\SAMPLES, VST\VST\PSPaudioware.PSP.VintageWarmer.VST.DX.RTAS.v2.0.1.incl.KeyGen-BEAT\PSPaudioware.PSP.VintageWarmer.VST.DX.RTAS.v2.0.1.incl.KeyGen-BEAT\PSP_VintageWarmer_2.0.1.exe"  
28/02/2007 12:07 |Size 8439098 |Crc32 664948a8 |Md5 a2cbc907dd1ff7434254e658598972bb  
 



tu pourras relancer findykill  et faire l'option 2

! Déconnecte toi et ferme toutes application en cours ( navigateur compris ) . 

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

• Fais un clic droit sur le raccourci FindyKill présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu choisis l'option 2 (suppression) et tape sur [entrée] 

• Le pc va redémarrer automatiquement ...

 le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

--> Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide 

Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html

clak3d · Answer

Bonjour, 

Oui, évidement...
Le pire c'est que soundforge 8 ne me sert plus à rien (ne m'a jamais servi d'ailleurs) puisque j'ai acheté la version 9 il y a plusieurs mois...

Quand à Omnisphere...;-) jamais réussi à l'installer.

Bon, sinon j'ai réussi à réinstaller avast hier soir et lancé un gros scan au redémarrage et m'a viré plusieurs fichiers dont le bagle...puis un autre appelé "beagle"  (un cousin du bagle? ^^)
Ensuite j'ai relancé findykill au démarrage pour supprimer le reste mais il a planté, bloqué sur un fichier qui est sur un cd dans mon lecteur (un cd de samples et utilitaires MAO, un original en +)

Donc je vais retenter.

Sinon avast tourne bien pour le moment, mais mon windows defender n'existe plus...

clak3d · Answer

voici le rapport de suppression de findykill : 



http://www.cijoint.fr/cjlink.php?file=cj200912/cijArD2vaZ.txt

jacques.gache · Answer

bonjour, je sais pas si lyonnais92 va revenir sur ton problème , en attendant postes un RSIT pour voir certainnes choses , et puis pense à virer tes cracks !!

• Télécharge Random's System Information Tool (RSIT) de Random/Random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.
* laisses le chois 1 month 
• Clique sur "Continue" à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

ps:Les rapports se trouvent à cet endroit:

C:\rsit\info.txt

C:\rsit\log.txt


Tutoriel pour t'aider




si le rapport ne passe pas sur le forum à cause de sa longeur envoie-le sur : http://www.cijoint.fr/index.php , 

fais parcourir recherche le rapport 

puis sélectionne le rapport en double cliquand dessus

et puis sur " cliquer ici pour déposer le fichier "

un lien bleu de cette forme va apparaitre :

Veuillez noter le lien ci-dessous qui vous permettra d'accéder à ce fichier. 
C'est ce même lien que vous devrez transmettre à vos correspondants
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt 

renvoie le lien tout frais dans ta prochaine reponse .

clak3d · Answer

les rapports  :  

http://www.cijoint.fr/cjlink.php?file=cj200912/cijfMRnTk6.txt


et : 


http://www.cijoint.fr/cjlink.php?file=cj200912/cij5dsebae.txt

clak3d · Answer

Voila le rapport : 




.
======= RAPPORT D'AD-REMOVER 1.1.4.6_E | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 07.12.2009 à 21:14
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 20:07:19, 11/12/2009 | Mode Normal | Option: SCAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows Vista™ Home Premium Service Pack 2 v6.0.6002
Nom du PC: MAT-HOME_STUDIO | Utilisateur actuel: mat
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.

