RunVer.exe

Question

Bonjour,
Bonjour, 
a chaque démarage de windows j'ai un message d'erreur :sous le titre 'runver.exe' qui dis que peut-être je n'ai pas l'autorisation nécessaire pour ouvrir le fichier! mais de quel fichier il s'agit?
je ne sais pas ec que un verus ou un fichier de windows qui manque!!! 
Configuration: Windows XP SP2
antivirus: avast
merci d'avance de votre aide.

sKe69 · Accepted Answer

Salut,

runver.exe  est une salo*erie ( infection support amovible )...


/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).



Commence par ceci pour avoir un diagnostique de la situation :


1-Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !! 

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) . 

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


======================


2- Lance de nouveau ZHPDiag,

!! déconnecte toi et ferme toutes tes applications en cours !! 

* Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

> tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.


Laisse travailler l'outil et ne touche à rien ( cela peut-être relativement long ) .


* Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ... 

Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

* Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...

mauretanien · Answer

merci beaucoup
je vien de faire le premier diag voila le premier raport que vous avez demandé:
http://www.cijoint.fr/cjlink.php?file=cj201001/cijLTRVjTy.txt
merci

mauretanien · Answer

voila le deuxième rapport;
http://www.cijoint.fr/cjlink.php?file=cj201001/cijFRmZkdP.txt
Rq: ce n'était pas lent; 3 second slmnt.
Merci

sKe69 · Answer

je répète :


Il me faut le rapport ZHPDiag 'normal' , celui que tu m'as posté en premier n'est pas le bon .....

mauretanien · Answer

je n'ai pas pu savoir où se trouvai l'erreur mais
voila une autre tentative pour un rapport normal 
http://www.cijoint.fr/cjlink.php?file=cj201001/cijFRmZkdP.txt

mauretanien · Answer

http://www.cijoint.fr/cjlink.php?file=cj201001/cijQsXX019.txt
ou
http://www.cijoint.fr/cjlink.php?file=cj201001/cij61aiQJV.txt
ou
http://www.cijoint.fr/cjlink.php?file=cj201001/cijdsSR7Qw.txt

car dans le  c/programme files/diag il existe trois fichiers text qui sont là

sKe69 · Answer

on y est ,


c'est le deuxieme lien ....



Commence par ceci :


1- Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  : 
C:\WINDOWS\system32\CBCCFC\24CF32.EXE

Clique sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


Fais de même pour :

C:\WINDOWS\E220AutoRunLog.tmp

Poste moi donc ces ** rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et fais la suite ...


======================

2- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

sKe69 · Answer

oki,


l'autre fichier maintenant ....

mauretanien · Answer

salut, je refait l'analyse du fichier C:\WINDOWS\E220AutoRunLog.tmp sur Virus Total le resultat qu'il me donne est:
MD5:  	b069cfe9bdbf5681e9e92393e94cbf05
First received: 	2010.01.11 20:44:47 UTC
Date 	2010.01.11 20:44:47 UTC [<1D]
Résultats 	0/40
Permalink: 	analisis/17c34654b6fc41aa7da60cea19fa5e7a836a12ecefa2df2df930938003974898-1263242687

quant au fichier C:\WINDOWS\system32\CBCCFC\24CF32.EXE il est inexistant sur ma machine même CBCCFC n'existe pas dans systeme32.
que je doit faire maintenant?

mauritanien · Answer

voila le rapport

############################## | UsbFix V6.073 |

User : Administrateur (Administrateurs) # JGH-684E0D266F6
Update on 09/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 12:24:13 | 13/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1296 [VPS 100112-0] 4.8.1296 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 37,26 Go (31,61 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM # 7,73 Mo (0 Mo free) [Mobile Partner] # CDFS
F:\ -> Disque amovible # 941,73 Mo (939,84 Mo free) # FAT
G:\ -> Disque amovible # 963,7 Mo (133,92 Mo free) [TYB10] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 556
C:\WINDOWS\system32\csrss.exe 628
C:\WINDOWS\system32\winlogon.exe 664
C:\WINDOWS\system32\services.exe 708
C:\WINDOWS\system32\lsass.exe 720
C:\WINDOWS\system32\svchost.exe 868
C:\WINDOWS\system32\svchost.exe 932
C:\WINDOWS\System32\svchost.exe 972
C:\WINDOWS\system32\svchost.exe 1040
C:\WINDOWS\system32\svchost.exe 1108
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1264
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1316
C:\WINDOWS\system32\spoolsv.exe 1520
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 1948
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 1988
C:\WINDOWS\System32\alg.exe 216
C:\WINDOWS\Explorer.exe 1028
C:\WINDOWS\system32\ctfmon.exe 1072
C:\WINDOWS\system32\igfxtray.exe 1668
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe 2000
C:\WINDOWS\system32\wscntfy.exe 1424
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 2096
C:\Program Files\Messenger\msmsgs.exe 2144
C:\Program Files\Google\Chrome\Application\chrome.exe 2864
C:\Program Files\Google\Chrome\Application\chrome.exe 3112
C:\Program Files\Google\Chrome\Application\chrome.exe 3192
C:\WINDOWS\system32\wbem\wmiprvse.exe 1484

################## | Elements infectieux |

C:\WINDOWS\RunVer.exe 
C:\WINDOWS\System32\autorun.ini 
C:\WINDOWS\System32\RunVer.exe 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\cnvpe.fne 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\dp1.fne 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\eAPI.fne 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\HtmlView.fne 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\internet.fne 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\krnln.fnr 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\shell.fne 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\spec.fne 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4 
C:\autorun.inf  
C:\autorun.inf -> fichier appelé : "C:\"RunVer.exe e"" ( Absent ! )  
E:\autorun.inf  
G:\Ntldr.exe  
G:\Documents Administrateur.exe  

################## | MD5 |

C:\WINDOWS\RunVer.exe  
C:\WINDOWS\system32\RunVer.exe  
C:\WINDOWS\system32\CBCCFC\24CF32.EXE  

################## | Registre |

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RunVer"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"  
[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{025c73da-f64f-11de-b37f-000bcd26b0be}
Shell\AutoRun\command =E:\AutoRun.exe 

HKCU\..\..\Explorer\MountPoints2\{025c73db-f64f-11de-b37f-000bcd26b0be}
Shell\AutoRun\command =E:\AutoRun.exe 

HKCU\..\..\Explorer\MountPoints2\{05a286b2-f88a-11de-b38d-000bcd26b0be}
Shell\AutoRun\command =E:\start.exe 

HKCU\..\..\Explorer\MountPoints2\{05a286b3-f88a-11de-b38d-000bcd26b0be}
Shell\AutoRun\command =lphfa.exe 
Shell\open\Command =lphfa.exe 

HKCU\..\..\Explorer\MountPoints2\{5a70093c-f939-11de-b391-000bcd26b0be}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ETS_Setup.exe

HKCU\..\..\Explorer\MountPoints2\{8edb36dd-f07f-11de-b8b7-806d6172696f}
Shell\AutoRun\command =D:\autorun.exe 

HKCU\..\..\Explorer\MountPoints2\{8edb36df-f07f-11de-b8b7-806d6172696f}
Shell\AutoRun\command =RunVer.exe 
Shell\explore\Command =RunVer.exe e
Shell\open\Command =RunVer.exe e

HKCU\..\..\Explorer\MountPoints2\{c5889d40-f643-11de-b37a-000bcd26b0be}
Shell\AutoRun\command =E:\AutoRun.exe 

HKCU\..\..\Explorer\MountPoints2\{c5889d43-f643-11de-b37a-000bcd26b0be}
Shell\AutoRun\command =E:\AutoRun.exe 

HKCU\..\..\Explorer\MountPoints2\{c5889d45-f643-11de-b37a-000bcd26b0be}
Shell\AutoRun\command =E:\AutoRun.exe 

HKCU\..\..\Explorer\MountPoints2\{dd3c1c18-0035-11df-b3b9-000bcd26b0be}
Shell\AutoRun\command =E:\AutoRun.exe 

HKCU\..\..\Explorer\MountPoints2\{dd3c1c19-0035-11df-b3b9-000bcd26b0be}
Shell\AutoRun\command =E:\AutoRun.exe 

HKCU\..\..\Explorer\MountPoints2\{e6e4092a-f0ad-11de-9497-000bcd26b0be}
Shell\Autoplay\coMmand =jpbeb.pif 
Shell\AutoRun\command =jpbeb.pif 
Shell\expLore\CommanD =jpbeb.pif 
Shell\OPEN\COmmaNd =jpbeb.pif 

################## | Cracks > Keygens > Serials |


################## | ! Fin du rapport # UsbFix V6.073 ! |

sKe69 · Answer

hello,



la suite dans l'ordre :


1-  ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé,  poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\ 


===========================

2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

mauritanien · Answer

Merci
Voila les rapports 
1)d'USBFix:

