Fichier autorun.exe Urgen
Sabrina
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
s'il vous plait j'ai besoin d'aide !
je viens de télécharger un fichier et quand j'ai cliqué dessus mon ordinateur a redémarré , a fait un scan au début puis a installé un fichier autorun.exe dans C:\Documents and Settings\Utilisateur\Local Settings\Temp\ir_ext_temp_0 ! Et dés que je ferme le fichier , mon pc redémarre :(
svp aidez moi
s'il vous plait j'ai besoin d'aide !
je viens de télécharger un fichier et quand j'ai cliqué dessus mon ordinateur a redémarré , a fait un scan au début puis a installé un fichier autorun.exe dans C:\Documents and Settings\Utilisateur\Local Settings\Temp\ir_ext_temp_0 ! Et dés que je ferme le fichier , mon pc redémarre :(
svp aidez moi
A voir également:
- Fichier autorun.exe Urgen
- Fichier bin - Guide
- Fichier epub - Guide
- Fichier rar - Guide
- Comment réduire la taille d'un fichier - Guide
- Fichier .dat - Guide
17 réponses
Tout d'abords j'ai oublié de vous dire que le programme disant virus est sous forme d'une fenêtre avec de la pub
Sinon j'ai déjà fait alt+ctrl+supp quand je fait fin de tache , arrêter le processus ou bien arrêter l'absorbante du processus mon pc redemande :(
sinon merci pour vos réponses .
Sinon j'ai déjà fait alt+ctrl+supp quand je fait fin de tache , arrêter le processus ou bien arrêter l'absorbante du processus mon pc redemande :(
sinon merci pour vos réponses .
Hello Sabrina ,
• Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
• Double-clique sur RSIT.exe afin de lancer le programme.
• Clique sur Continue à l'écran Disclaimer.
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).
Note : les rapports sont sauvegardés dans le dossier C:\rsit.
• Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
• Double-clique sur RSIT.exe afin de lancer le programme.
• Clique sur Continue à l'écran Disclaimer.
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).
Note : les rapports sont sauvegardés dans le dossier C:\rsit.
Logfile of random's system information tool 1.06 (written by random/random)
Run by zine at 2010-01-27 16:32:48
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 10 GB (44%) free of 22 GB
Total RAM: 510 MB (8% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:33:23, on 27/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Documents and Settings\zine\winternet.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Ares\Ares.exe
C:\WINDOWS\system32\svchost.exe
C:\documents and settings\zine\local settings\application data\crhxmcyg.exe
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Microsoft\setup2.exe
C:\Program Files\Microsoft\ddd.exe
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\autorun.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Documents and Settings\zine\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Documents and Settings\zine\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Dofus\Dofus.exe
C:\Program Files\Dofus\dofus.dll
C:\Program Files\Dofus\dofus.dll
C:\Documents and Settings\zine\Mes documents\Downloads\RSIT.exe
C:\Program Files\trend micro\zine.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cherche.us/keyword/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.cherche.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.cherche.us
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.cherche.us/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.cherche.us
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [winternet] C:\Documents and Settings\zine\winternet.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\zine\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [crhxmcyg] "c:\documents and settings\zine\local settings\application data\crhxmcyg.exe" crhxmcyg
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: menara1.lnk = E:\movies\MTkit\Menara.exe
O4 - Startup: svchost.lnk = C:\Program Files\Microsoft\setup2.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: PalTalk.lnk = C:\Program Files\Paltalk Messenger\paltalk.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJxdm439YYMA
O8 - Extra context menu item: Download with NetPumper - C:\Program Files\NetPumper\AddUrl.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Recherche avec cherche.us - C:\Documents and Settings\zine\scriptjava.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: *.chat-land.org
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_5_3_0.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{517BFC44-075B-49E1-A3CD-4386CBCC5DA6}: NameServer = 62.251.229.223 62.251.229.237
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira Firewall (AntiVirFirewallService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avfwsvc.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/zine/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
Run by zine at 2010-01-27 16:32:48
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 10 GB (44%) free of 22 GB
Total RAM: 510 MB (8% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:33:23, on 27/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Documents and Settings\zine\winternet.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Ares\Ares.exe
C:\WINDOWS\system32\svchost.exe
C:\documents and settings\zine\local settings\application data\crhxmcyg.exe
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Microsoft\setup2.exe
C:\Program Files\Microsoft\ddd.exe