C:\Users\mat\AppData\LocalLow\Search Settings 
C:\Program Files\GamesBar 
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com 
C:\Program Files\Search Settings 
C:\Windows\Installer\6220f6.msi   
.
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\software\classes\SearchSettings.BHO
HKLM\software\classes\SearchSettings.BHO.1
HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
HKLM\software\GamesBarSetup
HKLM\Software\Microsoft\Internet Explorer\Extension Compatibility\{77FEF28E-EB96-44FF-B511-3185DEA48697}
HKLM\Software\Microsoft\Internet Explorer\Extension Compatibility\{B580CF65-E151-49C3-B73F-70B13FCA8E86}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SearchSettings
HKLM\software\microsoft\windows\currentversion\uninstall\{0B1AAC97-8563-41D9-AE47-58E6A222F0E1}
HKLM\software\Search Settings
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.5 [fr] *
.
 Nom du profil: ma2w3pml.default (mat)
.
(mat, prefs.js) Browser.download.dir, C:\Users\mat\Downloads
(mat, prefs.js) Browser.download.lastDir, C:\Users\mat\Desktop\matt divers
(mat, prefs.js) Browser.search.defaultenginename, Winamp Search
(mat, prefs.js) Browser.search.defaulturl, hxxp://slirsredirect.search.aol.com/slirs_hxxp/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
(mat, prefs.js) Browser.search.selectedEngine, Google
. 
. 
.
* Internet Explorer Version 8.0.6001.18865 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://www.google.fr/firefox?client=firefox-a&rls=org.mozilla:fr:official
Use Custom Search URL: 1 (0x1)
SEARCH PAGE: hxxp://home.microsoft.com/access/allinone.asp
Do404Search: 01000000
Local Page: C:\Windows\system32\blank.htm
Show_ToolBar: yes
Enable Browser Extensions: yes
Search Bar: hxxp://g.msn.fr/0SEFRFR/SAOS02
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.fr.acer.yahoo.com
Default_Page_URL: hxxp://fr.fr.acer.yahoo.com
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.

Patcher (Neowin Edition) 4.0\UXTheme Multi-Patcher (Neowin Edition) 4.0.exe

.
===================================
.
4053 Octet(s) - C:\Ad-Report-SCAN[1].log 
.
2259 Fichier(s) - C:\Users\mat\AppData\Local\Temp 
53 Fichier(s) - C:\Windows\Temp 
.
3 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE 
.
Fin à: 20:14:02 | 11/12/2009 - SCAN[1]
.
============== E.O.F ==============
.

clak3d · Answer

Pour les anti virus, je n'ai qu'avast...Norton je l'avais en version d'essai 90 jours quand j'avais acheté mon ordinateur.
D'ailleurs windows defender a été supprimé par le virus, mais impossible de le réinstaller, un msg d'erreur pendant l'installation m'informe que je ne peux pas l'installer car je l'ai eu avec windows vista et que ça ne sert à rien...( je fais ce que je veux bordel! lol) du coup ça annule l'installation...

jacques.gache · Answer

bonjour, 
tu relances ad-remover et tu fais l'option L  comme demander dans la procédure la tu as fais la S pour voir ce qu'il y avait , comme je le savais je te fesait faire directement la suppression par gain de temps.
donc tu fais ce qui suis dans l'ordre , merci

1) ad-remover option L

! Déconnecte toi et ferme toutes applications en cours ! 

• Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

• Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
• Au menu principal choisis l'option "L" et tape sur [entrée] .

• Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé sous C:\Ad-report-clean.log ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.



2) passes usbfix optrion 2 

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


• Telecharges et installes: https://www.ionos.fr/?affiliate_id=77097 de C_XX & Chiquitine29


 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


• Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

• choisi l'option 2 ( Suppression )

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Pendant son nettoyage, l'outil a récolté certains fichiers infectieux.
Nous vous demandons de nous les faire parvenir pour des futures mises à jour, ainsi que pour un meilleur traitement des infections.
Nous vous remercions pour votre contribution.


.UsbFix te proposera d'uploader un dossier compressé à cette adresse :  https://www.ionos.fr/?affiliate_id=77097

Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

Merci d'avance pour ta contribution !!




3) passes cet outil pour supprimer complettement norton

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924




4) relances RSIT et postes moi le nouveau log.txt , Merci

clak3d · Answer

rapport de suppression : 



.
======= RAPPORT D'AD-REMOVER 1.1.4.6_E | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 07.12.2009 à 21:14
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à:  6:27:49, 13/12/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows Vista™ Home Premium Service Pack 2 v6.0.6002
Nom du PC: MAT-HOME_STUDIO | Utilisateur actuel: mat
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

C:\Users\mat\AppData\LocalLow\Search Settings - ... [b]ERREUR SUPPRESSION !![/b] 
C:\Program Files\GamesBar
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com
C:\Program Files\Search Settings
C:\Windows\Installer\6220f6.msi  

(!) -- Fichiers temporaires supprimés.
 