############################## | UsbFix V6.073 |

User : Administrateur (Administrateurs) # JGH-684E0D266F6
Update on 09/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 14:28:26 | 13/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1296 [VPS 100112-0] 4.8.1296 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 37,26 Go (31,58 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 941,73 Mo (939,84 Mo free) # FAT
G:\ -> Disque amovible # 963,7 Mo (133,92 Mo free) [TYB10] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 556
C:\WINDOWS\system32\csrss.exe 680
C:\WINDOWS\system32\winlogon.exe 704
C:\WINDOWS\system32\services.exe 748
C:\WINDOWS\system32\lsass.exe 760
C:\WINDOWS\system32\svchost.exe 908
C:\WINDOWS\system32\svchost.exe 972
C:\WINDOWS\System32\svchost.exe 1012
C:\WINDOWS\system32\svchost.exe 1072
C:\WINDOWS\system32\logonui.exe 1124
C:\WINDOWS\system32\svchost.exe 1176
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1296
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1344
C:\WINDOWS\system32\spoolsv.exe 1544
C:\Program Files\Google\Update\GoogleUpdate.exe 1672
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 1896
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 1992
C:\WINDOWS\System32\alg.exe 248
C:\WINDOWS\system32\userinit.exe 656
C:\WINDOWS\system32\wscntfy.exe 1168
C:\WINDOWS\Explorer.EXE 1184
C:\WINDOWS\system32\ctfmon.exe 1276
C:\Program Files\Google\Update\GoogleUpdate.exe 1724
C:\WINDOWS\system32\wbem\wmiprvse.exe 2368

################## | Elements infectieux |

Supprimé ! C:\WINDOWS\RunVer.exe 
Supprimé ! C:\WINDOWS\System32\autorun.ini 
Supprimé ! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\cnvpe.fne 
Supprimé ! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\dp1.fne 
Supprimé ! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\eAPI.fne 
Supprimé ! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\HtmlView.fne 
Supprimé ! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\internet.fne 
Supprimé ! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\krnln.fnr 
Supprimé ! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\shell.fne 
Supprimé ! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4\spec.fne 
Supprimé ! C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\E_N4 
C:\autorun.inf -> fichier appelé : "C:\"RunVer.exe e"" ( Absent ! )  
C:\autorun.inf -> fichier appelé : "C:\"RunVer.exe e"" ( Absent ! )  
Supprimé ! C:\autorun.inf 
Supprimé ! C:\Recycler\S-1-5-21-796845957-1220945662-725345543-500 
Supprimé ! C:\Recycler\S-1-5-21-796845957-1220945662-725345543-501 
Non supprimé ! E:\autorun.inf 
Supprimé ! G:\Ntldr.exe 
Supprimé ! G:\Documents Administrateur.exe 

################## | MD5 |


################## | Registre |

Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RunVer"  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"  
Supprimé ! [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"  

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{025c73da-f64f-11de-b37f-000bcd26b0be}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{025c73db-f64f-11de-b37f-000bcd26b0be}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{05a286b2-f88a-11de-b38d-000bcd26b0be}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{05a286b3-f88a-11de-b38d-000bcd26b0be}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{5a70093c-f939-11de-b391-000bcd26b0be}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{8edb36dd-f07f-11de-b8b7-806d6172696f}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{c5889d40-f643-11de-b37a-000bcd26b0be}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{c5889d43-f643-11de-b37a-000bcd26b0be}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{c5889d45-f643-11de-b37a-000bcd26b0be}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{dd3c1c18-0035-11df-b3b9-000bcd26b0be}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{e6e4092a-f0ad-11de-9497-000bcd26b0be}\Shell\Autoplay\Command  

################## | Listing des fichiers présent |

[24/12/2009 11:48|--a------|0] C:\AUTOEXEC.BAT 
[24/12/2009 11:43|---hs----|212] C:\boot.ini 
[30/11/2003 11:16|-rahs----|4952] C:\Bootfont.bin 
[24/12/2009 11:48|--a------|0] C:\CONFIG.SYS 
[24/12/2009 11:48|-rahs----|0] C:\IO.SYS 
[24/12/2009 11:48|-rahs----|0] C:\MSDOS.SYS 
[03/08/2004 21:38|-rahs----|47564] C:\NTDETECT.COM 
[03/08/2004 21:59|-rahs----|251712] C:
tldr 
[?|?|?] C:\pagefile.sys 
[13/01/2010 14:35|--a------|5000] C:\UsbFix.txt 
[03/07/2007 21:04|-r-------|106496] E:\AutoRun.exe 
[08/03/2008 17:01|-r-------|47] E:\AUTORUN.INF 
[03/07/2007 21:04|-r-------|110592] E:\DataCard_Setup.exe 
[03/07/2007 21:04|-r-------|144384] E:\DataCard_Setup64.exe 
[16/05/2007 18:31|-r-------|6144] E:\ResetDevice.exe 
[19/01/2007 11:33|-r-------|4286] E:\startup.ico 
[11/03/2008 11:29|-r-------|816] E:\SysConfig.dat 
[28/08/2008 19:39|--a------|3793237] G:\Omarion- Vroom.mp3 
[?|?|?] G:\Psquar.mp3 
[|--a------|3905323] G:\R.Kelly - Club To A Bedroom (2008) [www.RnB4U.in].mp3 
[|--a------|7358467] G:\T.I. - My Life, Your Entertainment (ft. Usher).mp3 
[25/08/2008 17:40|--a------|7982786] G:\The Game - LAX - 18 - Letter To The King_(Featuring Nas).mp3 
[14/10/2008 01:04|--a------|5132583] G:\Neyo - Miss Independant.mp3 
[07/06/2009 23:10|--a------|1867355] G:\CRimSipi et fat.mp3 
[07/06/2009 23:12|--a------|3609775] G:\daraa j - tomorow.mp3 
[25/02/2009 13:37|--a------|9546463] G:\disturbia.mp3 
[15/11/2008 19:43|--a------|1003520] G:\FAFADI.gara love.mp3 
[29/08/2008 15:51|--a------|6670740] G:\Jay Sean - Ride It .mp3 
[|--a------|7681172] G:\Jay Sean - Stay .mp3 
[|--a------|3380420] G:\Mariah Carey ft. Usher - Me and My Boyfriend.mp3 
[14/10/2008 01:04|--a------|5132583] G:\Copy of Neyo - Miss Independant.mp3 
[03/07/2009 01:07|--a------|2644499] G:\Copy of No Air.mp3 
[03/07/2009 00:15|--a------|4292985] G:\Copy of No one like you.mp3 
[28/08/2008 19:39|--a------|3793237] G:\Copy of Omarion- Vroom.mp3 
[?|?|?] G:\ZOUK 09.exe 
[20/02/2009 12:53|--a------|29696] G:\Centre de Formation Professionnelle.doc 
[03/12/2009 01:47|--a------|2376292] G:\Photo 011.jpg 
[03/12/2009 01:47|--a------|1808387] G:\Photo 012.jpg 
[03/12/2009 01:49|--a------|1742133] G:\Photo 219.jpg 
[03/12/2009 01:49|--a------|1470517] G:\Photo 238.jpg 
[03/12/2009 01:49|--a------|1186818] G:\Photo 239.jpg 
[03/12/2009 01:49|---------|574912] G:\Photo 256.jpg 
[03/12/2009 01:49|---------|621312] G:\Photo 257.jpg 
[03/12/2009 01:49|--a------|609387] G:\Photo 258.jpg 
[03/12/2009 01:49|---------|507937] G:\Photo 259.jpg 
[17/06/2008 12:19|--a------|1214137] G:\ceepee babyllon.mp3 
[30/09/2008 05:43|--a------|3526656] G:\Ceepee-Fat.j-Job.mp3 
[07/08/2002 21:53|--a------|2469896] G:\ceepee.mp3 
[30/09/2008 05:40|--a------|2348662] G:\ceepee showder.mp3 
[17/06/2008 12:40|--a------|3068309] G:\ceepee -fat j.mp3 
[?|?|?] G:\ceepee baisser les armes.mp3 
[04/04/2008 20:45|--a------|4588106] G:\12_-_Dream_World_(Radio_Edit).mp3 
[08/06/2009 15:23|--a------|2928733] G:\20_-_No_Title.mp3 
[22/12/2007 16:12|--a------|3399488] G:\32_-_Electro_Dance.mp3 
[24/02/2008 18:37|--a------|3426432] G:\00_-_On_My_Way_(Luca_Zeta_Radio_Mix.mp3 
[22/01/2008 11:49|--a------|9107297] G:\00_-_Pakito_2007.mp3 
[02/02/2002 02:03|--a------|10868454] G:\00_-_Rise_Up1cdfdc.mp3 
[06/11/2008 17:54|--a------|5484672] G:\00_-_Techno_Titanic__Dance_Remix_-_[Trance_Ver].mp3 
[25/06/2009 20:40|--a------|4951390] G:\00_-_The_World_Is_Mine.mp3 
[18/11/2006 20:44|--a------|8011050] G:\01_-_Love_Don't_Let_Me_Go_(Walking_Away).mp3 
[24/08/2007 00:32|--a------|4280064] G:\05_-_Tomorrow_Can_Wait.mp3 
[13/11/2006 22:01|--a------|2367488] G:\05 Piste 5.mp3 
[13/11/2006 22:01|--a------|5679104] G:\02 Piste 2.mp3 
[13/11/2006 22:01|--a------|2078720] G:\20 Piste 20.mp3 
[13/11/2006 22:01|--a------|1230848] G:\10 Piste 10.mp3 
[13/11/2006 22:07|--a------|5640192] G:\11 Piste 11.mp3 
[13/11/2006 22:09|--a------|5396480] G:	ros vite.mp3 
[29/01/2007 00:14|--a------|4823052] G:\Sans Repere.mp3 
[29/01/2007 00:14|--a------|4575232] G:\graver dans la roche.mp3 
[13/11/2006 22:07|--a------|6039552] G:\14 Piste 14.mp3 
[20/01/2009 14:53|--a------|6098527] G:\19-Lil Wayne & Game-Lyrical Homicide.mp3 
[20/01/2009 14:53|--a------|3914691] G:\09-The Game-Fight Song Ft. Good Charlotte.mp3 
[20/01/2009 14:53|--a------|8295948] G:\18-Lil Wayne & Game-My Life.mp3 
[08/08/2002 07:15|--a------|5766180] G:\13-jordin_sparks-this_is_my_now-whoa.mp3 
[06/04/2008 04:52|--a------|4960728] G:\02-jordin_sparks-one_step_at_a_time-whoa.mp3 
[23/07/2009 21:36|--a------|4673969] G:\05-JOR~1.MP3 
[?|?|?] G:\06-jordun_sparks-now_you_tell_me-whoa.mp3 
[08/08/2002 07:11|--a------|6033595] G:\12-jordin_sparks-god_loves_ugly-whoa.mp3 
[10/11/2006 12:09|--a------|3778478] G:\Track No12.mp3 
[11/05/2008 19:50|--a------|5189632] G:\2Much Feat. Jay-Z _ Nas - My Rep _Prod. By BTP_ _ 2oo8 _ _ www.MzHipHop.com _.mp3 
[02/03/2008 18:37|--a------|4795030] G:\AKON feat NOX smalltime gangster.mp3 
[15/05/2008 22:57|--a------|5286834] G:\Ali Vegas - That's Nothing.mp3 
[18/12/2007 22:00|--a------|5797430] G:\Notty Black - What It Is [Feat. T-Pain].mp3 
[03/07/2009 01:07|--a------|2644499] G:\No Air.mp3 
[03/07/2009 00:15|--a------|4292985] G:\No one like you.mp3 
[12/06/2009 23:46|--a------|4684054] G:\ZAHO.MP3 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# F:\autorun.inf -> Dossier créé par UsbFix.  
# G:\autorun.inf -> Dossier créé par UsbFix.  