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\autorun.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Documents and Settings\zine\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Documents and Settings\zine\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Dofus\Dofus.exe
C:\Program Files\Dofus\dofus.dll
C:\Program Files\Dofus\dofus.dll
C:\Documents and Settings\zine\Mes documents\Downloads\RSIT.exe
C:\Program Files\trend micro\zine.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cherche.us/keyword/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.cherche.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.cherche.us
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.cherche.us/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.cherche.us
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [winternet] C:\Documents and Settings\zine\winternet.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\zine\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [crhxmcyg] "c:\documents and settings\zine\local settings\application data\crhxmcyg.exe" crhxmcyg
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: menara1.lnk = E:\movies\MTkit\Menara.exe
O4 - Startup: svchost.lnk = C:\Program Files\Microsoft\setup2.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: PalTalk.lnk = C:\Program Files\Paltalk Messenger\paltalk.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJxdm439YYMA
O8 - Extra context menu item: Download with NetPumper - C:\Program Files\NetPumper\AddUrl.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Recherche avec cherche.us - C:\Documents and Settings\zine\scriptjava.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: *.chat-land.org
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_5_3_0.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{517BFC44-075B-49E1-A3CD-4386CBCC5DA6}: NameServer = 62.251.229.223 62.251.229.237
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira Firewall (AntiVirFirewallService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avfwsvc.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/zine/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
Re ,
Il y a plusieures infections distinct sur ton pc mais rien de gravissime .
######### Commence par ceci :
• Télécharge OTM (OldTimer) sur ton Bureau.
• Clique droit sur OTM.exe et choisis Exécuter en tant qu'administrateur.
• Copie (Ctrl+C) le texte suivant ci-dessous :
:processes
explorer.exe
ddd.exe
setup2.exe
autorun.exe
winternet.exe
:files
C:\Program Files\Microsoft\setup2.exe
C:\Program Files\Microsoft\ddd.exe
C:\Documents and Settings\zine\winternet.exe
C:\Documents and Settings\zine\Menu Démarrer\Programmes\Démarrage\svchost.lnk
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\autorun.exe
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0
:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"winternet"=-
:commands
[purity]
[emptytemp]
[reboot]
• Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
• Clique maintenant sur le bouton MoveIt! puis ferme OTM.
---> Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
• Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
---> Le nom du rapport correspond au moment de sa création : date_heure.log
Il y a plusieures infections distinct sur ton pc mais rien de gravissime .
######### Commence par ceci :
• Télécharge OTM (OldTimer) sur ton Bureau.
• Clique droit sur OTM.exe et choisis Exécuter en tant qu'administrateur.
• Copie (Ctrl+C) le texte suivant ci-dessous :
:processes
explorer.exe
ddd.exe
setup2.exe
autorun.exe
winternet.exe
:files
C:\Program Files\Microsoft\setup2.exe
C:\Program Files\Microsoft\ddd.exe
C:\Documents and Settings\zine\winternet.exe
C:\Documents and Settings\zine\Menu Démarrer\Programmes\Démarrage\svchost.lnk
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\autorun.exe
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0
:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"winternet"=-
:commands
[purity]
[emptytemp]
[reboot]
• Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
• Clique maintenant sur le bouton MoveIt! puis ferme OTM.
---> Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
• Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
---> Le nom du rapport correspond au moment de sa création : date_heure.log
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Je me doute bien , mais tu es encore infecté ....
J attend donc le rapport OTM pour te donner la suite , sauf si tu veux rester avec un pc infecté .
J attend donc le rapport OTM pour te donner la suite , sauf si tu veux rester avec un pc infecté .
salut merci pour ta réponse .
Oui j'ai essayé de le supprimer mais impossible car le programme est en marche .
Oui j'ai essayé de le supprimer mais impossible car le programme est en marche .
alors fait control+alt+suppr, une fenètre va s'ouvrir(elle ressemble à cela :http://www.aidewindows.net/images/xp/ctrl_alt_suppr_xp.gif . Si tu connais le nom du programme ou du fichier regarde dans l'onglet application clique sur le fichier en question et clic sur fin de tache jusqu'à temps qu'il disparaisse. Puis retente une suppression manuelle.
il est ici : C:\_OTM\MovedFiles\
---> Le nom du rapport correspond au moment de sa création : date_heure.log
---> Le nom du rapport correspond au moment de sa création : date_heure.log
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named ddd.exe was found!
No active process named setup2.exe was found!
No active process named autorun.exe was found!
No active process named winternet.exe was found!