.
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} 
HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\software\classes\SearchSettings.BHO
HKLM\software\classes\SearchSettings.BHO.1
HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
HKLM\software\GamesBarSetup
HKLM\Software\Microsoft\Internet Explorer\Extension Compatibility\{77FEF28E-EB96-44FF-B511-3185DEA48697}
HKLM\Software\Microsoft\Internet Explorer\Extension Compatibility\{B580CF65-E151-49C3-B73F-70B13FCA8E86}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SearchSettings 
HKLM\software\microsoft\windows\currentversion\uninstall\{0B1AAC97-8563-41D9-AE47-58E6A222F0E1}
HKLM\software\Search Settings
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.5 [fr] *
.
 Nom du profil: ma2w3pml.default (mat)
.
(mat, prefs.js) Browser.download.dir, C:\Users\mat\Downloads
(mat, prefs.js) Browser.download.lastDir, C:\Users\mat\Desktop\matt divers
(mat, prefs.js) Browser.search.defaultenginename, Winamp Search
(mat, prefs.js) Browser.search.defaulturl, hxxp://slirsredirect.search.aol.com/slirs_hxxp/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
(mat, prefs.js) Browser.search.selectedEngine, Google
. 
. 
.
* Internet Explorer Version 8.0.6001.18865 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1 (0x1)
Do404Search: 01000000
Local Page: C:\Windows\system32\blank.htm
Show_ToolBar: yes
Enable Browser Extensions: yes
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
===================================
.
3749 Octet(s) - C:\Ad-Report-CLEAN[1].log 
4381 Octet(s) - C:\Ad-Report-SCAN[1].log 
.
0 Fichier(s) - C:\Users\mat\AppData\Local\Temp 
3 Fichier(s) - C:\Windows\Temp 
.
22 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
20 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE 
.
Fin à:  6:34:28 | 13/12/2009 - CLEAN[1]
.
============== E.O.F ==============
.

jacques.gache · Answer

bonjour,
ok continu avec la procédure du message 69 avec usbfix option 2, le passage de l'outil de suppression de norton , et puis tu relanceras RSIT et tu postes le log.txt, merci

clak3d · Answer

Rapport d'usbfix : 




############################## | UsbFix V6.062 |

User : mat (Administrateurs) # MAT-HOME_STUDIO
Update on 12/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 17:03:40 | 13/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual Core Processor 5600+
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18865
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 228,13 Go (92,85 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 227,87 Go (75,2 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible
K:\ -> Disque amovible # 7,45 Go (6,77 Go free) [INTENSO USB] # FAT32
N:\ -> Disque fixe local # 195,31 Go (55,75 Go free) # NTFS

############################## | Processus actifs |

C:\Windows\System32\smss.exe 408
C:\Windows\system32\csrss.exe 528
C:\Windows\system32\wininit.exe 592
C:\Windows\system32\csrss.exe 604
C:\Windows\system32\services.exe 640
C:\Windows\system32\lsass.exe 652
C:\Windows\system32\lsm.exe 660
C:\Windows\system32\winlogon.exe 808
C:\Windows\system32\svchost.exe 832
C:\Windows\system32\svchost.exe 916
C:\Windows\system32\atiesrxx.exe 1000
C:\Windows\System32\svchost.exe 1036
C:\Windows\System32\svchost.exe 1064
C:\Windows\system32\svchost.exe 1076
C:\Windows\system32\svchost.exe 1172
C:\Windows\system32\SLsvc.exe 1188
C:\Windows\system32\svchost.exe 1232
C:\Windows\system32\svchost.exe 1332
C:\Windows\system32\LogonUI.exe 1360
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1540
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1556
C:\Windows\system32\atieclxx.exe 1592
C:\Windows\System32\spoolsv.exe 1940
C:\Windows\system32\svchost.exe 1964
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe 496
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe 492
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 840
C:\Program Files\Bonjour\mDNSResponder.exe 1180
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe 1340
C:\Program Files\Common Files\LightScribe\LSSrvc.exe 1732
C:\Windows\system32\svchost.exe 2068
C:\Program Files\CyberLink\Shared Files\RichVideo.exe 2084
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 2116
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe 2220
C:\Windows\system32\svchost.exe 2236
C:\Windows\System32\svchost.exe 2268
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE 2292
C:\Windows\system32\SearchIndexer.exe 2408
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe 2480
C:\Windows\system32\WUDFHost.exe 2604
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 2868
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 2888
C:\Windows\system32	askeng.exe 2916
C:\Windows\system32\wbem\wmiprvse.exe 3152
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe 3272
C:\Windows\system32\DllHost.exe 3544
C:\Windows\system32\userinit.exe 3604
C:\Windows\system32	askeng.exe 3620
C:\Windows\system32\Dwm.exe 3652
C:\Windows\Explorer.EXE 3728
C:\Windows\system32unonce.exe 3788
C:\Windows\system32\conime.exe 3876