################## | Crack > Keygen > Serial |


################## | Upload | 

Veuillez envoyer le fichier : C:\DOCUME~1\ADMINI~1\Bureau\UsbFix_Upload_Me_JGH-684E0D266F6.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  


2. le rapport de  zhpdiag est sur le lien:
http://www.cijoint.fr/cjlink.php?file=cj201001/cijcVgQunO.txt

sKe69 · Answer

impec ....


la suite dans l'ordre :




1- Si se n'est déjà fait, rends sur cette page :
> https://www.ionos.fr/?affiliate_id=77097 

* clique sur "parcourir" et va jusqu'au fichier UsbFix_Upload_Me_JGH-684E0D266F6.zip qui est sur ton bureau .

* puis clique sur "envoyer le fichier" ... patiente le temps du transfère ...

* Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_JGH-684E0D266F6.zip  


merci d'avoir fait cette remonté qui permettra aux auteurs de l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant ... ^^


======================

2- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 


========================

3- Télécharges Malwarebytes' : 
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

 
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg : 
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


==========================

4- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

sKe69 · Answer

re,

le probleme RunVer semble bien partir 

malheureusement non ! ....


la bestiole est revenu ...


il faut recommencer UsbFix / option de nettoyage ! ...




donc refait l'ensemble de cette manipe :


! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé,  poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\

mauritanien · Answer

Ok;

le rapport USBFix


############################## | UsbFix V6.073 |

User : Administrateur (Administrateurs) # JGH-684E0D266F6
Update on 09/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 11:58:02 | 15/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1296 [VPS 100115-0] 4.8.1296 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 37,26 Go (31,62 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible # 963,7 Mo (134,53 Mo free) [TYB10] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 556
C:\WINDOWS\system32\csrss.exe 680
C:\WINDOWS\system32\winlogon.exe 704
C:\WINDOWS\system32\services.exe 748
C:\WINDOWS\system32\lsass.exe 760
C:\WINDOWS\system32\svchost.exe 904
C:\WINDOWS\system32\svchost.exe 984
C:\WINDOWS\System32\svchost.exe 1028
C:\WINDOWS\system32\svchost.exe 1084
C:\WINDOWS\system32\logonui.exe 1136
C:\WINDOWS\system32\svchost.exe 1168
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1292
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1344
C:\WINDOWS\system32\spoolsv.exe 1604
C:\WINDOWS\system32\userinit.exe 1648
C:\Program Files\Google\Update\GoogleUpdate.exe 1728
C:\WINDOWS\Explorer.EXE 1744
C:\WINDOWS\system32\ctfmon.exe 1792
C:\Program Files\Google\Update\GoogleUpdate.exe 1888
C:\Program Files\Google\Update\GoogleUpdate.exe 276
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 404
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 424
C:\WINDOWS\System32\alg.exe 1068
C:\WINDOWS\system32\wscntfy.exe 1100
C:\WINDOWS\system32\wbem\wmiprvse.exe 2156

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-796845957-1220945662-725345543-500 

################## | Registre |

Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RunVer"  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"  
Supprimé ! [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"  

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{025c73da-f64f-11de-b37f-000bcd26b0be}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{025c73db-f64f-11de-b37f-000bcd26b0be}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{05a286b2-f88a-11de-b38d-000bcd26b0be}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{05a286b3-f88a-11de-b38d-000bcd26b0be}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{5a70093c-f939-11de-b391-000bcd26b0be}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{8edb36dd-f07f-11de-b8b7-806d6172696f}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{c5889d40-f643-11de-b37a-000bcd26b0be}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{c5889d43-f643-11de-b37a-000bcd26b0be}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{c5889d45-f643-11de-b37a-000bcd26b0be}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{dd3c1c18-0035-11df-b3b9-000bcd26b0be}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{e6e4092a-f0ad-11de-9497-000bcd26b0be}\Shell\Autoplay\Command  