========== FILES ==========
C:\Program Files\Microsoft\setup2.exe moved successfully.
C:\Program Files\Microsoft\ddd.exe moved successfully.
C:\Program Files\Microsoft\Search Enhancement Pack\Choice Guard folder moved successfully.
C:\Program Files\Microsoft\Search Enhancement Pack folder moved successfully.
C:\Program Files\Microsoft folder moved successfully.
C:\Documents and Settings\zine\winternet.exe moved successfully.
C:\Documents and Settings\zine\Menu Démarrer\Programmes\Démarrage\svchost.lnk moved successfully.
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\autorun.exe moved successfully.
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\AutoPlay\Images folder moved successfully.
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\AutoPlay\Icons folder moved successfully.
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\AutoPlay\Docs folder moved successfully.
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\AutoPlay\Buttons folder moved successfully.
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\AutoPlay\Audio folder moved successfully.
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\AutoPlay folder moved successfully.
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0 folder moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\Run not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: zine
->Temp folder emptied: 826641783 bytes
->Temporary Internet Files folder emptied: 42968763 bytes
->Java cache emptied: 38195139 bytes
->FireFox cache emptied: 6227253 bytes
->Google Chrome cache emptied: 112989049 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2351795 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 13018337 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 28706338 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 1 022,00 mb
OTM by OldTimer - Version 3.1.7.0 log created on 01272010_171133
Files moved on Reboot...
Registry entries deleted on Reboot...
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named ddd.exe was found!
No active process named setup2.exe was found!
No active process named autorun.exe was found!
No active process named winternet.exe was found!
========== FILES ==========
C:\Program Files\Microsoft\setup2.exe moved successfully.
C:\Program Files\Microsoft\ddd.exe moved successfully.
C:\Program Files\Microsoft\Search Enhancement Pack\Choice Guard folder moved successfully.
C:\Program Files\Microsoft\Search Enhancement Pack folder moved successfully.
C:\Program Files\Microsoft folder moved successfully.
C:\Documents and Settings\zine\winternet.exe moved successfully.
C:\Documents and Settings\zine\Menu Démarrer\Programmes\Démarrage\svchost.lnk moved successfully.
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\autorun.exe moved successfully.
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\AutoPlay\Images folder moved successfully.
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\AutoPlay\Icons folder moved successfully.
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\AutoPlay\Docs folder moved successfully.
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\AutoPlay\Buttons folder moved successfully.
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\AutoPlay\Audio folder moved successfully.
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0\AutoPlay folder moved successfully.
C:\DOCUME~1\zine\LOCALS~1\Temp\ir_ext_temp_0 folder moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\Run not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: zine
->Temp folder emptied: 826641783 bytes
->Temporary Internet Files folder emptied: 42968763 bytes
->Java cache emptied: 38195139 bytes
->FireFox cache emptied: 6227253 bytes
->Google Chrome cache emptied: 112989049 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2351795 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 13018337 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 28706338 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 1 022,00 mb
OTM by OldTimer - Version 3.1.7.0 log created on 01272010_171133
Files moved on Reboot...
Registry entries deleted on Reboot...
Impec Sabrina ;)
Tu as une infection par support amovible visible ici :
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{10ba0eb8-035d-11df-9327-00e04c192d0c}]
shell\AutoRun\command - G:\SLATKO/torta.exe
shell\explore\command - G:\SLATKO/torta.exe
shell\open\command - G:\SLATKO/torta.exe
#####
• Télécharge UsbFix sur ton Bureau :
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir.
• Double clic sur UsbFix.exe présent sur ton bureau .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]
• Ton bureau disparaîtra et le pc redémarrera.
• Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.
• Ensuite poste le rapport UsbFix.txt qui apparaîtra avec le bureau.
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
Tu as une infection par support amovible visible ici :
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{10ba0eb8-035d-11df-9327-00e04c192d0c}]
shell\AutoRun\command - G:\SLATKO/torta.exe
shell\explore\command - G:\SLATKO/torta.exe
shell\open\command - G:\SLATKO/torta.exe
#####
• Télécharge UsbFix sur ton Bureau :
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir.
• Double clic sur UsbFix.exe présent sur ton bureau .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]
• Ton bureau disparaîtra et le pc redémarrera.
• Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.
• Ensuite poste le rapport UsbFix.txt qui apparaîtra avec le bureau.