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-18 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2972961847-3485115761-2460896091-1000 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2972961847-3485115761-2460896091-500 
Supprimé ! D:\$Recycle.Bin\S-1-5-18 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2972961847-3485115761-2460896091-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2972961847-3485115761-2460896091-500 
Supprimé ! N:\$Recycle.Bin\S-1-5-21-2972961847-3485115761-2460896091-1000 
Supprimé ! N:\Recycler\S-1-5-21-1482476501-1454471165-725345543-500 
Supprimé ! N:\Recycler\S-1-5-21-3940035810-1440303396-1381968465-1007 

################## | Registre # Clés infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{a8e8a1a0-24f9-11dd-8a57-0008a1a80aae}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[13/12/2009 06:34|--a------|4120] C:\Ad-Report-CLEAN[1].log 
[11/12/2009 20:14|--a------|4381] C:\Ad-Report-SCAN[1].log 
[18/09/2006 22:43|--a------|24] C:\autoexec.bat 
[11/04/2009 07:36|-rahs----|333257] C:\bootmgr 
[07/05/2007 04:44|-ra-s----|8192] C:\BOOTSECT.BAK 
[18/09/2006 22:43|--a------|10] C:\config.sys 
[08/12/2009 17:48|--a------|10713] C:\FindyKill.txt 
[05/10/2008 20:53|-rahs----|0] C:\IO.SYS 
[29/11/2006 16:35|--a------|512] C:\MDR.iss 
[05/10/2008 20:53|-rahs----|0] C:\MSDOS.SYS 
[?|?|?] C:\pagefile.sys 
[13/12/2009 17:07|--a------|4858] C:\UsbFix.txt 
[04/12/2009 00:57|--a------|33280] D:\programmes à installer.doc 
[21/11/2009 22:30|--a------|734439424] K:\Stupeur et tremblements - Alain Corneau - Sylvie Testud 2003 (01.42.43).avi 
[07/12/2009 01:44|--a------|4844296] N:\malwarebytes-anti-malware_malwarebytes_anti-malware_1.42_francais_215092.exe 
[07/12/2009 01:14|--a------|1384979] N:\ZHPDiag 1.24.36.exe 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# D:\autorun.inf -> Dossier créé par UsbFix.  
# K:\autorun.inf -> Dossier créé par UsbFix.  
# N:\autorun.inf -> Dossier créé par UsbFix.  

################## | Cracks / Keygens / Serials |


"D:	ransfert incoming\apprentissage clavier\Typing Master 2003 v.6.21\keygen.exe"  
23/02/2003 23:18 |Size 20746 |Crc32 bcede33b |Md5 63dd0eb9ba4bc7f283ec4e76833ddd39  
 

################## | Upload | 

Veuillez envoyer le fichier : C:\Users\mat\Desktop\UsbFix_Upload_Me_mat-home_studio.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.062 ! |

clak3d · Answer

Le problème pour désinstaller norton, c'est que je l'ai eu déjà dans le pc, et là faut le cd d'installation dans l'étape 3.Ou avec le cd de sauvegarde du pc mais je vois pas trop comment je pourrai faire...

jacques.gache · Answer

pour norton normalement tu télécharges l'outil de chez symantec tu le lances il redémarre et après redémarrages il te propose de réinstaller la tu ferme car toi c'est pa scela que tu veux , et normalement norton est plus sur le pc , sio tu as passer l'otil poste le nouveau log.txt et on verra !!

clak3d · Answer

Et le dernier rapport de RSIT : 