################## | Listing des fichiers présent |

[24/12/2009 11:48|--a------|0] C:\AUTOEXEC.BAT 
[24/12/2009 11:43|---hs----|212] C:\boot.ini 
[30/11/2003 11:16|-rahs----|4952] C:\Bootfont.bin 
[24/12/2009 11:48|--a------|0] C:\CONFIG.SYS 
[24/12/2009 11:48|-rahs----|0] C:\IO.SYS 
[24/12/2009 11:48|-rahs----|0] C:\MSDOS.SYS 
[03/08/2004 21:38|-rahs----|47564] C:\NTDETECT.COM 
[03/08/2004 21:59|-rahs----|251712] C:
tldr 
[?|?|?] C:\pagefile.sys 
[15/01/2010 11:59|--a------|4005] C:\UsbFix.txt 
[03/07/2007 21:04|-r-------|106496] E:\AutoRun.exe 
[08/03/2008 17:01|-r-------|47] E:\AUTORUN.INF 
[03/07/2007 21:04|-r-------|110592] E:\DataCard_Setup.exe 
[03/07/2007 21:04|-r-------|144384] E:\DataCard_Setup64.exe 
[16/05/2007 18:31|-r-------|6144] E:\ResetDevice.exe 
[19/01/2007 11:33|-r-------|4286] E:\startup.ico 
[11/03/2008 11:29|-r-------|816] E:\SysConfig.dat 
[28/08/2008 19:39|--a------|3793237] G:\Omarion- Vroom.mp3 
[?|?|?] G:\Psquar.mp3 
[|--a------|3905323] G:\R.Kelly - Club To A Bedroom (2008) [www.RnB4U.in].mp3 
[|--a------|7358467] G:\T.I. - My Life, Your Entertainment (ft. Usher).mp3 
[25/08/2008 17:40|--a------|7982786] G:\The Game - LAX - 18 - Letter To The King_(Featuring Nas).mp3 
[14/10/2008 01:04|--a------|5132583] G:\Neyo - Miss Independant.mp3 
[07/06/2009 23:10|--a------|1867355] G:\CRimSipi et fat.mp3 
[07/06/2009 23:12|--a------|3609775] G:\daraa j - tomorow.mp3 
[25/02/2009 13:37|--a------|9546463] G:\disturbia.mp3 
[15/11/2008 19:43|--a------|1003520] G:\FAFADI.gara love.mp3 
[29/08/2008 15:51|--a------|6670740] G:\Jay Sean - Ride It .mp3 
[|--a------|7681172] G:\Jay Sean - Stay .mp3 
[|--a------|3380420] G:\Mariah Carey ft. Usher - Me and My Boyfriend.mp3 
[14/10/2008 01:04|--a------|5132583] G:\Copy of Neyo - Miss Independant.mp3 
[03/07/2009 01:07|--a------|2644499] G:\Copy of No Air.mp3 
[03/07/2009 00:15|--a------|4292985] G:\Copy of No one like you.mp3 
[28/08/2008 19:39|--a------|3793237] G:\Copy of Omarion- Vroom.mp3 
[?|?|?] G:\ZOUK 09.exe 
[20/02/2009 12:53|--a------|29696] G:\Centre de Formation Professionnelle.doc 
[03/12/2009 01:47|--a------|2376292] G:\Photo 011.jpg 
[03/12/2009 01:47|--a------|1808387] G:\Photo 012.jpg 
[03/12/2009 01:49|--a------|1742133] G:\Photo 219.jpg 
[03/12/2009 01:49|--a------|1470517] G:\Photo 238.jpg 
[03/12/2009 01:49|--a------|1186818] G:\Photo 239.jpg 
[03/12/2009 01:49|---------|574912] G:\Photo 256.jpg 
[03/12/2009 01:49|---------|621312] G:\Photo 257.jpg 
[03/12/2009 01:49|--a------|609387] G:\Photo 258.jpg 
[03/12/2009 01:49|---------|507937] G:\Photo 259.jpg 
[17/06/2008 12:19|--a------|1214137] G:\ceepee babyllon.mp3 
[30/09/2008 05:43|--a------|3526656] G:\Ceepee-Fat.j-Job.mp3 
[07/08/2002 21:53|--a------|2469896] G:\ceepee.mp3 
[30/09/2008 05:40|--a------|2348662] G:\ceepee showder.mp3 
[17/06/2008 12:40|--a------|3068309] G:\ceepee -fat j.mp3 
[?|?|?] G:\ceepee baisser les armes.mp3 
[04/04/2008 20:45|--a------|4588106] G:\12_-_Dream_World_(Radio_Edit).mp3 
[08/06/2009 15:23|--a------|2928733] G:\20_-_No_Title.mp3 
[22/12/2007 16:12|--a------|3399488] G:\32_-_Electro_Dance.mp3 
[24/02/2008 18:37|--a------|3426432] G:\00_-_On_My_Way_(Luca_Zeta_Radio_Mix.mp3 
[22/01/2008 11:49|--a------|9107297] G:\00_-_Pakito_2007.mp3 
[02/02/2002 02:03|--a------|10868454] G:\00_-_Rise_Up1cdfdc.mp3 
[06/11/2008 17:54|--a------|5484672] G:\00_-_Techno_Titanic__Dance_Remix_-_[Trance_Ver].mp3 
[25/06/2009 20:40|--a------|4951390] G:\00_-_The_World_Is_Mine.mp3 
[18/11/2006 20:44|--a------|8011050] G:\01_-_Love_Don't_Let_Me_Go_(Walking_Away).mp3 
[24/08/2007 00:32|--a------|4280064] G:\05_-_Tomorrow_Can_Wait.mp3 
[13/11/2006 22:01|--a------|2367488] G:\05 Piste 5.mp3 
[13/11/2006 22:01|--a------|5679104] G:\02 Piste 2.mp3 
[13/11/2006 22:01|--a------|2078720] G:\20 Piste 20.mp3 
[13/11/2006 22:01|--a------|1230848] G:\10 Piste 10.mp3 
[13/11/2006 22:07|--a------|5640192] G:\11 Piste 11.mp3 
[13/11/2006 22:09|--a------|5396480] G:	ros vite.mp3 
[29/01/2007 00:14|--a------|4823052] G:\Sans Repere.mp3 
[29/01/2007 00:14|--a------|4575232] G:\graver dans la roche.mp3 
[13/11/2006 22:07|--a------|6039552] G:\14 Piste 14.mp3 
[20/01/2009 14:53|--a------|6098527] G:\19-Lil Wayne & Game-Lyrical Homicide.mp3 
[20/01/2009 14:53|--a------|3914691] G:\09-The Game-Fight Song Ft. Good Charlotte.mp3 
[20/01/2009 14:53|--a------|8295948] G:\18-Lil Wayne & Game-My Life.mp3 
[08/08/2002 07:15|--a------|5766180] G:\13-jordin_sparks-this_is_my_now-whoa.mp3 
[06/04/2008 04:52|--a------|4960728] G:\02-jordin_sparks-one_step_at_a_time-whoa.mp3 
[23/07/2009 21:36|--a------|4673969] G:\05-JOR~1.MP3 
[?|?|?] G:\06-jordun_sparks-now_you_tell_me-whoa.mp3 
[08/08/2002 07:11|--a------|6033595] G:\12-jordin_sparks-god_loves_ugly-whoa.mp3 
[10/11/2006 12:09|--a------|3778478] G:\Track No12.mp3 
[11/05/2008 19:50|--a------|5189632] G:\2Much Feat. Jay-Z _ Nas - My Rep _Prod. By BTP_ _ 2oo8 _ _ www.MzHipHop.com _.mp3 
[02/03/2008 18:37|--a------|4795030] G:\AKON feat NOX smalltime gangster.mp3 
[15/05/2008 22:57|--a------|5286834] G:\Ali Vegas - That's Nothing.mp3 
[18/12/2007 22:00|--a------|5797430] G:\Notty Black - What It Is [Feat. T-Pain].mp3 
[03/07/2009 01:07|--a------|2644499] G:\No Air.mp3 
[03/07/2009 00:15|--a------|4292985] G:\No one like you.mp3 
[12/06/2009 23:46|--a------|4684054] G:\ZAHO.MP3 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# G:\autorun.inf -> Dossier créé par UsbFix.  

################## | Crack > Keygen > Serial |


################## | Upload | 

Veuillez envoyer le fichier : C:\DOCUME~1\ADMINI~1\Bureau\UsbFix_Upload_Me_JGH-684E0D266F6.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .

sKe69 · Answer

hello,


la suite dans l'ordre :


! toujours tes unités externes branchées au PC ! 



1- Télécharge OTM (de Old_Timer) sur ton Bureau. 

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

 
Double clique sur "OTM.exe" pour ouvrir le prg . 
Puis copie ce qui se trouve en citation ci-dessous,
 

:Files
G:\ZOUK 09.exe 

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ... 

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"  
( " xxxx2010_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ).


==========================


2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !): 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


* Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . Bien vérifier que rien ne soit " bloqué en écriture " ( petit loquet sur certaines clé usb ... ) et que les DD externes soient bien sûr alimentés électriquement ...


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
•  Ferme tes applications en cours ( ainsi que ton navigateur ) .
•  DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe .  
En effet, activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
•  Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
•  Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------


Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour  XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation. 
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png  
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan -- 


Notes importantes : 
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment  : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée ici : C:\Combofix.txt 

Réactive bien tes défenses .

 
Poste le rapport Combofix pour analyse ...

mauritanien · Answer

Mille Merci pour tout ce travail!

voila les deux rapports:
1/ OTM:

All processes killed
========== FILES ==========
File move failed. G:\ZOUK 09.exe scheduled to be moved on reboot.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 3004716 bytes
->Temporary Internet Files folder emptied: 7495815 bytes
->FireFox cache emptied: 49454345 bytes
->Google Chrome cache emptied: 15316361 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Invité
->Temp folder emptied: 989148 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2119154 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 131072 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 75,00 mb
 
 
OTM by OldTimer - Version 3.1.5.0 log created on 01152010_161912

Files moved on Reboot...
File move failed. G:\ZOUK 09.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS	emp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
C:\WINDOWS	emp\Perflib_Perfdata_530.dat moved successfully.

Registry entries deleted on Reboot...

2/Combofix:

ComboFix 10-01-14.06 - Administrateur 15/01/2010  17:49:36.1.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.503.293 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1296 [VPS 100115-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\38416A
c:\windows\system32\38416A\41a664.txt
c:\windows\system32\38416A\742679.txt

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-12-15 au 2010-01-15  ))))))))))))))))))))))))))))))))))))
.