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
############################## | UsbFix V6.080 |
User : zine (Administrateurs) # A6-EFA823F66E51
Update on 27/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 18:18:39 | 27/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Pentium(R) 4 CPU 2.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]
FW : Avira Firewall[ (!) Disabled ]9.0.1.32
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 21,82 Go (10,65 Go free) # NTFS
D:\ -> Disque fixe local # 16,45 Go (16,11 Go free) [Sauvegarde] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 3,8 Go (2,68 Go free) [kingston] # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe 1080
C:\WINDOWS\system32\csrss.exe 1528
C:\WINDOWS\system32\winlogon.exe 1556
C:\WINDOWS\system32\services.exe 1616
C:\WINDOWS\system32\lsass.exe 1628
C:\WINDOWS\system32\svchost.exe 1804
C:\WINDOWS\system32\svchost.exe 1900
C:\WINDOWS\System32\svchost.exe 1940
C:\WINDOWS\system32\svchost.exe 192
C:\WINDOWS\system32\svchost.exe 308
C:\WINDOWS\system32\spoolsv.exe 408
C:\Program Files\Avira\AntiVir Desktop\sched.exe 472
C:\WINDOWS\system32\svchost.exe 556
C:\WINDOWS\system32\svchost.exe 1332
C:\Program Files\Java\jre6\bin\jqs.exe 1364
C:\WINDOWS\System32\svchost.exe 1420
C:\WINDOWS\System32\svchost.exe 2044
C:\WINDOWS\system32\svchost.exe 288
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe 608
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe 708
C:\WINDOWS\system32\wuauclt.exe 828
C:\WINDOWS\System32\alg.exe 1316
C:\WINDOWS\system32\wbem\wmiprvse.exe 1928
C:\WINDOWS\system32\userinit.exe 1884
C:\WINDOWS\Explorer.EXE 920
C:\Documents and Settings\zine\Application Data\kvmm.exe 952
C:\Documents and Settings\zine\Application Data\kvmm.exe 392
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe 2060
C:\Program Files\TuneUp Utilities 2010\TuneUpSystemStatusCheck.exe 2064
################## | Elements infectieux |
Supprimé ! C:\Recycler\S-1-5-21-3711858954-0825791041-875060992-1004\nissan.exe
Supprimé ! C:\Recycler\S-1-5-21-3711858954-0825791041-875060992-1004\Desktop.ini
Supprimé ! C:\Recycler\S-1-5-21-3711858954-0825791041-875060992-1004
Supprimé ! C:\Recycler\S-1-5-21-6339152586-1484202981-153520318-1664\windll.exe
Supprimé ! C:\Recycler\S-1-5-21-6339152586-1484202981-153520318-1664\Desktop.ini
Supprimé ! C:\Recycler\S-1-5-21-6339152586-1484202981-153520318-1664
Supprimé ! C:\Recycler\S-1-5-21-1275210071-179605362-1177238915-1003
Supprimé ! C:\Recycler\S-1-5-21-4428278000-6134106548-083276948-6116
Supprimé ! C:\Recycler\S-1-5-21-7004581485-9183551211-570087795-2979
Supprimé ! D:\Recycler\S-1-5-21-1275210071-179605362-1177238915-1003
Supprimé ! D:\Recycler\S-1-5-21-796845957-2139871995-725345543-500
G:\autorun.inf -> fichier appelé : "G:\filesystem/pagefile.exe" ( Présent ! )
Non supprimé ! G:\filesystem/pagefile.exe
G:\autorun.inf -> fichier appelé : "G:\filesystem/pagefile.exe" ( Présent ! )
Non supprimé ! G:\filesystem/pagefile.exe
Supprimé ! G:\bycfht.exe
Supprimé ! G:\filesystem\Desktop.ini
Supprimé ! G:\filesystem\pagefile.exe
Supprimé ! G:\filesystem
Supprimé ! G:\icxpa.cmd
Supprimé ! G:\Recycle.exe
Supprimé ! G:\SLATKO\Desktop.ini
Supprimé ! G:\SLATKO\torta.exe
Supprimé ! G:\SLATKO
Supprimé ! G:\yannh.cmd
Supprimé ! G:\autorun.inf
################## | MD5 |
################## | Registre |
Supprimé ! [HKCU\SOFTWARE\Bifrost]
Supprimé ! [HKLM\SOFTWARE\Bifrost]
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
################## | Mountpoints2 |