Logfile of random's system information tool 1.06 (written by random/random)
Run by mat at 2009-12-13 23:42:18
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 2
System drive C: has 94 GB (40%) free of 234 GB
Total RAM: 2047 MB (56% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:43:02, on 13/12/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Acer\Empowering Technology\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Acer Arcade Live\Acer PlayMovie\PMVService.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Syncrosoft\POS\H2O\cledx.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Windows\System32\fw1884Panel.exe
C:\Program Files\Adobe\Reader 9.0\Readereader_sl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Users\mat\Desktop\RSIT.exe
C:\Program Files	rend micro\mat.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Acer\Empowering Technology\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [Apanel] C:\ACERSW\config\NewSetApanel.cmd
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Live\Acer PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\Windows\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [StartFw1884Panel] fw1884panel.exe H
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: PCM Media Sharing.lnk = C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.03\AMVConverter\grab.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.03\MediaManager\grab.html
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{64F7D554-440D-461A-9BC5-F05FA60C0A6C}: NameServer = 192.168.1.1
O23 - Service: Acer HomeMedia Connect Service - CyberLink - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

jacques.gache · Answer

bonjour , il y a cela C:\Windows\System32\fw1884Panel.exe j'aimerais bien que tu le fasses analyser sur virus total car je trouve rien sur cela et j'aime pas  pas savoir 

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :fw1884Panel.exe dans ton disque C dans windows et dans le dossier système 32 et sélectionnes  fw1884Panel.exxe

Clique sur envoyer le lien.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.

clak3d · Answer

oh...ne t'inquiète pas pour ça!je sais ce que c'est.C'est le panneau de configuration de ma carte son externe tascam fw-1884.

http://www.playback.fr/tascam-fw-1884-3219.html

jacques.gache · Answer

bonjour, ok si tu sais ce que c'est c'est très bien on va pouvoir finaliser le nettoyage , tu fais ce qui suis , merci

1) Fixer les lignes avec hijackthis 

hijackthis est présent sur ton pc car RSIT le télécharge pour créer le rapport log.txt , tu le trouveras ici: C:\Program Files	rend micro\mat.exe
tu iras dans le dossier trend micro et tu lanceras mat.exe avec un clique droit et en tant que admininstrateur

.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux 
.Lances HijackThis  ou plutôt mat.exe
.Cliques sur "Do a system scan only" 
.Tu coches les lignes suivantes : 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

.Tu cliques sur "Fix Checked" 
.Tu fermes HijackThis 

des expliquations en images : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm



2) désinstalles les outils utilisés avec toolscleaner2

Télécharge toolscleaner sur ton Bureau :  http://bibou0007.com/outils-specifiques-f78/tutorial-toolscleaner-2-t375.htm

si le lien ne marche pas essais avec celui ci  https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

. Double-cliques sur ToolsCleaner2.bat et laisse le travailler 
. Cliques sur Recherche et laisse le scan se terminer. 
. Cliques sur Suppression pour finaliser. 
. Tu peux, si tu le souhaites, te servir des Options facultatives. 
. Clique sur Quitter, pour que le rapport puisse se créer. 
. Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse





3) passes ccleaner avec les réglages donnés


télécharges Ccleaner à partir de cette adresses

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/


.enregistres le sur le bureau
.double-cliques sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur intaller
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.cochesla première case vieilles données du perfetch que celle-la 
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vériffis en relancant  rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé  tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner

pour aider si besion tutoriel: https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

ou plus ici: http://www.lescofofides.fr/forum/viewtopic.php?f=30&t=96



4) tu me dis comment va ton pc et tes problèmes et si plus de problèmes on pourra purger la restauration système

clak3d · Answer

Salut, désolé, mais je viens de me rendre compte que je ne t'avais pas dit merci pour l'aide de ce virus au mois de décembre...ça m'était sorti de la tête car il y a eu des problèmes un peu plus grave, mais pas des problèmes informatiques...
Encore désolé, c'était vraiment pas volontaire, ça n'est pas du tout mon genre..
et surtout encore merci!

ciao

clak3d · Answer

Salut, et désolé, je me rend compte que je ne t'ai pas remercié pour l'aide...ça m'était sorti de la tête car j'ai eu des problèmes plus graves, mais pas des problèmes informatiques...c'est vraiment pas mon genre en plus...en tout cas grand merci,
et encore désolé...
ciao
mat

clak3d · Answer

woops...me suis excusé, deux fois, et t'es remercié deux fois aussi d'ailleurs...c'est cadeau..    ;-)

jacques.gache · Answer

bonjour, tu n'as pas à t'excuser de ton absence ici chacun est libre , mais cela me fait plaisir quand même que tu l'ais fait, désolé pour les problèmes que tu as pu avoir, sinon pour le pc si plus de problème c'est très bien , sinon tu le dis !!!

clak3d · Answer

Ok ça marche, j'y penserai au cas ou.    ;-)

SOS Infections Bagle: antivirus bloqué etc...

73 réponses

Discussions similaires