2010-01-15 15:19 . 2010-01-15 15:19	--------	d-----w-	C:\_OTM
2010-01-14 14:40 . 2010-01-14 14:40	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-01-14 14:40 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-14 14:40 . 2010-01-14 14:40	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-01-14 14:40 . 2010-01-14 14:40	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-01-14 14:40 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-01-13 20:32 . 2010-01-13 20:32	--------	d-----w-	c:\program files\CCleaner
2010-01-11 20:14 . 2010-01-15 11:00	--------	d-----w-	C:\UsbFix
2010-01-11 15:54 . 2010-01-11 16:08	--------	d-----w-	c:\program files\ZHPDiag
2010-01-07 16:15 . 2010-01-07 16:15	--------	d-sh--w-	c:\documents and settings\Administrateur\IECompatCache
2010-01-07 16:11 . 2010-01-07 16:11	--------	d-sh--w-	c:\documents and settings\Administrateur\PrivacIE
2010-01-07 16:10 . 2010-01-07 16:10	--------	d-sh--w-	c:\documents and settings\Administrateur\IETldCache
2010-01-07 16:01 . 2009-01-07 17:21	26144	----a-w-	c:\windows\system32\spupdsvc.exe
2010-01-07 16:00 . 2010-01-07 16:02	--------	dc-h--w-	c:\windows\ie8
2010-01-07 16:00 . 2010-01-07 16:01	--------	d-----w-	c:\windows\system32\fr-FR
2010-01-07 14:34 . 2010-01-07 14:37	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\Notepad++
2010-01-07 14:34 . 2010-01-07 14:34	--------	d-----w-	c:\program files\Notepad++
2010-01-07 13:50 . 2010-01-07 13:50	--------	d-----w-	c:\documents and settings\Administrateur\Local Settings\Application Data\PCHealth
2010-01-07 13:33 . 2001-08-28 12:00	1677824	-c--a-w-	c:\windows\system32\dllcache\chsbrkr.dll
2010-01-07 13:33 . 2001-08-28 12:00	1677824	----a-w-	c:\windows\system32\chsbrkr.dll
2010-01-07 13:33 . 2001-08-28 12:00	838144	-c--a-w-	c:\windows\system32\dllcache\chtbrkr.dll
2010-01-07 13:33 . 2001-08-28 12:00	838144	----a-w-	c:\windows\system32\chtbrkr.dll
2010-01-07 13:33 . 2001-08-28 12:00	70656	-c--a-w-	c:\windows\system32\dllcache\korwbrkr.dll
2010-01-07 13:33 . 2001-08-28 12:00	70656	----a-w-	c:\windows\system32\korwbrkr.dll
2010-01-07 13:33 . 2001-08-28 12:00	98304	-c--a-w-	c:\windows\system32\dllcache\msir3jp.dll
2010-01-07 13:33 . 2001-08-28 12:00	98304	----a-w-	c:\windows\system32\msir3jp.dll
2010-01-07 13:33 . 2001-08-28 12:00	19456	-c--a-w-	c:\windows\system32\dllcache\agt0404.dll
2010-01-07 13:31 . 2001-08-28 12:00	57398	-c--a-w-	c:\windows\system32\dllcache\imjpdadm.exe
2010-01-06 20:41 . 2008-11-26 17:16	50864	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-01-06 20:41 . 2008-11-26 17:16	23152	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-01-06 20:41 . 2008-11-26 17:15	26944	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2010-01-06 20:41 . 2008-11-26 17:15	97480	----a-w-	c:\windows\system32\AvastSS.scr
2010-01-06 20:41 . 2008-11-26 17:18	93296	----a-w-	c:\windows\system32\drivers\aswmon.sys
2010-01-06 20:41 . 2008-11-26 17:18	94032	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2010-01-06 20:41 . 2008-11-26 17:17	111184	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-01-06 20:41 . 2008-11-26 17:17	20560	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-01-06 20:40 . 2008-11-26 17:21	1236208	----a-w-	c:\windows\system32\aswBoot.exe
2010-01-06 20:40 . 2003-03-18 20:20	1060864	----a-w-	c:\windows\system32\MFC71.dll
2010-01-06 20:40 . 2010-01-06 20:40	--------	d-----w-	c:\program files\Alwil Software
2010-01-04 21:10 . 2010-01-14 14:48	--------	d--h--w-	c:\windows\system32\CBCCFC
2010-01-04 21:10 . 2010-01-07 09:35	--------	d--h--w-	c:\windows\system32\8F36D6
2010-01-04 21:10 . 2010-01-05 15:39	--------	d--h--w-	c:\windows\system32\8A6D2B
2010-01-04 20:40 . 2001-08-23 16:47	8704	-c--a-w-	c:\windows\system32\dllcache\kbdjpn.dll
2010-01-04 20:40 . 2001-08-23 16:47	8704	----a-w-	c:\windows\system32\kbdjpn.dll
2010-01-04 20:40 . 2001-08-23 16:47	8192	-c--a-w-	c:\windows\system32\dllcache\kbdkor.dll
2010-01-04 20:40 . 2001-08-23 16:47	8192	----a-w-	c:\windows\system32\kbdkor.dll
2010-01-04 20:40 . 2001-08-17 21:55	6144	-c--a-w-	c:\windows\system32\dllcache\kbd106.dll
2010-01-04 20:40 . 2001-08-17 21:55	6144	-c--a-w-	c:\windows\system32\dllcache\kbd101c.dll
2010-01-04 20:40 . 2001-08-17 21:55	6144	-c--a-w-	c:\windows\system32\dllcache\kbd101b.dll
2010-01-04 20:40 . 2001-08-17 21:55	6144	----a-w-	c:\windows\system32\kbd106.dll
2010-01-04 20:40 . 2001-08-17 21:55	6144	----a-w-	c:\windows\system32\kbd101c.dll
2010-01-04 20:40 . 2001-08-17 21:55	6144	----a-w-	c:\windows\system32\kbd101b.dll
2010-01-04 20:40 . 2001-08-17 21:55	5632	-c--a-w-	c:\windows\system32\dllcache\kbd103.dll
2010-01-04 20:40 . 2001-08-17 21:55	5632	----a-w-	c:\windows\system32\kbd103.dll
2010-01-04 14:00 . 2008-01-14 16:50	88960	----a-w-	c:\windows\system32\drivers\hmemdm.sys
2010-01-04 14:00 . 2010-01-04 14:00	--------	d-----w-	c:\program files\Huawei technologies
2010-01-03 17:26 . 2010-01-03 17:26	--------	d-----w-	c:\program files\AMT
2010-01-03 17:22 . 2010-01-03 17:22	--------	d-----w-	c:\program files\Fichiers communs\xing shared
2010-01-03 17:22 . 2010-01-03 17:22	499712	----a-w-	c:\windows\system32\msvcp71.dll
2010-01-03 17:22 . 2010-01-03 17:22	348160	----a-w-	c:\windows\system32\msvcr71.dll
2010-01-03 17:22 . 2010-01-03 17:22	--------	d-----w-	c:\program files\Real
2010-01-03 17:22 . 2010-01-03 17:22	--------	d-----w-	c:\program files\Fichiers communs\Real
2010-01-02 14:59 . 2010-01-02 15:03	--------	d-----w-	c:\program files\Dactylo
2010-01-01 14:59 . 2010-01-09 21:14	--------	d-----w-	c:\documents and settings\Invité
2010-01-01 08:04 . 2010-01-01 08:04	--------	d-----w-	c:\documents and settings\All Users\Application Data\McAfee
2010-01-01 08:02 . 2010-01-01 08:02	--------	d-----w-	c:\documents and settings\Default User\Local Settings\Application Data\Adobe
2010-01-01 08:01 . 2010-01-01 08:01	--------	d-----w-	c:\program files\Fichiers communs\Adobe
2010-01-01 07:49 . 2010-01-01 07:49	--------	d-----w-	c:\documents and settings\All Users\Application Data\McAfee Security Scan
2010-01-01 07:49 . 2010-01-11 08:18	--------	d-----w-	c:\documents and settings\Administrateur\Local Settings\Application Data\Adobe
2010-01-01 07:33 . 2010-01-01 07:33	--------	d-----w-	c:\documents and settings\NetworkService\Local Settings\Application Data\Google
2009-12-31 23:28 . 2010-01-01 07:50	--------	d-----w-	c:\documents and settings\Administrateur\Local Settings\Application Data\Dictionnaire Freelang
2009-12-31 23:14 . 2009-12-31 23:14	0	----a-w-	c:\windows
sreg.dat
2009-12-31 23:14 . 2009-12-31 23:14	--------	d-----w-	c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2009-12-31 23:11 . 2010-01-15 01:06	--------	d-----w-	c:\documents and settings\Administrateur\Local Settings\Application Data\Temp
2009-12-31 23:11 . 2009-12-31 23:11	--------	d-----w-	c:\documents and settings\LocalService\Local Settings\Application Data\Google
2009-12-31 23:11 . 2010-01-01 07:46	--------	d-----w-	c:\documents and settings\Administrateur\Local Settings\Application Data\Google
2009-12-31 23:11 . 2009-12-31 23:43	--------	d-----w-	c:\program files\Google
2009-12-31 19:48 . 2010-01-14 13:55	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\dvdcss
2009-12-31 19:46 . 2007-08-24 18:45	101120	----a-r-	c:\windows\system32\drivers\ewusbmdm.sys
2009-12-31 19:46 . 2007-08-24 18:45	24448	----a-r-	c:\windows\system32\drivers\ewdcsc.sys
2009-12-31 19:37 . 2004-08-03 22:08	31616	-c--a-w-	c:\windows\system32\dllcache\usbccgp.sys
2009-12-31 19:37 . 2004-08-03 22:08	31616	----a-w-	c:\windows\system32\drivers\usbccgp.sys
2009-12-31 19:36 . 2009-12-31 19:46	--------	d-----w-	c:\program files\Mobile Partner
2009-12-31 19:03 . 2009-12-31 19:03	68464	----a-w-	c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-31 16:34 . 2004-08-03 22:01	25856	-c--a-w-	c:\windows\system32\dllcache\usbprint.sys
2009-12-31 16:34 . 2004-08-03 22:01	25856	----a-w-	c:\windows\system32\drivers\usbprint.sys
2009-12-24 17:10 . 2010-01-15 11:46	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\vlc
2009-12-24 17:10 . 2009-12-24 17:10	--------	d-----w-	c:\program files\VideoLAN
2009-12-24 17:08 . 2002-11-22 14:56	118784	----a-w-	c:\windows\ShowBmp.exe
2009-12-24 17:08 . 2002-10-01 13:43	119798	----a-w-	c:\windows\system32\drivers\spca561.sys
2009-12-24 17:08 . 2002-08-13 17:01	53248	----a-w-	c:\windows\ap561.exe
2009-12-24 17:08 . 2009-12-24 17:08	--------	d-----w-	c:\windows\Setup2K
2009-12-24 17:03 . 2001-11-05 08:23	299923	----a-w-	c:\windows\system32\drivers\sonyhcs.sys
2009-12-24 17:03 . 2001-07-03 19:39	3654	----a-w-	c:\windows\system32\drivers\Sonyhcp.dll
2009-12-24 17:03 . 2009-12-24 17:08	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-12-24 17:03 . 2009-12-24 17:03	--------	d-----w-	C:\Drivers
2009-12-24 17:03 . 2002-10-15 21:41	102220	----a-w-	c:\windows\system32\drivers\sonypvs1.sys
2009-12-24 17:03 . 2001-11-05 08:23	38739	----a-w-	c:\windows\system32\drivers\sonyhcc.sys
2009-12-24 17:03 . 2001-11-05 08:23	6097	----a-w-	c:\windows\system32\drivers\sonyhcb.sys
2009-12-24 17:03 . 2001-07-03 19:33	53248	----a-w-	c:\windows\system32\SONYHCY.DLL
2009-12-24 17:03 . 2009-12-24 17:03	--------	d-----w-	c:\program files\Fichiers communs\InstallShield