Supprimé ! HKCU\...\Explorer\MountPoints2\{10ba0eb8-035d-11df-9327-00e04c192d0c}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{2f1c9e24-ef5e-11de-92c3-00e04c192d0c}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{9ba2faf6-ef45-11de-92c1-00e04c192d0c}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{e2fd72b2-efa7-11de-92c4-00e04c192d0c}\Shell\AutoRun\Command
################## | Listing des fichiers présent |
[25/10/2009 12:21|--a------|0] C:\AUTOEXEC.BAT
[28/11/2009 02:35|---hs----|212] C:\boot.ini
[14/04/2008 12:00|-rahs----|4952] C:\Bootfont.bin
[25/10/2009 12:21|--a------|0] C:\CONFIG.SYS
[13/12/2009 00:53|--a------|120] C:\drmHeader.bin
[09/12/2009 02:38|--a------|184] C:\drwtsn32.log
[?|?|?] C:\hiberfil.sys
[25/10/2009 12:21|-rahs----|0] C:\IO.SYS
[25/10/2009 12:21|-rahs----|0] C:\MSDOS.SYS
[14/04/2008 12:00|-rahs----|47564] C:\NTDETECT.COM
[14/04/2008 12:00|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[27/01/2010 18:28|--a------|4975] C:\UsbFix.txt
[27/01/2010 18:17|--a------|1732] G:\BOOTEX.LOG
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# G:\autorun.inf -> Dossier créé par UsbFix.
################## | Upload |
Veuillez envoyer le fichier : C:\DOCUME~1\zine\Bureau\UsbFix_Upload_Me_A6-EFA823F66E51.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .
################## | ! Fin du rapport # UsbFix V6.080 ! |
User : zine (Administrateurs) # A6-EFA823F66E51
Update on 27/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 18:18:39 | 27/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Pentium(R) 4 CPU 2.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]
FW : Avira Firewall[ (!) Disabled ]9.0.1.32
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 21,82 Go (10,65 Go free) # NTFS
D:\ -> Disque fixe local # 16,45 Go (16,11 Go free) [Sauvegarde] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 3,8 Go (2,68 Go free) [kingston] # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe 1080
C:\WINDOWS\system32\csrss.exe 1528
C:\WINDOWS\system32\winlogon.exe 1556
C:\WINDOWS\system32\services.exe 1616
C:\WINDOWS\system32\lsass.exe 1628
C:\WINDOWS\system32\svchost.exe 1804
C:\WINDOWS\system32\svchost.exe 1900
C:\WINDOWS\System32\svchost.exe 1940
C:\WINDOWS\system32\svchost.exe 192
C:\WINDOWS\system32\svchost.exe 308
C:\WINDOWS\system32\spoolsv.exe 408
C:\Program Files\Avira\AntiVir Desktop\sched.exe 472
C:\WINDOWS\system32\svchost.exe 556
C:\WINDOWS\system32\svchost.exe 1332
C:\Program Files\Java\jre6\bin\jqs.exe 1364
C:\WINDOWS\System32\svchost.exe 1420
C:\WINDOWS\System32\svchost.exe 2044
C:\WINDOWS\system32\svchost.exe 288
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe 608
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe 708
C:\WINDOWS\system32\wuauclt.exe 828
C:\WINDOWS\System32\alg.exe 1316
C:\WINDOWS\system32\wbem\wmiprvse.exe 1928
C:\WINDOWS\system32\userinit.exe 1884
C:\WINDOWS\Explorer.EXE 920
C:\Documents and Settings\zine\Application Data\kvmm.exe 952
C:\Documents and Settings\zine\Application Data\kvmm.exe 392
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe 2060
C:\Program Files\TuneUp Utilities 2010\TuneUpSystemStatusCheck.exe 2064
################## | Elements infectieux |
Supprimé ! C:\Recycler\S-1-5-21-3711858954-0825791041-875060992-1004\nissan.exe
Supprimé ! C:\Recycler\S-1-5-21-3711858954-0825791041-875060992-1004\Desktop.ini
Supprimé ! C:\Recycler\S-1-5-21-3711858954-0825791041-875060992-1004
Supprimé ! C:\Recycler\S-1-5-21-6339152586-1484202981-153520318-1664\windll.exe
Supprimé ! C:\Recycler\S-1-5-21-6339152586-1484202981-153520318-1664\Desktop.ini
Supprimé ! C:\Recycler\S-1-5-21-6339152586-1484202981-153520318-1664