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-07 13:48 . 2009-12-24 11:05	--------	d-----w-	c:\documents and settings\All Users\Application Data\Microsoft Help
2010-01-06 21:40 . 2003-11-30 10:18	72968	----a-w-	c:\windows\system32\perfc00C.dat
2010-01-06 21:40 . 2003-11-30 10:18	464452	----a-w-	c:\windows\system32\perfh00C.dat
2010-01-01 21:57 . 2009-12-24 10:48	86331	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-12-24 11:09 . 2009-12-24 11:09	--------	d-----w-	c:\program files\Microsoft Works
2009-12-24 11:09 . 2009-12-24 11:09	--------	d-----w-	c:\program files\MSBuild
2009-12-24 10:49 . 2009-12-24 10:49	--------	d-----w-	c:\program files\microsoft frontpage
2009-12-24 10:47 . 2009-12-24 10:47	--------	d-----w-	c:\program files\Services en ligne
2009-12-24 10:45 . 2009-12-24 10:45	21892	----a-w-	c:\windows\system32\emptyregdb.dat
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-04 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-04-01 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-04-01 126976]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2010-01-03 198160]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-03 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [06/01/2010 21:41 111184]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [06/01/2010 21:41 20560]
R3 MobileAdapter;Huawei Mobile Adapter USB Modem and USB Serial;c:\windows\system32\drivers\hmemdm.sys [04/01/2010 15:00 88960]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [01/01/2010 00:11 135664]
.
Contenu du dossier 'Tâches planifiées'

2010-01-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-31 23:11]

2010-01-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-31 23:11]

2010-01-15 c:\windows\Tasks\User_Feed_Synchronization-{3780E5E8-9F33-4393-A424-178C60858DFC}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\cawroqgy.default\
FF - component: c:\program files\Real\RealPlayer\browserrecord\firefox\ext\components
prpffbrowserrecordext.dll
FF - plugin: c:\program files\Google\Google Earth\plugin
pgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13
pGoogleOneClick8.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-tppoll - c:\program files\Topro	ppoll.exe
HKLM-Run-24CF32 - c:\windows\system32\CBCCFC\24CF32.EXE



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-15 17:52
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-796845957-1220945662-725345543-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,a0,73,9d,cd,f9,e9,16,4f,9b,f7,a4,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,a0,73,9d,cd,f9,e9,16,4f,9b,f7,a4,\
.
Heure de fin: 2010-01-15  17:54:23
ComboFix-quarantined-files.txt  2010-01-15 16:54

Avant-CF: 33 916 227 584 octets libres
Après-CF: 33 886 015 488 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 6FF6BEF0EB7EC30404AC2BF4D981E87B

sKe69 · Answer

bien ... ^^



peut-tu me vérifier ces deux fichiers sur le site de VirusTotal comme l'autre jour :


c:\windows\ShowBmp.exe 
c:\windows\ap561.exe 


poste moi les deux rapports obttenus et attends la suite ...

mauretanien · Answer

avec plaisir!
voila le premier:
Fichier ShowBmp.exe reçu le 2010.01.15 17:24:27 (UTC)
Situation actuelle: terminé 
Résultat: 0/41 (0%)
  Formaté
Impression des résultats  
Antivirus	Version	Dernière mise à jour	Résultat
a-squared	4.5.0.50	2010.01.15	-
AhnLab-V3	5.0.0.2	2010.01.15	-
AntiVir	7.9.1.142	2010.01.15	-
Antiy-AVL	2.0.3.7	2010.01.12	-
Authentium	5.2.0.5	2010.01.15	-
Avast	4.8.1351.0	2010.01.15	-
AVG	9.0.0.730	2010.01.15	-
BitDefender	7.2	2010.01.15	-
CAT-QuickHeal	10.00	2010.01.15	-
ClamAV	0.94.1	2010.01.15	-
Comodo	3594	2010.01.15	-
DrWeb	5.0.1.12222	2010.01.15	-
eSafe	7.0.17.0	2010.01.14	-
eTrust-Vet	35.2.7239	2010.01.15	-
F-Prot	4.5.1.85	2010.01.15	-
F-Secure	9.0.15370.0	2010.01.15	-
Fortinet	4.0.14.0	2010.01.15	-
GData	19	2010.01.15	-
Ikarus	T3.1.1.80.0	2010.01.15	-
Jiangmin	13.0.900	2010.01.15	-
K7AntiVirus	7.10.948	2010.01.15	-
Kaspersky	7.0.0.125	2010.01.15	-
McAfee	5861	2010.01.14	-
McAfee+Artemis	5861	2010.01.14	-
McAfee-GW-Edition	6.8.5	2010.01.15	-
Microsoft	1.5302	2010.01.15	-
NOD32	4775	2010.01.15	-
Norman	6.04.03	2010.01.14	-
nProtect	2009.1.8.0	2010.01.15	-
Panda	10.0.2.2	2010.01.15	-
PCTools	7.0.3.5	2010.01.15	-
Prevx	3.0	2010.01.15	-
Rising	22.30.04.04	2010.01.15	-
Sophos	4.49.0	2010.01.15	-
Sunbelt	3.2.1858.2	2010.01.15	-
Symantec	20091.2.0.41	2010.01.15	-
TheHacker	6.5.0.4.151	2010.01.15	-
TrendMicro	9.120.0.1004	2010.01.15	-
VBA32	3.12.12.1	2010.01.15	-
ViRobot	2010.1.15.2138	2010.01.15	-
VirusBuster	5.0.21.0	2010.01.15	-
Information additionnelle
File size: 118784 bytes
MD5...: 9485093d43f7d00ed87ddcebb86feefd
SHA1..: 560fc35ebbaf4a77a17f0059a958ea0fe6f5a623
SHA256: 61d51129ef7a651a4dc365540d83ddeae14a5ced46ed301c1efc07a2f7170174
ssdeep: 3072:MBr6+GjJBd2VJG4lTt2H5snMpHfo8F5uQfI:MJ6xXd2V7AsnMp3u
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2a99
timedatestamp.....: 0x3ddde342 (Fri Nov 22 07:56:50 2002)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x11956 0x12000 6.49 bc0001ac1f04cfaa2a968d8e4d3b59a7
.rdata 0x13000 0x49f6 0x5000 4.55 07fa414d501b93a120d9bcdce3431f2a
.data 0x18000 0x4c20 0x2000 2.25 56bbe7e9b72ccb6acd4a928e2bfcbdf3
.rsrc 0x1d000 0x2f40 0x3000 3.92 66061cfdf7cbfc957e3e3f137ba87bc9

( 8 imports ) 
> MSVFW32.dll: DrawDibOpen, DrawDibDraw, DrawDibClose
> KERNEL32.dll: GetFileTime, SetErrorMode, GetFileSize, GlobalFlags, WritePrivateProfileStringA, GetProcessVersion, LocalReAlloc, GetFileAttributesA, TlsGetValue, FileTimeToLocalFileTime, RtlUnwind, GetStartupInfoA, GetCommandLineA, ExitProcess, HeapAlloc, HeapFree, TerminateProcess, RaiseException, HeapReAlloc, HeapSize, GetACP, GetTimeZoneInformation, GetCPInfo, GetOEMCP, UnhandledExceptionFilter, FileTimeToSystemTime, TlsSetValue, GlobalReAlloc, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, LCMapStringA, LCMapStringW, SetUnhandledExceptionFilter, GetStringTypeA, GetStringTypeW, IsBadReadPtr, IsBadCodePtr, SetStdHandle, CompareStringA, CompareStringW, SetEnvironmentVariableA, GetLastError, CopyFileA, lstrcpyA, lstrlenA, lstrcpynA, GetProfileStringA, OpenFile, ReadFile, TlsFree, GlobalHandle, TlsAlloc, LocalAlloc, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, InitializeCriticalSection, LocalFree, MulDiv, SetLastError, FreeLibrary, GetVersion, lstrcatA, GlobalGetAtomNameA, GlobalAddAtomA, GlobalFindAtomA, GetModuleHandleA, WideCharToMultiByte, InterlockedDecrement, InterlockedIncrement, GlobalUnlock, GlobalFree, LockResource, FindResourceA, LoadResource, GlobalAlloc, _lclose, GlobalLock, GetCurrentThread, GlobalDeleteAtom, lstrcmpA, GetCurrentThreadId, GetModuleFileNameA, lstrcmpiA, FindFirstFileA, GetFullPathNameA, GetVolumeInformationA, LoadLibraryA, FindClose, MultiByteToWideChar, GetProcAddress, LockFile, SetEndOfFile, UnlockFile, SetFilePointer, CloseHandle, FlushFileBuffers, GetCurrentProcess, WriteFile, CreateFileA, FreeEnvironmentStringsW, DuplicateHandle, GetEnvironmentStrings, FreeEnvironmentStringsA
> USER32.dll: CopyRect, AdjustWindowRectEx, SetFocus, GetSysColor, MapWindowPoints, SendDlgItemMessageA, UpdateWindow, IsDialogMessageA, SetWindowTextA, MoveWindow, ShowWindow, ClientToScreen, GetDC, ReleaseDC, BeginPaint, EndPaint, TabbedTextOutA, DrawTextA, GrayStringA, LoadCursorA, GetClassNameA, PtInRect, GetSysColorBrush, LoadStringA, DestroyMenu, WinHelpA, GetClassInfoA, RegisterClassA, GetSubMenu, GetMenuItemID, GetCapture, GetWindowTextA, GetDlgCtrlID, DefWindowProcA, CreateWindowExA, GetClassLongA, SetPropA, UnhookWindowsHookEx, GetPropA, CallWindowProcA, RemovePropA, GetMessageTime, GetMessagePos, GetForegroundWindow, SetForegroundWindow, GetWindow, SetWindowLongA, SetWindowPos, RegisterWindowMessageA, SystemParametersInfoA, GetWindowPlacement, EndDialog, SetActiveWindow, IsWindow, GetDlgItem, GetMenuCheckMarkDimensions, LoadBitmapA, GetMenuState, ModifyMenuA, SetMenuItemBitmaps, CheckMenuItem, EnableMenuItem, GetFocus, GetNextDlgTabItem, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, GetKeyState, CallNextHookEx, ValidateRect, IsWindowVisible, PeekMessageA, GetCursorPos, SetWindowsHookExA, GetParent, GetLastActivePopup, IsWindowEnabled, GetWindowLongA, SetCursor, PostMessageA, CharUpperA, wsprintfA, EnableWindow, MessageBoxA, PostQuitMessage, InvalidateRect, GetWindowRect, FindWindowA, GetTopWindow, GetMenuItemCount, GetMenu, IsIconic, GetSystemMetrics, GetClientRect, DrawIcon, SendMessageA, LoadIconA, CreateDialogIndirectParamA, DestroyWindow, UnregisterClassA
> GDI32.dll: GetObjectA, SaveDC, RestoreDC, GetStockObject, SelectObject, SetMapMode, SetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, OffsetViewportOrgEx, SetWindowExtEx, ScaleWindowExtEx, SetTextColor, CreateBitmap, DeleteObject, GetDeviceCaps, PtVisible, RectVisible, TextOutA, ExtTextOutA, Escape, SetBkColor, DeleteDC, GetClipBox
> comdlg32.dll: GetSaveFileNameA, GetFileTitleA
> WINSPOOL.DRV: DocumentPropertiesA, ClosePrinter, OpenPrinterA
> ADVAPI32.dll: RegSetValueExA, RegOpenKeyExA, RegCloseKey, RegCreateKeyExA
> COMCTL32.dll: -

( 0 exports ) 
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: 
copyright....: Copyright (C) 1999
product......: ShowBmp Application
description..: ShowBmp MFC Application
original name: ShowBmp.EXE
internal name: ShowBmp
file version.: 1, 0, 0, 1
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned




et....
le deuxieme:

Fichier ap561.exe reçu le 2010.01.15 17:41:53 (UTC)
Situation actuelle: terminé 
Résultat: 0/41 (0%)
  Formaté
Impression des résultats  
Antivirus	Version	Dernière mise à jour	Résultat
a-squared	4.5.0.50	2010.01.15	-
AhnLab-V3	5.0.0.2	2010.01.15	-
AntiVir	7.9.1.142	2010.01.15	-
Antiy-AVL	2.0.3.7	2010.01.12	-
Authentium	5.2.0.5	2010.01.15	-
Avast	4.8.1351.0	2010.01.15	-
AVG	9.0.0.730	2010.01.15	-
BitDefender	7.2	2010.01.15	-
CAT-QuickHeal	10.00	2010.01.15	-
ClamAV	0.94.1	2010.01.15	-
Comodo	3594	2010.01.15	-
DrWeb	5.0.1.12222	2010.01.15	-
eSafe	7.0.17.0	2010.01.14	-
eTrust-Vet	35.2.7239	2010.01.15	-
F-Prot	4.5.1.85	2010.01.15	-
F-Secure	9.0.15370.0	2010.01.15	-
Fortinet	4.0.14.0	2010.01.15	-
GData	19	2010.01.15	-
Ikarus	T3.1.1.80.0	2010.01.15	-
Jiangmin	13.0.900	2010.01.15	-
K7AntiVirus	7.10.948	2010.01.15	-
Kaspersky	7.0.0.125	2010.01.15	-
McAfee	5861	2010.01.14	-
McAfee+Artemis	5861	2010.01.14	-
McAfee-GW-Edition	6.8.5	2010.01.15	-
Microsoft	1.5302	2010.01.15	-
NOD32	4775	2010.01.15	-
Norman	6.04.03	2010.01.14	-
nProtect	2009.1.8.0	2010.01.15	-
Panda	10.0.2.2	2010.01.15	-
PCTools	7.0.3.5	2010.01.15	-
Prevx	3.0	2010.01.15	-
Rising	22.30.04.04	2010.01.15	-
Sophos	4.49.0	2010.01.15	-
Sunbelt	3.2.1858.2	2010.01.15	-
Symantec	20091.2.0.41	2010.01.15	-
TheHacker	6.5.0.4.151	2010.01.15	-
TrendMicro	9.120.0.1004	2010.01.15	-
VBA32	3.12.12.1	2010.01.15	-
ViRobot	2010.1.15.2138	2010.01.15	-
VirusBuster	5.0.21.0	2010.01.15	-
Information additionnelle
File size: 53248 bytes
MD5...: ae740d9d3d4c384cebafc39f9dfa7a99
SHA1..: 73db002d9603188bd299c9fdb8940013f2be8994
SHA256: 9ecf0cb81a322ae1d86b445cc4de14ed151badec015731d5d345064509ac601f
ssdeep: 768:wAiaWFCoJ+ttUe9/cX5oRfkIvM4kE0QylcmH5TT5oKmI:wAi0ogttUfX5oFV
M80QmMa
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6510
timedatestamp.....: 0x3d3e650b (Wed Jul 24 08:27:55 2002)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5cb2 0x6000 6.07 3315a9dd989fbd82529f7732656c5622
.rdata 0x7000 0x378 0x1000 1.81 f0589c3c18509342d23d72374043039d
.data 0x8000 0x1834 0x1000 4.07 70b1418802e41af926e5ab7ec2313e1d
.idata 0xa000 0xe68 0x1000 4.90 ec4c3c4d39ee58ec74d62c8bd2f810b0
.rsrc 0xb000 0x1d08 0x2000 3.42 0d73968e1d8c409b134a6529c88a93f7
.reloc 0xd000 0xc26 0x1000 5.28 9196aaf715ee773a3b636dd908d97eec