Supprimé ! C:\Recycler\S-1-5-21-1275210071-179605362-1177238915-1003
Supprimé ! C:\Recycler\S-1-5-21-4428278000-6134106548-083276948-6116
Supprimé ! C:\Recycler\S-1-5-21-7004581485-9183551211-570087795-2979
Supprimé ! D:\Recycler\S-1-5-21-1275210071-179605362-1177238915-1003
Supprimé ! D:\Recycler\S-1-5-21-796845957-2139871995-725345543-500
G:\autorun.inf -> fichier appelé : "G:\filesystem/pagefile.exe" ( Présent ! )
Non supprimé ! G:\filesystem/pagefile.exe
G:\autorun.inf -> fichier appelé : "G:\filesystem/pagefile.exe" ( Présent ! )
Non supprimé ! G:\filesystem/pagefile.exe
Supprimé ! G:\bycfht.exe
Supprimé ! G:\filesystem\Desktop.ini
Supprimé ! G:\filesystem\pagefile.exe
Supprimé ! G:\filesystem
Supprimé ! G:\icxpa.cmd
Supprimé ! G:\Recycle.exe
Supprimé ! G:\SLATKO\Desktop.ini
Supprimé ! G:\SLATKO\torta.exe
Supprimé ! G:\SLATKO
Supprimé ! G:\yannh.cmd
Supprimé ! G:\autorun.inf
################## | MD5 |
################## | Registre |
Supprimé ! [HKCU\SOFTWARE\Bifrost]
Supprimé ! [HKLM\SOFTWARE\Bifrost]
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
################## | Mountpoints2 |
Supprimé ! HKCU\...\Explorer\MountPoints2\{10ba0eb8-035d-11df-9327-00e04c192d0c}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{2f1c9e24-ef5e-11de-92c3-00e04c192d0c}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{9ba2faf6-ef45-11de-92c1-00e04c192d0c}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{e2fd72b2-efa7-11de-92c4-00e04c192d0c}\Shell\AutoRun\Command
################## | Listing des fichiers présent |
[25/10/2009 12:21|--a------|0] C:\AUTOEXEC.BAT
[28/11/2009 02:35|---hs----|212] C:\boot.ini
[14/04/2008 12:00|-rahs----|4952] C:\Bootfont.bin
[25/10/2009 12:21|--a------|0] C:\CONFIG.SYS
[13/12/2009 00:53|--a------|120] C:\drmHeader.bin
[09/12/2009 02:38|--a------|184] C:\drwtsn32.log
[?|?|?] C:\hiberfil.sys
[25/10/2009 12:21|-rahs----|0] C:\IO.SYS
[25/10/2009 12:21|-rahs----|0] C:\MSDOS.SYS
[14/04/2008 12:00|-rahs----|47564] C:\NTDETECT.COM
[14/04/2008 12:00|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[27/01/2010 18:28|--a------|4975] C:\UsbFix.txt
[27/01/2010 18:17|--a------|1732] G:\BOOTEX.LOG
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# G:\autorun.inf -> Dossier créé par UsbFix.
################## | Upload |
Veuillez envoyer le fichier : C:\DOCUME~1\zine\Bureau\UsbFix_Upload_Me_A6-EFA823F66E51.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .
################## | ! Fin du rapport # UsbFix V6.080 ! |
Impec ;)
Réouvre UsbFix et choisis désinstaller .
#####
Je te ferais supprimer tout les outils que je te fais télécharger une fois que ton pc sera propre .
######
Tu as une infection Navipromo , visible ici :
O4 - HKCU\..\Run: [crhxmcyg] "c:\documents and settings\zine\local settings\application data\crhxmcyg.exe" crhxmcyg
Télécharge Ad-Remover : http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe sur ton bureau .
Ensuite suis ce tutoriel : http://pagesperso-orange.fr/nostools/tuto_adr_3.html
Une fois le scan terminé , post le rapport de Ad-Remover .
Réouvre UsbFix et choisis désinstaller .
#####
Je te ferais supprimer tout les outils que je te fais télécharger une fois que ton pc sera propre .
######
Tu as une infection Navipromo , visible ici :
O4 - HKCU\..\Run: [crhxmcyg] "c:\documents and settings\zine\local settings\application data\crhxmcyg.exe" crhxmcyg
Télécharge Ad-Remover : http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe sur ton bureau .
Ensuite suis ce tutoriel : http://pagesperso-orange.fr/nostools/tuto_adr_3.html
Une fois le scan terminé , post le rapport de Ad-Remover .