( 10 imports ) 
> MSVCRT.dll: __set_app_type, __p__fmode, _XcptFilter, _controlfp, _except_handler3, _acmdln, __p__commode, _adjust_fdiv, __setusermatherr, __CxxFrameHandler, _purecall, _initterm, __getmainargs, _exit, exit, fclose, fread, fwrite, _ftol, __2@YAPAXI@Z, fopen, atol, __3@YAXPAX@Z, sprintf, _stat, atof
> KERNEL32.dll: lstrlenA, LoadLibraryA, GetFullPathNameA, lstrcpynA, CreateEventA, GetLastError, DeviceIoControl, GetOverlappedResult, InterlockedIncrement, InterlockedDecrement, MultiByteToWideChar, GetStartupInfoA, GetModuleHandleA, WinExec, GetWindowsDirectoryA, lstrcatA, lstrcpyA, GetProfileIntA, WriteProfileStringA, GetProfileStringA, WideCharToMultiByte, CloseHandle, GlobalFree, GlobalUnlock, GlobalHandle, GlobalLock, GlobalAlloc, CreateFileA, GetFileSize, OpenFile, MulDiv, GetDiskFreeSpaceA, FreeLibrary, GetProcAddress
> USER32.dll: GetSysColor, SetWindowPos, GetWindowRect, InvalidateRect, AppendMenuA, RemoveMenu, GetSubMenu, GetMenu, DialogBoxParamA, PostMessageA, MessageBoxA, wvsprintfA, EndDialog, UpdateWindow, EnableWindow, MessageBeep, SetFocus, GetDlgItem, SetDlgItemInt, GetDlgItemInt, SetDlgItemTextA, IsCharAlphaNumericA, IsCharAlphaA, GetDlgItemTextA, CheckDlgButton, IsDlgButtonChecked, SendMessageA, FindWindowA, IsWindowVisible, SetTimer, LoadStringA, GetWindowLongA, GetWindowTextA, PostQuitMessage, KillTimer, wsprintfA, BeginPaint, EndPaint, GetSystemMetrics, MoveWindow, DefWindowProcA, GetAsyncKeyState, EnableMenuItem, DispatchMessageA, TranslateAcceleratorA, PeekMessageA, TranslateMessage, WaitMessage, LoadAcceleratorsA, LoadCursorA, LoadIconA, RegisterClassA, GetDC, ReleaseDC, CreateWindowExA, ShowWindow, SetWindowTextA, CheckMenuItem, GetClientRect
> GDI32.dll: DeleteObject, SelectObject, GetStockObject, CreateFontA, CreateSolidBrush, GetTextMetricsA, PatBlt, ExtTextOutA, SetTextColor, SetBkColor
> comdlg32.dll: GetOpenFileNameA
> ole32.dll: CoTaskMemAlloc, CoUninitialize, CoInitialize, CoTaskMemFree, CoCreateInstance
> WINMM.dll: timeGetTime
> MSACM32.dll: acmFormatChooseA, acmMetrics
> OLEPRO32.DLL: -
> OLEAUT32.dll: -

( 0 exports ) 
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (54.6%)
Win32 Executable MS Visual C++ (generic) (24.0%)
Windows Screen Saver (8.3%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
sigcheck:
publisher....: Sunplus
copyright....: Copyright (c) 2000
product......: Sunplus Amcap
description..: Amcap
original name: Amcap.exe
internal name: Amcap
file version.: 1, 0, 0, 3
comments.....: Only used for Sunplus SPCA508A internal test
signers......: -
signing date.: -
verified.....: Unsigned

sKe69 · Answer

bien ....


c'est ok ....




la suite dans l'ordre :



1-Créer un doc texte sur ton bureau : 
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" . 

* Rends toi sur cette page > http://www.cijoint.fr/cj201001/cijr82FvEn.txt

* copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer : 

* Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valide ... ( sauvegarde le bien sur le bureau )
 

2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après )  !! 

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer combofix .

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!) 

!! Ne touches à rien tant que le scan n'est pas terminé !! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 


Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation ) 
 

===========================


3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

mauretanien · Answer

ok


1/le rapport de combFix est ici:
http://www.cijoint.fr/cjlink.php?file=cj201001/cijQbEXLr1.txt


et....
2/le rapport de ZHPDiag est ici:
http://www.cijoint.fr/cjlink.php?file=cj201001/cijhjfCyQM.txt

sKe69 · Answer

impec ....


dis moi comment va le PC .... du mieux ?



puis fait ceci :


1- Télécharge GenProc  (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe 

!! ferme tes applications en cours !!


* double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ... 


Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
 
IMPORTANT : poste le rapport uniquement ! Ne suis pas les éventuelles consignes qu'il mentionne pour le moment ...


============================

2- Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/ 

! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) ! 

• Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .
 
• Au menu principal choisis l'option "S" et tape sur [entrée] .

• le scan démarre , laisse travailler l'outil et ne touche à rien ... 

/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... ) 


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Aides en images (Installation)   : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
Aides en images (Recherche)    : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html

mauretanien · Answer

bonsoir;
l'ordinateur va bien; grace à vous  je ne constate plus des problemes,


les rapports demandés sont là:

1/ GenProc.exe:

 Rapport GenProc 2.660 [1] - 16/01/2010 à 16:23:24
@ Windows XP Service Pack 2 - Mode normal
@ Google Chrome Service Pack 2 [Navigateur par défaut]

~~ ECHEC DU TELECHARGEMENT DE CM ~~ 
~~ ECHEC DU TELECHARGEMENT DE MBR.EXE ~~ 
~~ ECHEC DU TELECHARGEMENT D'HIJACKTHIS ~~ 
~~ ECHEC DU TELECHARGEMENT DE ZHP ~~ 

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 


Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :  
C:\Program Files\EsetOnlineScanner\log.txt



----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 16:26:18 ~~


2/Ad-report-SCAN.log

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_H | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 16.01.2010 à 11:37
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 16:45:45, 16/01/2010 | Mode Normal | Option: SCAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 2 v5.1.2600
Nom du PC: JGH-684E0D266F6 | Utilisateur actuel: Administrateur
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.

.
HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0\goicfboogidikkejccmclpieicihhlpo ejfebp
HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0\goicfboogidikkejccmclpieicihhlpo igcdca
HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0\goicfboogidikkejccmclpieicihhlpo imfado
HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0\ppcimdnnnjbeahepfabjipfginloedkg cfcaak
HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0\ppcimdnnnjbeahepfabjipfginloedkg enodaj
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\post platform\DS_desktopsmiley
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\post platform\DS_gamingharbor
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\post platform\DS_juicyaccess
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\post platform\FunWebProducts
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.7 [fr] *
.
 Nom du profil: cawroqgy.default (Administrateur)
.
(ADMINI~1, prefs.js) Browser.download.lastDir, C:\Documents and Settings\Administrateur\Mes documents\TÃ©lÃ©chargements
(ADMINI~1, prefs.js) Extensions.enabledItems, {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.7
. 
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Enable Browser Extensions: yes
Start Page Redirect Cache: hxxp://fr.msn.com/?ocid=iehp
Start Page Redirect Cache_TIMESTAMP: 9c224f39d08fca01
Start Page Redirect Cache AcceptLangs: fr
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Start Page: hxxp://fr.msn.com/
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
3136 Octet(s) - C:\Ad-Report-SCAN[1].log 
.
5 Fichier(s) - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp 
2 Fichier(s) - C:\WINDOWS\Temp 
79 Fichier(s) - C:\WINDOWS\Prefetch 
.
2 Fichier(s) - C:\Ad-Remover\BACKUP
0 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 16:47:08 | 16/01/2010 - SCAN[1]
.
============== E.O.F ==============
.

sKe69 · Answer

bien ....


la suite donc :


1- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) ! 
 

•  Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .
 
•  Au menu principal choisis cette fois l'option "L" et tape sur [entrée] .

•  Le nettoyage débute >  Laisse travailler l'outil et ne touche à rien !... 

/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... ) 


--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 


=========================

2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

hachgds · Answer

J ai eu le même problème. Je n ai rien entrepris: aucun problème.
Attention à certaines réponses données :ca parait empoisonnées

RunVer.exe

25 réponses

Votre réponse

Newsletters